La Privacy Nei Rapporti Di Lavoro 2j6qe

Sommario

LA PRIVACY NEI RAPPORTI DI LAVORO CAPITOLO I-PRIVACY E RAPPORTO DI LAVORO IN AMBITO PRIVATO 1. Premessa 1.1. La genesi e lo scopo delle linee guida. 1.2. Gli ambiti di applicazione. 2. Il rispetto dei principi di protezione dei dati personali 2.1. I caratteri del trattamento delle informazioni di carattere personale. 2.2. Le finalità del trattamento. 3. Titolare e responsabile del trattamento 3.1. Il titolare ed il responsabile. 3.2. I gruppi di imprese. 3.3. Il medico competente. 3.4. L’autorizzazione al trattamento dei dati sensibili nella gestione dei rapporti di lavoro 3.5. Autorizzazione n. 1/2011 al trattamento dei dati sensibili nei rapporti di lavoro 4. Privacy, riconoscimento biometrico e firma grafometrica 4.1. Premessa

4.1.1. La genesi delle linee-guida in materia di riconoscimento biometrico e di sottoscrizione di documenti informatici 4.2. Il riconoscimento biometrico 4.2.1. Definizioni 4.2.2. Principali caratteristiche biometriche e loro proprietà 4.3. Principi generali ed adempimenti giuridici 4.4. Utilizzo delle tecniche biometriche 4.5. Il ciclo di vita dei dati biometrici 4.6. Analisi dei rischi 4.7. Misure di carattere generale applicabile ai trattamenti di dati biometrici 5. Comunicazione e diffusione di dati personali 5.1. La comunicazione. 5.2. Intranet aziendale. 5.3. La diffusione. 5.4. I cartellini identificativi. 5.5. Le modalità di comunicazione. 6. Dati idonei a rivelare lo stato di salute di lavoratori 6.1. I dati sanitari. 6.2. Le assenze per ragioni di salute. 6.3. La denuncia all'Inail. 6.4. Le altre informazioni relative alla salute.

6.5. Le comunicazioni all'Inps. 7. L’informativa 8. Le misure di sicurezza 8.1. I dati sanitari. 8.2. Gli incaricati. 8.3. Le misure fisiche ed organizzative. 9. L’esercizio dei diritti previsti dall'art. 7 del Codice e riscontro del datore di lavoro 9.1. Il diritto di accesso. 9.2. Il riscontro del datore di lavoro. 9.3. La tempestività del riscontro. 9.4. Le modalità del riscontro. 9.5. I dati personali e la documentazione. 9.6. L’aggiornamento. CAPITOLO II-PRIVACY E RAPPORTO DI LAVORO IN AMBITO PUBBLICO 1. Premessa 1.1. Scopo delle linee guida. 1.2. Ambiti considerati. 2. Il rispetto dei principi di protezione dei dati personali 2.1. Considerazioni generali. 2.2. Liceità, pertinenza, trasparenza.

2.3. Finalità. 3. Titolare, responsabile e incaricati del trattamento 3.1. La corretta individuazione delle figure. 3.2. Il medico competente. 3.3. Provv. 9 novembre 2005 e le strutture sanitarie. 4. I dati sensibili ed il rapporto di lavoro 5. Comunicazione di dati personali 5.1. La comunicazione. 5.2. I rapporti con le organizzazioni sindacali. 5.3. Modalità di comunicazione. 6. Diffusione di dati personali 6.1. Dati relativi a concorsi e selezioni. 6.2. Dati relativi all'organizzazione degli uffici, alla retribuzione e ai titolari di cariche e incarichi pubblici. 6.3. Gli atti in materia di organizzazione degli uffici. 6.4. I cartellini identificativi. 7. Le impronte digitali e accesso al luogo di lavoro 7.1. Princìpi generali. 7.2. Casi particolari. 8. Dati idonei a rivelare lo stato di salute 8.1. I dati sanitari.

8.2. Le assenze per ragioni di salute. 8.3. La denuncia all'Inail. 8.4. Le visite medico-legali. 8.5. Le abilitazioni al porto d'armi e alla guida. 8.6. Le altre informazioni relative alla salute. 8.7. Il Provv. 21 marzo 2007 e garanzie per gli invalidi civili 9. Dati idonei a rivelare le convinzioni religiose CAPITOLO III-VIDEOSORVEGLIANZA E RAPPORTI DI LAVORO 1. Premessa 2. Trattamento dei dati personali e videosorveglianza: principi generali 3. Adempimenti applicabili a soggetti pubblici e privati 3.1. Informativa 3.1.1. Informativa e sicurezza 3.1.2. Ulteriori specificazioni: l'informativa eventuale nella videosorveglianza effettuata per finalità di tutela dell'ordine e della sicurezza pubblica, prevenzione, accertamento o repressione dei reati 3.1.3. Informativa da parte dei soggetti privati che effettuano collegamenti con le forze di polizia 3.2. Prescrizioni specifiche 3.2.1. Verifica preliminare 3.2.2. Esclusione della verifica preliminare 3.2.3. Notificazione

3.3. Misure di sicurezza da applicare ai dati personali trattati mediante sistemi di videosorveglianza e soggetti preposti 3.3.1. Misure di sicurezza 3.3.2. Responsabili e incaricati 3.4. Durata dell'eventuale conservazione 3.5. Diritti degli interessati 4. Il settore specifico dei rapporti di lavoro 5. Prescrizioni e sanzioni CAPITOLO IV-FASCICOLO SANITARIO ELETTRONICO ED IL DOSSIER SANITARIO 1. La sanità elettronica: profili generali 2. Ambito di applicazione delle Linee guida 3. Diritto alla costituzione di un Fascicolo sanitario elettronico o di un dossier sanitario 4. Individuazione dei soggetti che possono trattare i dati 5. Accesso ai dati personali contenuti nel Fascicolo sanitario elettronico e nel Dossier sanitario 6. Diritti dell'interessato sui propri dati personali (art. 7 del Codice) 7. Limiti alla diffusione e al trasferimento all'estero dei dati 8. Informativa e consenso 9. Comunicazione al Garante 10. Misure di sicurezza BIBLIOGRAFIA

LA PRIVACY NEI RAPPORTI DI LAVORO

Agostino Saviano

All Rights Reserved Invictus società cooperativa editrice Via Pasquale Galluppi, 85 47521 Cesena (FC) Italia Copyright © 2015 by Invictus società cooperativa www.invictuseditore.it

CAPITOLO I-PRIVACY E RAPPORTO DI LAVORO IN AMBITO PRIVATO

1. Premessa

1.1. La genesi e lo scopo delle linee guida.

Con la Deliberazione n. 53 del 23 novembre 2006 (Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati), pubblicata nella G.U. 7 dicembre 2006, n. 285, si è inteso di procedere alla definizione di un quadro unitario di misure ed accorgimenti necessari e opportuni in grado di fornire ulteriori orientamenti utili per i datori di lavoro e i lavoratori in ordine alle operazioni di trattamento di dati personali connesse alla gestione del rapporto di lavoro, individuando, a tal fine, i comportamenti più appropriati da adottare.

Il contesto dal quale sono scaturite le “Linee-guida per il trattamento di dati dei dipendenti privati” si sono rilevate essere molteplici.

In primis, il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali), con particolare riferimento all'art. 154, comma 1, lett. h), include, tra i compiti del Garante, quello di curare la conoscenza tra il pubblico della disciplina rilevante in materia di trattamento dei dati personali e delle relative finalità, nonché delle misure di sicurezza dei dati.

Inoltre, le istanze (segnalazioni, reclami e quesiti) di lavoratori, organizzazioni sindacali ed imprese, pervenute in materia di trattamento di dati personali di lavoratori operanti alle dipendenze di datori di lavoro privati.

Le pronunce adottate dall'Autorità in ordine a specifiche operazioni di trattamento di dati personali effettuate nell'ambito della gestione del rapporto di lavoro, anche a seguito di ricorso degli interessati.

Infine, la necessità che le misure e gli accorgimenti relativi al trattamento di dati biometrici fossero altresì oggetto di una prescrizione del Garante ai sensi degli artt. 17, 154, comma 1, lett. c) e 167, comma 2 del Codice, considerati i maggiori rischi specifici che tale trattamento pone per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato.

Per fornire indicazioni e raccomandazioni con riguardo alle operazioni di trattamento effettuate con dati personali (anche sensibili) di lavoratori operanti alle dipendenze di datori di lavoro privati, il Garante ha ravvisato l'esigenza di adottare le linee guida, suscettibili di periodico aggiornamento, nelle quali si è tenuto conto, altresì, di precedenti decisioni dell'Autorità.

Le indicazioni fornite non hanno pregiudicato l'applicazione delle disposizioni di legge o di regolamento che hanno stabilito divieti o limiti più restrittivi in relazione a taluni settori o a specifici casi di trattamento di dati (artt. 113, 114 e 184, comma 3, del Codice). Le indicazioni rese hanno tenuto altresì conto della Raccomandazione n. R (89) 2 del Consiglio d'Europa relativa alla protezione dei dati a carattere personale utilizzati ai fini dell'occupazione, del Parere 8/2001 “sul trattamento dei dati personali nel contesto dell'occupazione”, reso il 13 settembre 2001 dal Gruppo dei Garanti europei, e del Code of practice, "Protection of workers' personal data", pubblicato dall'Organizzazione internazionale del lavoro (ILO).

1.2. Gli ambiti di applicazione.

Le tematiche prese in considerazione si riferiscono prevalentemente alla comunicazione e alla diffusione dei dati, all'informativa che il datore di lavoro doveva rendere ai lavoratori (art. 13 del Codice), ai dati idonei a rivelare lo stato di salute e il diritto d'accesso.

Le operazioni di trattamento riguardano per lo più:

dati anagrafici di lavoratori (assunti o cessati dal servizio), dati biometrici, fotografie e dati sensibili riferiti anche a terzi, idonei in particolare a rivelare il credo religioso o l'adesione a sindacati; dati idonei a rivelare lo stato di salute, di regola contenuti in certificati medici o in altra documentazione prodotta per giustificare le assenze dal lavoro o per fruire di particolari permessi e benefici previsti anche nei contratti collettivi; informazioni più strettamente connesse allo svolgimento dell'attività lavorativa, quali la tipologia del contratto (a tempo determinato o indeterminato, a tempo pieno o parziale, etc.); la qualifica e il livello professionale, la retribuzione individuale corrisposta anche in virtù di provvedimenti "adpersonam"; l'ammontare di premi; il tempo di lavoro anche straordinario; ferie e permessi individuali (fruiti o residui); l'assenza dal servizio nei casi previsti dalla legge o dai contratti anche collettivi di lavoro; trasferimenti ad altra sede di lavoro; procedimenti e provvedimenti disciplinari.

I medesimi dati sono:

contenuti in atti e documenti prodotti dai lavoratori in sede di assunzione, rispetto ai quali, con riferimento alle informazioni raccolte mediante annunci

contenenti offerte di lavoro (Provv. 10 gennaio 2002: “Il Garante, a seguito di un monitoraggio effettuato su alcuni annunci pubblicati su quotidiani e periodici, concernenti offerte di lavoro curate da società di ricerca e selezione di personale, ha constatato un'alta percentuale di violazioni delle disposizioni poste dalla legge 675/1996 in tema di informativa e di acquisizione del consenso. Pertanto, nell'indicare le modalità per la concreta attuazione, sin dal momento di pubblicazione degli annunci, dei fondamentali principi di lealtà e correttezza nel trattamento dei dati personali indicati dagli aspiranti nei "curricula", il Garante ha segnalato alle società in questione ed agli organismi rappresentativi di settore la necessità di conformare la raccolta ed il trattamento di detti dati alle disposizioni della legge 675/1996.”) o nel corso del rapporto di lavoro; contenuti in documenti e/o file elaborati dal (o per conto del) datore di lavoro in pendenza del rapporto di lavoro per finalità di esecuzione del contratto e successivamente raccolti e conservati in fascicoli personali, archivi cartacei o elettronici aziendali (Provv. 23 aprile 2002: “Costituiscono dati personali, come tali suscettibili di accesso da parte dell'interessato, sia le informazioni contenute nel fascicolo personale del lavoratore, sia quelle conservate nelle memorie dei computer aziendali ed inerenti all'attività lavorativa dal medesimo espletata, ivi compresi i messaggi di posta elettronica.”); resi disponibili in albi e bacheche o, ancora, nelle intranet aziendali.

2. Il rispetto dei principi di protezione dei dati personali

2.1. I caratteri del trattamento delle informazioni di carattere personale.

Le predette informazioni di carattere personale possono essere trattate dal datore di lavoro nella misura in cui siano necessarie per dare corretta esecuzione al rapporto di lavoro; talvolta, sono anche indispensabili per attuare previsioni contenute in leggi, regolamenti, contratti e accordi collettivi.

In ogni caso, deve trattarsi di informazioni pertinenti e non eccedenti e devono essere osservate tutte le disposizioni della vigente disciplina in materia di protezione dei dati personali che trae origine anche da direttive comunitarie.

In particolare, il Codice in materia di protezione dei dati personali (Codice), in attuazione delle direttive 95/46/Ce e 2002/58/Ce, ha prescritto che il trattamento di dati personali avvenga:

nel rispetto di principi di necessità e liceità e che riguardano la qualità dei dati (artt. 3 e 11); informando preventivamente e adeguatamente gli interessati (art. 13); chiedendo preventivamente il consenso solo quando, anche a seconda della natura dei dati, non sia corretto avvalersi di uno degli altri presupposti equipollenti al consenso (artt. 23, 24, 26 e 43 del Codice); rispettando, se si trattano dati sensibili o giudiziari, le prescrizioni impartite dal Garante nelle autorizzazioni anche di carattere generale rilasciate (artt. 26 e 27 del Codice; in particolare, l'autorizzazione generale n. 1/2005); adottando le misure di sicurezza idonee a preservare i dati da alcuni eventi tra i quali accessi ed utilizzazioni indebite, rispetto ai quali può essere chiamato a

rispondere anche civilmente e penalmente (artt. 15, 31 e ss., 167 e 169 del Codice).

2.2. Le finalità del trattamento.

Il trattamento di dati personali riferibili a singoli lavoratori, anche sensibili, è lecito, se finalizzato ad assolvere obblighi derivanti dal contratto individuale (ad esempio, per verificare l'esatto adempimento della prestazione o commisurare l'importo della retribuzione, anche per lavoro straordinario, o dei premi da corrispondere, per quantificare le ferie e i permessi, per appurare la sussistenza di una causa legittima di assenza). Alcuni scopi sono altresì previsti dalla contrattazione collettiva per la determinazione di circostanze relative al rapporto di lavoro individuale (ad esempio, per la fruizione di permessi o aspettative sindacali e periodi di comporto o rispetto alle percentuali di lavoratori da assumere con particolari tipologie di contratto) o, ancora, dalla legge (quali, ad esempio, le comunicazioni ad enti previdenziali e assistenziali).

Se queste finalità sono in termini generali lecite, occorre però rispettare il principio della compatibilità tra gli scopi perseguiti (art. 11, comma 1, lett. b), del Codice): lo scopo perseguito in concreto dal datore di lavoro sulla base del trattamento di dati personali non deve essere infatti incompatibile con le finalità per le quali i medesimi sono stati raccolti.

3. Titolare e responsabile del trattamento

3.1. Il titolare ed il responsabile.

Ai fini della protezione dei dati personali assume un ruolo rilevante identificare le figure soggettive che a diverso titolo possono trattare i dati, definendo chiaramente le rispettive attribuzioni, in particolare, quelle del titolare e del responsabile del trattamento (artt. 4, comma 1, lett. f) e g), 28 e 29 del Codice). In linea di principio, per individuare il titolare del trattamento rileva l'effettivo centro di imputazione del rapporto di lavoro, al di là dello schema societario formalmente adottato (in merito, è sufficiente menzionare i principi affermati in giurisprudenza: Cass. 24 marzo 2003, n. 4274 nonché Cass. 1 aprile 1999, n. 3136). Peraltro, specie nelle realtà imprenditoriali più articolate, questa identificazione può risultare non sempre agevole e tale circostanza costituisce in qualche caso un ostacolo anche per l'esercizio dei diritti di cui all'art. 7 (circolare Ispesl 3 marzo 2003, n. 2260).

3.2. I gruppi di imprese.

Le società che appartengono a gruppi di imprese individuati in conformità alla legge (art. 2359 cod. civ.; d.lg. 2 aprile 2002, n. 74) hanno di regola una distinta ed autonoma titolarità del trattamento in relazione ai dati personali dei propri dipendenti e collaboratori (artt. 4, comma 1, lett. f) e 28 del Codice).

Tuttavia, nell'ambito dei gruppi, le società controllate e collegate possono delegare la società capogruppo a svolgere adempimenti in materia di lavoro, previdenza ed assistenza sociale per i lavoratori indicati dalla legge: tale attività implica la designazione della società capogruppo quale responsabile del trattamento ai sensi dell'art. 29 del Codice, come già accade per i soggetti indicati al menzionato art. 1 della legge n. 12/1979.

Analoga soluzione (art. 31, comma 2, d.lg. n. 276/2003) deve essere adottata per i trattamenti di dati personali, aventi identica natura, effettuati nell'ambito dei consorzi di società cooperative (nei quali a tal fine può essere altresì designata una delle società consorziate).

3.3. Il medico competente.

Considerazioni ulteriori devono essere svolte in relazione a taluni specifici trattamenti che possono o devono essere effettuati all'interno dell'impresa in conformità alla disciplina in materia di sicurezza e igiene del lavoro, in particolare, d.lg. 19 settembre 1994, n. 626 e successive modificazioni e integrazioni.

Tale disciplina, che attua anche alcune direttive comunitarie e si colloca nell'ambito del più generale quadro di misure necessarie a tutelare l'integrità psico-fisica dei lavoratori (art. 2087 cod. civ.), pone direttamente in capo al medico competente in materia di igiene e sicurezza dei luoghi di lavoro la sorveglianza sanitaria obbligatoria (e, ai sensi degli artt. 16 e 17 del d.lg. n. 626/1994, il correlativo trattamento dei dati contenuti in cartelle cliniche).

In quest'ambito, il medico competente effettua accertamenti preventivi e periodici sui lavoratori (art. 33 d.P.R. n. 303/1956; art. 16 d.lg. n. 626/1994) e istituisce (curandone l'aggiornamento) una cartella sanitaria e di rischio (in conformità alle prescrizioni contenute negli artt. 17, 59-quinquiesdecies, comma 2, lett. b), 59-sexiesdecies e 70 d.lg. n. 626/1994).

Detta cartella è custodita presso l'azienda o l'unità produttiva, "con salvaguardia del segreto professionale, e consegnata in copia al lavoratore stesso al momento della risoluzione del rapporto di lavoro, ovvero quando lo stesso ne fa richiesta" (art. 4, comma 8, d.lg. n. 626/1994); in caso di cessazione del rapporto di lavoro le cartelle sono trasmesse all'Istituto superiore prevenzione e sicurezza sul lavoro-Ispesl (art. 72-undecies, comma 3, d.lg. n. 626/1994), in originale e in busta chiusa (circolare Ispesl 3 marzo 2003, n. 2260).

In relazione a tali disposizioni, il medico competente è deputato a trattare i dati sanitari dei lavoratori, procedendo alle dovute annotazioni nelle cartelle sanitarie e di rischio, e curando le opportune misure di sicurezza per salvaguardare la segretezza delle informazioni trattate in rapporto alle finalità e modalità del trattamento stabilite. Ciò, quale che sia il titolare del trattamento effettuato dal medico. In tal senso, l' autorizzazione generale n. 1/2005, la quale sarà approfondita nel punto 3.4.

Alle predette cartelle il datore di lavoro non può accedere, dovendo soltanto concorrere ad assicurarne un'efficace custodia nei locali aziendali (anche in vista di possibili accertamenti ispettivi da parte dei soggetti istituzionalmente competenti), ma, come detto, "con salvaguardia del segreto professionale", la cui violazione era peraltro penalmente sanzionata ai sensi dell'art. 92, lett. a), d.lg. n. 626/1994.

Il datore di lavoro, sebbene sia tenuto, su parere del medico competente (o qualora il medico lo informi di anomalie imputabili all'esposizione a rischio), ad adottare le misure preventive e protettive per i lavoratori interessati, non può conoscere le eventuali patologie accertate, ma solo la valutazione finale circa l'idoneità del dipendente (dal punto di vista sanitario) allo svolgimento di date mansioni.

In tal senso, peraltro, depongono anche le previsioni legislative che dispongono la comunicazione all'Ispesl della cartella sanitaria e di rischio in caso di cessione (art. 59-sexiesdecies, comma 4, d.lg. n. 626/1994) o cessazione del rapporto di lavoro (art. 72-undecies d.lg. n. 626/1994), precludendosi anche in tali occasioni ogni loro conoscibilità da parte del datore di lavoro.

3.4. L’autorizzazione al trattamento dei dati sensibili nella gestione dei rapporti di lavoro

L’autorizzazione n. 1/2005, la quale ha avuto efficacia per il periodo dal 1 gennaio 2006 fino al 30 giugno 2007, veniva rilasciata:

a) alle persone fisiche e giuridiche, alle imprese, agli enti, alle associazioni e agli organismi che sono parte di un rapporto di lavoro o che utilizzano prestazioni lavorative anche atipiche, parziali o temporanee, o che comunque conferiscono un incarico professionale alle figure indicate al successivo punto 2, lettere b) e c);

b) ad organismi paritetici o che gestiscono osservatori in materia di lavoro, previsti dalla normativa comunitaria, dalle leggi, dai regolamenti o dai contratti collettivi anche aziendali;

l'autorizzazione riguardava anche l'attività svolta:

c) dal medico competente in materia di igiene e di sicurezza del lavoro, in qualità di libero professionista o di dipendente dei soggetti di cui alla lettera a) o di strutture convenzionate;

d) da associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro, al solo fine di perseguire le finalità di cui al punto 3), lettera h).

Il trattamento poteva riguardare i dati sensibili attinenti:

a) a lavoratori subordinati, anche se parti di un contratto di apprendistato, o di formazione e lavoro, o di inserimento, o di lavoro ripartito, o di lavoro intermittente o a chiamata, ovvero prestatori di lavoro nell’ambito di un contratto di somministrazione, o in rapporto di tirocinio, ovvero ad associati anche in compartecipazione e, se necessario in base ai punti 3) e 4), ai relativi familiari e conviventi;

b) a consulenti e a liberi professionisti, ad agenti, rappresentanti e mandatari; c) a soggetti che effettuano prestazioni coordinate e continuative, anche nella modalità di lavoro a progetto, o ad altri lavoratori autonomi in rapporto di collaborazione, anche sotto forma di prestazioni di lavoro accessorio, con i soggetti di cui al punto 1);

d) a candidati all'instaurazione dei rapporti di lavoro di cui alle lettere precedenti;

e) a persone fisiche che ricoprono cariche sociali o altri incarichi nelle persone giuridiche, negli enti, nelle associazioni e negli organismi di cui al punto 1);

f) a terzi danneggiati nell'esercizio dell'attività lavorativa o professionale dai soggetti di cui alle precedenti lettere.

Il trattamento dei dati sensibili doveva essere indispensabile:

a) per adempiere o per esigere l'adempimento di specifici obblighi o per eseguire specifici compiti previsti dalla normativa comunitaria, da leggi, da regolamenti o da contratti collettivi anche aziendali, in particolare ai fini dell'instaurazione, gestione ed estinzione del rapporto di lavoro, nonché dell'applicazione della normativa in materia di previdenza ed assistenza anche integrativa, o in materia di igiene e sicurezza del lavoro o della popolazione, nonché in materia fiscale, sindacale, di tutela della salute, dell'ordine e della sicurezza pubblica;

b) anche fuori dei casi di cui alla lettera a), in conformità alla legge e per scopi determinati e legittimi, ai fini della tenuta della contabilità o della corresponsione di stipendi, assegni, premi, altri emolumenti, liberalità o benefici accessori;

c) per perseguire finalità di salvaguardia della vita o dell'incolumità fisica dell'interessato o di un terzo;

d) per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione nei casi previsti dalle leggi, dalla normativa comunitaria, dai regolamenti o dai contratti collettivi, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento. Qualora i dati siano idonei a rivelare lo stato di salute e la vita sessuale, il diritto da far valere o difendere deve essere di rango pari a quello dell'interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile;

e) per esercitare il diritto di accesso ai documenti amministrativi, nel rispetto di quanto stabilito dalle leggi e dai regolamenti in materia;

f) per adempiere ad obblighi derivanti da contratti di assicurazione finalizzati alla copertura dei rischi connessi alla responsabilità del datore di lavoro in materia di igiene e di sicurezza del lavoro e di malattie professionali o per i danni cagionati a terzi nell'esercizio dell'attività lavorativa o professionale; g) per garantire le pari opportunità;

h) per perseguire scopi determinati e legittimi individuati dagli statuti di associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro o dai contratti collettivi, in materia di assistenza sindacale ai datori di lavoro.

Il trattamento poteva avere per oggetto i dati strettamente pertinenti ai sopra indicati obblighi, compiti o finalità che non possano essere adempiuti o realizzati, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa, e in particolare:

a) nell'ambito dei dati idonei a rivelare le convinzioni religiose, filosofiche o di altro genere, ovvero l'adesione ad associazioni od organizzazioni a carattere religioso o filosofico, i dati concernenti la fruizione di permessi e festività religiose o di servizi di mensa, nonché la manifestazione, nei casi previsti dalla legge, dell'obiezione di coscienza;

b) nell'ambito dei dati idonei a rivelare le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere politico o sindacale, i dati concernenti l'esercizio di funzioni pubbliche e di incarichi politici, di attività o di incarichi sindacali (sempre che il trattamento sia effettuato ai fini della fruizione di permessi o di periodi di aspettativa riconosciuti dalla legge o, eventualmente, dai contratti collettivi anche aziendali), ovvero l'organizzazione di pubbliche iniziative, nonché i dati inerenti alle trattenute per il versamento delle quote di servizio sindacale o delle quote di iscrizione ad associazioni od organizzazioni politiche o sindacali;

c) nell'ambito dei dati idonei a rivelare lo stato di salute, i dati raccolti e ulteriormente trattati in riferimento a invalidità, infermità, gravidanza, puerperio o allattamento, ad infortuni, ad esposizioni a fattori di rischio, all'idoneità psicofisica a svolgere determinate mansioni, all'appartenenza a determinate categorie protette, nonché i dati contenuti nella certificazione sanitaria attestante lo stato di malattia, anche professionale dell'interessato, o comunque relativi anche all'indicazione della malattia come specifica causa di assenza del lavoratore.

Il trattamento dei dati sensibili doveva essere effettuato unicamente con operazioni, nonché con logiche e mediante forme di organizzazione dei dati strettamente indispensabili in rapporto ai sopra indicati obblighi, compiti o finalità.

I dati erano raccolti, di regola, presso l'interessato.

La comunicazione di dati all'interessato doveva avvenire di regola direttamente a quest'ultimo o a un suo delegato (fermo restando quanto previsto dall'art. 84, comma 1, del Codice), in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati, anche attraverso la previsione di distanze di cortesia. Restavano inoltre fermi gli obblighi di informare l'interessato e, ove necessario, di acquisirne il consenso scritto, in conformità a quanto previsto dagli articoli 13, 23 e 26 del Codice.

Nel quadro del rispetto dell'obbligo previsto dall'art. 11, comma 1, lettera e), del Codice, i dati sensibili potevano essere conservati per un periodo non superiore a quello necessario per adempiere agli obblighi o ai compiti di cui al punto 3), ovvero per perseguire le finalità ivi menzionate. A tal fine, anche mediante controlli periodici, doveva essere verificata costantemente la stretta pertinenza,

non eccedenza e indispensabilità dei dati rispetto al rapporto, alla prestazione o all'incarico in corso, da instaurare o cessati, anche con riferimento ai dati che l'interessato forniva di propria iniziativa. I dati che, anche a seguito delle verifiche, risultavano eccedenti o non pertinenti o non indispensabili non potevano essere utilizzati, salvo che per l'eventuale conservazione, a norma di legge, dell'atto o del documento che li conteneva. Specifica attenzione era prestata per l'indispensabilità dei dati riferiti a soggetti diversi da quelli cui si riferivano direttamente le prestazioni e gli adempimenti.

