1 seminario di studio sulle problematiche della privacy, con particolare riferimento al sistema...

1

Seminario di studio sulle problematiche della “Privacy”, con particolare riferimento al sistema dell’istruzione

Cesena, 30 settembre 2004

2

Il Codice della privacy rappresenta il primo tentativo al mondo di sistematizzazione delle norme in materia

Introduzione di nuove garanzie per i cittadini

Razionalizzazione delle norme esistenti

Semplificazione degli adempimenti

Sostituzione della legge madre 675/96

3

“rispetto della vita privata e della vita familiare” (che costituisce il fulcro della privacy)

il diritto alla protezione dei dati personali

Carta dei diritti fondamentali dell’Unione Europea distingue

4

Nell’art. 7 del Codice, che tutela la riservatezza, si rispecchia principalmente il momento individualistico di un potere giuridico, che spetta ad ogni persona, che si esaurisce sostanzialmente nell’escludere dalla propria vita privata interferenze esterne

Invece la protezione dei dati si concretizza nei poteri di intervento, spettanti ad ogni soggetto nei confronti di chiunque gestisca informazioni personali che possono comportare impatto sociale. Nel primo caso la tutela è statica, mentre nel secondo consente di seguire e controllare la circolazione dei dati personali e la loro protezione nei diversi circuiti in cui possono venire inseriti.

5

Il Codice ha introdotto uno strumentario di nuove garanzie relativamente alle comunicazioni elettroniche nelle quali il diritto alla protezione dei dati non va inteso come un guscio protettivo dell’individuo, ma riguarda l’individuo nella sua proiezione nei cicli di sviluppo economico-sociale

(Santaniello)

6

Il codice è diviso in tre parti

La prima parte è dedicata alle disposizioni generali, ordinate in modo da trattare tutti gli adempimenti e le regole del trattamento con riferimento ai settori pubblico e privato

La seconda parte è dedicata a settori specifici. Essa, oltre a disciplinare aspetti specifici, introduce la disciplina per il settore sanitario e quella dei controlli sui lavoratori

La terza parte affronta la materia della tutela amministrativa e giurisdizionale con il consolidamento delle sanzioni amministrative e penali e con le disposizioni sull’ufficio del garante

7

Il diritto alla riservatezza nell’ordinamento costituzionale

8


Non esiste nel sistema costituzionale una norma espressa che appresti tutela generale alla riservatezza.

Per contro la costituzione riconosce espressamente alcune libertà che possono atteggiarsi al limite della riservatezza

9

Gli artt. 2 e 3 della Costituzione

L’art. 2 ha natura di clausola generale?

L’art. 3 va letto in una dimensione individuale o sociale?


10

Gli artt. 13, 14 e 15 della Costituzione

Queste norme sanciscono l’inviolabilità della libertà personale, del domicilio, della libertà e segretezza della corrispondenza e ogni altra forma di comunicazione.

La libertà personale viene intesa non solo in senso fisico, ma con riguardo alla persona nella sua interezza, compresa la sfera spirituale e la sua personalità.

Parimenti, domicilio e corrispondenza sono interpretati come proiezione spaziale e spirituale dell’individuo.

La maggior parte della dottrina esprime sfavore verso l’utilizzo di queste norme come ancora costituzionale per il diritto alla riservatezza


11

L’art. 21 della Costituzione

Questa norma è stata utilizzata per negare la rilevanza costituzionale del diritto alla riservatezza perché ritenuto incompatibile con la libertà di espressione;

ma è stata anche utilizzata per fondare il rango costituzionale del diritto alla riservatezza proprio su questa disposizione

La giurisprudenza consolidata si fonda sul criterio di bilanciamento, relativo e non assoluto, ispirato ai tre parametri dell’interesse sociale della notizia, della verità dei fatti narrati e della continenza


12

Fonti normative

l. n. 675/96

l.d. n. 676/96

d.lgs n. 123/97

d.lgs n. 255/97

d.lgs n. 135/98

d.lgs n. 389/98

d.lgs n. 51/99

d.lgs n. 135/99

d.lgs n. 281/99

d.lgs n. 282/99

l. n. 344/98

l. n. 25/99

l. n. 127/01

l. n. 325/00

d.lgs . 467/01

d.p.r. n. 318/99

d.lgs n. 196/03

l. n. 45/04

La legge fondamentale n. 675/96 è stata più volte integrata e modificata fino al d.lgs n. 196/03 (Codice della privacy), a sua volta ancora integrato dalla l. n. 45/04

13

Protezione dei dati personali

non consiste nellacopertura

ma nella loro“difesa”

14

Il significato delle espressioni letterali ricorrenti nel Codice

15


“trattamento” è qualunque operazione o insieme di operazioni, compiute anche senza il supporto di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non sono registrati in una banca dati

16


“dato personale” è qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificato o identificabili, anche in modo indiretto, mediante riferimento a qualsiasi altra informazione, compreso il numero di identificazione personale

17


“dati sensibili” sono i dati personali che permettono la rivelazione dell’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale

18


“titolare” è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni relative alle finalità, alle modalità del trattamento dei dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza

19


“responsabile” è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali

20


“incaricati” sono le persone fisiche autorizzate ad effettuare operazioni di trattamento dal titolare dei dati o dal responsabile

21


“interessato” è la persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati personali

22


“comunicazione” consiste nel portare a conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualsiasi forma, anche attraverso la loro messa a disposizione o consultazione

23


“diffusione” consiste nel portare a conoscenza dei dati personali soggetti indeterminati, in qualunque forma, anche attraverso la loro messa a disposizione o consultazione

24


“blocco” consiste nella conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento

25

Regole generali per il trattamento dei dati

Le modalità di trattamento

•Liceità e correttezza

•Raccolta e registrazione per scopi determinati, espliciti e legittimi

•Esattezza

•Pertinenti, completi e non eccedenti rispetto alle finalità di utilizzo

•Conservazione finalizzata all’identificazione dell’interessato per il periodo necessario al raggiungimento dello scopo di raccolta e trattamento

26


Sono previsti codici deontologici e di buona condotta come fonti di norme flessibili e agevolmente modificabili.

