Malattie professionali e privacy dei lavoratori
Nelle denuncie all´Inail vanno comunicate solo informazioni indispensabili. Il Garante blocca l´uso dei dati sanitari da parte di una p.a.

Nelle denuncie di malattia professionale che i datori di lavoro devono trasmettere all´Inail vanno indicate solo informazioni sanitarie relative o collegate alla patologia denunciata e non dati sulla salute inerenti a semplici malesseri accusati o ad assenze registrate nel corso del rapporto di lavoro, non rilevanti per la malattia professionale. Anche se l´amministrazione viene a conoscenza di altri dati, deve comunicare e conservare solo quelli necessari prescritti dalla normativa.

I principi sono stati ribaditi dal Garante (Stefano Rodotà. Giuseppe Santaniello, Gaetano Rasi, Mauro Paissan) in un provvedimento con il quale ha vietato all´Inail di utilizzare i dati sanitari di un´assicurata e ha disposto il blocco di alcune informazioni relative allo stato di salute presenti negli archivi del datore di lavoro e ricavabili dalle diagnosi contenute nei certificati dei lavoratori. All´amministrazione è stato, inoltre, imposto di adottare opportuni accorgimenti per non rendere visibili le diagnosi sulle certificazioni sanitarie detenute.

Al blocco dei dati si è giunti a seguito di una segnalazione di una dipendente che lamentava un trattamento illegittimo di informazioni sanitarie nel corso della procedura avviata per il riconoscimento di malattia professionale. La misura adottata dal Garante si è resa necessaria per evitare il rischio concreto di un pregiudizio per la segnalante e per tutti gli altri lavoratori i cui dati sanitari sono ricavabili dalle diagnosi riportate sui certificati.

L´attuale disciplina in materia prevede, infatti, che il lavoratore assente per malattia sia tenuto a presentare al datore di lavoro solo l´attestazione della prognosi. Può capitare, però, che nel certificato venga indicata anche la diagnosi: in questo caso l´amministrazione, che non è legittimata a trattare questi dati, deve quindi adoperarsi per oscurare la diagnosi e  adottare opportuni accorgimenti anche verso lavoratori e medici.

L´amministrazione pubblica presso la quale lavora la segnalante, anziché inviare all´Inail, come prescrive la normativa, solo la denuncia di malattia professionale corredata dal certificato medico con la sintomatologia accusata, aveva invece trasmesso tutti i certificati presentati dalla dipendente nel corso del rapporto di lavoro. Nella documentazione erano presenti più di 60 certificati prodotti dal 1985 al 2000 e una nota riepilogativa delle assenze. Erano oltretutto riportate anche le diagnosi relative a malesseri temporanei (stato febbrile, faringite) e  patologie che non risultavano collegabili a quella denunciata all´Inail. La trasmissione di questi certificati medici, ha stabilito il Garante, non è  giustificata da alcuna disposizione normativa ed è risultata soprattutto in contrasto con la normativa sulla privacy. Si è verificata, quindi, un´illegittima comunicazione di dati non pertinenti ed eccedenti ai fini del riconoscimento della malattia professionale e questi dati non  potranno essere utilizzati dall´Inail per la valutazione.

Il Garante ha ritenuto necessario disporre ulteriori accertamenti nei confronti dell´amministrazione pubblica che ha comunicato i dati. Copia del provvedimento è stata trasmessa alla magistratura penale per le valutazioni di competenza, perché nel corso del procedimento avviato dal Garante l´amministrazione aveva inoltre negato di aver mai inviato certificati all´Inail.

La protezione dei dati nella P.a.
La partecipazione dell´Autorità al Forum P.a.

Il nuovo Codice in materia di protezione dei dati personali, la semplificazione amministrativa, l´identità digitale, i rapporti tra sicurezza collettiva e privacy dell´individuo, la comunicazione  nelle pubbliche amministrazioni,  il ruolo delle authorities: questi i temi sui quali l´Autorità Garante si è confrontata quest´anno nell´ambito alla XV edizione del Forum della P.a., svoltasi a Roma dal 10 al 14 maggio.