I dati sensibili potevano essere comunicati e, ove necessario, diffusi, nei limiti strettamente pertinenti agli obblighi, ai compiti o alle finalità di cui al punto 3), a soggetti pubblici o privati, ivi compresi organismi sanitari, casse e fondi di previdenza ed assistenza sanitaria integrativa anche aziendale, istituti di patronato e di assistenza sociale, centri di assistenza fiscale, agenzie per il lavoro, associazioni ed organizzazioni sindacali di datori di lavoro e di prestatori di lavoro, liberi professionisti, società esterne titolari di un autonomo trattamento di dati e familiari dell'interessato.

Ai sensi dell'art. 26, comma 5, del Codice, i dati idonei a rivelare lo stato di salute non potevano essere diffusi.

I titolari dei trattamenti che rientravano nell'ambito di applicazione dell’autorizzazione non erano tenuti a presentare una richiesta di autorizzazione a questa Autorità, qualora il trattamento che si intendeva effettuare era conforme alle prescrizioni suddette.

Le richieste di autorizzazione che pervenivano anche successivamente alla data di adozione del provvedimento, dovevano intendersi accolte nei termini di cui al provvedimento medesimo.

Il Garante non prendeva in considerazione richieste di autorizzazione per trattamenti da effettuarsi in difformità dalle prescrizioni del provvedimento, salvo che, ai sensi dell'art. 41 del Codice, il loro accoglimento fosse giustificato da circostanze del tutto particolari o da situazioni eccezionali non considerate nella presente autorizzazione.

3.5. Autorizzazione n. 1/2011 al trattamento dei dati sensibili nei rapporti di lavoro

Le autorizzazioni di carattere generale risultarono essere uno strumento idoneo per prescrivere misure uniformi a garanzia degli interessati, rendendo altresì superflua la richiesta di singoli provvedimenti di autorizzazione da parte di numerosi titolari del trattamento

Orbene, armonizzando le prescrizioni già impartite alla luce dell'esperienza maturata, il Garante intese rilasciare successive autorizzazioni, come la n. 1/2011, con efficacia dal 1 luglio 2011 fino al 31 dicembre 2012, allo scopo di garantire il rispetto di alcuni principi volti a ridurre al minimo i rischi di danno o di pericolo che i trattamenti potrebbero comportare per i diritti e le libertà fondamentali, nonché per la dignità delle persone, e, in particolare, per il diritto alla protezione dei dati personali sancito dall'art. 1 del Codice, il trattamento dei dati sensibili di cui all'art. 4, comma 1, lett. d), del Codice, finalizzato alla gestione dei rapporti di lavoro, secondo le prescrizioni di seguito indicate.

Prima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici erano configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità, in conformità all'art. 3 del Codice.

L’autorizzazione era rilasciata:

a) alle persone fisiche e giuridiche, alle imprese, anche sociali, agli enti, alle associazioni e agli organismi che sono parte di un rapporto di lavoro o che utilizzano prestazioni lavorative anche atipiche, parziali o temporanee, o che comunque conferiscono un incarico professionale alle figure indicate successivamente;

b) ad organismi paritetici o che gestiscono osservatori in materia di lavoro, previsti dalla normativa comunitaria, dalle leggi, dai regolamenti o dai contratti collettivi anche aziendali;

l'autorizzazione riguardava anche l'attività svolta:

c) dal medico competente in materia di igiene e di sicurezza del lavoro, in qualità di libero professionista o di dipendente dei soggetti di cui alla lettera a) o di strutture convenzionate;

d) dal rappresentante dei lavoratori per la sicurezza, anche territoriale e di sito;

e) da associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro, al solo fine di perseguire le finalità di cui al punto 3), lettera h).

Il trattamento poteva riguardare i dati sensibili attinenti: a) a lavoratori subordinati, anche se parti di un contratto di apprendistato, o di formazione e lavoro, o di inserimento, o di lavoro ripartito, o di lavoro intermittente o a chiamata, ovvero prestatori di lavoro nell'ambito di un contratto di somministrazione, o in rapporto di tirocinio, ovvero ad associati anche in

compartecipazione e, se necessario in base ai punti 3) e 4), ai relativi familiari e conviventi;

b) a consulenti e a liberi professionisti, ad agenti, rappresentanti e mandatari;

c) a soggetti che effettuano prestazioni coordinate e continuative, anche nella modalità di lavoro a progetto, o ad altri lavoratori autonomi in rapporto di collaborazione, anche sotto forma di prestazioni di lavoro accessorio, con i soggetti di cui al punto 1);

d) a candidati all'instaurazione dei rapporti di lavoro di cui alle lettere precedenti;

e) a persone fisiche che ricoprono cariche sociali o altri incarichi nelle persone giuridiche, negli enti, nelle associazioni e negli organismi di cui al punto 1);

f) a terzi danneggiati nell'esercizio dell'attività lavorativa o professionale dai soggetti di cui alle precedenti lettere.

Il trattamento dei dati sensibili doveva essere indispensabile:

a) per adempiere o per esigere l'adempimento di specifici obblighi o per eseguire specifici compiti previsti dalla normativa comunitaria, da leggi, da regolamenti o da contratti collettivi anche aziendali, in particolare ai fini dell'instaurazione, gestione ed estinzione del rapporto di lavoro, nonché del riconoscimento di agevolazioni, dell'applicazione della normativa in materia di previdenza ed

assistenza anche integrativa, o in materia di igiene e sicurezza del lavoro o della popolazione, nonché in materia fiscale, sindacale, di tutela della salute, dell'ordine e della sicurezza pubblica;

b) anche fuori dei casi di cui alla lettera a), in conformità alla legge e per scopi determinati e legittimi, ai fini della tenuta della contabilità o della corresponsione di stipendi, assegni, premi, altri emolumenti, liberalità o benefici accessori;

c) per perseguire finalità di salvaguardia della vita o dell'incolumità fisica dell'interessato o di un terzo;

d) per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione nei casi previsti dalle leggi, dalla normativa comunitaria, dai regolamenti o dai contratti collettivi, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento. Qualora i dati siano idonei a rivelare lo stato di salute e la vita sessuale, il diritto da far valere o difendere deve essere di rango pari a quello dell'interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile;

e) per esercitare il diritto di accesso ai documenti amministrativi, nel rispetto di quanto stabilito dalle leggi e dai regolamenti in materia;

f) per adempiere ad obblighi derivanti da contratti di assicurazione finalizzati alla copertura dei rischi connessi alla responsabilità del datore di lavoro in materia di igiene e di sicurezza del lavoro e di malattie professionali o per i danni cagionati a terzi nell'esercizio dell'attività lavorativa o professionale;

g) per garantire le pari opportunità nel lavoro;

h) per perseguire scopi determinati e legittimi individuati dagli statuti di associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro o dai contratti collettivi, in materia di assistenza sindacale ai datori di lavoro.

Il trattamento poteva avere per oggetto i dati strettamente pertinenti ai sopra indicati obblighi, compiti o finalità che non possano essere adempiuti o realizzati, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa, e in particolare:

a) nell'ambito dei dati idonei a rivelare le convinzioni religiose, filosofiche o di altro genere, ovvero l'adesione ad associazioni od organizzazioni a carattere religioso o filosofico, i dati concernenti la fruizione di permessi e festività religiose o di servizi di mensa, nonché la manifestazione, nei casi previsti dalla legge, dell'obiezione di coscienza;

b) nell'ambito dei dati idonei a rivelare le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere politico o sindacale, i dati concernenti l'esercizio di funzioni pubbliche e di incarichi politici, di attività o di incarichi sindacali (sempre che il trattamento sia effettuato ai fini della fruizione di permessi o di periodi di aspettativa riconosciuti dalla legge o, eventualmente, dai contratti collettivi anche aziendali), ovvero l'organizzazione di pubbliche iniziative, nonché i dati inerenti alle trattenute per il versamento delle quote di servizio sindacale o delle quote di iscrizione ad associazioni od organizzazioni politiche o sindacali;

c) nell'ambito dei dati idonei a rivelare lo stato di salute, i dati raccolti e ulteriormente trattati in riferimento a invalidità, infermità, gravidanza, puerperio o allattamento, ad infortuni, ad esposizioni a fattori di rischio, all'idoneità psicofisica a svolgere determinate mansioni, all'appartenenza a determinate categorie protette, nonché i dati contenuti nella certificazione sanitaria attestante lo stato di malattia, anche professionale dell'interessato, o comunque relativi anche all'indicazione della malattia come specifica causa di assenza del lavoratore.

Fermi restando gli obblighi previsti dagli articoli 11 e 14 del Codice, nonché dagli articoli 31 e seguenti del Codice e dall'Allegato B) al medesimo Codice, il trattamento dei dati sensibili deve essere effettuato unicamente con operazioni, nonché con logiche e mediante forme di organizzazione dei dati strettamente indispensabili in rapporto ai sopra indicati obblighi, compiti o finalità.

I dati erano raccolti, di regola, presso l'interessato.

La comunicazione di dati all'interessato deve avvenire di regola direttamente a quest'ultimo o a un suo delegato (fermo restando quanto previsto dall'art. 84, comma 1, del Codice), in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati, anche attraverso la previsione di distanze di cortesia.

Restano inoltre fermi gli obblighi di informare l'interessato e, ove necessario, di acquisirne il consenso scritto, in conformità a quanto previsto dagli articoli 13, 23 e 26 del Codice.

Nel quadro del rispetto dell'obbligo previsto dall'art. 11, comma 1, lettera e), del Codice, i dati sensibili potevano essere conservati per un periodo non superiore a quello necessario per adempiere agli obblighi o ai compiti di cui al punto 3), ovvero per perseguire le finalità ivi menzionate. A tal fine, anche mediante

controlli periodici, deve essere verificata costantemente la stretta pertinenza, non eccedenza e indispensabilità dei dati rispetto al rapporto, alla prestazione o all'incarico in corso, da instaurare o cessati, anche con riferimento ai dati che l'interessato fornisce di propria iniziativa. I dati che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o non indispensabili non possono essere utilizzati, salvo che per l'eventuale conservazione, a norma di legge, dell'atto o del documento che li contiene. Specifica attenzione è prestata per l'indispensabilità dei dati riferiti a soggetti diversi da quelli cui si riferiscono direttamente le prestazioni e gli adempimenti.

I dati sensibili potevano essere comunicati e, ove necessario, diffusi nei limiti strettamente pertinenti agli obblighi, ai compiti o alle finalità di cui al punto 3), a soggetti pubblici o privati, ivi compresi organismi sanitari, casse e fondi di previdenza ed assistenza sanitaria integrativa anche aziendale, istituti di patronato e di assistenza sociale, centri di assistenza fiscale, agenzie per il lavoro, associazioni ed organizzazioni sindacali di datori di lavoro e di prestatori di lavoro, liberi professionisti, società esterne titolari di un autonomo trattamento di dati e familiari dell'interessato.

Ai sensi dell'art. 26, comma 5, del Codice, i dati idonei a rivelare lo stato di salute non possono essere diffusi.

I titolari dei trattamenti che rientravano nell'ambito di applicazione della presente autorizzazione non sono tenuti a presentare una richiesta di autorizzazione a questa Autorità, qualora il trattamento che si intende effettuare sia conforme alle prescrizioni suddette. Le richieste di autorizzazione pervenute o che pervenivano anche successivamente alla data di adozione del provvedimento, dovevano intendersi accolte nei termini di cui al provvedimento medesimo.

Il Garante non prendeva in considerazione richieste di autorizzazione per

trattamenti da effettuarsi in difformità dalle prescrizioni del presente provvedimento, salvo che, ai sensi dell'art. 41 del Codice, il loro accoglimento sia giustificato da circostanze del tutto particolari o da situazioni eccezionali non considerate nella presente autorizzazione.

Restavano fermi gli obblighi previsti da norme di legge o di regolamento, ovvero dalla normativa comunitaria, che stabiliscono divieti o limiti in materia di trattamento di dati personali e, in particolare, dalle disposizioni contenute:

a) nell'art. 8 della legge 20 maggio 1970, n. 300, che vieta al datore di lavoro ai fini dell'assunzione e nello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore;

b) nell'art. 6 della legge 5 giugno 1990, n. 135, che vieta ai datori di lavoro lo svolgimento di indagini volte ad accertare, nei dipendenti o in persone prese in considerazione per l'instaurazione di un rapporto di lavoro, l'esistenza di uno stato di sieropositività;

c) nelle norme in materia di pari opportunità o volte a prevenire discriminazioni;

d) fermo restando quanto disposto dall'art. 8 della legge 20 maggio 1970, n. 300, nell'art. 10 del decreto legislativo 10 settembre 2003, n. 276, che vieta alle agenzie per il lavoro e agli altri soggetti privati autorizzati o accreditati di effettuare qualsivoglia indagine o comunque trattamento di dati ovvero di preselezione di lavoratori, anche con il loro consenso, in base alle convinzioni personali, alla affiliazione sindacale o politica, al credo religioso, al sesso, all'orientamento sessuale, allo stato matrimoniale o di famiglia o di gravidanza, alla età, all'handicap, alla razza, all'origine etnica, al colore, alla ascendenza,

all'origine nazionale, al gruppo linguistico, allo stato di salute e ad eventuali controversie con i precedenti datori di lavoro, nonché di trattare dati personali dei lavoratori che non siano strettamente attinenti alle loro attitudini professionali e al loro inserimento lavorativo.

4. Privacy, riconoscimento biometrico e firma grafometrica

4.1. Premessa

4.1.1. La genesi delle linee-guida in materia di riconoscimento biometrico e di sottoscrizione di documenti informatici

L’utilizzo di dispositivi e tecnologie per la raccolta e il trattamento di dati biometrici sta andando incontro a crescente diffusione, in particolare per l’accertamento dell’identità personale, per accedere a servizi digitali e sistemi informativi, per il controllo degli accessi a locali e aree, per l’apertura di serrature elettromeccaniche, per l’attivazione di dispositivi elettronici anche di uso personale o di macchinari, per la sottoscrizione di documenti informatici. La diffusione dell’utilizzo di dati biometrici ha suscitato la massima attenzione delle autorità di protezione dati, testimoniata anche dall’elaborazione di pareri da parte del Working Party Article 29 (WP29) che costituiscono un significativo punto di riferimento per le autorità degli Stati membri dell’Unione europea. In ambito nazionale, il Garante è intervenuto più volte, su interpello di titolari di trattamento ai sensi dell’art. 17 del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196), con propri provvedimenti di verifica preliminare che hanno in alcuni casi vietato e in altri ammesso, pur nel rispetto di prescrizioni di natura tecnica od organizzativa, i trattamenti prefigurati. I dati biometrici sono, infatti, dati personali, poiché possono sempre essere considerati come “informazione concernente una persona fisica identificata o identificabile (...)” prendendo in considerazione “l'insieme dei mezzi che possono essere ragionevolmente utilizzati dal responsabile del trattamento o da altri per identificare detta persona”. Rientrando, quindi, nell’ambito di applicazione del Codice (art. 4, comma 1, lett. b), le operazioni su di essi compiute con strumenti elettronici sono a tutti gli effetti trattamento di dati personali. Nell’attuale contesto di rapida evoluzione tecnologica, con crescente disponibilità commerciale e diffusione dell’uso di dispositivi biometrici, anche incorporati in prodotti di largo consumo, il Garante intende definire, tramite le linee guida e sulla base della pregressa esperienza, un quadro unitario di misure e accorgimenti di carattere tecnico, organizzativo e procedurale per accrescere i livelli di sicurezza dei trattamenti biometrici e per conformarli alla vigente

disciplina della protezione dei dati personali.

4.2. Il riconoscimento biometrico

4.2.1. Definizioni

Pur non esistendo, allo stato, una definizione normativa concernente i “dati biometrici”, questi vengono convenzionalmente definiti come dati ricavati da “proprietà biologiche, aspetti comportamentali, caratteristiche fisiologiche, tratti biologici o azioni ripetibili laddove tali caratteristiche o azioni sono tanto proprie di un certo individuo quanto misurabili, anche se i metodi usati nella pratica per misurarli tecnicamente comportano un certo grado di probabilità”. Per esigenze di armonizzazione dei termini usati in un contesto caratterizzato da notevole tecnicismo, si ritiene tuttavia necessario utilizzare le definizioni fornite dallo standard internazionale ISO/IEC 2382-37 “Information technology—Vocabulary —Part 37:Biometrics”. Sono di seguito riportati i principali termini utilizzati: • caratteristica biometrica: caratteristica biologica o comportamentale di un individuo da cui possono essere estratti in modo ripetibile dei tratti biometrici (biometric features) distintivi e idonei al riconoscimento biometrico; • riconoscimento biometrico: si intende il riconoscimento di individui basato su loro caratteristiche biologiche o comportamentali, includendo in tale accezione le nozioni di verifica biometrica e di identificazione biometrica; • verifica biometrica: confronto tra un modello biometrico acquisito nel momento in cui l’interessato interagisce con il sistema biometrico e un modello biometrico previamente memorizzato e (presuntivamente) a lui corrispondente; questo tipo di verifica è detta confronto uno a uno (one-to-one comparison); • enrolment: iscrizione in un sistema, nel caso in oggetto, in un sistema biometrico. La fase di enrolment va dall’acquisizione del campione biometrico alla sua memorizzazione, all’estrazione dei tratti fino alla generazione del riferimento biometrico da archiviare per i confronti successivi;

• identificazione biometrica: ricerca in un archivio, per confronto biometrico, di uno o più modelli biometrici corrispondenti al dato acquisito. Questo tipo di operazione è detta anche confronto uno a molti (one-to-many comparison) e non prevede una fase assertiva; • tratto biometrico (biometric feature): i nformazione estratta da un campione biometrico a fini di confronto; • campione biometrico (biometric sample): rappresentazione analogica o digitale di una caratteristica biometrica ottenuta al termine del processo di acquisizione (biometric capture e biometric acquisition) costituita, per esempio, dalla riproduzione dell’immagine di un polpastrello; • confronto biometrico (biometric comparison): confronto, usualmente basato su metodi statistici e metriche tipiche del contesto tecnologico e del sistema biometrico prescelto, fra dati biometrici con l’obiettivo di stabilirne il grado di somiglianza o di dissomiglianza; • modello biometrico (biometric template): insieme di tratti biometrici memorizzati informaticamente e direttamente confrontabile con altri modelli biometrici; • istanza biometrica (biometric probe): modello biometrico generato ogni volta che l’interessato interagisce con il sistema biometrico; • riferimento biometrico o (biometric reference): modello biometrico utilizzato come termine di confronto e registrato in modo persistente e invariabile nel tempo (a meno di aggiornamenti resi necessari dalle variazioni anche naturali della caratteristica biometrica da cui è estratto).

4.2.2. Principali caratteristiche biometriche e loro proprietà Alcune proprietà delle caratteristiche, dei dati e delle tecniche biometriche consentono di effettuare classificazioni di carattere generale che si propongono qui di seguito in quanto funzionali a una valutazione dei loro aspetti di protezione dei dati personali. • sistemi biometrici interattivi e sistemi biometrici ivi: sono detti interattivi o partecipativi laddove prevedono la cooperazione dell’interessato e richiedono la sua consapevole partecipazione durante la fase di raccolta del dato biometrico (si pensi, ad esempio, alla scansione della retina o all’apposizione della firma autografa); • sistemi biometrici ivi: raccolgono il dato biometrico senza che l’interessato ne abbia piena percezione o consapevolezza (si pensi, ad esempio, all’acquisizione delle immagini del volto o alla registrazione della voce senza che l’interessato ne sia a conoscenza); • caratteristiche biometriche biologiche e comportamentali: altra distinzione praticabile è quella tra caratteristiche biometriche biologiche, legate a tratti fisici, biochimici, morfologici o fisiologici, e caratteristiche biometriche comportamentali legate ad azioni e atteggiamenti dell’individuo, quali, a esempio, la dinamica di apposizione della firma, il tipo di andatura o anche, per alcuni aspetti, l’emissione della voce; • caratteristiche biometriche traccianti e non traccianti: alcune caratteristiche biometriche lasciano tracce nell’ambiente rispetto ad altre (traceless) che non ne lasciano. Una caratteristica biometrica che può lasciare tracce sugli oggetti è l’impronta digitale così come le fattezze del volto che possono essere rilevate all’insaputa dell’interessato. Esempi di caratteristiche biometriche del secondo tipo sono la topografia della mano e la struttura venosa del dito; • altre proprietà: le caratteristiche biometriche sono connotate, seppure in modo diversificato, da univocità (cioè capacità distintiva per ogni persona) e universalità (presenza in ogni individuo), e sono tendenzialmente dotate di una certa stabilità temporale. Tuttavia, sono soggette a decadimento per cause naturali, ad alterazioni accidentali o a lesioni che possono incidere sull’operatività dei sistemi biometrici.

Di seguito sono brevemente descritte le principali caratteristiche utilizzate in sistemi biometrici, evidenziandone la modalità di rilevazione (interattiva o iva), l’eventuale suscettibilità alla dispersione di tracce nell’ambiente, la possibilità di ricavarne dati sensibili e il loro grado di stabilità nel tempo: • impronte digitali: il trattamento biometrico delle impronte digitali prevede il rilevamento, tramite dispositivi di acquisizione ottica, di un campione biometrico che riproduca la disposizione delle creste di Galtone delle valli cutanee presenti sui polpastrelli delle dita fin dalla fase prenatale. Le minutine dell’impronta, ovvero i suoi tratti biometrici, sono costituite da vortici, biforcazioni, creste, valli e terminazioni, e la loro individuazione nel campione biometrico acquisito consente di ottenere un modello biometrico che fornisca una rappresentazione sintetica numerica dell’impronta di partenza e che si presti alla realizzazione di efficienti algoritmi di confronto. L’univocità del modello in una base dati biometria non è garantita poiché, soprattutto in grandi archivi dattiloscopici, a più di una impronta può corrispondere un medesimo modello; l’utilizzo di una rappresentazione sintetica della caratteristica biometrica consente comunque di effettuare in modo molto efficiente delle ricerche automatizzate, in cui il modello biometrico svolge la funzione di indice per la ricerca di corrispondenze in un data base. Queste capacità di indicizzazione sono alla base del funzionamento dei moderni sistemi di riconoscimento automatico delle impronte digitali (Automatic Fingerprint Identification Systems–AFIS) utilizzati su scala globale, in particolare dalle forze di polizia e da agenzie investigative. Le impronte digitali lasciano tracce, e possono, in alcuni casi, fornire indicazioni sui dati sensibili dell’interessato (secondo alcuni studi le impronte digitali possono consentire di individuare l'etnia del soggetto cui appartengono), sono tendenzialmente stabili nell’individuo adulto e hanno un elevato grado di unicità nella popolazione, differendo perfino tra gemelli omozigoti: queste ultime proprietà, in particolare, le hanno rese spesso utilizzate per finalità giudiziarie e di polizia. La rilevazione dell’impronta digitale in un sistema biometrico è solitamente effettuata con la partecipazione attiva dell’interessato, tuttavia è possibile acquisire impronte apposte da una persona su oggetti e farne, almeno in linea teorica, uso in un sistema biometrico; • dinamica di apposizione della firma autografa: le caratteristiche dinamiche della firma autografa appartengono al novero delle caratteristiche biometriche comportamentali, e vengono acquisite tramite speciali tavolette di acquisizione (tablet grafometrici), o anche su dispositivi tablet di uso generale equipaggiati con opportuni sensori e programmi software. I dispositivi di acquisizione

utilizzati sono in grado di elaborare, oltre che il tratto grafico, anche una serie di parametri dinamici associati all’atto della firma (velocità di tracciamento, accelerazione, pressione, inclinazione, salti in volo...). L’acquisizione delle caratteristiche dinamiche di firma può essere funzionale a procedure di riconoscimento biometrico, anche se presenta tassi elevati di falsi negativi (risultati erronei di mancato riconoscimento) che possono rendere tali procedure poco efficienti e imprecise al di fuori di contesti particolari in cui sia possibile sopperire con intervento umano agli inevitabili errori di riconoscimento; il suo uso più frequente è invece la cosiddetta firma grafometrica. Tale caratteristica comportamentale non lascia traccia e non ha elevata stabilità nel tempo. La sua rilevazione deve essere effettuata con la partecipazione attiva dell’interessato; • caratteristiche dell’emissione vocale: l’evoluzione delle tecniche hardware e software di elaborazione dei segnali consente oggi di eseguire analisi dell’emissione vocale in modo sufficientemente efficiente da prestarsi a operazioni di riconoscimento biometrico dell’individuo (speaker recognition) effettuate tramite interlocuzione telefonica tradizionale, o via Internet, oppure su scala locale interagendo con un dispositivo connesso o integrato in un personal computer o altro dispositivo informatico. Le caratteristiche dell’emissione della voce sono, infatti, strettamente legate all’anatomia del tratto vocale, alla sua lunghezza, alle risonanze, alla morfologia della bocca e delle cavità nasali. Il riconoscimento dell’individuo viene usualmente realizzato non solo tramite l’elaborazione e l’analisi dei segnali vocali (signal processing), ma anche tramite procedure di sfida dipendenti dalle modalità con le quali l’interessato viene invitato a ripetere delle frasi, nomi o numeri (c.d. sfida). E’ possibile realizzare il riconoscimento anche senza sfida, nel caso in cui l’interessato è invitato a parlare senza uno schema prefissato. Normalmente il riconoscimento biometrico consiste in una verifica d’identità (confronto uno a uno), in cui è previsto che venga comunque fornita dall’utente un’informazione aggiuntiva nella sua disponibilità cognitiva (codice identificativo, codice utente...) o a lui associata (identificativo della linea telefonica chiamante). Il segnale vocale, opportunamente elaborato per costruire e registrare un modello biometrico della voce, è successivamente utilizzato per il confronto con il modello acquisito in fase di enrolment al sistema, corrispondente alle informazioni aggiuntive fornite dall’utente. Tale caratteristica può lasciare traccia e la sua rilevazione può essere effettuata senza

la partecipazione attiva dell’interessato e senza l’uso di sensori specializzati (essendo sufficiente in molti casi un normale microfono anche telefonico); • struttura venosa delle dita o della mano: le caratteristiche della rete venosa delle dita e della mano si sviluppano antecedentemente alla nascita. La loro acquisizione avviene tramite sensori che rilevano la forma e la disposizione delle vene delle dita, del dorso o del palmo della mano utilizzando una sorgente luminosa a lunghezza d’onda prossima all’infrarosso. Rispetto ad altri sistemi, non è richiesto il contatto del corpo con la superficie del sensore, rendendo così il procedimento maggiormente accettato dagli utilizzatori. L’uso di tale caratteristica, allo stato, non trova un grande favore da parte di chi realizza sistemi biometrici. I sistemi biometrici che utilizzano questa caratteristica hanno un'accuratezza elevata, in genere superiore a quelli basati sulle impronte digitali, e sono adatti sia per l'identificazione sia per la verifica biometrica. Tale caratteristica non lascia traccia, non fornisce indicazioni su dati sensibili e ha un’elevata stabilità nel tempo. La sua rilevazione deve essere effettuata con la partecipazione attiva dell’interessato; • struttura vascolare della retina: le tecniche biometriche basate sul rilevamento della struttura vascolare della retina prevedono l’utilizzo di un fascio di luce a infrarosso a bassa intensità che illumini la parte posteriore dell’occhio. I sistemi che si basano su di essa sono soggetti a possibili malfunzionamenti nel caso siano presenti patologie oculari. La scansione della retina è solitamente usata in ambiti che richiedono un livello di sicurezza particolarmente elevato: non sono, infatti, noti meccanismi efficaci per replicare la struttura vascolare della retina e non è possibile utilizzare tessuti di persone decedute, poiché il sensore rileva la circolazione sanguigna. Tale caratteristica biologica non lascia traccia , è altamente distintiva dell’individuo e ha elevata stabilità nel tempo. La sua rilevazione deve essere effettuata con la partecipazione attiva dell’interessato; • forma dell’iride: il procedimento di lettura dell’iride è una tecnica biometrica che consente la rilevazione del la forma della pupilla e della parte anteriore dell’occhio mediante immagini ad alta risoluzione. Si tratta di un procedimento di elevata accuratezza e velocità di comparazione. Il tasso di falsi positivi è piuttosto basso rispetto ad altre caratteristiche biometriche, anche se si segnalano tassi elevati di falsi negativi che comporterebbero il mancato riconoscimento dell’individuo da parte del sistema. Tale caratteristica biologica non lascia traccia, è altamente distintiva

dell’individuo (differisce tra gli occhi di una stessa persona) e ha elevata stabilità nel tempo. La sua rilevazione può essere effettuata senza la partecipazione attiva dell’interessato, anche se i sensori più utilizzati prevedono una partecipazione attiva all’atto del rilevamento; • topografia della mano: le tecniche biometriche basate sulla topografia della mano consistono nella rilevazione delle proprietà geometriche dell’arto (bidimensionali o tridimensionali), acquisite mediante un apposito dispositivo di ripresa che coglie determinate caratteristiche quali la forma, la larghezza e lunghezza delle dita, la posizione e la forma delle nocche o del palmo della mano. Le caratteristiche della mano di un individuo non sono descrittive al punto da risultare uniche, per cui non sono adatte ad essere utilizzate nell’identificazione biometrica tra un numero ampio di persone ma, nel contempo, sono sufficientemente descrittive per essere impiegate efficacemente ai fini della verifica biometrica. Il costo dei sensori è mediamente più elevato rispetto ai sensori per altre caratteristiche e l’ingombro è tale da richiedere adeguato spazio per l’installazione e da non renderli integrabili in altri dispositivi o utilizzabili nel contesto mobile. Tale caratteristica non lascia traccia, può fornire indicazioni sullo stato di salute (potendo svelare la presenza di patologie degenerative o di altra natura) e non ha elevata stabilità nel tempo. La sua rilevazione deve essere effettuata con la partecipazione attiva dell’interessato; • caratteristiche del volto: il riconoscimento automatico di un individuo tramite l’analisi delle sue sembianze facciali è un procedimento complesso che utilizza immagini video in luce visibile o “termiche” a infrarosso. I confronti biometrici sono resi complicati dalla presenza di capigliatura, di occhiali e dalla posizione assunta dalla testa durante la ripresa, nonché dalle condizioni di illuminazione. Le stesse tecniche basate su riprese a infrarosso non sono invece influenzate dall’illuminazione e sono efficaci anche al buio. Possono essere ottenute anche immagini di tipo tridimensionale, per fusione di più immagini o con tecniche di computer graphics basate sull’elaborazione dell’ombreggiatura. Dal campione biometrico facciale tramite algoritmi, talvolta basati sulle c.d. reti neurali, vengono estratti un certo numero di tratti, quali la posizione degli occhi, del naso, delle narici, del mento, delle orecchie, al fine di costruire un modello

biometrico. Laddove il procedimento avvenga in un contesto cooperativo il riconoscimento facciale può essere molto accurato, al punto da poter essere utilizzato in funzione di controllo di accesso logico o fisico. Le fattezze del volto possono lasciare tracce, potendo essere acquisite automaticamente, per esempio, da sistemi di videosorveglianza, e possono fornire indicazioni sui dati sensibili. Esse mantengono elevata stabilità nel tempo e la loro rilevazione può essere effettuata anche senza la partecipazione attiva dell’interessato.