Il rispetto delle disposizioni dei codici costituisce condizione essenziale per la liceità e correttezza del trattamento dei dati personali

27

Elaborazione di regole da parte dei soggetti professionali


I codici trovano la loro radice in quelle “norme sulla normazione” costituite dagli articoli della direttiva-madre 95/46/CE

La codificazione deontologica si pone come il punto di confluenza di tre fattori

Atti comunitariPoteri propulsivi dell’autorità garante

28


Informativa

L’art. 13 prevede i contenuti e i termini dell’informativa all’interessato o alla persona presso la quale sono raccolti i dati personali.

L’informativa non si applica quando i dati, raccolti presso l’interessato:

•sono trattati in base ad un obbligo previsto normativamente

•sono trattati ai fini di investigazioni difensive

•l’informativa comporta un impiego di mezzi dichiarato manifestamente sproporzionato dal Garante

29


In caso di cessazione del trattamento i dati sono:

•distrutti;

•ceduti ad altro titolare per un ulteriore trattamento compatibile con gli scopi originari della raccolta;

•conservati per fini personali e sottratti a comunicazione o diffusione;

•conservati o ceduti ad altro titolare a fini storici statistici o scientifici secondo le disposizioni normative

30


Art. 17. Trattamento che presenta rischi specifici

1. Il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, è ammesso nel rispetto di misure ed accorgimenti a garanzia dell’interessato, ove prescritti.

2. Le misure e gli accorgimenti di cui al comma 1 sono prescritti dal Garante in applicazione dei principi sanciti dal presente codice, nell’ambito di una verifica preliminare all’inizio del trattamento, effettuata anche in relazione a determinate categorie di titolari o di trattamenti, anche a seguito di un interpello del titolare.

31

Art. 15 (Danni cagionati per effetto del trattamento)

1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile.

2. Il danno non patrimoniale è risarcibile anche in caso di violazione dell'articolo 11.

Il richiamo all’art. 2050 del c.c. comporta l’inversione dell’onere della prova a carico di chi svolge attività pericolosa.

Pertanto chiunque provochi un danno ha l’obbligo di dimostrare di aver posto in essere ogni misura idonea ad evitarlo


1

Il Codice della privacy rappresenta il primo tentativo al mondo di sistematizzazione delle norme in materia

Introduzione di nuove garanzie per i cittadini

Razionalizzazione dellenorme esistenti

Semplificazione degli adempimenti

Sostituzione della legge madre 675/96

32

PRIVACY

investe responsabilità di soggettiPUBBLICI e PRIVATI

Il codice regola in modo specifico i casi in cui il trattamento avviene a cura di pubbliche amministrazioni

33

Tra le attività svolte dalla PA il codice, per diversi comparti, precisa con molto dettaglio, le attività che investono “finalità di

rilevante interesse pubblico”

34

La privacy e la trasparenza

Soggettopubblico

Esigenza di controllo diffuso sui comportamenti amministrativi

Pericolo di diffusione di massa ingente di informazioni

Criterio della trasparenza amministrativa

Canone della protezione della riservatezza

35


Fattori problematici

•Il quadro normativo non offre ancora opzioni risolutive chiare ed univoche

•Le prassi amministrative sono ancora incerte nei singoli settori

•La giurisprudenza manifesta atteggiamenti ancora non consolidati

•Gli interventi del garante oscillano tra l’affermazione di una assoluta prevalenza della riservatezza (almeno per i dati sensibili) e la persistente operatività del sistema della trasparenza in materia di accesso ai documenti

36


Normativa sui dati personali

La conoscenza da parte dei terzi di dati avviene attraverso una specifica forma di TRATTAMENTO

Comunicazione o diffusionepresupposto positivo

legislativo o regolamentareDeve essere funzionale allo

svolgimento di attività istituzionalePossono esservi limiti

posti da legge oregolamento

37


Normativa sull’accesso

Riconosce la rilevanza della riservatezza come possibile limite all’ostensibilità dei documenti amministrativi

Qual è la misura di questa rilevanza

38


Nel bilanciamento tra i due interessi contrapposti

ACCESSO RISERVATEZZA

Il cittadino conserva il diritto di visionare i documenti (quindi anche i dati sensibili) quando vi è la motivata esigenza di far valere i propri diritti, non solo in sede giudiziaria

Criterio-guida: massima pubblicità e trasparenza da assicurare a tutti i soggetti legittimati secondo la l. 241

39


Cautele

Dati sensibili. Il bilanciamento tra interessi contrapposti è operato dal legislatore e confermato dai regolamenti sull’accesso

Il diritto di accesso soccombe alla riservatezza. Tuttavia nel caso in cui il diritto di accesso venga esercitato su atti la cui conoscenza è necessaria per la cura o difesa di interessi giuridici, ma che contengono dati sensibili, il diritto di accesso va permesso nella forma della “visione”

ECCEZIONE: i dati supersensibili (vita sessuale e salute) sono ostensibili solo quando il richiedente, con istanza di accesso, intende tutelare una situazione giuridica di rango almeno pari al diritto dell’interessato, ovvero consistente in un diritto della personalità o un altro diritto o libertà fondamentale e inviolabile.