Stefano Rodotà è intervenuto al convegno “Tra norme e prassi: per una organizzazione della funzione di comunicazione nelle pubbliche amministrazioni” con un intervento dedicato al tema “La funzione di comunicazione nell´interpretazione delle Autorità garanti”.  Dopo aver ricordato che il profilo della trasparenza ha sempre caratterizzato l´attività del Garante, Rodotà si è soffermato innanzitutto sulla necessità di valutare il grado di accettabilità  della comunicazione pubblica. “Non si può sostituire – ha affermato Rodotà - il cittadino suddito con il cittadino “buca delle lettere”, siano esse di carattere pubblicitario o di carattere elettorale. Il presidente del Garante ha ricordato alcuni significativi interventi dell´Autorità in campo di comunicazione pubblica: quello sugli sms a carattere istituzionale e i limiti che governano il loro invio e quello più recente sui banner elettorali inseriti nelle newsletter on line. Altro aspetto rilevante toccato da Rodotà quello della necessità di stabilire limiti di uso e di conservazione dei dati posseduti dalle pubbliche amministrazioni.

Il vicepresidente Giuseppe Santaniello è intervenuto nell´ambito del convegno “Semplificazione e qualità delle regole” trattando delle novità introdotte dal Codice in materia di protezione dei dati personali nel rapporto tra cittadino e pubblica amministrazione.

Santaniello ha affermato che il Codice si pone come un esempio rilevante di semplificazione mettendo in campo una serie di novità: uno snellimento delle norme pari a circa il trenta per cento di quello della prima normativa; una chiara tipologia dei diritti di accesso; la previsione dei codici deontologici e di buona condotta come fonti di norme flessibili e agevolmente modificabili; l´attività autorizzatoria del Garante, che viene incontro ad una pluralità di soggetti; un fitto catalogo di formule tanto da far parlare di legge “dizionario”, strumento  tipico peraltro dell´ordinamento anglosassone. Il Codice ha, inoltre, introdotto - ha sottolineato il Vicepresidente del Garante - principi rilevanti come quello di necessità, in base al quale si deve ridurre la massa di informazioni utilizzare da parte di privati e pubbliche amministrazioni. E´ diretto, dunque, a realizzare “un rapporto su base paritaria tra cittadino e pubblica amministrazione”.

Gaetano Rasi, componente dell´Autorità Garante per la protezione dei dati personali, è intervenuto nell´ambito del Convegno: “La sicurezza partecipata: coordinamento e cooperazione interistituzionale”. “La preoccupazione istituzionale dell´Autorità Garante – ha affermato Rasi - si è focalizzata sulla necessità che i nuovi strumenti tecnologici, finalizzati ad una fluidificazione dei rapporti tra cittadini e Pubblica amministrazione, non confliggano con il rispetto della persona e con le garanzie di riservatezza e sicurezza dei dati personali". Tra questi strumenti  la nuova carta di identità elettronica  rappresenta la novità più rilevante. Secondo Rasi, però, l´istituzione dei documenti elettronici e l´interconnessione tra le varie istituzioni per lo scambio e la verifica delle informazioni, sollevano una serie di problematiche direttamente collegate ai rischi per la tutela dei diritti della persona e della riservatezza dei dati personali.

Gli aspetti più rilevanti che il Garante pone, dunque, all´attenzione dei competenti organi istituzionali sono rappresentati dalla necessità di individuare la tipologia dei dati da inserire, i soggetti che possono accedere alle varie categorie di dati e le garanzie offerte agli interessati sulla sicurezza delle informazioni.

Il Segretario generale, Giovanni Buttarelli oltre che nel convegno “L´identità digitale e gli strumenti di autenticazione in rete tra necessità di semplicità e tutela della privacy”, è intervenuto anche a quello sul tema: “Funzionamento e organizzazione delle authorities: esperienze a confronto”.  Nel corso dell´incontro sono state valutate le diverse problematiche connesse ad un possibile riordino sistematico e coerente della disciplina delle Autorità amministrative indipendenti, per migliorarne l´autonomia, l´indipendenza, l´efficienza e la capacità organizzativa, in relazione ai compiti di garanzia e vigilanza loro assegnati.

Nella sua relazione Buttarelli ha sottolineato come la tutela dei dati personali e della dignità della persona si manifesti anche nell´ambito delle diverse funzioni che  l´Autorità deve svolgere nella sua veste di organo di garanzia, di giudice, di controllore, certificatore e comunicatore che gli sono attribuiti dalla normativa.

Un ruolo confermato dalla recente entrata in vigore del nuovo Codice in materia di tutela dei dati personali che riordina e rende organico, primo caso in Europa, tutta la normativa di settore fino ad oggi prodotta.

In particolare, il Codice ha esteso l´originario potere di segnalazione del Garante non più solo al Governo ma anche al Parlamento. Una previsione che rafforza il ruolo del Garante all´interno del circuito istituzionale nazionale dopo averlo già conseguito in sede europea. 