4.3. Principi generali ed adempimenti giuridici Il trattamento dei dati biometrici si deve svolgere in conformità alle disposizioni del Codice, e a condizione che non si determini un'ingerenza ingiustificata e sproporzionata nei confronti degli interessati: • liceità: in via prioritaria, occorre verificare che i dati biometrici siano trattati tenendo presenti i diversi presupposti di liceità stabiliti dal Codice in ragione della natura del titolare del trattamento, fermo restando gli ulteriori ed eventuali obblighi di legge e provvedimenti prescrittivi del Garante. In ambito pubblico, il trattamento dei dati personali è consentito unicamente per lo svolgimento delle funzioni istituzionali, nei limiti stabiliti dal Codice in relazione alla specifica tipologia di dati utilizzati, nonché dalla legge e da i regolamenti (artt. 18 e ss.); in tali casi, i soggetti pubblici non operano in base al consenso dell’interessato, a differenza dei soggetti privati ed enti pubblici economici. Questi ultimi, prima di iniziare il trattamento, devono, di regola, acquisire il consenso informato dell’interessato, che è sempre revocabile e deve essere manifestato in forma libera ed espressa, ossia deve essere scevro da eventuali pressioni o condizionamenti, fermi restando i casi in cui si è in presenza di uno dei presupposti equipollenti (artt. 23 e 24 del Codice). In particolare, il consenso non è richiesto nei casi in cui il Garante, con proprio specifico provvedimento, abbia già operato un cd. bilanciamento di interessi ed abbia ritenuto prevalente il perseguimento di un legittimo interesse del titolare, come in alcune delle ipotesi per le quali l’Autorità ha ritenuto non essere necessaria la richiesta di verifica preliminare ai sensi dell’art. 17 del Codice (es. controllo di accesso fisico ad aree “sensibili” e controllo dell’identità per l’utilizzo di apparati e macchinari pericolosi; • necessità: i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi. Prima di procedere all’utilizzo di un sistema biometrico, pertanto, occorre valutare se le stesse finalità possano essere perseguite mediante dati anonimi oppure tramite il sistema biometrico ma con modalità tali da permettere l’individuazione dell’interessato solo in caso di necessità (art. 3 del Codice). In tale quadro, i sistemi biometrici devono essere predisposti, laddove tecnicamente possibile in coerenza con la finalità perseguita, in modo da cancellare immediatamente, e possibilmente in modo automatico, i dati biometrici e le informazioni a essi correlate in caso di cessazione del trattamento, ferme

restando eventuali disposizioni che prevedano una disciplina differente per casi specifici; • finalità: i dati oggetto di trattamento per mezzo di sistemi biometrici devono essere raccolti in maniera accurata e trattati per le sole finalità che il titolare intende legittimamente perseguire, previamente indicate nell’informativa che verrà resa agli interessati , e non possono essere utilizzati in altre operazioni di trattamento che siano con queste incompatibili (art. 11, comma 1, lett. a, b, c ed e, del Codice). In base a tale principio, ad esempio, se la finalità perseguita nel caso concreto è quella di garantire la sicurezza di persone o beni, potrebbero essere utilizzati sistemi biometrici per controllare l’accesso, da parte dei soli dipendenti autorizzati, a luoghi particolarmente pericolosi; gli stessi dati, tuttavia, non possono essere utilizzati a diversi fini come, per esempio, la verifica del rispetto dell’orario di lavoro dei dipendenti. E ancora, si potrebbero utilizzare dati biometrici per identificare, senza margine di dubbio e in modo da escludere (o ridurre) ipotesi di frode, un soggetto che voglia effettuare operazioni bancarie, ma senza che dagli stessi dati si possano desumere altre informazioni per verificare anche l’accesso in banca del cliente; • proporzionalità: possono essere trattati i soli dati pertinenti e non eccedenti in relazione alle finalità perseguite (art. 11, comma 1, lett. d, del Codice). Pertanto, il sistema di rilevazione deve essere configurato in modo tale da raccogliere un numero circoscritto di informazioni (principio di minimizzazione), escludendo l'acquisizione di dati ultronei rispetto a quelli necessari per la finalità perseguita nel caso concreto: ad esempio, se la finalità è quella dell’autenticazione informatica, i dati biometrici non devono essere trattati in modo da poter desumere anche informazioni di natura sensibile dell’interessato. Occorre evitare, se non per motivate ed eccezionali esigenze, di ricorrere a sistemi che impieghi no più di una caratteristica biometria dell’interessato. Nel caso in cui, alla luce dei principi generali precedentemente illustrati, la valutazione abbia avuto esito positivo, il titolare deve porre in essere i seguenti adempimenti richiesti dal Codice: • informativa: prima dell’inizio del trattamento (cioè antecedentemente alla fase di enrolment, laddove prevista), il titolare deve fornire agli interessati un’informativa idonea e specifica relativa all’utilizzo dei dati biometrici. Nell’informativa, contenente tutti gli elementi previsti dall’art. 13 del Codice, occorre puntualizzare, in particolare, la finalità perseguita e la modalità del

trattamento (anche enunciando, sia pure sinteticamente, le cautele adottate, i tempi di conservazione dei dati, l’eventuale loro centralizzazione). L’informativa deve dare adeguata rilevanza alla natura obbligatoria o facoltativa del conferimento dei dati rispetto al perseguimento delle finalità del trattamento. Laddove sia previsto un sistema alternativo ovvero gli interessati non vogliano o non possano, anche in ragione di proprie caratteristiche fisiche, servirsi del sistema di riconoscimento biometrico, oppure successivamente decidano di non usufruirne più, nell’informativa deve essere precisata anche la facoltà di utilizzare modalità diverse per avvalersi comunque del servizio nel cui ambito è prevista una procedura biometrica. Nel caso in cui il dato biometrico sia registrato in un dispositivo posto nell’esclusiva disponibilità dell’interessato, l’informativa dovrà fornire adeguate istruzioni sulla sua corretta custodia e sugli adempimenti connessi ad un eventuale suo smarrimento, sottrazione, malfunzionamento. Nel caso in cui i sistemi utilizzati in determinate sedi siano potenzialmente idonei al rilevamento di dati biometrici dell’interessato senza la sua cooperazione (come può avvenire in alcuni casi di riconoscimento facciale, vocale o comportamentale), occorre informare gli interessati dando loro la possibilità di scelta relativamente all’accesso a una zona soggetta a tale tipo di controlli biometrici. L’informativa può essere resa mediante apposita segnaletica in prossimità delle aree soggette a rilevamento biometrico o delle postazioni di rilevamento, oppure può essere fornita con altri mezzi prima dell’interazione dell’interessato con il sistema biometrico (es. riconoscimento vocale tramite telefono preceduto da un avviso). Analogamente, nei casi in cui il trattamento su base biometrica operi in sinergia con un altro sistema (es. videosorveglianza), l’informativa deve evidenziare tale circostanza in maniera chiara e adeguata, anche con le opportune semplificazioni richieste dallo specifico mezzo utilizzato; • notificazione: il titolare del trattamento dei dati biometrici è tenuto ad effettuare la notificazione al Garante ai sensi degli artt. 37, comma 1, lett. a), e 38, del Codice. In tale ambito, vanno considerati i casi di esonero dall’obbligo di notificazione riguardanti talune categorie di soggetti in ragione delle attività da essi svolte; • verifica preliminare: l’art. 17 del Codice prevede che il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la

dignità dell'interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, è ammesso nel rispetto di misure ed accorgimenti, a garanzia dell'interessato, rivolti anche “a determinate categorie di titolari o di trattamenti”, ove prescritti. I dati biometrici sono, per loro natura, direttamente e univocamente collegati all’individuo e denotano in generale un’intrinseca, universale e irreversibile relazione tra corpo e identità, per cui è necessario garantire particolari cautele in caso di trattamento. L’utilizzo di sistemi biometrici rientra, pertanto, tra i trattamenti che presentano rischi specifici e dovrà essere svolto previa richiesta di verifica preliminare al Garante ai sensi dell’art. 17 del Codice. Attraverso la verifica preliminare, che deve essere presentata dal titolare prima dell’inizio del trattamento, il Garante ha il compito di prescrivere, ove necessario, misure e accorgimenti specifici per consentire il corretto utilizzo di dati così delicati nel contesto del trattamento prospettato. Nella istanza di verifica preliminare il titolare dovrà fornire elementi informativi inerenti l’analisi dei rischi effettuata e le modalità con cui intende garantire il rispetto delle misure di carattere generale, degli adempimenti giuridici e delle misure in precedenza descritte delle linee guida. In particolare, l’istanza dovrà recare i seguenti elementi informativi: • la tipologia di dati biometrici trattati; • il contesto e le specifiche finalità perseguite mediante il sistema biometrico che si intende installare; • le ragioni in base alle quali si ritengono inidonei rispetto agli scopi perseguiti sistemi alternativi che pongono minori rischi per i diritti e le libertà fondamentali degli interessati; • le modalità di funzionamento del sistema nonché le modalità di acquisizione, utilizzo e archiviazione dei dati biometrici e la durata della loro eventuale conservazione; • l’eventuale idoneità del dato biometrico raccolto a rivelare informazioni relative allo stato di salute degli interessati; • gli eventuali vantaggi per gli interessati e per i titolari del trattamento derivanti dall’utilizzo di dati biometrici; • i rischi individuati e gli accorgimenti tecnici e organizzativi messi in atto per mitigarli;

• le modalità di acquisizione del consenso, ove previsto, i sistemi alternativi, il testo dell’informativa. Tanto premesso, il Garante – con provvedimento generale contestuale all’adozione delle linee-guida – ha individuato alcune specifiche tipologie di trattamenti in relazione alle quali non ritiene necessaria la presentazione della predetta richiesta di verifica preliminare, a condizione che vengano rispettati i presupposti di legittimità contenuti nel Codice e nelle linee-guida e che vengano adottate tutte le misure e gli accorgimenti tecnici descritti nel medesimo provvedimento. I trattamenti in questione sono: • autenticazione informatica; • controllo di accesso fisico ad aree “sensibili” dei soggetti addetti e utilizzo di apparati e macchinari pericolosi; • uso delle impronte digitali o della topografia della mano a scopi facilitativi; • sottoscrizione di documenti informatici.

4.4. Utilizzo delle tecniche biometriche L’uso delle tecniche biometriche, nella maggior parte dei casi, è volto a realizzare procedure di riconoscimento biometrico di un individuo. Il riconoscimento può essere basato su verifica biometrica (processo in cui il soggetto dichiara la sua identità e il sistema effettua un confronto fra il modello biometrico rilevato e quello memorizzato e corrispondente all’identità dichiarata) oppure su identificazione biometrica (processo in cui il sistema confronta il modello rilevato con tutti i modelli disponibili per individuare l’identità del soggetto), mentre i principali campi di applicazione riguardano il controllo degli accessi, sia logico (autenticazione informatica) sia fisico. Costituiscono un caso a parte i sistemi di firma grafometrica, finalizzati alla sottoscrizione di documenti informatici senza che necessariamente sia effettuato un riconoscimento biometrico: • riconoscimento biometrico: verifica e identificazione biometria. Nel caso dei processi biometrici basati sulla verifica dell’identità dell’interessato il confronto viene effettuato tra un determinato modello biometrico associato all’identità dichiarata dall’utente nella fase assertiva (per esempio, mediante l’inserimento di un codice d’utente o l’utilizzo di un badge a varia tecnologia) e il modello biometrico generato al momento della richiesta di riconoscimento. Questo tipo di riconoscimento viene detto anche “confronto uno-a-uno”. Qualora il confronto risulti positivo l’identità potrà dirsi verificata e si otterrà la conseguente abilitazione alla successiva azione tecnica (apertura di un varco, nel caso di accesso fisico, abilitazione all’accesso a un sistema informatico, nel caso dell’accesso logico) la cui corretta esecuzione costituisce la finalità del trattamento biometrico. Laddove il trattamento sia invece volto all’identificazione biometrica dell’interessato, il modello biometrico estratto dovrà essere confrontato o utilizzato come indice per la consultazione nella banca dati dei modelli biometrici di riferimento (confronto uno-a-molti). In tale ipotesi, la complessità dell’operazione è certamente superiore, dipendendo dalla dimensione della banca dati in termini di numerosità dei dati in essa presenti e dagli algoritmi di ricerca e confronto utilizzati; • controllo biometrico dell’accesso logico: le tecniche di riconoscimento biometrico sono talvolta adottate, anche in applicazione della regola 2 del

Disciplinare tecnico in materia di misure minime di sicurezza, allegato B al Codice, per finalità di sicurezza, in aggiunta o in sostituzione degli ordinari sistemi di autenticazione informatica basati su informazioni nella disponibilità cognitiva (, id) o su dispositivi (badge, token) nel materiale possesso dell’interessato. Le credenziali di autenticazione ordinarie, basate sull’associazione di un codice identificativo (name, -name...) e di una parola chiave (), quest’ultima da mantenere riservata, possono infatti essere facilmente smarrite, dimenticate, sottratte. Anche i sistemi basati su tessere a varia tecnologia (magnetica, ottica, a contatto, a radiofrequenza) o su dispositivi di autenticazione di tipo OTP (one-time ) con cui si realizzano i cosiddetti sistemi di autenticazione forte o a due fattori, pur introducendo un maggior livello di sicurezza rispetto alle normali credenziali testuali, non sono tuttavia esenti da inconvenienti a seguito di smarrimento, cessione illegittima o furto dei dispositivi di autenticazione, cui si può accompagnare la perdita di confidenzialità delle informazioni di sicurezza eventualmente necessarie per il loro utilizzo (PIN, …), al punto da consentire anche in questo caso la violazione dei dati trattati (data breach). Con l’autenticazione biometrica, in cui vengono invece sottoposte a elaborazione informatica alcune caratteristiche biometriche, si cerca di scongiurare il rischio di cessione illegittima o di furto di credenziali, e di perseguire il raggiungimento di un maggior grado di certezza dell’identità del soggetto legittimato all’utilizzo di sistemi informatici; • controllo dell’accesso fisico: le diverse tecniche biometriche si prestano, con maggiore o minore efficacia a seconda del tipo di procedimento adottato, a utilizzazione in contesti differenti da quello informatico anche se comunque caratterizzati da una qualche interazione con sistemi tecnologici. In particolare, è rilevante l’uso di sistemi biometrici per il controllo dell’accesso fisico ad aree ristrette o riservate, per l’apertura di varchi o di serrature a protezione di locali o per l’uso di determinati apparati e macchinari. Le finalità del trattamento biometrico sono principalmente di sicurezza, per la protezione patrimoniale o la tutela dell’incolumità di persone, ma le stesse tecniche biometriche possono anche prestarsi a scopi “facilitativi”, in scenari che variano dall’accesso a biblioteche, all’apertura di armadietti in palestre o di cassette di sicurezza. In ogni caso, le procedure biometriche per queste applicazioni ricadono nelle categorie dell’identificazione biometrica o della verifica biometria;

• sottoscrizione di documenti informatici: le tecniche biometriche basate sul rilevamento della dinamica di apposizione della firma autografa (firma grafometrica) possono essere utilizzate per la sottoscrizione di documenti informatici anche al fine di dare maggiore certezza ai rapporti giuridici. Si tratta di un caso in cui i dati biometrici non sono funzionali, come tutti quelli finora esaminati, al riconoscimento biometrico di un individuo (anche se sono possibili e sono stati riscontrati utilizzi in questo senso), ma sono incorporati all’interno di documenti informatici per realizzare, laddove ne ricorrano i presupposti tecnici e normativi, delle soluzioni di firma elettronica avanzata, introdotta dal decreto legislativo 7 marzo 2005, n. 82 recante il “Codice dell'amministrazione digitale”, e disciplinata con le regole tecniche di cui al d.P.C.M. 22 febbraio 2013, oppure, più in generale, per incorporare nel documento informatico delle informazioni strettamente connesse al soggetto firmatario e al documento firmato che consentano comunque, al di là della valenza giuridica della sottoscrizione così ottenuta, di effettuare delle verifiche sull’integrità e autenticità del documento informatico. Nella firma grafometrica si costituisce, infatti, un set di informazioni biometriche che, con l’ausilio di tecniche crittografiche, viene strettamente associato a un determinato documento informatico, in modo tale da consentire ex post lo svolgimento di analisi grafologiche da parte di un perito calligrafo sulla genuinità della sottoscrizione, analogamente a quanto avviene con le firme sui documenti cartacei (tipicamente, a seguito di contenzioso contrattuale o di disconoscimento della sottoscrizione). L’utilizzo della firma grafometrica per la sottoscrizione di documenti non richiede, in genere, la creazione di una banca dati biometrica, poiché le singole firme grafometriche sono volta per volta acquisite e incorporate, con le opportune protezioni crittografiche, nel documento informatico sottoscritto, eventualmente archiviato in un sistema di gestione documentale.

4.5. Il ciclo di vita dei dati biometrici I trattamenti biometrici possono essere descritti come una sequenza di fasi di elaborazione a partire dal rilevamento, tramite sensori specializzati o dispositivi di uso generale, di una determinata caratteristica biometrica, biologica o comportamentale, di un individuo, al fine di creare un campione biometrico. Ottenuto il campione, la fase di acquisizione biometrica si considera conclusa. I sensori biometrici possono essere specializzati (scanner per il rilevamento dell’impronta digitale, scanner per la lettura dell’iride, dispositivi per il rilevamento della topografia della mano, della vascolarizzazione delle dita, delle mani o del fondo oculare, tavolette grafometriche per l’acquisizione delle caratteristiche dinamiche delle firme autografe) o non specializzati (videocamere o microfoni con cui si possono acquisire immagini del volto di una persona o registrazioni della voce, da sottoporre poi a trattamento informatizzato; dispositivi di tipo tablet o similari dotati di schermo sensibile al tatto, con cui è possibile realizzare procedure semplificate di acquisizione a mezzo software delle caratteristiche dinamiche della firma, senza ricorrere a periferiche specializzate; webcam e microfoni incorporati in dispositivi mobili o in computer portatili che, usualmente adibiti alla videocomunicazione, possono fungere da sensori per il riconoscimento facciale e vocale). I campioni biometrici acquisiti tramite i sensori consistono in file di dimensioni variabili a seconda del tipo di sistema biometrico e di sensore utilizzato. Si tratta quindi di dati che mantengono una stretta correlazione, anche di tipo analogico, con la caratteristica biometrica da cui sono tratti, essendone una rappresentazione digitale la cui fedeltà all’originale dipende dall’accuratezza e dalla sofisticazione del sensore utilizzato. Le eventuali elaborazioni successive agiranno su tali dati biometrici, e saranno anch’esse dipendenti dalla specifica tecnica biometrica e funzionali agli usi prescelti: • enrolment e creazione del modello biometrico: per consentire il riconoscimento biometrico è necessario acquisire la caratteristica biometrica con una procedura che garantisca la correttezza dell’accreditamento nel sistema biometrico (biometric enrolment), il legame con il soggetto che si sottopone all’enrolment e la qualità del campione biometrico risultante. I dati biometrici possono essere

trattati e conservati, oltre che nella forma di campione biometrico, anche in forma di modello biometrico, cioè di descrizione informatica sintetica della caratteristica biometrica ottenuta estraendo dal campione biometrico soltanto gli elementi salienti predefiniti. Dai campioni biometrici è infatti possibile estrarre tratti distintivi (per esempio, misurazioni del volto da un'immagine) e conservarli per sottoporli a un successivo utilizzo al posto degli stessi campioni. La definizione delle dimensioni del modello biometrico è una questione fondamentale: da un lato le dimensioni devono essere sufficientemente ampie per garantire un livello di accuratezza adeguato nel riconoscimento biometrico, evitando sovrapposizioni fra dati biometrici diversi o sostituzioni d’identità; dall’altro non devono essere eccessive per evitare il rischio di ricostruzione del campione biometrico. In generale, è opportuno che le dimensioni e la ricchezza di tratti identificativi del modello siano commisurate all’ambito e alle finalità di utilizzo. Il modello biometrico estratto dal campione biometrico va poi conservato per le successive operazioni di confronto. Le rilevazioni successive, propedeutiche ai confronti biometrici, devono essere effettuate con le medesime garanzie previste per la fase di enrolment iniziale, avendo cura che i modelli da confrontare non viaggino su reti insicure o che restino privi di protezione crittografica; • riconoscimento biometrico: i sistemi per l’identificazione biometrica richiedono necessariamente la costituzione di banche dati centralizzate di modelli biometrici per determinare l’identità dell’interessato. Il risultato del confronto (match) è positivo e consente di identificare l’interessato se vi è corrispondenza fra il modello biometrico di riferimento, conservato in banca dati, e il modello biometrico ricavato dalla caratteristica presentata. Per la verifica biometrica è invece possibile, in linea di principio, adottare sia la conservazione centralizzata, che prevede l’accentramento di tutti i modelli biometrici di riferimento in un’unica banca dati, che la conservazione decentralizzata, in cui i riferimenti biometrici sono conservati direttamente sui dispositivi di rilevazione, su cui avviene il confronto, oppure su dispositivi sicuri affidati alla custodia dell’interessato. Il confronto uno a uno è, per sua natura, estremamente rapido, non presentando alcuna apprezzabile complessità computazionale anche in presenza di tecniche biometriche sofisticate. Alcune tipologie di smart card permettono di attuare il confronto biometrico addirittura all’interno del dispositivo stesso (comparison on card), senza la necessità di estrarre il riferimento biometrico, ma vanno incontro a forti limitazioni in termini di prestazioni e di costo a causa della loro limitata capacità elaborativa. Come conseguenza della differente complessità computazionale, i “tempi di

risposta” di un sistema di identificazione possono essere notevolmente superiori a quelli di un sistema di verifica biometrica, rendendo la procedura concretamente utilizzabile, laddove sia richiesta una elevata interattività, solo nei casi in cui la base dati contente i riferimenti biometrici sia di modeste dimensioni. Occorre quindi valutare, laddove sia tecnicamente possibile la scelta tra verifica biometrica e identificazione biometrica, se il vantaggio ergonomico di non richiedere una fase assertiva della propria identità non sia pregiudicato dal maggior tempo richiesto dalla procedura di riconoscimento, rendendo il processo inefficiente e inadatto agli scopi per cui si intende farvi ricorso; • conservazione dei dati biometrici: il dato biometrico (usualmente in forma di modello biometrico, ma in alcuni casi anche di campione biometrico) può trovarsi nella disponibilità del titolare del trattamento ed essere conservato in un’unica banca dati centralizzata, anche in forma di Hardware Security Module (HSM), nelle postazioni di lavoro informatiche oppure sugli stessi dispositivi di acquisizione biometrica. In alternativa, è possibile memorizzare il dato biometrico in dispositivi sicuri (es. token, smart card) affidati alla diretta ed esclusiva disponibilità degli interessati, in modo che il titolare non debba conservare il dato biometrico (template on card). Tuttavia, in caso di furto, smarrimento o distruzione del dispositivo, l’interessato potrebbe essere temporaneamente impossibilitato all’utilizzo del sistema biometrico. I filesystem di smart card e token biometrici devono essere leggibili dai soli lettori autorizzati, quantomeno nella porzione contenente i dati biometrici, che vanno resi inintelligibili al di fuori del contesto in cui se ne prevede l’uso tramite l’adozione di accorgimenti crittografici.