40

La privacy nell’ordinamento scolastico

41

La privacy nella scuola

I richiami normativi nella scuola

Oltre alle fonti normative generali, troviamo i seguenti richiami specifici

Art. 330 bis TU 297/94

Art. 2, c. 2 d.p.r. 249/98 (regolamento sullo statuto delle studentesse e degli studenti)

42


I dati utilizzati e trattati dalla scuola concernono:

gli alunni e le rispettive famiglie

il personale scolastico

altri soggetti relativamente ad attività svolte nella scuola o nell’esercizio dell’azione amministrativa

43


La scuola svolge la sua attività nei seguenti ambiti

Attivitàistituzionali

Attività svolte nel ruolo didatore di lavoro

44



Il codice consente il trattamento “solo per lo svolgimento delle funzioni istituzionali”

e la comunicazione e diffusione “…unicamente quando sono previste da una norma di legge o regolamento (u.c. art. 19)

45



Art. 1 l. 53/03 “Al fine di favorire la crescita e la valorizzazione della persona umana, nel rispetto dei ritmi dell’età evolutiva, delle differenze e dell’identità di ciascuno e delle scelte educative della famiglia, nel quadro della cooperazione tra scuola e genitori, in coerenza con il principio di autonomia delle istituzioni scolastiche e secondo i principi sanciti dalla Costituzione……” Attività amministrative strumentali

Art. 18, secondo comma cod.

Nel trattare i dati il soggetto pubblico osserva i presupposti e i limiti stabiliti dal presente codice, anche in relazione alla diversa natura dei dati, nonché dalla legge e dai regolamenti

Art. 19 Il trattamento è consentito anche in mancanza di una norma di legge o di regolamento che lo preveda espressamente

46



Se i dati sono “sensibili” vanno applicati gli artt. 20 e 22, 95 e 96

Art. 20, c. 1 Il trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite

47


L’art. 95 (Dati sensibili e giudiziari) considera di rilevante interesse pubblico, ai sensi degli artt. 20 e 21, le finalità di

Istruzione e formazione in ambito scolastico,professionale o universitario, con particolare riferimento a quelle svolte anche in forma integrata

48


“espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili”

Manca, in ogni caso, l’

Dunque il trattamento è consentito solo per i dati identificati e resi pubblici dal titolare dei trattamenti, in relazione alle specifiche finalità perseguite nei singoli casi, con atto di natura regolamentare adottato in conformità al parere espresso dal Garante (art. 20)

In questo caso i soggetti pubblici possono richiedere al Garante l’individuazione delle attività che perseguono finalità di interesse pubblico

Dat

i sen

sibi

li

49


Rimane il problema dei dati c

he

costituiranno parte integrante del portfo

lio,

dei soggetti c

he vi avranno accesso,

del responsabile del trattamento

50

Si tratta di un procedimento amministrativo, ma che si conclude con un atto partecipato a contenuto documentale nel quale confluiscono riflessioni di diversa natura con scopo valutativo ed orientativo. Esso si baserà su informazioni di diversa natura (colloqui, osservazioni, ma anche documenti) che serviranno al fine istituzionalmente predeterminato. Alcune o molte di queste informazioni, secondo i casi, saranno costituite da dati sensibili, riguardanti il bambino, ma anche la famiglia. Essi verranno trattati dal docente tutor, ma anche probabilmente dagli altri docenti della stessa scuola e, nei passaggi successivi, da docenti di una nuova scuola. Il primo problema è quindi quello della regolamentazione del trattamento dei dati sensibili: soggetti, responsabilità, modalità.

Portfolio


51


“dati sensibili” sono i dati personali che permettono la rivelazione dell’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale

52


Art. 20

Prevede il trattamento dati sensibili solo se riconosciute le finalità di interesse pubblico

Art. 95 qualifica “di interesse pubblico” le finalità di istruzione e di formazione

Art. 96 regolamenta il trattamento dei dati relativi agli studenti

53

Attività svolte nel ruolo didatore di lavoro


L’art. 112 insiste sulla nozione delle finalità di rilevante interesse pubblico e consente di rilevare analiticamente le varie attività nelle quali è ammesso il trattamento dei dati personali per l’instaurazione e la gestione dei rapporti di lavoro, e inoltre i limiti posti alla diffusione e comunicazione dei dati stessi

54


Chi fa che cosa

“titolare” è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni relative alle finalità, alle modalità del trattamento dei dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza

DIRIGENTE

55

Chi fa che cosa

DSGA per il trattamento, compreso il profilo della sicurezza, dei dati in possesso dell’amministrazione

“responsabile” è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali

Docente tutor per i dati contenuti nel portfolio


56


Chi fa che cosa

“incaricati” sono le persone fisiche autorizzate ad effettuare operazioni di trattamento dal titolare dei dati o dal responsabile

Assistente amministrativo cui è affidato un trattamento specifico di dati

57

I “casi scolastici”

LE CIRCOLARI

le circolari scolastiche devono rispettare le leggi sulla privacy e non possono contenere dati personali che consentano di risalire, anche se in modo indiretto, all’identità di studenti qualora le informazioni ledano la loro riservatezza

58


I “QUADRI”