Dati dei passeggeri aerei: forti contrasti a Bruxelles
Nonostante l´opposizione dell´Europarlamento la Commissione Ue ha dato il via libera agli Usa

La Commissione europea ha adottato la decisione sull´adeguatezza della protezione accordata dagli Stati Uniti ai dati personali dei passeggeri aerei, nonostante le critiche espresse dai Garanti europei e l´invito dell´Europarlamento ad attendere il giudizio della Corte di giustizia delle Comunità europee. Tale decisione, accompagnata da  un accordo internazionale con gli Stati Uniti deliberato dal Consiglio dei ministri Ue, consentirà alle autorità statunitensi di accedere ai dati personali dei passeggeri che volano verso gli Stati Uniti, allo scopo di prevenzione del terrorismo e della criminalità internazionale.

Il negoziato era cominciato più di un anno fa, quando gli Stati Uniti avevano minacciato sanzioni per le compagnie aeree che avessero rifiutato di trasmettere i dati personali dei passeggeri contenuti nei sistemi di prenotazione (dati “PNR”), e si era concluso a dicembre scorso, con l´annuncio da parte della Commissione di un accordo con le autorità statunitensi.

Nei mesi successivi sia il Parlamento europeo sia il Gruppo dei garanti europei si erano pronunciati esprimendo preoccupazioni e critiche sulla soluzione prospettata dalla Commissione, in quanto essa non forniva garanzie adeguate a tutela del diritto fondamentale alla protezione dei dati personali.

Infatti, grazie a tale accordo, le autorità doganali statunitensi sono autorizzate ad accedere direttamente ad un novero molto ampio di dati (34 elementi, fra cui indirizzi, numeri di telefono, indirizzi di posta elettronica, numeri di carte di credito, informazioni contenute nei programmi “frequent flyer”) ed a conservare per almeno tre anni e mezzo i dati di tutti i passeggeri (al contrario del sistema australiano, approvato dai Garanti europei, in cui i dati vengono conservati solo in presenza di un reato o di una indagine per un presunto reato). I dati sensibili (riguardanti la salute, le convinzioni religiose o politiche, etc.) saranno accessibili e cominceranno ad essere filtrati soltanto quando un apposito sistema diventerà operativo. Inoltre, i dati potranno essere trattati per finalità che esorbitano dalla mera lotta al terrorismo ed essere ulteriormente trasmessi ad altre autorità, anche di paesi terzi. Infine, i diritti dei passeggeri europei ad essere informati, ad accedere ai propri dati ed eventualmente a rettificarli non sembrano adeguatamente garantiti: fra l´altro, sia per l´assenza di un organo di ricorso veramente indipendente, sia per la dubbia vincolatività giuridica degli impegni assunti dalle autorità statunitensi.

Anche sulla base di tali considerazioni il Parlamento europeo, dopo aver già manifestato in una risoluzione del 31 marzo scorso la propria contrarietà alla decisione di adeguatezza proposta dalla Commissione (v. Newsletter del 8-14 marzo 2004), ha deciso di chiedere alla Corte di Giustizia delle Comunità europee un parere preliminare sulla compatibilità con l´ordinamento comunitario del proposto accordo internazionale. Pat Cox, presidente del Parlamento europeo ha pertanto inviato una lettera ai presidenti della Commissione e del Consiglio Ue, invitandoli a non adottare alcuna decisione fino alla pronuncia della Corte e ribadendo il dovere di “leale cooperazione” fra istituzioni comunitarie.

La Commissione, tuttavia, non ha accolto l´invito del Parlamento e ha adottato la controversa decisione di adeguatezza, cui ha fatto seguito la decisione del Consiglio Ue di concludere un accordo internazionale con gli Stati Uniti. La firma di tale accordo, che obbliga le compagnie aeree europee a consentire alle autorità statunitensi l´accesso diretto ai dati personali dei passeggeri, verrebbe inoltre a far cadere il giudizio preliminare di compatibilità già richiesto alla Corte di giustizia.

L´eurodeputata Johanna Boogerd-Quaak, vicepresidente della Commissione per le libertà ed i diritti dei cittadini, e Graham Watson, leader del gruppo liberaldemocratico, hanno comunque invitato Pat Cox a percorrere tutte le vie legali disponibili per far rispettare le prerogative dell´Europarlamento, compreso un ulteriore ricorso alla Corte di giustizia per far annullare la decisione della Commissione e/o l´accordo internazionale. A tal fine, è stata richiesta una riunione dei capigruppo nei giorni immediatamente successivi le imminenti elezioni europee.