4.6. Analisi dei rischi L’uso generalizzato della biometria, in virtù della delicatezza dei dati oggetto di trattamento, può presentare rischi per gli interessati, con potenziali gravi ripercussioni sulla loro sfera personale, in caso di impropria utilizzazione. Il rischio, intenzionale o accidentale, consiste nella vulnerabilità di un asset o di un gruppo di asset tecnologici in grado di causare un trattamento illecito dei dati e il pericolo di furti di identità per l’interessato: • controllo sociale e usi discriminatori: molte caratteristiche biometriche hanno un elevato grado di unicità nella popolazione: ciò le rende adatte a essere utilizzate come una sorta di identificatore universale, con il rischio, se non opportunamente gestito, di un futuro in cui soggetti privati e istituzioni potrebbero acquisire o dedurre informazioni sui singoli individui incrociando e collegando dati provenienti da più banche dati, per finalità differenti da quelle per cui tali dati biometrici sono stati in origine raccolti. Le caratteristiche biometriche che possono essere acquisite senza la consapevolezza o la partecipazione di un individuo potrebbero essere utilizzate per il suo tracciamento, ad esempio per seguirne gli spostamenti tramite l’utilizzo di tecnologie completamente automatizzate, tanto ubique quanto invasive, ledendo così il diritto alla riservatezza. Utilizzi di questo tipo, quindi, trasformerebbero la biometria da risorsa per la sicurezza o per l’accesso facilitato (in sostituzione di carte, codici, e firme), in uno strumento di controllo generalizzato. L’attitudine di alcune caratteristiche biometriche a rivelare informazioni sensibili quali lo stato di salute, l’etnia o la razza, rende la discriminazione un ulteriore rischio concreto da tener sempre presente; • furto di identità biometria: il furto di identità biometrica può causare effetti lesivi rilevanti nei confronti degli interessati in quanto non può essere fornita una nuova identità biometrica che utilizzi la stessa tipologia di dato biometrico, diversamente dai sistemi di riconoscimento tradizionali. Le caratteristiche biometriche, infatti, poiché normalmente non modificabili e inscindibilmente legate all’individuo (seppur soggette in misura variabile a deterioramento in base all’età, al tipo di caratteristica, alle attività e agli stili di vita dell’interessato), costituiscono una sorta di credenziale di autenticazione non revocabile e non

sostituibile la cui appropriazione da parte di soggetti non legittimati può prestarsi alla realizzazione di azioni fraudolente e compromettere l’efficacia di sistemi di sicurezza basati sul riconoscimento biometrico. Le caratteristiche biometriche che lasciano traccia (es. impronte digitali) o che possono essere acquisite senza la cooperazione dell’interessato (es. la registrazione della voce, il riconoscimento facciale o la scansione dell’iride eseguita con una telecamera a distanza o nascosta) possono comportare il rischio acquisizione indebita e prestarsi, in via teorica, a frodi e furti di identità. Tuttavia tali rischi rilevano solo nei casi in cui si utilizzino procedure il cui funzionamento sia basato esclusivamente sulla componente biometrica, mentre sono marginali se l’utilizzo della biometria avviene nell’ambito di un sistema multi-factor (che preveda, per esempio, l’uso di informazioni aggiuntive quali le o analoghi codici, o l’impiego di un token); • accuratezza del riconoscimento biometrico: il riconoscimento biometrico avviene generalmente su base statistica e non deterministica, ed è dunque suscettibile di errore. Due dei più importanti parametri tecnici da considerare, connessi a un sistema biometrico, sono il tasso dei falsi rigetti (false rejection rate – FRR) o “falsi negativi” e il tasso delle false accettazioni (false acceptance rate – FAR) o “falsi positivi”. Per questo motivo, le prestazioni del sistema biometrico vanno attentamente valutate in funzione delle finalità d’uso: un alto tasso di falsi positivi, abilita, erroneamente, l’accesso a utenti non autorizzati creando situazioni di pericolo per persone, cose o informazioni; • falsificazione biometria: l’estrazione di modelli biometrici comporta sempre una perdita di informazione rispetto a quella contenuta nel campione. La creazione del modello dovrebbe essere sempre, qualora tecnicamente possibile, un processo univoco e non reversibile: non dovrebbe essere possibile, infatti, ricreare il campione biometrico a partire dal modello, dando luogo a una “ricostruzione” non autorizzata di una caratteristica biometrica. Il caso largamente più dibattuto è quello delle impronte digitali: in linea teorica risulta possibile, con particolari algoritmi, generare, a partire da un modello biometrico, un campione biometrico che, sottoposto allo stesso processo di estrazione delle minuzie, produca un modello biometrico molto simile a quello iniziale. Tuttavia i campioni biometrici sintetici, affidati all’analisi dattiloscopica di un esperto, possono rivelare la loro natura di “falso” per via della scarsa verosimiglianza anatomica con campioni reali. Gli stessi modelli biometrici ottenuti, inoltre, non sono perfettamente corrispondenti a quello iniziale, recando spesso tracce di distorsioni e caratteristiche spurie. Non appare quindi fondata l’ipotesi di

ricostruzione più o meno fedele del campione biometrico originario e tantomeno della caratteristica biometrica da cui è stato ottenuto, a partire dal modello biometrico corrispondente. Recentemente è stata dimostrata la possibilità di creare campioni biometrici dattiloscopici “artificiali” di elevata qualità da cui, utilizzando il procedimento di estrazione delle minutiae e provvedendo alla generazione del corrispondente modello biometrico tramite gli algoritmi utilizzati in normali sistemi biometrici, si può ottenere un modello biometrico del tutto corrispondente al riferimento biometrico originario. Il modello così ottenuto, utilizzato in sede di confronto biometrico, produrrebbe un risultato positivo. Questa acclarata possibilità di ricostruzione di un campione biometrico corrispondente a un modello biometrico di partenza comporta certamente dei potenziali rischi, mitigati tuttavia da alcuni accorgimenti di sicurezza largamente utilizzati nei sistemi e in continua evoluzione. Oltre al rischio di ricostruzione del campione esiste quello della falsificazione di alcune caratteristiche biometriche derivante dalla creazione di una caratteristica biometrica artificiale (spoofing biometrico) a partire da impronte rilevate al di fuori del sistema biometrico. L’esempio tipico è quello delle impronte digitali, mediante creazione di una sorta di “dito artificiale” che riproduca le sembianze anatomiche del polpastrello, reso possibile oggi con maggiore facilità con la diffusione di tecniche di stampa tridimensionale a basso costo: il polpastrello artificiale così ottenuto è comunque un falso grossolano, contro cui sono ben efficaci misure tecniche in grado di garantire la genuinità della caratteristica rilevata dal dispositivo di acquisizione (come le funzioni di liveness detection presenti in alcuni sensori per il rilevamento dell’impronta digitale); • amplificazione del rischio nel contesto mobile e BYOD: si registra un significativo sviluppo nel settore IT rispetto all’utilizzo, per finalità aziendali, di dispositivi mobili di proprietà del dipendente o collaboratore. In tale contesto, il lavoratore può connettersi a risorse informative e documentali o a servizi dell’organizzazione di appartenenza, secondo il paradigma “Bring Your Own Device” (BYOD), accedendo ad applicazioni installate, con il suo consenso, sul proprio dispositivo, che gli permettano il trattamento di dati aziendali per lo svolgimento della propria attività lavorativa. Tali scenari, che ENISA4 include tra quelli su cui concentrare gli sforzi evolutivi sulle architetture e gli approcci alla sicurezza, assumono un significativo rilievo e lo stesso Garante ha avuto contezza della crescente diffusione, nei più importanti settori produttivi, di modelli di lavoro fortemente caratterizzati da mobilità abbinata a interazione con i sistemi informativi aziendali (soprattutto nel caso del settore bancario con lo sviluppo della firma grafometrica). Un trattamento biometrico effettuato con

dispositivi mobili (es. tablet), può andare incontro, in assenza di adeguate e specifiche misure di sicurezza, a rischi maggiori rispetto allo svolgersi del trattamento all’interno del perimetro di sicurezza aziendale. L’accentuata possibilità di uso promiscuo dello strumento e, addirittura, dell’uso personale e familiare, per motivi ludici e ricreativi, non si concilia con la sicurezza dei dati anche in considerazione dell’accresciuta esposizione al rischio e all’utilizzo di applicativi non selezionati e installabili in modo incontrollato dall’utente. Raramente, infatti, in questi contesti vengono adottati meccanismi di controllo degli accessi anche di tipo basilare, come il blocco automatico per inattività, né vengono offerte modalità di connessione sicura con protocolli avanzati per proteggere i dati in mobilità che rimangono esposti poiché trasmessi su canali insicuri.

4.7. Misure di carattere generale applicabile ai trattamenti di dati biometrici Ferma restando l’adozione delle misure previste agli artt. 31 – 35 e all’allegato B del Codice, al trattamento di dati biometrici devono essere applicate specifiche misure dipendenti dalla tipologia di dato, dall’architettura del sistema, dalla finalità perseguita, dal contesto ambientale in cui il sistema biometrico è introdotto, dalla modalità di raccolta e conservazione del dato. Alla luce dell’esperienza maturata e dei provvedimenti adottati in materia, vengono di seguito illustrate le principali misure e accorgimenti di carattere generale che si ritiene debbano essere osservate a garanzia degli interessati, fermo restando l’obbligo del titolare di individuare compiutamente, ai sensi dell’art. 31 del Codice, le misure in concreto idonee agli specifici trattamenti che si intendono porre in essere. Tali misure, qualora si discostino da quelle qui richiamate, dovranno essere opportunamente motivate e documentate: • misure di sicurezza dei trattamenti biometrici: il titolare del trattamento svolto con sistemi elettronici è tenuto ad adoperarsi, utilizzando i mezzi tecnici che lo stato dell’arte nel settore informatico rende disponibili, per proteggere i dati personali trattati con le misure di sicurezza previste dal Codice. Tali misure comprendono, oltre alle misure minime di cui agli artt. 33-34 del Codice e all’allegato B, anche le misure idonee e preventive rispetto al trattamento di cui all’art. 31, la cui predisposizione richiede una valutazione del rischio incombente sui dati e sull’adeguatezza delle soluzioni tecniche predisposte per contrastarlo; • scelta del sistema biometrico e accorgimenti di sicurezza: per quanto riguarda le caratteristiche dei sensori, deve essere privilegiata, laddove tecnicamente praticabile, la capacità di rilevamento della vivezza della caratteristica biometrica, basata sul rilevamento di differenti parametri di forma e fisiologici (nel caso delle impronte digitali, il controllo di vivezza prende in considerazione la deformabilità, il comportamento in torsione dell’impronta all’atto della sua apposizione sul sensore, la presenza di circolazione sanguigna, la temperatura, la conduttività elettrica…) in modo da impedire grossolane falsificazioni della caratteristica biometrica impiegata. Nella scelta dei processi biometrici si deve privilegiare l’uso di quelli che richiedono la cooperazione consapevole dell’interessato. Laddove tecnicamente possibile, vanno utilizzati modelli biometrici con la minore quantità di informazioni, in modo da ridurre o annullare

il rischio di ricostruzione del campione biometrico originario in qualunque fase del trattamento. I dati biometrici grezzi (raw data) generati nel corso del procedimento di acquisizione biometrica (biometric capture) andranno cancellati da aree di memoria temporanea, centrale e secondaria e dal filesystem del sistema utilizzato per l’acquisizione immediatamente dopo la generazione del campione biometrico. Il dato biometrico andrà possibilmente cifrato al momento della sua acquisizione dal sensore per ridurre il rischio di acquisizione fraudolenta con attacchi di tipo di third in the middle sul sensore o sui suoi canali di comunicazione con il sistema biometrico. La trasmissione del dato andrà comunque effettuata, sia in fase di enrolment sia in fase di riconoscimento, su canali di comunicazione cifrati tra il dispositivo di acquisizione e il sistema su cui sono effettuati i confronti biometrici o l’eventuale conservazione dei campioni o dei modelli biometrici di riferimento. Nel caso di adozione di sistemi biometrici in contesti mobile o BYOD è opportuno lo svolgimento di attività di audit periodiche e l’adozione di strumenti per accrescere la sicurezza dei dispositivi mobili come i sistemi software per Mobile Device Management (MDM) o Mobile Device Auditing (MDA). Eventuali scelte in difformità dalle indicazioni contenute nel presente paragrafo andranno opportunamente descritte e motivate nell’istanza di verifica preliminare; • gestione informatica e memorizzazione dei dati: i campioni o i modelli biometrici, laddove indispensabile per consentire i confronti, andranno conservati in aree di filesystem protette con strumenti crittografici o in database che ino la cifratura a livello di record o di colonna. Laddove il sistema biometrico renda non praticabile l’utilizzo di tecniche crittografiche a chiave pubblica o la partecipazione di un soggetto terzo fiduciario, la cifratura dovrà comunque garantire elevati standard di sicurezza con lunghezza delle chiavi adeguate alla dimensione e alla criticità della banca dati. Andrà privilegiata, laddove tecnicamente possibile, la conservazione dei soli modelli biometrici in dispositivi nell’esclusiva disponibilità dell’utente, evitandone l’archiviazione centralizzata in banche dati accessibili su reti anche di tipo locale. I dati identificativi degli utenti andranno conservati separatamente dai relativi dati biometrici. Se il dato biometrico si trova nella disponibilità del titolare del trattamento ed è conservato in un’unica banca dati, nelle postazioni di lavoro informatiche oppure su dispositivi di acquisizione biometrica, il titolare deve sempre prendere le massime precauzioni e implementare tutti i presidi necessari alla tutela del dato, riducendo al minimo il rischio di accesso non autorizzato, il furto, la sostituzione o la compromissione dei dati biometrici. In alternativa, e preferibilmente laddove realizzabile, se il dato biometrico è memorizzato in

dispositivi sicuri affidati alla diretta ed esclusiva disponibilità degli interessati, il titolare non deve conservare copia del dato biometrico. Smart card e token biometrici devono essere leggibili dai soli lettori autorizzati, quantomeno relativamente all’area di memoria contenente dati biometrici; • registrazione degli accessi ai dati biometrici: nei casi eventuali di conservazione centralizzata dei dati biometrici in un server devono essere adottati sistemi idonei alla registrazione degli accessi da parte dei soggetti specificatamente abilitati a svolgere mansioni tecniche connesse alla manutenzione e alla gestione del server medesimo, che dovranno essere designati quali amministratori di sistema. Tali registrazioni devono comprendere i riferimenti temporali e avere caratteristiche di completezza, integrità, inalterabilità e durata della conservazione analoghe a quelle richieste per i log degli accessi di cui al provvedimento del Garante del 27 novembre 2008 sugli amministratori di sistema; • tempi di conservazione dei dati biometrici: i dati biometrici rilevati, riferiti al dato grezzo d’origine, al campione biometrico, oppure ai dati ottenuti tramite elaborazione di quelli precedentemente citati (modelli o riferimenti biometrici), saranno oggetto di trattamento per il periodo di tempo strettamente necessario a perseguire gli scopi per i quali sono stati raccolti e trattati, fatta salva l'eventuale applicabilità di specifiche disposizioni in casi particolari. In particolare, i campioni biometrici impiegati nella realizzazione del modello biometrico possono essere trattati solo durante le fasi di registrazione e di acquisizione necessarie al confronto biometrico, e non devono essere memorizzati se non per il tempo strettamente necessario alla generazione del modello stesso. Venuta meno la necessità di trattare il dato questo deve essere cancellato in modo sicuro anche dalle aree di memoria volatile oltre che dai i di memorizzazione.

5. Comunicazione e diffusione di dati personali

5.1. La comunicazione.

La conoscenza dei dati personali relativi ad un lavoratore da parte di terzi è ammessa se l'interessato vi acconsente.

Se il datore di lavoro non può avvalersi correttamente di uno degli altri presupposti del trattamento equipollenti al consenso (art. 24 del Codice), non può prescindersi dal consenso stesso per comunicare dati personali (ad esempio, inerenti alla circostanza di un'avvenuta assunzione, allo status o alla qualifica ricoperta, all'irrogazione di sanzioni disciplinari o a trasferimenti del lavoratore) a terzi quali:

associazioni (anche di categoria) di datori di lavoro, o di ex dipendenti (anche della medesima istituzione); conoscenti, familiari e parenti.

Fermo restando il rispetto dei principi generali sopra richiamati in materia di trattamento di dati personali, rimane impregiudicata la facoltà del datore di lavoro di disciplinare le modalità del proprio trattamento designando i soggetti, interni o esterni, incaricati o responsabili del trattamento, che possono acquisire conoscenza dei dati inerenti alla gestione del rapporto di lavoro, in relazione alle funzioni svolte e a idonee istruzioni scritte alle quali attenersi (artt. 4, comma 1, lett. g) e h), 29 e 30). Ciò, ove necessario, anche mediante consegna di copia di documenti all'uopo predisposti.

È altresì impregiudicata la facoltà del datore di lavoro di comunicare a terzi in forma realmente anonima dati ricavati dalle informazioni relative a singoli o

gruppi di lavoratori: si pensi al numero complessivo di ore di lavoro straordinario prestate o di ore non lavorate a livello aziendale o all'interno di singole unità produttive, agli importi di premi aziendali di risultato individuati per fasce, o qualifiche/livelli professionali, anche nell'ambito di singole funzioni o unità organizzative).

5.2. Intranet aziendale.

Allo stesso modo, il consenso del lavoratore è necessario per pubblicare informazioni personali allo stesso riferite (quali fotografia, informazioni anagrafiche o curricula) nella intranet aziendale (e a maggior ragione in Internet), non risultando tale ampia circolazione di dati personali di regola "necessaria per eseguire obblighi derivanti dal contratto di lavoro " (art. 24, comma 1, lett. b), del Codice). Tali obblighi possono trovare esecuzione indipendentemente da tale particolare forma di divulgazione che comunque, potendo a volte risultare pertinente (specie in realtà produttive di grandi dimensioni o ramificate sul territorio), richiede il preventivo consenso del singolo dipendente, salva specifica disposizione di legge.

5.3. La diffusione.

In assenza di specifiche disposizioni normative che impongano al datore di lavoro la diffusione di dati personali riferiti ai lavoratori (art. 24, comma 1, lett. a) o la autorizzino, o comunque di altro presupposto ai sensi dell'art. 24 del Codice, la diffusione stessa può avvenire solo se necessaria per dare esecuzione a obblighi derivanti dal contratto di lavoro (art. 24, comma 1, lett. b) del Codice). È il caso, ad esempio, dell'affissione nella bacheca aziendale di ordini di servizio, di turni lavorativi o feriali, oltre che di disposizioni riguardanti l'organizzazione del lavoro e l'individuazione delle mansioni cui sono deputati i singoli dipendenti.

Salvo che ricorra una di queste ipotesi, non è invece di regola lecito dare diffusione a informazioni personali riferite a singoli lavoratori, anche attraverso la loro pubblicazione in bacheche aziendali o in comunicazioni interne destinate alla collettività dei lavoratori, specie se non correlate all'esecuzione di obblighi lavorativi. In tali casi la diffusione si pone anche in violazione dei principi di finalità e pertinenza (art. 11 del Codice), come nelle ipotesi di:

affissione relativa ad emolumenti percepiti o che fanno riferimento a particolari condizioni personali ( in relazione alla diffusione di informazioni in grado di rivelare situazioni di handicap, Provv. 27 febbraio 2002: “Costituisce diffusione indiscriminata di dati idonei a rivelare lo stato di salute, e risulta quindi in contrasto con la disciplina posta dalla legge n. 675/1996 e dal d.lg. n. 135/1999 in materia di trattamento dei dati sensibili da parte di soggetti pubblici, l'inserimento della dicitura "portatore di handicap", riferita ad un'insegnante, nella graduatoria dei trasferimenti affissa nella bacheca di un provveditorato agli studi. Le esigenze di pubblicità dell'amministrazione possono essere soddisfatte attraverso l'apposizione di diciture generiche o codici numerici.”); sanzioni disciplinari irrogate o informazioni relative a controversie giudiziarie;

assenze dal lavoro per malattia; iscrizione e/o adesione dei singoli lavoratori ad associazioni.

5.4. I cartellini identificativi.

Analogamente, si possono determinare altre forme di diffusione di dati personali quando dette informazioni debbano essere riportate ed esibite su cartellini identificativi appuntati ad esempio sull'abito o sulla divisa del lavoratore (di solito, con lo scopo di migliorare il rapporto fra operatori ed utenti o clienti).

Al riguardo, l’Autorità ha già rilevato (Provv. 11 dicembre 2000: “Il provvedimento interessa i dipendenti di pubbliche amministrazioni, aziende sanitarie, compagnie aeree, aziende di trasporto, servizi di ristorazione, ecc. e individua i presupposti e le garanzie per gli interessati per ciò che riguarda l'inclusione delle loro generalità e di altri dati personali nei badge o cartellini identificativi utilizzati sul posto di lavoro.”), in relazione allo svolgimento del rapporto di lavoro alle dipendenze di soggetti privati, che l'obbligo di portare in modo visibile un cartellino identificativo può trovare fondamento in alcune prescrizioni contenute in accordi sindacali aziendali, il cui rispetto può essere ricondotto alle prescrizioni del contratto di lavoro. Tuttavia, in relazione al rapporto con il pubblico, si è ravvisata la sproporzione dell'indicazione sul cartellino di dati personali identificativi (generalità o dati anagrafici), ben potendo spesso risultare sufficienti altre informazioni (quali codici identificativi, il solo nome o il ruolo professionale svolto), per sé sole in grado di essere d'ausilio all'utenza.

5.5. Le modalità di comunicazione.

Salvi i casi in cui forme e modalità di divulgazione di dati personali discendano da specifiche previsioni (art. 174, comma 12, del Codice), il datore di lavoro deve utilizzare forme di comunicazione individualizzata con il lavoratore, adottando le misure più opportune per prevenire un'indebita comunicazione di dati personali, in particolare se sensibili, a soggetti diversi dal destinatario, ancorché incaricati di talune operazioni di trattamento (ad esempio, inoltrando le comunicazioni in plico chiuso o spillato; invitando l'interessato a ritirare personalmente la documentazione presso l'ufficio competente; ricorrendo a comunicazioni telematiche individuali).

Analoghe cautele, tenendo conto delle circostanze di fatto, devono essere adottate in relazione ad altre forme di comunicazione indirizzate al lavoratore dalle quali possano desumersi vicende personali (con riguardo alle dizioni riportate sui "cedolini" dello stipendio, o su documenti aventi la medesima funzione, Provv. 31 dicembre 1998: “Per i dati la cui inclusione nel cedolino dello stipendio appaia necessaria nell'interesse del dipendente, andrebbero adottate, ai sensi dell'art. 15 della legge n. 675/1996, opportune cautele a tutela della riservatezza che possono consistere, ad esempio, nel piegare e spillare il cedolino, nell'imbustarlo o nell'apporvi una copertura delle parti più significative che non riguardino dati di comune conoscenza (generalità, ufficio di appartenenza, ecc.), ovvero nell'introdurre una cd. "distanza di cortesia" agli sportelli.” e Provv. 19 febbraio 2002: “La dicitura "pignoramento" apposta sulla busta-paga a motivazione di una ritenuta operata sullo stipendio contrasta con i principi posti a tutela della riservatezza dei dati personali, in quanto rende chiaramente conoscibile a terzi delicati aspetti della vita privata del lavoratore. Le finalità di documentazione e trasparenza nel rapporto fra datore di lavoro e dipendente possono essere soddisfatte mediante l'utilizzazione di diverse dizioni o codici identificativi che rendano enucleabile la ritenuta senza descriverla specificamente.”).

6. Dati idonei a rivelare lo stato di salute di lavoratori

6.1. I dati sanitari.

Devono essere osservate cautele particolari anche nel trattamento dei dati sensibili del lavoratore (art. 4, comma 1, lett. d), del Codice) e, segnatamente, di quelli dati idonei a rivelarne lo stato di salute. Tra questi ultimi, può rientrare l'informazione relativa all'assenza dal servizio per malattia, indipendentemente dalla circostanza della contestuale enunciazione della diagnosi (la sentenza della Corte di giustizia delle Comunità europee, 6 novembre 2003, C-101/01). Per tali informazioni, l'ordinamento appresta anche fuori della disciplina di protezione dei dati personali particolari accorgimenti per contenere, nei limiti dell'indispensabile, i dati dei quali il datore di lavoro può venire a conoscenza per dare esecuzione al contratto (art. 8 della legge n. 300/1970).

In questo contesto, la disciplina generale contenuta nel Codice deve essere coordinata ed integrata, come si è visto, con altre regole settoriali (tra le quali, ad esempio, la richiamata regolamentazione contenuta nel d.lg. n. 626/1994 o nell'art. 5 della legge n. 300/1970 sugli accertamenti sanitari facoltativi) o speciali (ad esempio, i divieti contenuti negli artt. 5 e 6 della legge 5 giugno 1990, n. 135, in materia Aids o all’art. 124 d.P.R. 9 ottobre 1990, n. 309). Resta comunque vietata la diffusione di dati sanitari (art. 26, comma 5, del Codice).

6.2. Le assenze per ragioni di salute.

Con specifico riguardo al trattamento di dati idonei a rivelare lo stato di salute dei lavoratori, la normativa di settore e le disposizioni contenute nei contratti collettivi giustificano il trattamento dei dati relativi ai casi di infermità (e talora a quelli inerenti all'esecuzione di visite specialistiche o di accertamenti clinici) che determini un'incapacità lavorativa (temporanea o definitiva, con la conseguente sospensione o risoluzione del contratto). Non diversamente, il datore di lavoro può trattare dati relativi a invalidità o all'appartenenza a categorie protette, nei modi e per le finalità prescritte dalla vigente normativa in materia.

A tale riguardo, infatti, sussiste un quadro normativo articolato che prevede anche obblighi di comunicazione in capo al lavoratore e di successiva certificazione nei confronti del datore di lavoro e dell'ente previdenziale della condizione di malattia: obblighi funzionali non solo a giustificare i trattamenti normativi ed economici spettanti al lavoratore, ma anche a consentire al datore di lavoro, nelle forme di legge, di verificare le reali condizioni di salute del lavoratore.

Per attuare tali obblighi viene utilizzata un'apposita modulistica, consistente in un attestato di malattia da consegnare al datore di lavoro –con la sola indicazione dell'inizio e della durata presunta dell'infermità: c.d. "prognosi"– e in un certificato di diagnosi da consegnare, a cura del lavoratore stesso, all'Istituto nazionale della previdenza sociale (Inps) o alla struttura pubblica indicata dallo stesso Istituto d'intesa con la regione, se il lavoratore ha diritto a ricevere l'indennità di malattia a carico dell'ente previdenziale.

Tuttavia, qualora dovessero essere presentati dai lavoratori certificati medici redatti su modulistica diversa da quella sopra descritta, nella quale i dati di prognosi e di diagnosi non siano separati, i datori di lavoro restano obbligati, ove

possibile, ad adottare idonee misure e accorgimenti volti a prevenirne la ricezione o, in ogni caso, ad oscurarli.

6.3. La denuncia all'Inail.

Diversamente, per dare esecuzione ad obblighi di comunicazione relativi a dati sanitari, in taluni casi il datore di lavoro può anche venire a conoscenza delle condizioni di salute del lavoratore.

Tra le fattispecie più ricorrenti deve essere annoverata la denuncia all'Istituto assicuratore (Inail) avente ad oggetto infortuni e malattie professionali occorsi ai lavoratori; essa, infatti, per espressa previsione normativa, deve essere corredata da specifica certificazione medica (artt. 13 e 53 d.P.R. n. 1124/1965).

In tali casi, pur essendo legittima la conoscenza della diagnosi da parte del datore di lavoro, resta fermo a suo carico l'obbligo di limitarsi a comunicare all'ente assistenziale esclusivamente le informazioni sanitarie relative o collegate alla patologia denunciata e non anche dati sulla salute relativi ad altre assenze che si siano verificate nel corso del rapporto di lavoro, la cui eventuale comunicazione sarebbe eccedente e non pertinente – con la conseguente loro inutilizzabilità –, trattandosi di dati non rilevanti nel caso oggetto di denuncia (art. 11, commi 1 e 2 del Codice).

6.4. Le altre informazioni relative alla salute.

A tali fattispecie devono essere aggiunti altri casi nei quali può, parimenti, effettuarsi un trattamento di dati relativi alla salute del lavoratore (e finanche di suoi congiunti), anche al fine di permettergli di godere dei benefici di legge (quali, ad esempio, permessi o periodi prolungati di aspettativa con conservazione del posto di lavoro): si pensi, ad esempio, a informazioni relative a condizioni di handicap (art. 33, legge 5 febbraio 1992, n. 104; d.lg. 26 marzo 2001, n. 151). Allo stesso modo, il datore di lavoro può venire a conoscenza dello stato di tossicodipendenza del dipendente, ove questi richieda di accedere a programmi riabilitativi o terapeutici con conservazione del posto di lavoro (senza retribuzione), atteso l'onere di presentare (nei termini prescritti dai contratti collettivi) specifica documentazione medica al datore di lavoro (ai sensi dell'art. 124, commi 1 e 2, d.P.R. n. 309/1990).