Rendere noti nominativamente i risultati scolastici, anche negativi, non costituisce violazione della privacy, poiché la pubblicità in questa materia è obbligo e regola generale. Sussistono infatti esigenze di controllo sociale e professionale che dipendono proprio dalla conoscibilità delle valutazioni finali

59


“CORSI PARTICOLARI”

Nel caso di comunicazioni relative a corsi particolari il garante ha rilevato che tali informazioni potrebbero essere inerenti e quindi rivelare lo stato di salute dei soggetti interessati, per cui rientrerebbero nei “dati sensibili”

60


RIPRESE VIDEO E FOTOGRAFIE RACCOLTE DAI GENITORI DURANTE RECITE E SAGGI SCOLASTICI

Il Garante ha rilevato che l’uso di videocamere o macchine fotografiche per documentare eventi scolastici e conservare ricordi dei propri figli non rientra nel concetto di privacy, poiché si tratta di immagini raccolte per fini personali, il cui uso è del tutto legittimo

61


DATI SUL SITO WEB DI UNA SCUOLA

I dati presenti sul sito web curato da una scuola e riferiti ad alunni disabili concretizzano un trattamento illegittimo, per cui il Garante non ha consentito la prosecuzione

62


DATI CHE RIGUARDANO IL LAVORATORE

Vige il principio della tenuta separata dei dati sensibili da quelli ordinari, in modo da garantire cautela e accorgimenti nella consultazione ordinaria.

63


CEDOLINI DELLO STIPENDIO

Nel cedolino vanno riportate le notizie indispensabili al lavoratore per ricostruire le fonti di entrata, ma non vanno indicate causali specifiche di trattenute, né la denominazione del sindacato a favore del quale è versata la ritenuta sindacale

64


PROCEDURE DI CONCILIAZIONE OBBLIGATORIA

Non è ammessa la comunicazione a soggetti non coinvolti nella procedura, trattandosi di comunicazione illecita, perché effettuata in mancanza di una specifica disposizione di legge e di regolamento che la consenta

65


FONDO DI ISTITUTO

la ripartizione del fondo può essere affissa all’albo rientrando nelle previsioni dell’art. 112 del Codice in tema di adempimenti concernenti obblighi retributivi

66

2. Nell’articolo 2 del decreto legislativo 30 marzo 2001, n. 165, in materia di ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche, dopo il comma 1 è inserito il seguente: “1-bis. I criteri di organizzazione di cui al presente articolo sono attuati nel rispetto della disciplina in materia di trattamento dei dati personali.”.

Richiamo alle norme esplicite del Codice

67

Il documento programmatico sulla sicurezza informatica

68

Parere del garante sugli obblighi di sicurezza e documento programmatico

E’ stato confermato il principio secondo cui le “misure minime”, di importanza tale da indurre il legislatore a prevedere anche una sanzione penale, sono solo una parte degli accorgimenti obbligatori in materia di sicurezza

Si distinguono due obblighi:

a) l’obbligo più generale di ridurre al minimo determinati rischi

b) nell’ambito del predetto obbligo più generale, il dovere di adottare in ogni caso le “misure minime”

69


Le nuove misure minime : termini per l’adozione

Il Codice prevede l’adozione di alcune misure indispensabili (“minime”), le cui modalità sono specificate tassativamente nell’allegato B) del Codice

70


Il documento programmatico sulla sicurezza

Si tratta di una “misura minima”

Deve essere adottato dal titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici, attraverso l’organo, l’ufficio o persona fisica a ciò legittimata in base all’ordinamento aziendale o della pubblica amministrazione interessata

71


Relazione accompagnatoria al bilancio d’esercizio

Rappresenta una nuova “misura minima”

Il Codice ha introdotto questa nuova regola per rendere edotti gli organi di vertice del titolare del trattamento e responsabilizzarli in materia di sicurezza, attraverso l’obbligo di riferire nella relazione di accompagnamento a ciascun bilancio di esercizio circa l’avvenuta redazione o aggiornamento del DPS

72

La struttura del dps

19.1 Elenco dei trattamenti di dati personali

Informazioni essenziali

Ulteriori elementi descrittivi

75


19.2 distribuzione dei compiti e delle responsabilità

In questa sezione vanno descritti sinteticamente l’organizzazione della struttura di riferimento, i compiti e le connesse responsabilità, in relazione ai trattamenti effettuati.

Possono essere richiamati documenti già prodotti indicandone le modalità di reperimento


76


77


19.3 analisi dei rischi che incombono sui dati

Vanno descritti i gli eventi potenzialmente dannosi per la sicurezza dei dati e valutate le possibili conseguenze e la gravità in relazione al contesto fisico-ambientale di riferimento e agli strumenti elettronici utilizzati

78


79


80


19.4 misure in essere e da adottare

In questa sezione vanno riportate sinteticamente le misure già praticate e da adottare per contrastare i rischi individuati.

Per misura si intende lo specifico intervento tecnico ed organizzativo realizzato e le attività di monitoraggio e controllo essenziali per assicurarne l’efficacia

81



Misure: descrivere sinteticamente le misure adottate (seguendo anche le indicazioni contenute nelle altre regole dell’Allegato B del Codice).

Descrizione dei rischi: per ciascuna misura indicare sinteticamente i rischi che si intende contrastare (anche qui, si possono utilizzare le indicazioni fornite dall’Allegato B).

Trattamenti interessati: indicare i trattamenti interessati per ciascuna delle misure adottate.

Determinate misure possono non essere riconducibili a specifici trattamenti o banche di dati (ad esempio, con riferimento alle misure per la protezione delle aree e dei locali).

Occorre specificare se la misura è già in essere o da adottare, con eventuale indicazione, in tale ultimo caso, dei tempi previsti per la sua messa in opera.

Struttura o persone addette all’adozione: indicare la struttura o la persona responsabili o preposte all’adozione delle misure indicate.

82


83


84

19.5 criteri e modalità di ripristino della disponibilità dei dati

In questa sezione vanno descritti i criteri e le procedure adottati per il ripristino dei dati in caso di un loro danneggiamento. E’ quindi necessario che le copie dei dati siano disponibili e le procedure di reinstallazione efficaci.

85


Informazioni essenziali Per quanto riguarda il ripristino, le informazioni essenziali sono:

Banca dati/Data base/Archivio: indicare la banca dati, il data base o l’archivio interessati.

Criteri e procedure per il salvataggio e il ripristino dei dati: descrivere sinteticamente le procedure

e i criteri individuati per il salvataggio e il ripristino dei dati, con eventuale rinvio ad un’ulteriore

scheda operativa o a documentazioni analoghe.

Pianificazione delle prove di ripristino: indicare i tempi previsti per effettuare i test di efficacia

delle procedure di salvataggio/ripristino dei dati adottate.

86


87


Ulteriori elementi per specificare i criteri e le procedure per il salvataggio e il

ripristino dei dati.

Data base: identificare la banca, la base o l’archivio elettronico di dati interessati.

Criteri e procedure per il salvataggio dei dati: descrivere sinteticamente la tipologia di salvataggio e la frequenza con cui viene effettuato.

Modalità di custodia delle copie: indicare il luogo fisico in cui sono custodite le copie dei dati salvate.

Struttura o persona incaricata del salvataggio: indicare la struttura o le persone incaricate di effettuare il salvataggio e/o di controllarne l’esito.

88


Da indicare facoltativamente

89

19.6 pianificazione degli interventi formativi previsti

In questa sezione si descrive il piano formativo che si intende attuare


Descrizione sintetica degli interventi formativi: descrivere sinteticamente gli obiettivi e le modalità dell’intervento formativo, in relazione a quanto previsto dalla regola 19.6 (ingresso in servizio o cambiamento di mansioni degli incaricati, introduzione di nuovi elaboratori, programmi o sistemi informatici, ecc) .

Classi di incarico o tipologie di incaricati interessati: individuare le classi omogenee di incarico a cui l’intervento è destinato e/o le tipologie di incaricati interessati, anche in riferimento alle strutture di appartenenza.

Tempi previsti: indicare i tempi previsti per lo svolgimento degli interventi formativi.

90

19.7 trattamenti affidati all’esterno

Va redatto un quadro sintetico delle attività affidate a terzi che comportano il trattamento di dati, indicando sinteticamente il quadro giuridico o contrattuale in cui tale trasferimento si inserisce, relativamente agli impegni assunti anche all’esterno, per garantire la protezione dei dati

91

19.7 trattamenti affidati all’esterno

Descrizione dell’attività “esternalizzata”: indicare sinteticamente l’attività affidata all’esterno.

Trattamenti di dati interessati: indicare i trattamenti di dati, sensibili o giudiziari, effettuati nell’ambito della predetta attività.

Soggetto esterno : indicare la società, l’ente o il consulente cui è stata affidata l’attività, e il ruolo ricoperto agli effetti della disciplina sulla protezione dei dati personali (titolare o responsabile del trattamento).

Descrizione dei criteri: perché sia garantito un adeguato trattamento dei dati è necessario che la società a cui viene affidato il trattamento rilasci specifiche dichiarazioni o documenti, oppure assuma alcuni impegni anche su base contrattuale, con particolare riferimento, ad esempio, a:

1. trattamento di dati ai soli fini dell’espletamento dell’incarico ricevuto;

2. adempimento degli obblighi previsti dal Codice per la protezione dei dati personali;

3. rispetto delle istruzioni specifiche eventualmente ricevute per il trattamento dei dati personali o integrazione delle procedure già in essere;

4. impegno a relazionare periodicamente sulle misure di sicurezza adottate –anche mediante eventuali questionari e liste di controllo- e ad informare immediatamente il titolare del trattamento in caso di situazioni anomale o di emergenze.


92

19.8 cifratura dei dati o separazione dei dati identificativi

Si tratta di un’operazione che riguarda esclusivamente gli operatori sanitari, poiché concerne le modalità di protezione adottate in relazione ai dati per cui è richiesta cifratura o la separazione fra dati identificativi e dati sensibili, oltre ai criteri per assicurare la sicurezza di tali trattamenti

93

La giurisprudenza

94

G. 074 - Documenti accessibili. Graduatoria soprannumerariTAR Campania - Napoli. - Sez. II - Sent. 475 - 06.11.1995Alla richiesta di un insegnante di prendere visione della certificazione medico-sanitaria relativa alla situazione di handicap della madre di un collega - che così si avvale del beneficio della precedenza previsto dall’art. 33 della legge n. 104/1992 e viene collocato in posizione migliore nella graduatoria interna dei docenti soprannumerari - non può essere opposto rifiuto genericamente facendo riferimento alla tutela della riservatezza del soggetto terzo.La riservatezza non appare, infatti, essere posizione da tutelare incondizionatamente ove confligga con l’opposta esigenza di salvaguardia delle ragioni di trasparenza e pubblicità dell’azione amministrativa, specie quando dalla conoscenza del documento il richiedente possa trarre elementi utili alla difesa di suoi specifici interessi giuridici.