6.5. Le comunicazioni all'Inps.

È altresì legittima la comunicazione di dati idonei a rivelare lo stato di salute dei lavoratori che il datore di lavoro faccia ai soggetti pubblici (enti previdenziali e assistenziali) tenuti a erogare le prescritte indennità in adempimento a specifici obblighi derivanti dalla legge, da altre norme o regolamenti o da previsioni contrattuali, nei limiti delle sole informazioni indispensabili.

In particolare, il datore di lavoro può comunicare all'Istituto nazionale della previdenza sociale (Inps) i dati del dipendente assente, anche per un solo giorno, al fine di farne controllare lo stato di malattia (art. 5, commi 1 e 2, l. 20 maggio 1970, n. 300); a tal fine deve tenere a disposizione e produrre, a richiesta, all'Inps, la documentazione in suo possesso. Le eventuali visite di controllo sullo stato di infermità del lavoratore, ai sensi dell'art. 5 della legge 20 maggio 1970, n. 300, o su richiesta dell'Inps o della struttura sanitaria pubblica da esso indicata, sono effettuate dai medici dei servizi sanitari indicati dalle regioni.

7. L’informativa

Il datore di lavoro è tenuto a rendere al lavoratore, prima di procedere al trattamento dei dati personali che lo riguardano (anche in relazione alle ipotesi nelle quali la legge non richieda il suo consenso), un'informativa individualizzata completa degli elementi indicati dall'art. 13 del Codice (Parere 8/2001, secondo il quale "i lavoratori devono conoscere quali dati il datore di lavoro stia raccogliendo sul loro conto (direttamente o da altre fonti), quali siano gli scopi delle operazioni di trattamento previste o effettuate per tali dati sia per il presente che per il futuro").

Con particolare riferimento a realtà produttive nelle quali, per ragioni organizzative (ad esempio, per l'articolata dislocazione sul territorio o per il ricorso consistente a forme di out-sourcing) o dimensionali, può risultare difficoltoso per il singolo lavoratore esercitare i propri diritti ai sensi dell'art. 7 del Codice, è opportuna la designazione di un responsabile del trattamento appositamente deputato alla trattazione di tali profili (o di responsabili esterni alla società, che effettuino, ad esempio, l'attività di gestione degli archivi amministrativi dei dipendenti), indicandolo chiaramente nell'informativa fornita.

8. Le misure di sicurezza

8.1. I dati sanitari.

Il datore di lavoro titolare del trattamento è tenuto ad adottare ogni misura di sicurezza, anche minima, prescritta dal Codice a protezione dei dati personali dei dipendenti comunque trattati nell'ambito del rapporto di lavoro, ponendo particolare attenzione all'eventuale natura sensibile dei medesimi (art. 31 ss. e Allegato B) al Codice).

Dette informazioni devono essere conservate separatamente da ogni altro dato personale dell'interessato; ciò, deve trovare attuazione anche con riferimento ai fascicoli personali cartacei dei dipendenti (ad esempio, utilizzando sezioni appositamente dedicate alla custodia dei dati sensibili, inclusi quelli idonei a rivelare lo stato di salute del lavoratore, da conservare separatamente o in modo da non consentirne una indistinta consultazione nel corso delle ordinarie attività amministrative) (Provv. 30 ottobre 2001: “Il trattamento dei dati personali idonei a rivelare lo stato di salute dei dipendenti di un soggetto pubblico è sottoposto dalle disposizioni del d.lg. n. 135/1999 a particolari obblighi e cautele che impongono, tra l'altro, la conservazione separata di dette informazioni da ogni altro dato personale dell'interessato; tale principio di tendenziale separazione, che si concreta soprattutto sul piano della custodia dei dati, deve trovare attuazione anche con riferimento ai fascicoli personali cartacei dei dipendenti dell'Inps, con conseguente obbligo dell'Istituto di preporre alla loro custodia apposito personale, specificamente istruito sulle finalità e sulle cautele indicate dal citato decreto.”).

Del pari, nei casi in cui i lavoratori producano spontaneamente certificati medici su modulistica diversa da quella descritta al punto 6.2., il datore di lavoro non può, comunque, utilizzare ulteriormente tali informazioni (art. 11, comma 2, del Codice) e deve adottare gli opportuni accorgimenti per non rendere visibili le diagnosi contenute nei certificati (ad esempio, prescrivendone la circolazione in busta chiusa previo oscuramento di tali informazioni); ciò, al fine di impedire

ogni accesso abusivo a tali dati da parte di soggetti non previamente designati come incaricati o responsabili (art. 31 e ss. del Codice).

8.2. Gli incaricati.

Resta fermo l'obbligo del datore di lavoro di preporre alla custodia dei dati personali dei lavoratori apposito personale, specificamente incaricato del trattamento, che "deve avere cognizioni in materia di protezione dei dati personali e ricevere una formazione adeguata. In assenza di un'adeguata formazione degli addetti al trattamento dei dati personali il rispetto della riservatezza dei lavoratori sul luogo di lavoro non potrà mai essere garantito" (Parere 8/2001, cit.).

8.3. Le misure fisiche ed organizzative.

Il datore di lavoro deve adottare, tra l'altro (artt. 31 ss. del Codice), misure organizzative e fisiche idonee a garantire che:

i luoghi ove si svolge il trattamento di dati personali dei lavoratori siano opportunamente protetti da indebite intrusioni; le comunicazioni personali riferibili esclusivamente a singoli lavoratori avvengano con modalità tali da escluderne l'indebita presa di conoscenza da parte di terzi o di soggetti non designati quali incaricati; siano impartite chiare istruzioni agli incaricati in ordine alla scrupolosa osservanza del segreto d'ufficio, anche con riguardo a dipendenti del medesimo datore di lavoro che non abbiano titolo per venire a conoscenza di particolari informazioni personali; sia prevenuta l'acquisizione e riproduzione di dati personali trattati elettronicamente, in assenza di adeguati sistemi di autenticazione o autorizzazione e/o di documenti contenenti informazioni personali da parte di soggetti non autorizzati; sia prevenuta l'involontaria acquisizione di informazioni personali da parte di terzi o di altri dipendenti: opportuni accorgimenti, ad esempio, devono essere presi in presenza di una particolare conformazione o dislocazione degli uffici, in assenza di misure idonee volte a prevenire la diffusione delle informazioni (si pensi al mancato rispetto di distanze di sicurezza o alla trattazione di informazioni riservate in spazi aperti, anziché all'interno di locali chiusi).

9. L’esercizio dei diritti previsti dall'art. 7 del Codice e riscontro del datore di lavoro

9.1. Il diritto di accesso.

I lavoratori interessati possono esercitare nei confronti del datore di lavoro i diritti previsti dall'art. 7 del Codice (nei modi di cui agli artt. 8 e ss.), tra cui il diritto di accedere ai dati che li riguardano (anziché, in quanto tale, all'intera documentazione che li contiene), di ottenerne l'aggiornamento, la rettificazione, l'integrazione, la cancellazione, la trasformazione in forma anonima o il blocco se trattati in violazione di legge, di opporsi al trattamento per motivi legittimi.

La richiesta di accesso che non faccia riferimento ad un particolare trattamento o a specifici dati o categorie di dati, deve ritenersi riferita a tutti i dati personali che riguardano il lavoratore comunque trattati dall'amministrazione (art. 10) e può riguardare anche informazioni di tipo valutativo (Provv. 7 marzo 2001: “Non preclude il ricorso al Garante una precedente azione giudiziaria relativa all'accesso ai documenti amministrativi ai sensi della legge n. 241/1990. I dati personali contenuti in valutazioni e giudizi sono accessibili all'interessato a prescindere dalla circostanza che derivino da un libero convincimento del "valutatore" e siano a volte insindacabili in tutto o in parte. In determinate situazioni l'inaccessibilità può determinarsi in momenti puramente prodromici che precedono la definizione dei giudizi”; Raccomandazione n. 1/2001 concernente i dati relativi alla valutazione del personale del Gruppo: “ai sensi della definizione dell'articolo 2(a) della direttiva 95/46/CE, si intende per "dati personali" qualsiasi informazione concernente una persona fisica identificata o identificabile, ad esempio dati relativi alla sua identità fisica, fisiologica, psichica, economica, cultura o sociale. Il campo d'applicazione di questa definizione implica che la definizione di dato personale può comprendere non solamente i dati amministrativi o che risultano da fattori obiettivi che possono essere verificati o rettificati, ma anche qualsiasi altro elemento, informazione o circostanza che ha un contenuto informativo che può fornire elementi supplementari di informazione concernenti una persona identificata o identificabile.

Dati personali possono quindi essere trovati nel quadro di valutazioni e giudizi soggettivi, che possono includere elementi specifici che caratterizzano l'identità fisica, fisiologica, mentale, economica, culturale o sociale della persona interessata. Quanto detto vale anche se un giudizio o una valutazione sono formulati sotto forma di un punteggio, di una scala di valori o di altri parametri di valutazione.”).

Tra essi non rientrano notizie di carattere contrattuale o professionale che non hanno natura di dati personali in qualche modo riferibili a persone identificate o identificabili (in tal senso, con riguardo ad esempio alle mansioni proprie di un determinato profilo professionale).

9.2. Il riscontro del datore di lavoro.

Il datore di lavoro destinatario della richiesta è tenuto a fornire un riscontro completo alla richiesta del lavoratore interessato, senza limitarsi alla sola elencazione delle tipologie di dati detenuti, ma comunicando in modo chiaro e intelligibile tutte le informazioni in suo possesso (in relazione ad informazioni personali conservate con tecniche di cifratura, Provv. 21 novembre 2001: “Le informazioni personali cifrate o, comunque, detenute in forma non immediatamente leggibile da parte dell'incaricato del trattamento, purché ricollegabili ad una determinata persona identificata o identificabile, costituiscono "dati personali" dell'interessato; ne consegue che, a seguito di rituale richiesta d'accesso, il titolare del trattamento deve provvedere alla loro "messa in chiaro" al fine di consentirne un'agevole comprensione da parte dell'interessato stesso.”).

9.3. La tempestività del riscontro.

Il riscontro deve essere fornito nel termine di 15 giorni dal ricevimento dell'istanza dell'interessato (ritualmente presentata, con il quale si è dichiarato inammissibile un ricorso presentato a seguito di istanza avanzata dalle "segreterie nazionali" di alcune organizzazioni sindacali priva di sottoscrizione); il termine più lungo, pari a 30 giorni, può essere osservato, dandone comunicazione all'interessato, solo se le operazioni necessarie per un integrale riscontro sono di particolare complessità o se ricorre altro giustificato motivo (art. 146 del Codice).

Pertanto il datore di lavoro, specie nelle realtà produttive di grande dimensione (ad esempio Provv. 2 luglio 2003: “Ciascun titolare del trattamento è tenuto ad adottare tutte le misure organizzative idonee a fornire tempestiva risposta, anche negativa, alle istanze di accesso ai dati personali. Va quindi accolto il ricorso con cui l’interessato, ex dipendente di una società, abbia chiesto la comunicazione dei dati contenuti nei prospetti paga relativi a periodi pregressi, anche lontani nel tempo, ove la titolare del trattamento, nel rispondere di non essere allo stato in grado, per la complessità delle ricerche, di comunicare le informazioni richieste, si riservi di fornire eventuali più precisi ragguagli all’esito degli ulteriori accertamenti in corso.”), deve pertanto predisporre procedure organizzative adeguate per dare piena attuazione alle disposizioni del Codice in materia di accesso ai dati e all'esercizio degli altri diritti, anche attraverso l'impiego di appositi programmi finalizzati ad una accurata selezione dei dati relativi a singoli lavoratori, nonché alla semplificazione delle modalità e alla compressione dei tempi per il riscontro.

9.4. Le modalità del riscontro.

Il riscontro può essere fornito anche oralmente; tuttavia, in presenza di una specifica istanza, il datore di lavoro è tenuto a trasporre i dati su o cartaceo o informatico o a trasmetterli all'interessato per via telematica (art. 10).

Muovendo dalla previsione dell'art. 10, comma 1, del Codice, secondo cui il titolare deve predisporre accorgimenti idonei "a semplificare le modalità e a ridurre i tempi per il riscontro al richiedente", può risultare legittima la richiesta dell'interessato di ricevere la comunicazione dei dati in questione presso la propria sede lavorativa o la propria abitazione.

9.5. I dati personali e la documentazione.

Come più volte dichiarato dal Garante, l’esercizio del diritto di accesso consente di ottenere, ai sensi dell’art. 10 del Codice, solo la comunicazione dei dati personali relativi al richiedente detenuti dal titolare del trattamento e da estrarre da atti e documenti; non permette invece di richiedere a quest’ultimo il diretto e illimitato accesso a documenti e ad intere tipologie di atti, o la creazione di documenti allo stato inesistenti negli archivi, o la loro innovativa aggregazione secondo specifiche modalità prospettate dall’interessato o, ancora, di ottenere, sempre e necessariamente, copia dei documenti detenuti, ovvero di pretendere particolari modalità di riscontro (salvo quanto previsto per la trasposizione dei dati su o cartaceo: cfr. art. 10, comma 2, del Codice).

Specie nei casi in cui è elevata la mole di informazioni personali detenute dal titolare del trattamento, il diritto di accesso ai dati può essere soddisfatto mettendo a disposizione dell’interessato il fascicolo personale (Provv. 16 ottobre 2002: “La messa a disposizione del fascicolo personale costituisce modalità adeguata per riscontrare le richieste d’accesso ai dati del lavoratore nei casi in cui, per la quantità e qualità delle informazioni richieste, sia difficile procedere ad un’estrapolazione dei dati conservati dal datore di lavoro.”), dal quale successivamente possono essere estratte le informazioni personali.

La scelta circa l’eventuale esibizione o consegna in copia di atti e documenti contenenti i dati personali richiesti può essere effettuata dal titolare del trattamento nel solo caso in cui l’estrapolazione dei dati personali da tali documenti risulti particolarmente difficoltosa per il titolare medesimo (Provv. 25 novembre 2002: “Il datore di lavoro, a fronte di un’istanza di accesso formulata dal dipendente, volta a conoscere le informazioni contenute nelle note caratteristiche, non può limitarsi a consentire la semplice visione della documentazione, ma ha l’obbligo di fornire riscontro al richiedente provvedendo a comunicare i dati mediante trasposizione su o cartaceo o informatico,

ovvero, se richiesta, mediante trasmissione in via telematica.”); devono essere poi omessi eventuali dati personali riferiti a terzi (art. 10, comma 4, del Codice). L’adozione di tale modalità di riscontro non comporta l’obbligo in capo al titolare di fornire copia di tutti i documenti che contengano i medesimi dati personali dell’interessato, quando gli stessi dati siano conservati in più atti, lettere o note.

Nel fornire riscontro ad una richiesta di accesso formulata ai sensi degli artt. 7 e 8 del Codice, il titolare del trattamento deve, poi, comunicare i dati richiesti ed effettivamente detenuti, e non è tenuto a ricercare o raccogliere altri dati che non siano nella propria disponibilità e non siano oggetto, in alcuna forma, di attuale trattamento da parte dello stesso (o perché originariamente trattati e non più disponibili, ovvero perché, come nel caso di dati contenuti nella corrispondenza intercorsa, in qualunque forma, tra dipendenti di un determinato datore di lavoro, non siano mai stati nell’effettiva e libera disponibilità di quest’ultimo (si pensi al caso di dati contenuti nella corrispondenza intercorsa tra dipendenti) – al di là dei profili di tutela della segretezza della corrispondenza che pur vengono in rilievo –, non competerebbero le decisioni in ordine alle loro finalità e modalità di trattamento (cfr. art. 4, comma 1, lett. F), del Codice).

9.6. L’aggiornamento.

Infine, il lavoratore può ottenere l’aggiornamento dei dati personali a sé riferiti (in relazione all’aggiornamento del dato relativo al titolo di studio, Provv. 6 settembre 2002: “Nell’ipotesi in cui il lavoratore trasmetta al datore di lavoro la certificazione attestante l’avvenuto conseguimento del diploma di laurea, quest’ultimo è obbligato ad aggiornare i dati personali del dipendente, il quale può altrimenti rivolgersi al Garante per ottenere, oltre all’aggiornamento, l’attestazione, da parte del datore, dell’avvenuta comunicazione dell’operazione a tutti coloro cui i dati erano stati trasmessi.”). In ordine, poi, all’eventuale richiesta di rettifica dei dati personali indicati nel profilo professionale del lavoratore, la medesima può avvenire solo in presenza della prova dell’effettiva e legittima attribuibilità delle qualifiche rivendicate dall’interessato, ad esempio in base a “decisioni o documenti del datore di lavoro o di terzi, obblighi derivanti dal contratto di lavoro, provvedimenti di organi giurisdizionali relativi all’interessato o altri titoli o atti che permettano di ritenere provata, agli effetti e sul piano dell’applicazione della [disciplina di protezione dei dati personali], la richiesta dell’interessato” (che può comunque far valere in altra sede, sulla base di idoneo materiale probatorio, la propria pretesa al riconoscimento della qualifica o mansione rivendicata) (in relazione all’aggiornamento delle informazioni relative al titolo di studio, Provv. 9 gennaio 2003: “Va respinta la domanda con la quale il dipendente chiede la rettifica, nel curriculum vitae e in altri atti detenuti dal datore di lavoro, dei dati relativi alla qualifica professionale attribuitagli.Detta rettifica, infatti, può conseguire solo ad una prova sostanziale dell’effettiva e legittima attribuibilità della qualifica rivendicata (ad esempio, una decisione del datore di lavoro che ne attribuisca la titolarità ovvero provvedimenti giurisdizionali che la affermino).Resta in ogni caso impregiudicato il diritto del lavoratore di far valere in altra sede la pretesa al riconoscimento della diversa qualifica.”).

CAPITOLO II-PRIVACY E RAPPORTO DI LAVORO IN AMBITO PUBBLICO

1. Premessa

1.1. Scopo delle linee guida.

Anche in materia di pubblico impiego, come già per i rapporti di lavoro in ambito privato, si è sentita l'opportunità di individuare un quadro unitario di misure e di accorgimenti necessari e opportuni, volti a fornire orientamenti utili per cittadini e amministrazioni interessate.

Il quadro unitario ha dato vita alla Deliberazione n. 23 del 14 giugno 2007, meglio conosciuta come “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico”, pubblicata in G.U. 13 luglio 2007, n. 161.

Tale esigenza si è rilevata essere la stessa che ha generato le ““Linee-guida per il trattamento di dati dei dipendenti privati”, con l’aggiunta di quanto previsto dalla normativa inserita nel testo unico delle leggi sull'ordinamento degli enti locali (d.lg. 18 agosto 2000, n. 267).

Anche in questo caso, per fornire indicazioni e raccomandazioni riguardo alle operazioni di trattamento effettuate con dati personali (anche sensibili) di lavoratori alle dipendenze di datori di lavoro pubblici, il Garante ha ravvisato l'esigenza di adottare le presenti linee guida, suscettibili di periodico aggiornamento, nelle quali si è tenuto conto di precedenti decisioni dell'Autorità. Le linee guida in materia di pubblico impiego hanno seguito quelle adottate rispetto agli analoghi trattamenti effettuati da datori di lavoro privati, con le quali, coincidono per molteplici aspetti.

L'adozione di distinte linee guida per il settore pubblico deriva dall'esigenza di evidenziare, nel quadro della tendenziale uniformità dei principi applicabili al rapporto di lavoro (difatti, si è tenuto conto della Raccomandazione n. R (89) 2 del Consiglio d'Europa relativa alla protezione dei dati a carattere personale utilizzati ai fini dell'occupazione, del Parere n. 8/2001 sul trattamento dei dati personali nel contesto dell'occupazione, reso il 13 settembre 2001 dal Gruppo Art. 29 dei Garanti europei, nonché del Code of practice, "Protection of workers' personal data", approvato dall'Organizzazione internazionale del lavoro), alcune specificità che si pongono per i soggetti pubblici datori di lavoro (taluni presupposti del trattamento; speciali disposizioni che prevedono casi di necessaria comunicazione o diffusione di dati; situazioni particolari).

Come per il settore privato, le indicazioni fornite non pregiudicano l'applicazione delle disposizioni di legge o di regolamento che stabiliscono particolari divieti o limiti in relazione a taluni settori o a specifici casi di trattamento (artt. 113, 114 e 184, comma 3, del Codice).

1.2. Ambiti considerati.

Le tematiche prese in considerazione si riferiscono, in particolare, alla comunicazione e alla diffusione di dati e al trattamento delle informazioni sensibili (in specie, di quelli idonei a rivelare lo stato di salute e le convinzioni religiose) o di dati biometrici relativi a lavoratori alle dipendenze di pubbliche amministrazioni, per i quali valgono le stesse argomentazioni affrontate per i rapporti di lavoro in ambito privato.

2. Il rispetto dei principi di protezione dei dati personali

2.1. Considerazioni generali.

Anche per i datori di lavoro pubblici il trattamento dei dati personali è disciplinato assicurando un livello elevato di tutela dei diritti e delle libertà fondamentali e conformando il medesimo trattamento ai principi di semplificazione, armonizzazione ed efficacia, sia per le modalità di esercizio dei diritti, sia per l'adempimento degli obblighi da parte dei titolari del trattamento (art. 2, comma 2, del Codice).

I lavoratori, nel rapporto con il proprio datore di lavoro pubblico, hanno diritto di ottenere che il trattamento dei dati effettuato mediante l'uso di tecnologie telematiche sia conformato al rispetto dei predetti diritti e libertà (art. 2, comma 5, del Codice dell'amministrazione digitale, così come modificato dal d.lg. 4 aprile 2006, n. 159). Assume quindi particolare rilievo la necessità che i soggetti pubblici colgano l'occasione della progressiva introduzione di nuove tecniche rispetto alle modalità tradizionali di trattamento dei dati su base cartacea per valutare preventivamente come rendere efficienti i propri sistemi informativi, individuando forme adeguate di trattamento che tutelino appieno i lavoratori.

Le cautele e gli accorgimenti devono essere opportunamente graduati tenendo conto anche delle diverse forme del trattamento e della differente natura dei dati comuni e sensibili.

2.2. Liceità, pertinenza, trasparenza.

Il datore di lavoro pubblico può lecitamente trattare dati personali dei lavoratori nella misura in cui ciò sia necessario per la corretta gestione del rapporto di lavoro, avendo cura di applicare le previsioni che riguardano le proprie funzioni istituzionali o il rapporto di lavoro, contenute in leggi, regolamenti, contratti e in accordi collettivi, in modo da avvalersi di informazioni personali e modalità di trattamento proporzionate ai singoli scopi.

Il Codice in materia di protezione dei dati personali, anche in attuazione di direttive comunitarie (nn. 95/46/Ce e 2002/58/Ce), prescrive che il trattamento di dati personali per la gestione del rapporto di lavoro avvenga, in particolare:

rispettando i princìpi di necessità, di liceità e di qualità dei dati (artt. 3 e 11 del Codice); attenendosi alle funzioni istituzionali e applicando i presupposti e i limiti previsti da leggi e regolamenti rilevanti per il trattamento, in particolare in materia di pubblico impiego (art. 18 del Codice); dando applicazione effettiva e concreta al principio di indispensabilità nel trattamento dei dati sensibili e giudiziari, il quale vieta di trattare informazioni o di effettuare operazioni che non siano realmente indispensabili per raggiungere determinate finalità previste specificamente (artt. 4, comma 1, lett. d) ed e), 22, commi 3, 5 e 9, e 112 del Codice); limitando il trattamento di dati sensibili e giudiziari alle sole informazioni ed operazioni di trattamento individuate e rese pubbliche con l'atto regolamentare adottato in conformità al parere del Garante (artt. 20, 21, 112 e 154 del Codice); informando preventivamente e adeguatamente gli interessati (art. 13 del Codice);

adottando adeguate misure di sicurezza, idonee a preservare i dati da alcuni eventi tra cui accessi ed utilizzazioni indebiti, rispetto ai quali l'amministrazione può essere chiamata a rispondere anche civilmente e penalmente (artt. 15 e 31 e ss. del Codice).

2.3. Finalità.

Il trattamento dei dati personali, anche sensibili, riferibili ai lavoratori deve essere orientato in concreto all'esclusivo o prevalente scopo di adempiere agli obblighi e ai compiti in materia di rapporto di lavoro e di impiego alle dipendenze delle amministrazioni pubbliche.

Oltre alle leggi e ai regolamenti, anche i contratti collettivi (nazionali e integrativi) contengono alcune previsioni che permettono di trattare lecitamente informazioni di natura personale anche per ciò che attiene all'attività sindacale (ad esempio, per determinare il trattamento economico fondamentale ed accessorio, per fruire di permessi o di aspettative sindacali, per accedere a qualifiche, per la mobilità o per la responsabilità disciplinare).

Il trattamento effettuato dal soggetto pubblico deve attenersi in concreto a queste disposizioni e restare compatibile con le finalità per le quali i dati sono stati inizialmente raccolti o già trattati (art. 11, comma 1, lett. b), del Codice).

Particolare attenzione deve essere posta alle disposizioni dei contratti collettivi che prevedono la conoscenza di dati da parte di organizzazioni sindacali, avendo cura che il doveroso rispetto degli obblighi di informativa, consultazione, concertazione e contrattazione che comportano la comunicazione di informazioni alle medesime organizzazioni avvenga nel rispetto dei principi di necessità e proporzionalità.

I soggetti pubblici potrebbero peraltro cogliere l'occasione dei rinnovi dei contratti collettivi per verificare l'attualità e la chiarezza di tali previsioni contrattuali, verificando anche la loro adeguatezza rispetto a casi che si

verificano in concreto (si pensi al problema della contestuale iscrizione dei lavoratori a più organizzazioni sindacali contestata da alcuna di esse).

In questo quadro occorre anche mantenere distinti i casi in cui è prevista specificamente la comunicazione solo di dati numerici aggregati da quelli in cui, in un'ottica di trasparenza e graduazione dell'accesso delle organizzazioni sindacali ad informazioni personali che risultino necessarie per verificare in conformità alla legge la concreta applicazione delle disposizioni del contratto collettivo da parte del datore di lavoro, è invece consentita (ed è giustificata in rapporto al caso concreto) la conoscenza di dati riferiti a singoli lavoratori.

In tale ottica, nell'ambito della disciplina contrattuale, si potrebbe pertanto prevedere di regola un accesso preliminare del sindacato a dati aggregati, riferiti all'intera struttura lavorativa o a singole unità organizzative ovvero a gruppi di lavoratori e, soltanto in presenza di successive anomalie o di specifiche esigenze di verifica, consentire (in casi espressamente previsti e circostanziati) all'organizzazione sindacale di conoscere anche informazioni personali relative a singoli o a gruppi di lavoratori. Ciò sempreché, nel caso concreto, sia effettivamente necessario per dimostrare la corretta applicazione dei criteri pattuiti e la comunicazione sia limitata alle informazioni pertinenti e non eccedenti rispetto a tale scopo. Resta fermo che l'eventuale successivo trattamento illecito o non corretto delle informazioni acquisite da parte dell'organizzazione sindacale si svolge nella sfera di responsabilità della medesima organizzazione (l'organizzazione sindacale potrà a sua volta comunicare a terzi o diffondere i dati personali ottenuti dall'amministrazione soltanto previa acquisizione del consenso informato dei dipendenti interessati o di altro presupposto equipollente ai sensi dell’art. 24 del Codice).

3. Titolare, responsabile e incaricati del trattamento

3.1. La corretta individuazione delle figure.

Resta importante individuare correttamente i soggetti che, a diverso titolo, possono trattare i dati nell'ambito della pubblica amministrazione "titolare" del trattamento ("incaricati"; eventuali "responsabili"), definendo chiaramente le rispettive attribuzioni (artt. 4, comma 1, lett. f), g) e h), 28, 29 e 30 del Codice).

Rinviando per brevità di esposizione ai numerosi pronunciamenti del Garante sul tema, giova ricordare che in linea di principio, per individuare il titolare del trattamento, occorre far riferimento all'amministrazione o ente centrale o locale nel suo complesso, anziché a singole articolazioni interne o alle persone fisiche che l'amministrano o la rappresentano (ad esempio, il ministro, il direttore generale o il presidente).