95

- Modalità accesso. Soggetto richiedenteTAR Sardegna. - Sent. n. 1764 - 13.11.1995Colui che rivolge l’istanza di accesso all’Amministrazione, se non è il diretto titolare della situazione giuridica tutelata, bensì è un soggetto che afferma di agire in sostituzione del titolare (quali che siano i poteri rappresentativi in base ai quali agisce), deve fornire all’Amministrazione, perché questa sia tenuta a soddisfare la richiesta, la prova degli elementi su cui fonda la propria legittimazione speciale. (fattispecie di richiesta proveniente da procuratore legale, che dichiarava di agire in nome e per conto dell’interessato).

96

Documenti accessibili. Atto inesistenteCdS Sez. VI - Sent. n. 1339 - 30.11.1995L’esercizio del diritto di accesso presuppone l’esistenza effettiva del documento di cui l’interessato chiede di prendere visione. Il diritto, perciò, non può essere esercitato quando l’esistenza del documento non solo non è provata dal richiedente, ma è del tutto smentita dall’amministrazione

97

Modalità accesso. Richiesta genericaCdS - Sez. IV - Sent. n. 980 - 05.12.1995Una richiesta di accesso rivolta indistintamente agli atti relativi ad un certo periodo e motivata genericamente può essere legittimamente respinta, essendo oggettivamente preordinata ad un controllo generalizzato di tutta l’attività dell’amministrazione.

98

Legittimazione soggettiva. Posizione giuridicaCdS Sez. IV - Sent. n. 982 - 05.12.1995L’interesse giuridicamente rilevante che deve essere alla base di una richiesta di accesso ha portata notevolmente maggiore rispetto all’interesse legittimo in senso stretto riferito alla possibilità di impugnare un dato provvedimento, cioè di azionare in giudizio una pretesa.L’accesso, infatti, mira ad introdurre interessi secondari pubblici e privati e a rendere effettiva la trasparenza amministrativa.

99

- Modalità accesso. Invio documento a domicilioTAR Veneto. Sez. II - Sent. n. 1501 - 11.12.1995L’amministrazione, a seguito di una generica richiesta di accesso a documenti amministrativi, comunica presso quale ufficio è possibile prendere visione degli stessi, senza che per essa possa configurarsi l’obbligo di inviarli al domicilio del richiedente.

100

- Documenti accessibili. Documentazione clinicaCom. Parere - 31.12.1995Le cartelle ed ogni altra documentazione clinica sono riconducibili al concetto di documento amministrativo quale definito dall’art. 22, comma 2. Della legge 241/1990, se si ha riguardo sia al requisito della provenienza da PA, sia al contenuto e all’utilizzo delle stesse, in quanto le documentazioni cliniche possono essere oggetto di valutazione o verifica nell’ambito di procedimenti diretti all’accertamento della sussistenza di requisiti costitutivi di diritti soggettivi.L’accesso a tale documentazione è consentito esclusivamente al diretto interessato, ovvero a soggetto da lui espressamente delegato.

101

Documenti accessibili. Corrispondenza personaleCom Parere - 31.12.1995Nella nozione di documento amministrativo rientra la corrispondenza dell’ufficio e non quella di carattere esclusivamente personale (es. lettera personale del Ministro, nella quale si tratti anche di questioni d’ufficio), che resta perciò inaccessibile.

102

Documenti accessibili. Corrispondenza con avvocatura StatoCom Parere - 31.12.1995La corrispondenza tra Amministrazione e Avvocatura dello Stato relativa agli affari contenziosi, nonché quella relativa agli affari consultivi concernenti liti attuali o potenziali, è inaccessibile, sia perché non costituisce documento amministrativo trattandosi di atti utilizzati a fini difensivi e non di attività amministrativa, sia perché è coperta dal segreto professionale.

103

Documenti accessibili. Concorso- Elaborati altruiCom Parere - 31.12.1995Il problema dell’accesso agli elaborati di altri candidati in un concorso è oggetto di orientamenti difformi da parte della Commissione per l’accesso e del Consiglio di Stato.La prima ha affermato che l’accesso è consentito solo quando si prospetti un eccesso di potere in senso relativo (candidato che supera la prova, ma viene illegittimamente postergato da altri); il Consiglio di stato ritiene invece il pieno diritto di accedere sempre e comunque anche agli elaborati degli altri concorrenti, in quanto le illegittimità delle valutazioni possono essere accertate anche mediante raffronto tra gli elaborati.La Commissione prende atto del diverso orientamento del Consiglio di Stato.

104

Documenti accessibili. Atto già PubblicatoCom Parere - 31.12.1995Per i documenti già pubblicati, depositati o soggetti a qualsiasi forma di pubblicità deve ritenersi già realizzato il diritto di accesso, salvo l’obbligo dell’Amministrazione di consentirne l’acquisizione di copia.