Nelle amministrazioni più articolate, specie di grandi dimensioni o ramificate sul territorio, è possibile che alcune figure o unità organizzative siano dotate in conformità alla legge di poteri decisionali effettivamente del tutto autonomi riguardo ai trattamenti di dati personali. In tal caso, rispettando in concreto quanto previsto dal Codice (art. 28), tali articolazioni possono essere considerate lecitamente quali "titolari" autonomi o eventuali "contitolari del trattamento" (si pensi, ad esempio, ad una singola direzione generale o area geografica di un'amministrazione ministeriale di particolare complessità organizzativa (note 9 dicembre 1997: “L'importante quesito posto dalle F.S. S.p.A. riguarda la concreta individuazione della figura del titolare del trattamento. Il Garante ha chiarito che se il trattamento è effettuato nell'ambito di una persona giuridica di una pubblica amministrazione o di un altro organismo, il titolare è l'entità nel suo complesso anziché una o più persone fisiche.”; “Il Garante, in relazione ad una circolare del Ministero delle finanze, richiama l'attenzione sulla necessità di individuare in maniera più corretta la figura del titolare del trattamento.”).

Nel rispetto dei principi generali sopra richiamati in materia di trattamento di dati personali (cfr. punto 2), le amministrazioni devono disciplinare le modalità del trattamento, designando gli eventuali soggetti responsabili e, in ogni caso, le persone fisiche incaricate, che possono acquisire lecitamente conoscenza dei dati inerenti alla gestione del rapporto di lavoro, attenendosi alle funzioni svolte e a idonee istruzioni scritte (artt. 4, comma 1, lett. g) e h), 29 e 30).

È, infatti, facoltà delle amministrazioni designare alcuni soggetti (persone fisiche o giuridiche, enti od organismi) quali "responsabili" del trattamento, delineandone analiticamente e per iscritto i compiti attribuiti, e individuando al loro interno, se del caso, ulteriori livelli di responsabilità in base all'organizzazione delle divisioni e degli uffici o alle tipologie di trattamenti, di archivi e di dati, sempreché ciascuno di questi dimostri l'esperienza, la capacità e l'affidabilità richieste dalla legge (art. 29 del Codice).

È necessario invece che ogni lavoratore sia preposto per iscritto, in qualità di "incaricato", alle operazioni di trattamento e sia debitamente istruito in ordine all'accesso e all'utilizzo delle informazioni personali di cui può venire a conoscenza nello svolgimento della propria prestazione lavorativa. La designazione degli incaricati può essere effettuata nominativamente o, specie nell'ambito di strutture organizzative complesse, mediante atti di preposizione del lavoratore a unità organizzative per le quali venga altresì previamente individuato, per iscritto, l'ambito del trattamento consentito (art. 30 del Codice).

3.2. Il medico competente.

Anche il datore di lavoro pubblico deve svolgere alcuni trattamenti di dati in applicazione della disciplina in materia di igiene e sicurezza del lavoro (art. 1, commi 1 e 2, d.lg. n. 626/1994 e successive modificazioni e integrazioni).

Tale disciplina, che attua anche alcune direttive comunitarie e si colloca nella cornice più ampia delle misure necessarie a tutelare l'integrità psico-fisica dei lavoratori, pone direttamente in capo al medico competente in materia di igiene e sicurezza nei luoghi di lavoro la sorveglianza sanitaria obbligatoria (e, ai sensi degli artt. 16 e 17 del d.lg. n. 626/1994, il correlato trattamento dei dati contenuti in cartelle cliniche).

In questo ambito il medico competente effettua accertamenti preventivi e periodici sui lavoratori (art. 33 d.P.R. n. 303/1956; art. 16 d.lg. n. 626/1994) e istituisce (curandone l'aggiornamento) una cartella sanitaria e di rischio (in conformità alle prescrizioni contenute negli artt. 17, 59-quinquiesdecies, comma 2, lett. b), 59-sexiesdecies, 70, 72-undecies e 87 d.lg. n. 626/1994).

Detta cartella è custodita presso l'amministrazione "con salvaguardia del segreto professionale, e consegnata in copia al lavoratore stesso al momento della risoluzione del rapporto di lavoro, ovvero quando lo stesso ne fa richiesta" (artt. 4, comma 8, e 17, comma 1, lett. d), d.lg. n. 626/1994); in caso di cessazione del rapporto di lavoro le cartelle sono trasmesse all'Istituto superiore prevenzione e sicurezza sul lavoro-Ispesl (artt. 59-sexiesdecies, comma 4, 70, comma 4, 72undecies, comma 3 e 87, comma 3, lett c), d.lg. n. 626/1994), in originale e in busta chiusa (circolare Ispesl 3 marzo 2003, n. 2260).

In relazione a tali disposizioni, al medico competente è consentito trattare dati sanitari dei lavoratori anche mediante annotazione nelle cartelle sanitarie e di rischio, e curando le opportune misure di sicurezza per salvaguardare la segretezza delle informazioni trattate. Ciò, quale che sia il titolare del trattamento effettuato a cura del medico. Alle predette cartelle il datore di lavoro non può accedere, dovendo soltanto concorrere ad assicurarne un'efficace custodia nei locali dell'amministrazione (anche in vista di possibili accertamenti ispettivi da parte dei soggetti istituzionalmente competenti) ma, come detto, "con salvaguardia del segreto professionale" (art. 4, comma 8, d.lg. 19 settembre 1994, n. 626).

Il datore di lavoro pubblico è tenuto, su parere del medico competente (o qualora quest'ultimo lo informi di anomalie imputabili all'esposizione a rischio), ad adottare le misure preventive e protettive per i lavoratori interessati; in questo specifico contesto il datore di lavoro può accedere al giudizio di idoneità del lavoratore allo svolgimento di date mansioni, anziché alle specifiche patologie accertate.

Il medico può farsi assistere da personale sanitario, anche dipendente dello stesso datore di lavoro pubblico, che deve essere designato quale incaricato del trattamento dei dati personali impartendo ad esso specifiche istruzioni per salvaguardare la segretezza delle informazioni trattate (art. 30 del Codice). In tal caso, a prescindere da quale sia il titolare del trattamento e dagli eventuali obblighi in tema di segreto d'ufficio, il medico competente deve predisporre misure idonee a garantire il rispetto del segreto professionale da parte dei propri collaboratori che non siano tenuti per legge al segreto professionale, mettendoli ad esempio a conoscenza di tali disposizioni e delle relative sanzioni (art. 10 del codice di deontologia medica del 16 dicembre 2006; art. 4 del codice deontologico per gli infermieri del maggio del 1999).

3.3. Provv. 9 novembre 2005 e le strutture sanitarie.

A seguito della presentazione al Garante di reclami e segnalazioni con i quali si è rappresentato che alcune strutture sanitarie, nell'erogare prestazioni e servizi per finalità di prevenzione, diagnosi, cura e riabilitazione, non avrebbero rispettato le garanzie previste dalla legge a tutela, in particolare, della dignità e della riservatezza delle persone interessate.

In materia di trattamento dei dati personali in ambito sanitario, il Codice ha previsto che gli organismi sanitari pubblici e privati adottino misure ed accorgimenti di carattere supplementare rispetto a quelle già previste per il trattamento dei dati sensibili e per il rispetto delle misure di sicurezza. In particolare, l'art. 83 ha individuato alcune specifiche prescrizioni che devono tradursi anche in adeguate misure organizzative, ferma restando la necessità di adottare comunque tutti gli ulteriori accorgimenti che si rendessero opportuni per garantire il più ampio rispetto dei diritti e delle libertà fondamentali e della dignità degli interessati, nonché del segreto professionale.

Con il Provv. 9 novembre 2005, il Garante ha inteso richiamare l'attenzione dei soggetti che operano in ambito sanitario in ordine alla necessità di adeguare il funzionamento e l'organizzazione delle strutture sanitarie alle previsioni stabilite dal Codice in materia di protezione di dati personali (art. 83). I medesimi soggetti sono stati altresì invitati ad adottare tutte le misure ritenute necessarie ed opportune, conformemente ai principi generali, per garantire il rispetto della dignità della persona e il massimo livello di tutela degli interessati in ambito sanitario.

Le misure organizzative in esame devono essere adottate per espresso obbligo di legge da tutti gli organismi sanitari, sia pubblici (es. aziende sanitarie territoriali, aziende ospedaliere), sia privati (es. case di cura).

Sono tenuti alla loro adozione anche i servizi e le strutture di soggetti pubblici operanti in ambito sanitario o aventi competenza in materia di prevenzione e sicurezza del lavoro (es. osservatori epidemiologici regionali, servizi di prevenzione e sicurezza sul lavoro).

I medici di medicina generale e i pediatri di libera scelta, nonché, deve ritenersi, anche i medici specialisti operanti in studi medici privati, non sono invece destinatari dell'obbligo di adottare dette misure, che riguardano l'organizzazione di strutture. I medesimi soggetti devono comunque ottemperare ai principi cui si ispirano le disposizioni in esame, predisponendo in ogni caso misure idonee a garantire il rispetto dei diritti e delle libertà fondamentali e della dignità degli interessati, nonché del segreto professionale, secondo modalità adeguate a garantire un rapporto personale e fiduciario con gli assistiti (art. 83, comma 2bis, del Codice).

Gli organismi sanitari pubblici e privati, in qualità di titolari del trattamento dei dati personali, devono garantire, in particolare, il rispetto dei seguenti principi:

a) dignità dell'interessato (art. 83, comma 2, lett. e) del Codice) La prestazione medica e ogni operazione di trattamento dei dati personali deve avvenire nel pieno rispetto della dignità dell'interessato (artt. 2 e 83 del Codice).

La tutela della dignità personale deve essere garantita nei confronti di tutti i soggetti cui viene erogata una prestazione sanitaria, con particolare riguardo a fasce deboli quali i disabili, fisici e psichici, i minori, gli anziani e i soggetti che versano in condizioni di disagio o bisogno.

Particolare riguardo deve essere prestato nel rispettare la dignità di pazienti sottoposti a trattamenti medici invasivi o nei cui confronti è comunque doverosa una particolare attenzione anche per effetto di specifici obblighi di legge o di regolamento o della normativa comunitaria (ad es., in riferimento a sieropositivi o affetti da infezione da Hiv –l. 5 giugno 1990, n. 135-, all'interruzione di gravidanza – l. 22 maggio 1978, n. 194 - o a persone offese da atti di violenza sessuale - art. 734bis del codice penale).

Nei reparti di rianimazione dove si possono visitare i degenti solo attraverso vetrate o videoterminali devono essere adottati accorgimenti, anche provvisori (ad es., mediante paraventi), che delimitino la visibilità dell'interessato durante l'orario di visita ai soli familiari e conoscenti.

La necessità di rispettare la dignità è stata rappresentata al Garante anche in relazione alle modalità di visita e di intervento sanitario effettuati nelle aziende ospedaliero-universitarie alla presenza di studenti autorizzati. Le strutture che intendono avvalersi di questa modalità devono indicare nell'informativa da fornire al paziente che (art. 13 del Codice), in occasione di alcune prestazioni sanitarie, si perseguono anche finalità didattiche, oltre che di cura e prevenzione (d.lg. n. 517/1999). Durante tali prestazioni devono essere adottate specifiche cautele volte a limitare l'eventuale disagio dei pazienti, anche in relazione al grado di invasività del trattamento circoscrivendo, ad esempio, il numero degli studenti presenti e rispettando eventuali legittime volontà contrarie.

b) riservatezza nei colloqui e nelle prestazioni sanitarie (art. 83, comma 2, lett. c) e d) É doveroso adottare idonee cautele in relazione allo svolgimento di colloqui, specie con il personale sanitario (ad es. in occasione di prescrizioni o di certificazioni mediche), per evitare che in tali occasioni le informazioni sulla salute dell'interessato possano essere conosciute da terzi. Le medesime cautele vanno adottate nei casi di raccolta della documentazione di anamnesi, qualora avvenga in situazioni di promiscuità derivanti dai locali o dalle modalità utilizzate.

Il rispetto di questa garanzia non ostacola la possibilità di utilizzare determinate aree per più prestazioni contemporanee, quando tale modalità risponde all'esigenza terapeutica di diminuire l'impatto psicologico dell'intervento medico (ad es., alcuni trattamenti sanitari effettuati nei confronti di minori).

c) notizie su prestazioni di pronto soccorso (art. 83, comma 2, lett. f) L'organismo sanitario può dare notizia, anche per via telefonica, circa una prestazione di pronto soccorso, ovvero darne conferma a seguito di richiesta anche per via telefonica.

La notizia o la conferma devono essere però fornite correttamente ai soli terzi legittimati, quali possono essere familiari, parenti o conviventi, valutate le diverse circostanze del caso.

Questo genere di informazioni riguarda solo la circostanza che è in atto o si è svolta una prestazione di pronto soccorso, e non attiene ad informazioni più dettagliate sullo stato di salute.

L'interessato - se cosciente e capace - deve essere preventivamente informato dall'organismo sanitario (ad es. in fase di accettazione), e posto in condizione di fornire indicazioni circa i soggetti che possono essere informati della prestazione di pronto soccorso. Occorre altresì rispettare eventuali sue indicazioni specifiche o contrarie.

Il personale incaricato deve accertare l'identità dei terzi legittimati a ricevere la predetta notizia o conferma, avvalendosi anche di elementi desunti dall'interessato.

d) dislocazione dei pazienti nei reparti (art. 83, comma 2, lett. g) Il Codice incentiva le strutture sanitarie a prevedere, in conformità agli ordinamenti interni, le modalità per fornire informazioni ai terzi legittimati circa la dislocazione dei degenti nei reparti, allorché si debba ad esempio rispondere a richieste di familiari e parenti, conoscenti e personale del volontariato.

L'interessato cosciente e capace deve essere, anche in questo caso, informato e posto in condizione (ad es. all'atto del ricovero) di fornire indicazioni circa i soggetti che possono venire a conoscenza del ricovero e del reparto di degenza. Occorre altresì rispettare l'eventuale sua richiesta che la presenza nella struttura sanitaria non sia resa nota neanche ai terzi legittimati (Carta dei servizi pubblici sanitari, dPCM 19 maggio 1995).

Come per le prestazioni di pronto soccorso, questo genere di informazioni riguarda la sola presenza nel reparto e non anche informazioni sullo stato di salute.

Possono essere fornite informazioni sullo stato di salute a soggetti diversi dall'interessato quando sia stato manifestato un consenso specifico e distinto al riguardo, consenso che può essere anche manifestato da parte di un altro soggetto legittimato, in caso di impossibilità fisica, incapacità di agire o incapacità di intendere o di volere dell'interessato (art. 82).

e) distanza di cortesia (art. 83, comma 2, lett. b) Le strutture sanitarie devono predisporre apposite distanze di cortesia in tutti i casi in cui si effettua il trattamento di dati sanitari (es. operazioni di sportello, acquisizione di informazioni sullo stato di salute), nel rispetto dei canoni di confidenzialità e della riservatezza dell'interessato.

Vanno in questa prospettiva prefigurate appropriate soluzioni, sensibilizzando gli utenti con idonei inviti, segnali o cartelli.

f) ordine di precedenza e di chiamata (art. 83, comma 2, lett. a) All'interno dei locali di strutture sanitarie, nell'erogare prestazioni sanitarie o espletando adempimenti amministrativi che richiedono un periodo di attesa (ad es., in caso di analisi cliniche), devono essere adottate soluzioni che prevedano un ordine di precedenza e di chiamata degli interessati che prescinda dalla loro individuazione nominativa (ad es., attribuendo loro un codice numerico o alfanumerico fornito al momento della prenotazione o dell'accettazione). Ovviamente, tale misura non deve essere applicata durante i colloqui tra l'interessato e il personale medico o amministrativo.

Quando la prestazione medica può essere pregiudicata in termini di tempestività o efficacia dalla chiamata non nominativa dell'interessato (ad es. in funzione di particolari caratteristiche del paziente anche legate ad uno stato di disabilità), possono essere utilizzati altri accorgimenti adeguati ed equivalenti (ad es., con un contatto diretto con il paziente). Non risulta giustificata l'affissione di liste di pazienti nei locali destinati all'attesa o comunque aperti al pubblico, con o senza la descrizione del tipo di patologia sofferta o di intervento effettuato o ancora da erogare (es. liste di degenti che devono subire un intervento operatorio). Non devono essere, parimenti, resi facilmente visibili da terzi non legittimati i documenti riepilogativi di condizioni cliniche dell'interessato (es. cartelle infermieristiche poste in prossimità del letto di degenza) (artt. 22, comma 8, e 26, comma 5, del Codice).

g) correlazione fra paziente e reparto o struttura (art. 83, comma 2, lett. h) Gli organismi sanitari devono mettere in atto specifiche procedure, anche di formazione del personale, per prevenire che soggetti estranei possano evincere in modo esplicito l'esistenza di uno stato di salute del paziente attraverso la semplice correlazione tra la sua identità e l'indicazione della struttura o del

reparto presso cui si è recato o è stato ricoverato.

Tali cautele devono essere orientate anche alle eventuali certificazioni richieste per fini amministrativi non correlati a quelli di cura (ad es., per giustificare un'assenza dal lavoro o l'impossibilità di presentarsi ad una procedura concorsuale).

Analoghe garanzie devono essere adottate da tutti i titolari del trattamento, ivi comprese le farmacie, affinché nella spedizione di prodotti non siano indicati, sulla parte esterna del plico postale, informazioni idonee a rivelare l'esistenza di uno stato di salute dell'interessato (ad es., indicazione della tipologia del contenuto del plico o del reparto dell'organismo sanitario mittente).

h) regole di condotta per gli incaricati (art. 83, comma 2, lett. i Il titolare del trattamento deve designare quali incaricati o, eventualmente, responsabili del trattamento i soggetti che possono accedere ai dati personali trattati nell'erogazione delle prestazioni e dei servizi per svolgere le attività di prevenzione, diagnosi, cura e riabilitazione, nonché quelle amministrative correlate (artt. 30 e 29 del Codice).

Fermi restando, in quanto applicabili, gli obblighi in materia di segreto d'ufficio, deve essere previsto che, al pari del personale medico ed infermieristico, già tenuto al segreto professionale (art. 9 del codice di deontologia medica del 3 ottobre 1998; art. 4 del codice deontologico per gli infermieri del maggio del 1999), gli altri soggetti che non sono tenuti per legge al segreto professionale (ad es., personale tecnico e ausiliario) siano sottoposti a regole di condotta analoghe (cfr. anche art. 10 del codice di deontologia medica).

A tal fine, anche avvalendosi di iniziative di formazione del personale designato,

occorre mettere in luce gli obblighi previsti dalla disciplina in materia di protezione dei dati personali con particolare riferimento all'adozione delle predette misure organizzative (artt. 30 e 35 del Codice e punto 19.6 del disciplinare tecnico allegato B) al Codice), evidenziando i rischi, soprattutto di accesso non autorizzato, che incombono sui dati idonei a rivelare lo stato di salute e le misure disponibili per prevenire effetti dannosi.

Gli esercenti le professioni sanitarie e gli organismi sanitari possono comunicare all'interessato informazioni sul suo stato di salute solo per il tramite di un medico (individuato dallo stesso interessato, oppure dal titolare del trattamento) o di un altro esercente le professioni sanitarie che, nello svolgimento dei propri compiti, intrattenga rapporti diretti con il paziente (ad es., un infermiere designato quale incaricato del trattamento ed autorizzato per iscritto dal titolare).

La necessità di rispettare queste modalità andrebbe menzionata nelle istruzioni impartite agli incaricati del trattamento (art. 84, comma 2, del Codice). Nel caso in cui l'interessato riceva una comunicazione dalla struttura sanitaria che documenti gli esiti di esami clinici effettuati, l'intermediazione può essere soddisfatta accompagnando un giudizio scritto con la disponibilità del medico a fornire ulteriori indicazioni a richiesta.

Il personale designato deve essere istruito debitamente anche in ordine alle modalità di consegna a terzi dei documenti contenenti dati idonei a rivelare lo stato di salute dell'interessato (es. referti diagnostici). In riferimento alle numerose segnalazioni pervenute, va rilevato che le certificazioni rilasciate dai laboratori di analisi o dagli altri organismi sanitari possono essere ritirate anche da persone diverse dai diretti interessati, purché sulla base di una delega scritta e mediante la consegna delle stesse in busta chiusa.

I titolari del trattamento in ambito sanitario devono infine rispettare gli obblighi che attengono:

a) alla notificazione al Garante, dovuta nei soli casi di cui all'art. 37 del Codice;

b) alla predisposizione dell'informativa da fornire agli interessati (art. 13 del Codice);

c) all'acquisizione del consenso per i trattamenti di dati personali connessi all'erogazione delle prestazioni e dei servizi per svolgere attività di prevenzione, diagnosi, cura e riabilitazione (artt. 22, 26 e 76 del Codice);

d) per gli organismi sanitari pubblici, al rispetto delle disposizioni contenute nel regolamento per il trattamento dei dati sensibili per finalità amministrative correlate a quelle di prevenzione, diagnosi, cura e riabilitazione adottato ai sensi dell'art. 20 del Codice;

e) al rispetto delle autorizzazioni generali rilasciate dal Garante ed, in particolare, dell'autorizzazione generale al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale (artt. 26 e 76 del Codice);

f) alle misure di sicurezza (artt. 31-36 del Codice e allegato B) al Codice).

4. I dati sensibili ed il rapporto di lavoro

Le pubbliche amministrazioni devono adottare maggiori cautele se le informazioni personali sono idonee a rivelare profili particolarmente delicati della vita privata dei propri dipendenti quali la salute, le abitudini sessuali, le convinzioni politiche, sindacali, religiose, filosofiche o d'altro genere e l'origine razziale ed etnica (art. 4, comma 1, lett. d), del Codice).

In linea generale il datore di lavoro pubblico può utilizzare informazioni sensibili relative al proprio personale in attuazione della normativa in materia di instaurazione e gestione di rapporti di lavoro di qualunque tipo, per finalità di formazione, nonché per concedere benefici economici e altre agevolazioni (artt. 112, 95 e 68 del Codice).

Come sopra ricordato, il datore di lavoro pubblico deve limitare il trattamento dei dati sensibili e giudiziari alle sole informazioni ed operazioni individuate e rese pubbliche con l'atto regolamentare adottato in conformità al parere del Garante (artt. 20, 21, 112 e 154 del Codice).

Nel perseguire tali finalità occorre comunque rispettare i principi di necessità e di indispensabilità che impongono di ridurre al minimo l'utilizzo di dati personali e, quando non si possa prescindere dall'uso di informazioni personali sensibili o giudiziarie, di trattare dati solo in riferimento ai tipi di dati e di operazioni indispensabili in relazione alla specifica finalità di gestione del rapporto di lavoro (artt. 3 e 22 del Codice).

Scaduto il termine transitorio del 28 febbraio 2007, il trattamento da parte di un

soggetto pubblico che non sia previsto da tali fonti normative è ora illecito e, oltre all'inutilizzabilità dei dati trattati, può comportare l'adozione di provvedimenti anche giudiziari di blocco o di divieto del trattamento (art. 154 del Codice; art. 3 d.l. 24 giugno 2004, n. 158, come modificato dalla l. 27 luglio 2004, n. 188; art. 11, commi 1, lett. a) e 2, del Codice).

Tramite Provv. 30 giugno 2005, il Garante ha prescritto ai titolari di trattamenti di dati personali oggetto del presente provvedimento di adottare le misure necessarie ed opportune ivi indicate al fine di rendere i trattamenti medesimi conformi alle disposizioni vigenti.

Ovvero, gli atti di natura regolamentare devono essere adottati, in ogni caso, in conformità al parere del Garante. Il parere può essere espresso anche su schemi tipo, il che contribuisce a rendere più organiche le garanzie in riferimento ad altre amministrazioni e semplifica, inoltre, l'iter di approvazione degli atti.

Infatti, una volta espresso dal Garante il parere su uno schema tipo riguardante l'attività di soggetti pubblici che svolgono attività omogenee, lo schema di ciascun regolamento non deve essere sottoposto singolarmente a questa Autorità, sempreché il trattamento ipotizzato sia attinente e conforme allo schema tipo esaminato.

É invece necessario sottoporre al Garante uno schema di regolamento per uno specifico parere solo se:

a) manca uno schema tipo già esaminato dall'Autorità;

b) vi è uno schema tipo al quale l'amministrazione deve apportare modifiche

sostanziali o integrazioni non formali che riguardano (a causa di ulteriori categorie di dati o di altre rilevanti operazioni di trattamento) casi in esso non considerati nello schema tipo.

Anche in questi due casi, il Garante è impegnato ad esprimere il parere nel termine di 45 gg. dal ricevimento della richiesta (o nei 20 gg. dal ricevimento degli elementi istruttori ricevuti dalle amministrazioni interessate), decorsi i quali, se non interviene un parere formale, il soggetto può adottare comunque il regolamento e proseguire poi il trattamento (art. 154, comma 5, del Codice).

Circa il contenuto dell'atto regolamentare e pubblicità, il Garante intende fornire alle amministrazioni che non potranno avvalersi di schemi tipo alcune prescrizioni di carattere generale per contribuire all'adozione di adeguate bozze di regolamento più attente ai profili sostanziali di tutela, più comprensibili da parte dei cittadini e non basate su approcci meramente formali alla tematica.

Questa particolare attenzione è ancor più necessaria se si tiene conto che, dal 1 gennaio 2006 non è lecito alcun trattamento dei dati sensibili e giudiziari che non sia disciplinato espressamente nei regolamenti.

Lo schema di regolamento deve contenere sinteticamente, ma in termini adeguati ed agevolmente comprensibili, le seguenti indicazioni specificate per categorie:

Dati indispensabili Occorre individuare le tipologie di informazioni sensibili e giudiziarie che si devono necessariamente utilizzare in rapporto alle attività istituzionali svolte, avendo cura che a ciascun adempimento corrisponda il trattamento delle sole informazioni per ciò strettamente indispensabili (art. 22, comma 3, del Codice). I dati vanno indicati solo per tipologie, evitando elencazioni eccessivamente

sommarie. Operazioni di trattamento indispensabili Vanno parimenti individuate le operazioni che si devono necessariamente svolgere per perseguire le finalità di rilevante interesse pubblico puntualmente individuate per legge, mettendo in particolare evidenza le operazioni che possono spiegare effetti maggiormente significativi per l'interessato e per le quali sono pertanto necessarie più garanzie. Anche in questo caso la descrizione è per tipologie, evitando indicazioni del tutto generiche circa l'impiego delle informazioni.

Tra tali operazioni rientrano, in particolare, quelle svolte pressoché interamente mediante siti web, o volte a definire in forma completamente automatizzata profili o personalità di interessati, le interconnessioni e i raffronti tra banche di dati gestite da diversi titolari, oppure con altre informazioni sensibili e giudiziarie detenute dal medesimo titolare del trattamento (art. 22, c. 9, 10 e 11, del Codice), nonché la comunicazione dei dati a terzi.

Si possono invece indicare più sinteticamente le operazioni "ordinarie" e più ricorrenti di trattamento (raccolta, registrazione, organizzazione, conservazione, elaborazione, modificazione ecc.). Ulteriore contenuto dello schema di regolamento É opportuno che il soggetto pubblico descriva sinteticamente, in termini comunicativi, anche la complessiva attività svolta, con particolare riguardo agli aspetti più incisivi per i diritti dei cittadini.

Non è quindi necessario scendere in eccessivi livelli di dettaglio non richiesti dal Codice; né è richiesta la riproduzione analitica delle disposizioni del Codice (in particolare, degli artt. 3, 11, 18-22, 85 s. e 95 s.).

Andrebbe altresì evitato di disciplinare situazioni già adeguatamente regolate sul piano legislativo e regolamentare quanto ai tipi di dati e di operazioni, come avviene nel caso dei dati personali trattati per effetto di un accesso a documenti amministrativi (artt. 59 e 60 del Codice; l. n. 241/1990 e successive modificazioni ed integrazioni).

Va inoltre rilevato in questa sede che la normativa sugli obblighi e compiti che rendono indispensabile utilizzare dati sensibili e giudiziari deve essere oggetto di un espresso riferimento nell'informativa da rendere agli interessati (art. 22, comma 2, del Codice). L'indicazione di tale normativa può essere quindi utile anche nell'ambito dello schema tipo, contribuendo ad evitare che il regolamento prenda erroneamente in considerazione attività che, pur essendo demandate al soggetto pubblico, non rientrano tra quelle che una fonte primaria non ha ritenuto di importanza tale da legittimare il trattamento di dati sensibili e giudiziari, in quanto non considerate "rilevanti finalità di interesse pubblico".

Da ultimo, tra le garanzie individuate dal Codice figura il diritto dei cittadini di conoscere con quali modalità sono utilizzate le predette informazioni che lo riguardano (art. 20, comma 2, del Codice).

Va pertanto prescritto ai soggetti pubblici interessati di intraprendere, in aggiunta alla pubblicità legale da assicurare agli atti regolamentari secondo i singoli ordinamenti, adeguate iniziative per assicurare idonea conoscibilità alle scelte adottate a proposito dei dati sensibili e giudiziari, utilizzando non solo i siti web istituzionali, ma anche le iniziative di comunicazione istituzionale cui essi sono tenuti.

Riservandosi di concludere rapidamente in separata sede i processi di collaborazione già avviati con alcuni organismi rappresentativi di soggetti pubblici, il Garante ritiene infine doveroso prescrivere in questa sede a tutti i soggetti pubblici interessati di adottare le predette misure, necessarie o, a seconda dei casi, opportune.

A tal fine, il Garante pone anche a disposizione dei soggetti pubblici, in allegato al Provv. 30 giugno 2005, un modello di riferimento per redigere gli schemi.

Resta ferma la possibilità per le amministrazioni che non abbiano eventualmente adottato i necessari atti regolamentari entro il suddetto termine, di provvedervi comunque con sollecitudine, al fine rendere leciti i trattamenti dei dati sensibili e giudiziari.

5. Comunicazione di dati personali

5.1. La comunicazione.

Specifiche disposizioni legislative o regolamentari individuano i casi in cui l'amministrazione pubblica è legittimata a comunicare informazioni che riguardano i lavoratori a terzi, soggetti pubblici o privati (art. 19 del Codice).

Quando manca una tale previsione specifica non possono essere quindi comunicati dati personali del dipendente (ad esempio, quelli inerenti alla circostanza di un'avvenuta assunzione, allo status o alla qualifica ricoperta, all'irrogazione di sanzioni disciplinari, a trasferimenti del lavoratore come pure altre informazioni contenute nei contratti individuali di lavoro) a terzi quali associazioni (anche di categoria), conoscenti, familiari e parenti.

Devono ritenersi in linea generale lecite le comunicazioni a terzi di informazioni di carattere sensibile relative ad uno o più dipendenti, quando esse siano realmente indispensabili per perseguire le finalità di rilevante interesse pubblico connesse all'instaurazione e alla gestione di rapporti di lavoro da parte di soggetti pubblici di cui all'art. 112 del Codice. Tali comunicazioni possono avere ad oggetto dati individuati nei pertinenti atti regolamentari dell'amministrazione e che siano in concreto indispensabili, pertinenti e non eccedenti in rapporto ai compiti e agli adempimenti che incombono al soggetto pubblico in qualità di datore di lavoro in base alla normativa sull'ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche (artt. 20 e 22 del Codice).

La disciplina di protezione dei dati consente inoltre al datore di lavoro pubblico di rendere conoscibili a terzi dati personali del dipendente in attuazione delle disposizioni che definiscono presupposti, modalità e limiti per l'esercizio del diritto d'accesso a documenti amministrativi (contenenti dati personali, artt. 59 e 60 del Codice) o che prevedono un determinato regime di conoscibilità per talune informazioni, ovvero in virtù di una delega conferita dall'interessato.

Oltre a designare i soggetti che possono venire lecitamente a conoscenza dei dati inerenti alla gestione del rapporto di lavoro, quali incaricati o responsabili del trattamento, il datore di lavoro deve adottare particolari cautele anche nelle trasmissioni di informazioni personali che possono intervenire tra i medesimi incaricati o responsabili nelle correnti attività di organizzazione e gestione del personale. In tali flussi di dati occorre evitare, in linea di principio, di fare superflui riferimenti puntuali a particolari condizioni personali riferite a singoli dipendenti, specie se riguardanti le condizioni di salute, selezionando le informazioni di volta in volta indispensabili, pertinenti e non eccedenti (artt. 11 e 22 del Codice).

A tal fine, può risultare utile esplicitare delicate situazioni di disagio personale solo sulla base di espressioni generiche e utilizzando, in casi appropriati, codici numerici, come pure riportare tali informazioni -quale presupposto degli atti adottati- solo nei provvedimenti messi a disposizione presso gli uffici per eventuali interessati e controinteressati (limitandosi quindi a richiamarli anche nelle comunicazioni interne e indicando gli estremi o un estratto del loro contenuto).

5.2. I rapporti con le organizzazioni sindacali.

Le pubbliche amministrazioni possono comunicare a terzi in forma realmente anonima dati ricavati dalle informazioni relative a singoli o a gruppi di lavoratori: si pensi al numero complessivo di ore di lavoro straordinario prestate o di ore non lavorate nelle varie articolazioni organizzative, agli importi di trattamenti stipendiali o accessori individuati per fasce o qualifiche/livelli professionali, anche nell'ambito di singole funzioni o unità organizzative.

Sulla base delle disposizioni dei contratti collettivi, i criteri generali e le modalità inerenti a determinati profili in materia di gestione del rapporto di lavoro sono oggetto di specifici diritti di informazione sindacale preventiva o successiva.

Ad esclusione dei casi in cui il contratto collettivo applicabile preveda espressamente che l'informazione sindacale abbia ad oggetto anche dati nominativi del personale per verificare la corretta attuazione di taluni atti organizzativi, l'amministrazione può fornire alle organizzazioni sindacali dati numerici o aggregati e non anche quelli riferibili ad uno o più lavoratori individuabili (art. 28 l. 20 maggio 1970, n. 300). É il caso, ad esempio, delle informazioni inerenti ai sistemi di valutazione dell'attività dei dirigenti, alla ripartizione delle ore di straordinario e alle relative prestazioni, nonché all'erogazione dei trattamenti accessori.

Resta disponibile per l'organizzazione sindacale anche la possibilità di presentare istanze di accesso a dati personali attinenti ad uno o più lavoratori su delega o procura (art. 9, comma 2, del Codice), come pure la facoltà di esercitare il diritto d'accesso a documenti amministrativi in materia di gestione del personale, nel rispetto delle condizioni, dei limiti e delle modalità previsti dalle norme vigenti e per salvaguardare un interesse giuridicamente rilevante di cui sia portatore il medesimo sindacato (artt. 59 e 60 del Codice). Il rifiuto, anche tacito,

dell'accesso ai documenti amministrativi, è impugnabile presso il tribunale amministrativo regionale, la Commissione per l'accesso presso la Presidenza del Consiglio dei ministri o il difensore civico (artt. 25 e ss. l. 7 agosto 1990, n. 241; art. 6 d.P.R. 12 aprile 2006, n. 184).

L'amministrazione può anche rendere note alle organizzazioni sindacali informazioni personali relative alle ritenute effettuate a carico dei relativi iscritti, in conformità alle pertinenti disposizioni del contratto applicabile e alle misure di sicurezza previste dal Codice (artt. 31-35).

5.3. Modalità di comunicazione.

Fuori dei casi in cui forme e modalità di divulgazione di dati personali siano regolate specificamente da puntuali previsioni (cfr. art. 174, comma 12, del Codice), l'amministrazione deve utilizzare forme di comunicazione individualizzata con il lavoratore, adottando le misure più opportune per prevenire la conoscibilità ingiustificata di dati personali, in particolare se sensibili, da parte di soggetti diversi dal destinatario, ancorché incaricati di talune operazioni di trattamento (ad esempio, inoltrando le comunicazioni in plico chiuso o spillato; invitando l'interessato a ritirare personalmente la documentazione presso l'ufficio competente; ricorrendo a comunicazioni telematiche individuali).

L'utilizzo del telefax come mezzo di comunicazione è consentito sebbene, in taluni casi, specifiche disposizioni prevedano apposite modalità di inoltro delle comunicazioni, come, ad esempio, nell'ambito di procedimenti disciplinari. Anche per il telefax si devono comunque adottare opportune cautele che favoriscano la conoscenza dei documenti da parte delle sole persone a ciò legittimate.

6. Diffusione di dati personali

La diffusione di dati personali riferiti ai lavoratori può avvenire quando è prevista espressamente da disposizioni di legge o di regolamento (artt. 4, comma 1, lett. m) e 19, comma 3, del Codice), anche mediante l'uso delle tecnologie telematiche (art. 3 d.lg. 7 marzo 2005, n. 82, recante il "Codice dell'amministrazione digitale" ).

A parte quanto eventualmente previsto sul piano normativo per specifiche categorie di atti, l'amministrazione, sulla base di apposite disposizioni regolamentari può, infatti, valorizzare anche l'utilizzo di reti telematiche per mettere a disposizione atti e documenti contenenti dati personali (es. concorsi o a selezioni pubbliche) nel rispetto dei principi di necessità, pertinenza e non eccedenza (artt. 3 e 11, comma 1, lett. d), del Codice).

Occorre, poi, una specifica valutazione per selezionare le informazioni eventualmente idonee a rivelare lo stato di salute degli interessati, la cui diffusione è vietata (artt. 22, comma 8, del Codice). A tale divieto non è consentito derogare invocando generiche esigenze di pubblicità connesse alla trasparenza delle procedure in materia di organizzazione del personale e degli uffici, come quelle relative alla mobilità dei dipendenti pubblici (Provv. 27 febbraio 2002: “Costituisce diffusione indiscriminata di dati idonei a rivelare lo stato di salute, e risulta quindi in contrasto con la disciplina posta dalla legge n. 675/1996 e dal d.lg. n. 135/1999 in materia di trattamento dei dati sensibili da parte di soggetti pubblici, l'inserimento della dicitura "portatore di handicap", riferita ad un'insegnante, nella graduatoria dei trasferimenti affissa nella bacheca di un provveditorato agli studi. Le esigenze di pubblicità dell'amministrazione possono essere soddisfatte attraverso l'apposizione di diciture generiche o codici numerici.”). Non è ad esempio consentito diffondere i nominativi degli aventi diritto al collocamento obbligatorio contenuti in elenchi e graduatorie, atteso che il divieto di diffusione dei dati idonei a rivelare lo stato di salute è ribadito

espressamente dal Codice anche in relazione allo svolgimento delle attività di concessione di benefici ed agevolazioni previste dalla legge e dai regolamenti (art. 68, comma 3, del Codice).

6.1. Dati relativi a concorsi e selezioni.

Nel quadro delle attività delle pubbliche amministrazioni si procede comunque, di regola, alla pubblicazione di graduatorie e di esiti di concorsi e selezioni pubbliche.

Ad esempio, le graduatorie dei vincitori di concorsi per accedere agli impieghi nelle pubbliche amministrazioni o per attribuire specifici incarichi professionali devono essere pubblicate nel bollettino ufficiale della Presidenza del Consiglio dei ministri o dell'amministrazione interessata, dandone, se previsto, contestuale avviso sulla Gazzetta Ufficiale. Un analogo regime di conoscibilità è previsto per le procedure di reclutamento dei professori universitari di ruolo e dei ricercatori, con riferimento alle informazioni contenute nelle relazioni riassuntive dei lavori svolti dalle commissioni giudicatrici per le valutazioni comparative e negli annessi giudizi individuali e collegiali espressi sui candidati.

La diffusione, che l'amministrazione può lecitamente porre in essere in base a specifiche previsioni legislative o regolamentari, deve avere ad oggetto solo i dati personali pertinenti e non eccedenti ai fini del corretto espletamento della procedura concorsuale e della sua rispondenza ai parametri stabiliti nel bando (elenchi nominativi ai quali vengano abbinati i risultati di prove intermedie, elenchi degli ammessi alle prove scritte o orali, punteggi riferiti a singoli argomenti di esame; punteggi totali ottenuti). Non risulta lecito riportare negli atti delle graduatorie da pubblicare altre tipologie di informazioni non pertinenti quali, ad esempio, recapiti di telefonia fissa o mobile o il codice fiscale (Provv. 19 aprile 2007 recante "Linee guida in materia di trattamento di dati personali per finalità di pubblicazione e diffusione di atti e documenti di enti locali").

Anche in tale ambito i soggetti pubblici possono avvalersi di nuove tecnologie per facilitare le comunicazioni con gli interessati riguardanti concorsi o selezioni pubbliche, mediante, ad esempio, la ricezione on-line di domande di partecipazione a concorsi e selezioni, corredate di diversi dati personali. A tale proposito va rilevato che le previsioni normative che disciplinano la pubblicazione di graduatorie, esiti e giudizi concorsuali rendono, in linea generale, lecita l'operazione di diffusione dei relativi dati personali a prescindere dal mezzo utilizzato.

La disciplina sulla protezione dei dati personali regola (v. art. 19, c. 3, del Codice) la diffusione di tali informazioni in maniera tendenzialmente uniforme, sia che essa avvenga attraverso una pubblicazione cartacea, sia attraverso la messa a disposizione su Internet mediante una pagina web.

Va tuttavia evidenziato che le caratteristiche di Internet consentono a chiunque, per effetto dei comuni motori di ricerca esterni ai siti, reperire indiscriminatamente e in tempo reale un insieme consistente di informazioni personali rese disponibili in rete, più o meno aggiornate e di natura differente.

Nell'utilizzare tale strumento di diffusione occorre, quindi, prevedere forme adeguate di selezione delle informazioni che potrebbero essere altrimenti aggregate massivamente mediante un comune motore di ricerca esterno ai siti. Si pensi alle pagine web contenenti dati relativi a esiti, graduatorie e giudizi di valutazione, che in termini generali dovrebbero essere conosciute più appropriatamente solo consultando un determinato sito Internet, oppure attribuendo solo alle persone interessate una chiave personale di accesso (a vari dati relativi alla procedura, oppure solo a quelli che li riguardano), o predisponendo, nei siti istituzionali, aree ad accesso parimenti selezionato nelle quali possono essere riportate ulteriori informazioni accessibili anche ai controinteressati.

Ancorché, talvolta, la disciplina normativa di settore preveda espressamente

forme specifiche e circoscritte di divulgazione (mediante, ad esempio, la sola messa a disposizione di documenti presso gli uffici o la sola affissione di atti in bacheche nei locali dell'amministrazione, ovvero mediante materiale affissione all'albo pretorio,tali forme di pubblicazione non autorizzano, di per sé, a trasporre tutti i documenti contenenti dati personali così pubblicati in una sezione del sito Internet dell'amministrazione liberamente consultabile. Al tempo stesso, ciò non preclude all'amministrazione di riprodurre in rete alcuni dei predetti documenti, sulla base di una valutazione responsabile e attenta ai limiti posti dai principi di pertinenza e non eccedenza.

In ogni caso, è ovviamente consentita la diffusione in Internet di un avviso che indichi il periodo durante il quale determinati documenti sono consultabili presso l'amministrazione.

6.2. Dati relativi all'organizzazione degli uffici, alla retribuzione e ai titolari di cariche e incarichi pubblici.

Alcuni specifici obblighi normativi - taluni dei quali si richiamano di seguito a titolo meramente esemplificativo- impongono ad amministrazioni pubbliche di rendere noti, attraverso i propri siti Internet, determinati dati personali concernenti i propri dipendenti (es. organigramma degli uffici con l'elenco dei nominativi dei dirigenti; elenco delle caselle di posta elettronica istituzionali attive).

Tali dati, sebbene siano di fatto disponibili in Internet, sono utilizzabili da terzi (in particolare, gli indirizzi di posta elettronica) solo in relazione ad eventi, comunicazioni e scopi correlati alle funzioni istituzionali e al ruolo ricoperto dall'interessato all'interno dell'amministrazione. I medesimi dati non sono quindi utilizzabili liberamente da chiunque per inviare, ad esempio, comunicazioni elettroniche a contenuto commerciale o pubblicitario.

In virtù della disciplina sul riordino della dirigenza statale le amministrazioni dello Stato possono altresì diffondere in Internet i dati personali dei dirigenti inquadrati nei ruoli istituiti da ciascuna amministrazione (art. 23 d.lg. 30 marzo 2001, n. 165), nel rispetto dei princìpi di completezza, esattezza, aggiornamento, pertinenza e non eccedenza dei dati (art. 11 del Codice).

Altre disposizioni di settore prevedono, inoltre, specifici regimi di pubblicità per talune informazioni personali concernenti le retribuzioni, i livelli stipendiali o le situazioni patrimoniali di titolari di cariche e incarichi pubblici.

A titolo meramente esemplificativo, si menziona il caso delle amministrazioni e

degli organismi tenuti a pubblicare sui propri siti Internet i compensi e le retribuzioni degli amministratori delle società partecipate direttamente o indirettamente dallo Stato, dei dirigenti con determinato incarico (conferito ai sensi dell'art. 19, comma 6, del d.lg. 30 marzo 2001, n. 165), nonché dei consulenti, dei membri di commissioni e di collegi e dei titolari di qualsivoglia incarico corrisposto dallo Stato, da enti pubblici o da società a prevalente partecipazione pubblica non quotate in borsa.

Un ampio regime di conoscibilità è previsto da specifiche disposizioni legislative anche per i livelli stipendiali e le situazioni patrimoniali di parlamentari e consiglieri di enti locali, seppure mediante differenti modalità di diffusione. Alcune disposizioni permettono inoltre al datore di lavoro pubblico di acquisire, ma non di pubblicare, taluni dati personali relativi alla situazione patrimoniale dei propri dirigenti e, se vi consentono, del coniuge e dei figli conviventi, previa idonea informativa sul trattamento che ne verrà effettuato (art. 13 del Codice). Le medesime disposizioni non consentono, tuttavia, alle amministrazioni di conoscere l'integrale contenuto delle dichiarazioni dei redditi, nelle quali possono essere contenute informazioni eccedenti rispetto alla ricostruzione della situazione patrimoniale degli interessati, alcune delle quali aventi –peraltroanche natura "sensibile" (si pensi, ad esempio, ad alcune particolari tipologie di spese per le quali sono riconosciute apposite detrazioni d'imposta).

6.3. Gli atti in materia di organizzazione degli uffici.

Salvo che ricorra una delle ipotesi sopra richiamate o previste da specifiche disposizioni legislative o regolamentari, non è di regola lecito diffondere informazioni personali riferite a singoli lavoratori attraverso la loro pubblicazione in comunicazioni e documenti interni affissi nei luoghi di lavoro o atti e circolari destinati alla collettività dei lavoratori, come nelle ipotesi di informazioni riguardanti contratti individuali di lavoro, trattamenti stipendiali o accessori percepiti, assenze dal lavoro per malattia, ferie, permessi, iscrizione e/o adesione di singoli dipendenti ad associazioni.

In presenza di disposizioni legislative o regolamentari che prevedono forme di pubblicazione obbligatoria delle deliberazioni adottate dall'amministrazione o degli atti conclusivi di taluni procedimenti amministrativi occorre, poi, valutare con attenzione le stesse tecniche di redazione dei provvedimenti e delle deliberazioni in materia di organizzazione del personale. Nel rispetto dell'obbligo di adeguata motivazione degli atti amministrativi vanno pertanto selezionate le informazioni da diffondere alla luce dei principi di pertinenza e indispensabilità rispetto alle finalità perseguite dai singoli provvedimenti, anche in relazione al divieto di diffusione dei dati idonei a rivelare lo stato di salute (artt. 11 e 22 del Codice). Un'attenta valutazione, nei termini sopra richiamati, è indispensabile soprattutto quando vengono in considerazione informazioni sensibili o di carattere giudiziario: si pensi, ad esempio, agli atti in materia di concessione dei benefici previsti dalla legge 5 febbraio 1992, n. 104 e ai provvedimenti di irrogazione di sanzioni disciplinari o relativi a controversie giudiziarie nelle quali siano coinvolti singoli dipendenti (Provv. 27 febbraio 2002: “Costituisce diffusione indiscriminata di dati idonei a rivelare lo stato di salute, e risulta quindi in contrasto con la disciplina posta dalla legge n. 675/1996 e dal d.lg. n. 135/1999 in materia di trattamento dei dati sensibili da parte di soggetti pubblici, l'inserimento della dicitura "portatore di handicap", riferita ad un'insegnante, nella graduatoria dei trasferimenti affissa nella bacheca di un provveditorato agli studi. Le esigenze di pubblicità dell'amministrazione possono essere soddisfatte attraverso l'apposizione di diciture generiche o codici

numerici.”).

Con specifico riferimento alle finalità di applicazione della disciplina in materia di concessione di benefici economici o di abilitazioni, ad esempio, il trattamento può comprendere la diffusione dei dati sensibili nei soli casi in cui ciò sia indispensabile per la trasparenza delle attività medesime, in conformità alle leggi, e per finalità di vigilanza e di controllo conseguenti alle attività medesime, fermo restando, comunque, il divieto di diffusione dei dati idonei a rivelare lo stato di salute (art. 68, comma 3, del Codice).

Ove costituiscano presupposto dei provvedimenti adottati, tali informazioni vanno riportate solo negli atti a disposizione negli uffici consultabili esclusivamente da interessati e controinteressati, omettendo quindi di dettagliarle nel corpo degli atti da pubblicare e richiamandone soltanto gli estremi e/o un estratto dei relativi atti d'ufficio.

6.4. I cartellini identificativi.

Analogamente, determina un'ipotesi di diffusione dei dati personali l'esibizione degli stessi su cartellini identificativi, appuntati, ad esempio, sull'abito o sulla divisa del personale di alcune strutture della pubblica amministrazione o di concessionari pubblici, in attuazione di taluni atti amministrativi di natura organizzativa, a livello sia nazionale, sia locale.

Nell'ambito del lavoro alle dipendenze delle pubbliche amministrazioni i cartellini identificativi possono rappresentare un valido strumento per garantire trasparenza ed efficacia dell'azione amministrativa, nonché per migliorare il rapporto fra operatori ed utenti.

Nel selezionare i dati personali destinati ad essere diffusi attraverso i cartellini identificativi, le amministrazioni sono tenute a rispettare i principi di pertinenza e non eccedenza dei dati in rapporto alle finalità perseguite (art. 11 del Codice), specie in assenza di necessarie disposizioni di legge o regolamento che prescrivano l'adozione per determinati dipendenti di cartellini identificativi e ne individuino eventualmente anche il relativo contenuto.

In tali ipotesi, alla luce di specifiche esigenze di personalizzazione e di umanizzazione del servizio e/o di collaborazione da parte dell'utente può risultare giustificato, in casi particolari e con riferimento a determinate categorie di dipendenti, riportare nei cartellini elementi identificativi ulteriori rispetto alla qualifica, al ruolo professionale, alla fotografia o ad un codice identificativo quali, ad esempio, le loro generalità (si pensi alle prestazioni sanitarie in regime di ricovero ospedaliero e al rapporto fiduciario che si instaura tra il paziente e gli operatori sanitari coinvolti).

7. Le impronte digitali e accesso al luogo di lavoro

Anche nell'ambito del pubblico impiego, non è consentito utilizzare in modo generalizzato sistemi di rilevazione automatica delle presenze dei dipendenti mediante la raccolta di dati biometrici, specie se ricavati dalle impronte digitali. I dati biometrici, per la loro peculiare natura, richiedono l'adozione di elevate cautele per prevenire possibili pregiudizi a danno degli interessati, con particolare riguardo a condotte illecite che determinino l'abusiva "ricostruzione" dell'impronta digitale, partendo dal modello di riferimento (template), e la sua ulteriore "utilizzazione" a loro insaputa.

7.1. Princìpi generali.

Il trattamento dei dati personali relativi alla rilevazione dell'orario di lavoro è riconducibile alle finalità perseguite dai soggetti pubblici quali datori di lavoro legittimati ad accertare il rispetto dell'orario di lavoro mediante "forme di controlli obiettivi e di tipo automatizzato" (e in taluni casi a garantire speciali livelli di sicurezza), ma deve essere effettuato nel pieno rispetto della disciplina in materia di protezione dei dati personali.

Il principio di necessità impone a ciascuna amministrazione titolare del trattamento di accertare se la finalità perseguita possa essere realizzata senza dati biometrici o evitando ogni eccesso nel loro utilizzo che ne comporti un trattamento sproporzionato (artt. 3 e 11 del Codice). Devono essere quindi valutati preventivamente altri sistemi, dispositivi e misure di sicurezza fisiche e logicistiche che possano assicurare una puntuale e attendibile verifica delle presenze e degli ingressi sul luogo di lavoro (art. 18 del Codice).

Resta in particolare privo di giuridico fondamento l'utilizzo di sistemi di rilevazione delle impronte digitali per verificare l'esatto adempimento di prestazioni lavorative, ove siano attivabili misure "convenzionali" non lesive dei diritti della persona quali, ad esempio, apposizioni di firme anche in presenza di eventuale personale incaricato, fogli di presenza o sistemi di timbratura mediante badge magnetico.

Di regola, non è pertanto consentito il trattamento di dati relativi alle impronte digitali per accertare le ore di lavoro prestate effettivamente dal personale dislocato anche in sedi distaccate o addetto a servizi esterni, con riferimento, ad esempio, all'esigenza di computare con sistemi oggettivi le turnazioni, l'orario flessibile, il recupero, i permessi, il lavoro straordinario, i buoni pasto, nonché di prevenire eventuali usi abusivi o dimenticanze del badge.

Non può desumersi alcuna approvazione implicita dal semplice inoltro al Garante di note relative a progetti di installazione di impianti di rilevazione di impronte digitali, cui eventualmente non segua un esplicito riscontro dell'Autorità.

7.2. Casi particolari.

Di regola, sistemi di rilevazione di impronte digitali nel luogo di lavoro possono essere quindi attivati soltanto per particolari esigenze di controllo dell'accesso a speciali aree dei luoghi di lavoro in cui si debbano assicurare elevati e specifici livelli di sicurezza, in relazione a specifiche necessità quali, ad esempio, la destinazione dell'area interessata:

allo svolgimento di attività aventi particolare carattere di segretezza, ovvero prestate da personale selezionato e impiegato in attività che comportano la necessità di trattare informazioni rigorosamente riservate (es. accesso a sale operative ove confluiscono segnalazioni afferenti alla sicurezza anticrimine; aree adibite ad attività inerenti alla difesa e alla sicurezza dello Stato; ambienti di torri di controllo aeroportuali); alla conservazione di oggetti di particolare valore o la cui disponibilità deve essere ristretta ad un numero circoscritto di dipendenti in quanto un loro utilizzo improprio può determinare una grave e concreta situazione di rischio per la salute e l'incolumità degli stessi o di terzi (es. ambienti ove sono custodite sostanze stupefacenti o psicotrope).

Nelle ipotesi sopramenzionate il trattamento di dati relativi alle impronte digitali è ammesso a condizione che:

sia sottoposto con esito positivo –di regole, a seguito di un interpello del titolare (nell'interpello al Garante vanno specificate le caratteristiche tecnologiche delle apparecchiature utilizzate e le ragioni in base alle quali non si ritengono idonei, rispetto alle finalità da perseguire, altri sistemi o procedure che pongono minori pericoli o rischi per i diritti e le libertà fondamentali degli interessati) - alla verifica preliminare, che l'Autorità si riserva di effettuare ai sensi dell'art. 17 del

Codice anche per determinate categorie di titolari o di trattamenti; venga effettuata preventivamente la notificazione al Garante (artt. 37, comma 1, lett. a) e 38 del Codice); non sia comunque registrata l'immagine integrale dell'impronta digitale, bensì solo il modello di riferimento da essa ricavato (template); tale modello non sia archiviato in una memoria centralizzata, bensì in un o posto nell'esclusiva disponibilità dell'interessato (smart card o dispositivo analogo) e privo di indicazioni nominative riferibili a quest'ultimo (essendo sufficiente attribuire a ciascun dipendente un codice individuale); sia fornita ai dipendenti interessati un'informativa specifica per il trattamento in questione (art. 13 del Codice).