105

- Documenti accessibili. Elaborati esami maturitàCom Parere - 31.12.1995I principi generali vigenti in materia di concorso per i pubblici impieghi sono applicabili per analogia alla richiesta avanzata da una candidata giudicata non idonea gli esami di maturità. Presupposto necessario per accedere agli elaborati degli altri candidati è che la richiesta di accesso si fondi sulla ipotesi di una macroscopica incongruenza di valutazione da parte della commissione, tale da superare il limite della insindacabilità del giudizio di merito, in quanto rivelante palese aberrazione e vizio di legittimità sotto il profilo dell’eccesso di potere; di qui l’utilità del raffronto con i giudizi espressi nei confronti di altri candidati.La verifica va limitata ad alcuni soltanto degli altri elaborati, in quanto una verifica estesa a tutti si risolverebbe in una inammissibile riformulazione del giudizio rientrante nella competenza esclusiva della commissione giudicatrice.Poiché l’interesse meritevole di tutela è rivolto a verificare che la commissione abbia adottato un uniforme e comune parametro di giudizio, non hanno rilevanza i nominativi degli autori degli elaborati i quali, pertanto, debbono rimanere anonimi.

106

- Modalità accesso. Esonero costi di RiproduzioneCom Parere - 31.12.1995Il principio di gratuità dell’accesso incontra limiti specifici nell’onere di rimborso del costo di riproduzione dei documenti richiesti. per il rimborso dei costi non opera l’esenzione sancita in generale per l’esercizio dei diritti dei lavoratori dall’art. 41 della legge n. 300/1970 e in particolare nell’ambito del processo del lavoro, dall’art. 10 della legge n. 533/1973. Detta esenzione, infatti, si riferisce alle spese, non di natura fiscale, occorrenti per il compimento di atti processuali (es. notificazioni).

107

- Legittimazione soggettiva. Richiesta per motivi di studioCom Parere - 31.12.1995Le richieste di accesso a documenti amministrativi giustificate da motivi di studio non configurano quell’interesse meritevole di tutela giuridica che è alla base dell’accesso tutelato dalla legge n. 241/1990.L’Amministrazione, pertanto, in presenza di richieste giustificate da motivi di studio conserva il potere discrezionale di valutare caso per caso se accogliere o meno alle richieste medesime.

108

Documenti accessibili. Atto di trattamento economico dipendenti (in servizio o in quiescenza)Com Parere - 31.12.1995 I documenti amministrativi concernenti il trattamento economico tabellare spettante ad un pubblico dipendente in linea di massima non sono sottratti all’accesso, in quanto la retribuzione non è un dato riservato.Tuttavia, la conoscibilità di documentazione concernente la particolare situazione retributiva o trattamento in concreto erogato al dipendente (es. busta paga, cedolino stipendio; prospetti riepilogativi) può portare alla rilevazione di fatti o notizie personali che l’impiegato può avere interesse a mantenere riservati (es. pignoramenti in atto; cessione quote stipendio).Pertanto nel concedere l’accesso in presenza di specifico interesse giuridicamente rilevante, dai documenti devono essere cancellati i dati riservati stessi.

109

Documenti accessibili. Prove psico-attitudinaliCom Parere - 31.12.1995I documenti relativi a prove psicoattitudinali finalizzate all’assunzione di personale sono inaccessibili se si riferiscono a soggetti determinati. Sono, invece, accessibili i criteri generali adottati in materia dalla commissione.

110

- Documenti accessibili. Verbali sedute organi collegialiCom Parere - 31.12.1995 Non si giustifica la sottrazione all’accesso per ragioni di riservatezza di tutti i verbali delle sedute di organi collegiali in quanto trattasi di documenti che non contengono necessariamente notizie rientranti tra quelle per le quali l’art. 8, comma 5, del DPR 352/1992 tutela la riservatezza.

111

Documenti accessibili. Documenti e libri contabiliCom Parere - 31.12.1995Non si giustifica l’esclusione dell’accesso di documenti e libri contabili, in considerazione dell’interesse pubblico alla piena trasparenza della gestione del pubblico denaro

112

- Modalità accesso. Diniego rilascio copieTAR Puglia- Bari. Sent. n. 49 - 27.01.1996Il diritto di accesso riconosciuto al cittadino va contemperato con esigenze di funzionalità e buon andamento della PA e non può trasmodare in una emulativa pretesa ravvisabile nell’alluvionalità delle richieste, recanti anche indicazioni generiche di riferimento quanto alla relativa documentazione. Il singolo non deve abusare del diritto, per non bloccare l’attività della PA. Giustamente, quindi, può essere negata la fotocopiatura di numerosi incartamenti non suffragata da precipua motivazione.La PA, pertanto, pur consentendo la visione degli atti, può negare il rilascio di copia, motivando adeguatamente il rifiuto.

113

- Legittimazione soggettiva. Organizzazioni SindacaliDFP Nota n. 40 - 29.01.1996L’accesso alla documentazione amministrativa consentito alle Organizzazioni sindacali dei lavoratori, in quanto portatrici di interessi collettivi e aventi quale fine statutario la tutela degli iscritti, non si configura come azione popolare finalizzata a svolgere un controllo globale sull’attività dell’amministrazione. Pertanto, per accedere a documenti l’organizzazione deve dimostrare la sussistenza di un interesse concreto ed attuale (anche di un singolo lavoratore) alla visione.

114

Legittimazione soggettiva - Dipendente- Interesse personaleCdS- Sez. V- Sent. n. 362 - 14.04.1997La giurisprudenza amministrativa ha da tempo chiarito che il diritto di accesso riconosciuto dell’art. 22 della legge n. 241/1990 non si atteggia come una sorta di azione popolare diretta a consentire una forma di controllo generalizzato sull’Amministrazione.L’interesse che legittima alla richiesta, da accertare caso per caso, deve essere personale e concreto, quindi serio, non emulativo, né riducibile a mera curiosità, oltre che ricollegabile alla persona dell’istante da uno specifico nesso (cfr. art. 2, primo comma, D.P.R. 27 giugno 1992, n. 352),Deve , pertanto, sussistere una stretta connessione, di contenuto e temporale, del documento richiesto con l’interesse che spinge l’interessato a formulare la richiesta di accesso.È stato pure chiarito che il diritto di accesso non può essere azionato rispetto a situazioni divenute ormai definitive ed inoppugnabili e sulle quali l’intervento del richiedente non può svolgere alcuna funzione neppure partecipativa ( cfr. CdS, Sez. VI, 13.6.1995 n. 588).Il dipendente, pertanto, non vanta alcun interesse qualificato alla indiscriminata visione di tutti gli atti dell’Amministrazione di appartenenza, ma deve spiegare concretamente a cosa gli serve la documentazione richiesta.

115

Accesso in genere. Tutela della riservatezzaCdS Sez. IV. - Sent. n. 82 - 04.02.1997Il bilanciamento tra il diritto di accesso degli interessati ed il diritto alla riservatezza di terzi non è stato rimesso alla potestà regolamentare o alla discrezionalità delle singole amministrazioni, ma è stato compiuto direttamente dalla legge che, nel prevedere la tutela della riservatezza dei terzi, ha fatto salvo il diritto degli interessati alla visione degli atti relativi ai procedimenti amministrativi, la cui conoscenza sia necessaria per curare o per difendere i loro interessi giuridici (art. 24 della legge n. 241/1990 e art. 8 del reg. n. 352/1992). A nulla giova, quindi, invocare come causa di esclusione dell’accesso dei documenti la necessità di tutelare la riservatezza di terzi, giacché il diritto di difesa da parte dell’interessato prevale sul diritto alla riservatezza dei terzi.

116

Accesso in genere. Tutela della riservatezzaCdS Sez. IV- Sent. n. 5 04.02.1997La questione concernente il conflitto tra accesso e riservatezza va esaminata nei suoi profili generali, sottolineandosi che la gerarchia degli interessi appare chiaramente delineata del legislatore con norme primarie tassative, dalle quali è dato ricavare la prevalenza del diritto alla riservatezza come regola, e viceversa la prevalenza del diritto di accesso qualora venga in rilievo il fine di curare o difendere propri interessi giuridici (questione di diritto sulla quale esistono oscillazioni giurisprudenziali).La legge n. 241, nel disciplinare i rapporti fra cittadino e pubblica amministrazione, delinea un ordinamento ispirato, da un lato, all’esigenza di un’azione amministrativa celere ed efficiente e, dall’altro, ai principi di partecipazione dell’amministrato e di conoscibilità del concreto svolgimento della funzione pubblica. Ciò al fine di assicurare, attraverso la salvaguardia del valore della "trasparenza", l’efficienza dell’amministrazione e, al contempo, la "garanzia" del privato e la "legalità" dell’ordinamento nel suo insieme.Il riconoscimento legislativo del principio di pubblicità dei documenti segna un totale cambiamento di prospettiva, perché comporta che se finora il segreto era la regola e la pubblicità l’eccezione, ora è vero il contrario.Di fronte all’esercizio del diritto di accesso è la PA che deve giustificare il proprio rifiuto all’accesso, motivandolo con la necessità di proteggere mediante il segreto uno o più degli interessi previsti dal legislatore.

(prima parte)

117

Il segreto amministrativo, cioè, non è più rapportato alla "qualità" della persona che lo detiene (elemento soggettivo e personale), bensì alla "qualità" delle informazioni protette da segreto. Nel segreto di nuovo tipo ciò che rileva è il rapporto delle informazioni con determinati interessi (elemento oggettivo e reale).

Alla stregua dell’art. 8, comma 5, del reg. n. 352/1992 l’accesso, qualora venga in rilievo per la cura o la difesa di propri interessi giuridici, deve prevalere rispetto all’esigenza di riservatezza del terzo. Anche se la norma non prevede che i documenti arrechino o possano arrecare un pregiudizio ovvero che dalla loro conoscenza possa derivare una lesione specifica e individuata, e ritiene sufficiente, ai fini di escluderne la conoscibilità, che i documenti "riguardino", si riferiscano in senso ampio alla vita privata o alla riservatezza, non sembra esservi dubbio che nel conflitto tra accesso e riservatezza dei terzi la normativa statale abbia dato prevalenza al primo, allorché sia necessario per curare o difendere i propri interessi giuridici.

Sia la norma primaria (art. 24 della legge 241), sia la norma regolamentare (art. 8 del reg. n. 352/ 1992) hanno cercato di contemperare esigenze diverse, stabilendo che i richiedenti, di fronte a documenti che riguardano la vita privata o riservatezza di altri soggetti, non possono ottenere copia dei documenti, né trascriverli, ma possono solo prendere visione degli atti di quei procedimenti amministrativi che sono relativi ai loro interessi.

Si deve, pertanto, concludere che l’interesse alla riservatezza, tutelato dalla normativa mediante una limitazione del diritto di accesso, recede quando l’accesso stesso sia esercitato per la difesa di un interesse giuridico, nei limiti in cui esso è necessario alla difesa di quell’interesse.

La cura o la difesa dei propri interessi giuridici costituiscono sia il presupposto per il diritto di prendere visione degli atti, altrimenti non accessibili, che il limite della loro utilizzabilità, che non può andare oltre le finalità previste dalla normativa per la deroga alla sottrazione all’accesso.

(seconda parte)

1 seminario di studio sulle problematiche della privacy, con particolare riferimento al sistema...

Documents