8. Dati idonei a rivelare lo stato di salute

8.1. I dati sanitari.

Il datore di lavoro pubblico deve osservare cautele particolari anche per il trattamento dei dati sensibili (artt. 4, comma 1, lett. d), 20 e 112 del Codice) e, segnatamente, di quelli idonei a rivelare lo stato di salute.

Nel trattamento di queste informazioni l'amministrazione deve rispettare anzitutto i principi di necessità e di indispensabilità, valutando specificamente il rapporto tra i dati sensibili e gli adempimenti derivanti da compiti e obblighi di volta in volta previsti dalla legge (artt. 20 e 22 del Codice). È importante valorizzare tali principi nell'applicare disposizioni di servizio e regolamenti interni precedenti alla disciplina in materia di protezione dei dati personali.

In tale quadro non risultano, ad esempio, lecite le modalità -utilizzate da amministrazioni militari e forze di polizia, a fini di organizzazione del lavoro e/o di turni di servizio- che prevedono la redazione di un elenco nominativo di ufficiali o agenti in licenza, recante:

l'indicazione "per convalescenza" o "in aspettativa", per regolare l'accesso alla caserma del personale assente dal servizio; l'indicazione, su ordini di servizio o altri atti affissi nei luoghi di lavoro, i motivi giustificativi delle assenze del personale (utilizzando, ad esempio, diciture quali "a riposo medico").

Particolari accorgimenti per la gestione dei dati sensibili possono essere previsti anche da norme estranee al Codice in materia di protezione dei dati personali, ma volte comunque a contenere, nei limiti dell'indispensabile, i dati dei quali il

datore di lavoro può venire a conoscenza per instaurare e gestire il rapporto di lavoro(artt. 8 e 38 l. n. 300/1970 e artt. 113 e 171 del Codice). La disciplina contenuta nel Codice deve essere quindi coordinata e integrata (cfr. punto 3.2.) con altre regole settoriali (tra le quali, ad esempio, la richiamata disciplina contenuta nell'art. 5 della l. n. 300/1970 sugli accertamenti sanitari facoltativi) o speciali (si pensi ai divieti contenuti negli artt. 5 e 6 l. 5 giugno 1990, n. 135, in materia di Aids).

8.2. Le assenze per ragioni di salute.

Riguardo al trattamento di dati idonei a rivelare lo stato di salute, la normativa sul rapporto di lavoro e le disposizioni contenute in contratti collettivi possono giustificare il trattamento dei dati relativi a casi di infermità che determinano un'incapacità lavorativa (temporanea o definitiva), con conseguente accertamento di condizioni di salute del lavoratore da parte dell'amministrazione di appartenenza, anche al fine di accertare l'idoneità al servizio, alle mansioni o allo svolgimento di un proficuo lavoro.

Tra questi ultimi può rientrare anche una informazione relativa all'assenza dal servizio per malattia, indipendentemente dalla circostanza che sia contestualmente indicata esplicitamente la diagnosi.

Non diversamente, il datore di lavoro può in vari casi trattare legittimamente dati sensibili relativi all'invalidità o all'appartenenza a categorie protette, nei modi e per le finalità prescritte dalla vigente normativa in materia (art. 112, comma 2, lett. a) del Codice).

A tale riguardo va rilevata la sussistenza di specifici obblighi normativi nei riguardi del lavoratore per consentire al datore di lavoro di verificare le sue reali condizioni di salute nelle forme di legge. Per attuare tali obblighi è ad esempio previsto che venga fornita all'amministrazione di appartenenza un'apposita documentazione a giustificazione dell'assenza, consistente in un certificato medico contenente la sola indicazione dell'inizio e della durata presunta dell'infermità: c.d. "prognosi". In assenza di speciali disposizioni di natura normativa, che dispongano diversamente per specifiche figure professionali, il datore di lavoro pubblico non è legittimato a raccogliere certificazioni mediche contenenti anche l'indicazione della diagnosi.

Anche nei casi in cui la raccolta dei dati relativi alla diagnosi sia effettuata lecitamente sulla base di tali disposizioni, in conformità ai principi di proporzionalità e indispensabilità, non è consentito all'amministrazione di appartenenza trascrivere nei documenti caratteristici o matricolari del personale le indicazioni sulla prognosi e la diagnosi contenute nei certificati prodotti dall'interessato per giustificare le assenze dal servizio (artt. 11, comma 1, lett. e) e 22, comma 9, del Codice). A tale riguardo, va anzi rilevato che, qualora il lavoratore produca documentazione medica recante anche l'indicazione della diagnosi insieme a quella della prognosi, l'amministrazione (salvi gli speciali casi eventualmente previsti nei termini sopra indicati) deve astenersi dall'utilizzare ulteriormente tali informazioni (art. 11, comma 2, del Codice) invitando anche il personale a non produrne altri con le medesime caratteristiche.

In linea generale, all'esito delle visite di controllo sullo stato di infermità effettuate da medici dei servizi sanitari pubblici (art. 5 l. 20 maggio 1970, n. 300) -, il datore di lavoro pubblico è legittimato a conoscere i dati personali dei lavoratori riguardanti la capacità o l'incapacità al lavoro e la prognosi riscontrata, con esclusione di qualsiasi informazione attinente alla diagnosi.

In tale quadro, il datore di lavoro può, al fine di far valere i propri diritti in relazione a fenomeni di ritenuto assenteismo e di eventuale non veritiera certificazione sanitaria, redigere note informative, segnalazioni o denunce contenenti anche riferimenti circostanziati alle ragioni e alle modalità delle singole assenze e individuandone i destinatari nel rispetto dei princìpi di indispensabilità, pertinenza e non eccedenza (Provv. 24 settembre 2001: “Costituisce un trattamento illecito di dati personali, anche di natura sensibile, la comunicazione da parte del datore di lavoro (diretta ai medici che hanno rilasciato certificati di assenza per malattia di una dipendente, nonché all'Ordine provinciale dei medici e ad una A.s.l.), di dati della lavoratrice e della figlia minore, attinenti alle ragioni e alle modalità delle singole assenze. Con tale comportamento vengono violati i principi di pertinenza, non eccedenza e proporzionalità rispetto alle finalità perseguite, nonchè le tutele specificamente apprestate in tema di dati attinenti allo stato di salute.”; Provv. 28 settembre 2001: “Non viola i principi di pertinenza, non eccedenza e di proporzionalità rispetto alle finalità perseguite il datore di lavoro che comunica all'I.N.P.S. i dati del dipendente assente anche per un solo giorno, al fine del controllo sullo stato di malattia, in considerazione della normativa di legge e di quella contrattuale di settore che prevedono la possibilità di controlli e visite fiscali fin dal primo giorno di assenza.”).

Sulla base degli elementi acquisiti da segnalazioni e quesiti pervenuti all'Autorità, risulta giustificata, alla luce delle disposizioni contenute nei contratti collettivi, la conoscenza da parte dell'amministrazione di appartenenza di informazioni personali relative all'effettuazione di visite mediche, prestazioni specialistiche o accertamenti clinici, nonché alla presenza di patologie che richiedono terapie invalidanti, quando il dipendente richiede di usufruire del trattamento di malattia o di permessi retribuiti per le assenze correlate a tali esigenze.

8.3. La denuncia all'Inail.

Per dare esecuzione ad obblighi di comunicazione relativi a dati sanitari, in

taluni casi il datore di lavoro può anche venire a conoscenza delle condizioni di salute del lavoratore.

Tra le fattispecie più ricorrenti deve essere annoverata la denuncia all'istituto assicuratore (Inail) avente ad oggetto infortuni e malattie professionali occorsi ai lavoratori; essa, infatti, per espressa previsione normativa, deve essere corredata da specifica certificazione medica (artt. 13 e 53 d.P.R. n. 1124/1965).

In tali casi l'amministrazione, pur potendo conoscere la diagnosi, deve comunicare all'ente assicurativo solo le informazioni sanitarie relative o collegate alla patologia denunciata, anziché dati sulla salute relativi ad altre assenze che si siano verificate nel corso del rapporto di lavoro, la cui eventuale comunicazione sia eccedente e non pertinente –con la conseguente loro inutilizzabilità–, trattandosi di dati non rilevanti nel caso oggetto di denuncia (art. 11, commi 1 e 2, del Codice).

8.4. Le visite medico-legali.

Le pubbliche amministrazioni possono trattare legittimamente dati idonei a rivelare lo stato di salute dei propri dipendenti, non solo per accertare, anche d'ufficio, attraverso le strutture sanitarie pubbliche competenti, la persistente idoneità al servizio, alle mansioni o allo svolgimento di un proficuo lavoro, ma anche per riconoscere la dipendenza da causa di servizio, per concedere trattamenti pensionistici di privilegio o l'equo indennizzo ovvero per accertare, sempre per fini pensionistici, la sussistenza di stati invalidanti al servizio o di inabilità non dipendenti da causa di servizio (artt. 20 e 112, comma 2, lett. d) del Codice).

Nel disporre tali accertamenti le amministrazioni possono comunicare ai collegi medici competenti i dati personali sensibili del dipendente dei quali dispongano, nel rispetto del principio di indispensabilità (art. 22, commi 1, 5 e 9); devono inoltre conformare il trattamento dei dati sanitari del lavoratore secondo modalità volte a prevenire violazioni dei diritti, delle libertà fondamentali e della dignità dell'interessato, anche in riferimento al diritto alla protezione dei dati personali (cfr. par. 4.3).

Analoghi accorgimenti devono essere adottati dagli organismi di accertamento sanitario all'atto sia della convocazione dell'interessato a visita medicocollegiale, sia della comunicazione dell'esito degli accertamenti effettuati all'amministrazione di appartenenza del lavoratore, ed eventualmente all'interessato medesimo. In particolare, nel caso di accertamenti sanitari finalizzati ad accertare l'idoneità al servizio, alle mansioni o a proficuo lavoro del dipendente, alla luce del principio di indispensabilità, i collegi medici devono trasmettere all'amministrazione di appartenenza dell'interessato il relativo verbale di visita con la sola indicazione del giudizio medico-legale di idoneità, inidoneità o di altre forme di inabilità.

Qualora siano trasmessi dagli organismi di accertamento sanitario verbali recanti l'indicazione della diagnosi dell'infermità o della lesione che determinano un'incapacità lavorativa, i datori di lavoro non possono, comunque, utilizzare ulteriormente tali informazioni (art. 11, comma 2, del Codice).

8.5. Le abilitazioni al porto d'armi e alla guida.

In conformità alle norme sulle autorizzazioni di polizia per la detenzione ed il porto d'armi, le amministrazioni possono di regola trattare i dati relativi agli esiti delle visite medico-legali cui sottopongono i propri dipendenti per consentire l'adozione da parte degli uffici competenti dei provvedimenti sull'arma di servizio, ove si tratti di agenti di pubblica sicurezza, abilitati al porto di pistola.

La normativa di settore e le disposizioni contenute nei contratti collettivi non autorizzano, invece, le pubbliche amministrazioni a comunicare agli uffici competenti del Dipartimento per i trasporti terrestri informazioni idonee a rivelare lo stato di salute dei propri dipendenti, ancorché acquisite legittimamente, per consentire di verificare la persistenza in capo a questi ultimi dei requisiti fisici e psichici previsti dalla legge per il conseguimento della patente di guida. Allo stato dell'attuale normativa tale attività comporta, infatti, un flusso di dati personali sensibili verso l'amministrazione dei trasporti che non risulta trovare una base di legittimazione in un'idonea disposizione normativa, né risulta altrimenti riconducibile alle finalità di rilevante interesse pubblico connesse alla gestione di rapporti di lavoro da parte dell'amministrazione di appartenenza dell'interessato (art. 112 del Codice).

Siffatte operazioni di comunicazione non possono ritenersi lecite anche se effettuate da forze armate e di polizia che, in base al Codice della strada, provvedano direttamente nei riguardi del personale in servizio all'individuazione e all'accertamento dei requisiti necessari alla guida dei veicoli in loro dotazione e al rilascio del relativo titolo abilitativo, attesa la diversità dei presupposti per il conferimento (o l'eventuale sospensione o ritiro) della patente militare rispetto a quella civile e la sfera di discrezionalità ad esse conferite.

8.6. Le altre informazioni relative alla salute.

Devono essere presi in considerazione altri casi nei quali può effettuarsi un trattamento di dati relativi alla salute del lavoratore (e anche di suoi congiunti), al fine di permettergli di godere dei benefici di legge: si pensi, ad esempio, alle agevolazioni previste per l'assistenza a familiari disabili, ai permessi retribuiti e ai congedi per gravi motivi familiari.

In attuazione dei principi di indispensabilità, pertinenza e non eccedenza, in occasione di istanze volte ad usufruire dei congedi a favore dei lavoratori con familiari disabili in situazione di gravità, l'amministrazione di appartenenza non deve venire a conoscenza di dati personali del congiunto portatore di handicap relativi alla diagnosi o all'anamnesi accertate dalle commissioni mediche indicate dall'art. 4 della l. 5 febbraio 1992, n. 104. A tal fine, infatti, il lavoratore deve presentare al datore di lavoro una certificazione dalla quale risulti esclusivamente l'accertata condizione di handicap grave per opera delle commissioni mediche di cui all'art. 1 della legge 15 ottobre 1990, n. 295.

Diversamente, per usufruire di permessi o congedi per gravi infermità o altri gravi motivi familiari, il lavoratore è tenuto per legge a produrre alla propria amministrazione idonea documentazione medica attestante le gravi infermità o le gravi patologie da cui risultano affetti i propri familiari.

Allo stesso modo, il datore di lavoro può venire a conoscenza dello stato di tossicodipendenza di un proprio dipendente o di un familiare di questi, in caso di richieste di accesso o concorso a programmi riabilitativi o terapeutici con conservazione del posto di lavoro (senza retribuzione), atteso l'onere di presentare (nei termini prescritti dai contratti collettivi e dagli accordi di lavoro per il pubblico impiego) specifica documentazione medica al datore di lavoro.

8.7. Il Provv. 21 marzo 2007 e garanzie per gli invalidi civili

Il Provv. 21 marzo 2007 è stato adottato in conseguenza di alcune segnalazioni da parte di invalidi civili con le quali si è lamentata una violazione delle disposizioni in materia di protezione dei dati personali a causa dell'indicazione dei dati relativi alla diagnosi sia nelle istanze volte all'accertamento sanitario dell'invalidità civile, sia in alcuni tipi di certificazioni che attestano il riconoscimento della invalidità civile per finalità amministrative, specie con riferimento al caso in cui sia riscontrato lo stato di sieropositività o l'infezione da Hiv.

La normativa in tema di riconoscimento dell'invalidità civile prevede che possano essere riconosciuti invalidi civili i cittadini affetti da minorazioni congenite o acquisite, anche a carattere progressivo, compresi gli irregolari psichici per oligofrenie di carattere organico o dismetabolico, insufficienze mentali derivanti da difetti sensoriali e funzionali che abbiano subito una riduzione permanente della capacità lavorativa non inferiore a un terzo o, se minori di anni 18, che abbiano difficoltà persistenti a svolgere i compiti e le funzioni proprie della loro età (art. 2 l. 30 marzo 1971, n. 118, recante "Conversione in legge del d.l. 30 gennaio 1971, n. 5 e nuove norme in favore dei mutilati ed invalidi civili").

L'accertamento sanitario è effettuato presso le unità sanitarie locali nell'ambito delle quali operano apposite commissioni mediche (art. 1 l. 15 ottobre 1990, n. 295, recante "Modifiche ed integrazioni all'articolo 3 del d.l. 3 maggio 1988, n. 173, convertito, con modificazioni, dalla l. 26 luglio 1988, n. 291, e successive modificazioni, in materia di revisione delle categorie delle minorazioni e malattie invalidanti").

Nel verbale da utilizzare per le visite è previsto che sia specificata "la dizione

diagnostica con chiarezza e precisione, in modo da consentire l'individuazione delle minorazioni ed infermità che per la loro particolare gravità determinano la totale incapacità lavorativa o che, per la loro media o minore entità, determinano invece la riduzione di tale capacità" (art. 1, comma 5, d.m. 5 agosto 1991, n. 387, recante "Regolamento recante le norme di coordinamento per l'esecuzione delle disposizioni contenute nella legge 15 ottobre 1990, n. 295, in materia di accertamento dell'invalidità civile").

Tale informazione, prevista nella normativa di settore tra quelle da indicare nel verbale (art. 1, comma 5 e all. A d.m. n. 387/1991; relazione allegata al d.m. 28 marzo 1985, recante "Determinazione dei criteri e delle modalità per una verifica graduale sulla permanenza dei requisiti per l'ottenimento delle provvidenze economiche in favore dei minorati civili") va ritenuta indispensabile anche ai fini dell'eventuale revisione dell'invalidità o di ricorso alla decisione della commissione medica (art. 3, d.P.R. 21 settembre 1994, n. 698, recante "Regolamento recante norme sul riordinamento dei procedimenti in materia di riconoscimento delle minorazioni civili e sulla concessione di benefici economici").

Deve pertanto ritenersi lecito che, nei verbali delle commissioni mediche per l'accertamento degli stati di invalidità civile siano indicati i dati relativi alle diagnosi riscontrate.

Le questioni sollevate dalle menzionate segnalazioni concernono dati personali idonei a rivelare lo stato di salute delle persone, relativi anche alla riscontrata presenza del virus Hiv.

Il loro trattamento può essere effettuato solo se ricorrono le specifiche garanzie previste dal Codice in materia di protezione dei dati personali (d.lg. n. 196/2003) il quale prevede, tra l'altro, che i soggetti pubblici debbano identificare e rendere pubblici i tipi di dati sensibili e giudiziari trattati e di operazioni eseguibili attraverso un atto di natura regolamentare, adottato su conforme parere del

Garante (artt. 20, comma 2, 21, comma 2, e 181, comma 1, lett. a) del Codice).

In data 13 aprile 2006 il Garante ha espresso parere favorevole sullo schema tipo di regolamento per il trattamento dei dati sensibili e giudiziari di competenza delle regioni, delle province autonome, delle aziende sanitarie, degli enti regionali/provinciali e degli enti vigilati e controllati dalle regioni e dalle province autonome, in conformità al quale ciascuna regione o provincia autonoma è stata chiamata ad adottare il proprio atto di natura regolamentare nel termine di legge del 28 febbraio 2007 (art. 6, comma 1, d.l. 28 dicembre 2006, n. 300, convertito, con modificazioni, con l. 26 febbraio 2007, n. 17).

In base ai regolamenti da adottare in conformità a tale schema tipo, le commissioni mediche che operano presso le unità sanitarie locali possono trattare lecitamente i dati idonei a rivelare lo stato di salute nell'ambito dell'attività medico-legale inerente agli accertamenti finalizzati al sostegno delle fasce deboli, compresi quelli relativi al riconoscimento dello stato di invalidità civile e al collocamento mirato al lavoro delle persone disabili. Tale finalità è considerata di rilevante interesse pubblico dal predetto Codice in quanto relativa ad attività amministrative collegate a quelle di prevenzione, diagnosi e cura, a quelle certificatorie e correlate all'applicazione della disciplina in materia di assistenza, integrazione sociale e diritti delle persone handicappate, anche con riferimento al collocamento obbligatorio, ad interventi economici e ad altre agevolazioni (artt. 85, comma 1, lett. a) b) e d) e 86, comma 2, punti c) 1 e 2 del Codice; scheda n. 32, Allegato B, schema tipo cit.). Il trattamento dei predetti dati sensibili è, pertanto, lecito sempreché siano rispettati i principi di pertinenza, non eccedenza e indispensabilità, secondo i quali i soggetti pubblici possono trattare solo i dati sensibili pertinenti, non eccedenti e indispensabili per svolgere attività istituzionali che non possano essere adempiute, caso per caso, mediante il trattamento di dati anonimi o di natura diversa (artt. 11 e 22, commi 3 e 5, del Codice).

Restano poi ferme le particolari garanzie previste nei confronti dei soggetti che risultino sieropositivi o affetti da infezione da Hiv, volte a prevenire

discriminazioni nei loro confronti. Ciò, senza pregiudizio di lecite attività a tutela della salute dei medesimi interessati o di terzi, da svolgere in conformità alla legge, anche per quanto riguarda accertamenti relativi all'assenza di sieropositività o all'infezione da Hiv previsti come condizione per svolgere attività che comportano una valutazione più specifica di diritti di terzi (l. 5 giugno 1990, n. 135, recante "Programma di interventi urgenti per la prevenzione e la lotta contro l'Aids"; Corte costituzionale, sent. n. 218/1994).

Le istanze volte a far accertare lo stato di invalidità civile devono essere presentate presso le commissioni mediche delle aziende sanitarie competenti per territorio, allegando la certificazione medica attestante la natura delle infermità invalidanti (art. 1 d.P.R. n. 698/1994).

Stante la particolare natura delle informazioni richieste agli interessati, gli uffici competenti alla ricezione delle istanze devono adottare gli accorgimenti necessari per garantire un livello elevato di tutela dei diritti degli interessati, in particolare della loro riservatezza e dignità, specificando le cautele che le strutture sanitarie sono tenute ad adottare nei termini prescritti dal Garante in attuazione dell'art. 83 del Codice.

Si fa riferimento, in particolare, alla predisposizione di apposite distanze di cortesia e di altri accorgimenti (quali, ad esempio, la consegna o il trasferimento ad altri uffici competenti, della documentazione in busta chiusa) atti a prevenire l'indebita conoscenza da parte di terzi di informazioni idonee a rivelare lo stato di salute: ciò, anche all'atto della raccolta della documentazione sanitaria o nello svolgimento di colloqui con gli operatori di sportello (art. 83, comma 2, lett. b), c), d) ed e) del Codice). Va menzionata, altresì, la designazione quali incaricati o responsabili del trattamento dei soggetti che possono accedere ai dati sanitari per curare le istanze di riconoscimento dell'invalidità civile (soggetti i quali, qualora non siano tenuti per legge al segreto professionale, devono essere sottoposti a regole di condotta analoghe: artt. 30 e 83, comma 2, lett. i), del Codice).

Sviluppando le cautele di carattere generale previste nel predetto provvedimento del 9 novembre 2005, va pertanto prescritto alle strutture sanitarie, ai sensi dell'articolo 154, comma 1, lett. c), del Codice, di impartire, in una cornice di attività di formazione, specifiche istruzioni al personale incaricato in merito agli obblighi previsti dalla disciplina in materia di protezione dei dati personali, nonché da specifiche disposizioni di legge o di regolamento o della normativa comunitaria a tutela di particolari soggetti, quali, ad esempio, le persone sieropositive o affette da infezione da Hiv (artt. 30 e 83, comma 2, lett. i), del Codice; art. 5 l. n. 135/1990).

In attuazione dei richiamati principi di pertinenza, non eccedenza e indispensabilità, nelle certificazioni richieste dall'interessato ai soli fini dell'iscrizione alle liste del collocamento obbligatorio o della richiesta di esenzione dalle tasse scolastiche ed universitarie non risulta indispensabile indicare i dati personali relativi alla diagnosi accertata in sede di visita medica e, in particolare, dell'eventuale stato di sieropositività o infezione da Hiv.

Tale omissione trova peraltro riscontro nel quadro normativo di settore.

Per quanto riguarda l'esenzione dalle tasse scolastiche ed universitarie a favore dei mutilati ed invalidi civili, sono semplicemente richiesti, quali requisiti essenziali, l'appartenenza a famiglie di disagiata condizione economica e l'aver subito una diminuzione superiore ai due terzi della capacità lavorativa (art. 30, l. n. 118/1971).

Per ciò che concerne invece l'iscrizione nelle liste del collocamento obbligatorio, è richiesto unicamente che le commissioni competenti per riconoscere l'invalidità civile abbiano accertato una riduzione della capacità lavorativa superiore al quarantacinque per cento (art. 7 d.lg. 23 novembre 1988, n. 509, recante "Norme per la revisione delle categorie delle minorazioni e malattie invalidanti, nonché dei benefici previsti dalla legislazione vigente per le medesime categorie, ai sensi dell'articolo 2, comma 1, della legge 26 luglio

1988, n. 291"; art. 1, comma 1, l. 12 marzo 1999, n. 68, recante "Norme per il diritto al lavoro dei disabili).

Per l'accesso al sistema per l'inserimento lavorativo, è prevista infine solo una valutazione della funzionalità della persona disabile in relazione alle sue condizioni fisiche, alla sua autonomia, al suo ruolo sociale e alle sue condizioni emotive e intellettive, al fine di individuarne la capacità attuale e potenziale per il collocamento lavorativo (art. 1, comma 4, l. n. 68/1999 citata; artt. 2 e 5, d.P.C.M. 13 gennaio 2000, recante "Atto di indirizzo e coordinamento in materia di collocamento obbligatorio dei disabili, a norma dell'art. 1, comma 4, legge 12 marzo 1999, n. 68" e Allegato 2 allo stesso decreto).

Va inoltre considerato che "la comunicazione di risultati di accertamenti diagnostici diretti o indiretti per infezione da Hiv può essere data esclusivamente alla persona cui tali esami sono riferiti" (art. 5, comma 4, l. n. 135/1990; cfr. art. 178, comma 2, del Codice).

Sulla base di tali presupposti è risultato necessario prescrivere alle aziende sanitarie locali, al fine di rendere il trattamento conforme alle disposizioni vigenti e ai sensi dell'art. 154, comma 1, lett. c) del Codice, di rilasciare le certificazioni che attestano il riconoscimento dell'invalidità civile per finalità connesse all'iscrizione alle liste del collocamento obbligatorio o alla richiesta di esenzione dalle tasse scolastiche e universitarie, senza indicare i dati personali relativi alla diagnosi. Si è ravvisata la necessità che tale previsione sia impartita nei riguardi della generalità delle aziende sanitarie locali.

9. Dati idonei a rivelare le convinzioni religiose

Analoghe cautele devono essere osservate nel trattamento di altre tipologie di informazioni sensibili relative al lavoratore, quali quelle idonee a rivelarne le convinzioni religiose. Il trattamento di queste informazioni deve ritenersi in via generale lecito soltanto ove risulti indispensabile per la gestione da parte dei soggetti pubblici del rapporto di lavoro e di impiego, e, in particolare, per consentire l'esercizio delle libertà religiose riconosciute ai lavoratori appartenenti a determinate confessioni, in conformità alle disposizioni di legge e di regolamento che regolano i rapporti tra lo Stato e le medesime confessioni.

Ad esempio, i dati sulle convinzioni religiose possono venire in considerazione per la concessione dei permessi per festività religiose su specifica richiesta dell'interessato motivata per ragioni di appartenenza a una determinata confessione. Le convinzioni religiose potrebbero emergere, inoltre, in relazione al contesto in cui sono trattate o al tipo di trattamento effettuato, da alcune particolari scelte del lavoratore, rispondenti a determinati dettami religiosi, per il servizio di mensa eventualmente apprestato presso il luogo di lavoro.

Inoltre, in base alle specifiche norme sull'accesso agli impieghi nelle pubbliche amministrazioni e le modalità di svolgimento dei concorsi, dei concorsi unici e delle altre forme di assunzione nei pubblici impieghi, le prove del concorso scritte e orali non possono aver luogo, ai sensi della legge 8 marzo 1989, n. 101 , nei giorni di festività religiose ebraiche rese note con decreto del Ministro dell'interno mediante pubblicazione nella Gazzetta Ufficiale della Repubblica, nonché nei giorni di festività religiose valdesi.

In tale quadro, pertanto, nel fissare il diario delle prove concorsuali per l'accesso ai pubblici impieghi, non risulta giustificata la raccolta sistematica e preventiva

dei dati relativi alle convinzioni religiose dei predetti candidati essendo sufficiente fissare le prove in giorni non coincidenti con dette festività.

CAPITOLO III-VIDEOSORVEGLIANZA E RAPPORTI DI LAVORO

1. Premessa

Il trattamento dei dati personali effettuato mediante l'uso di sistemi di videosorveglianza non forma oggetto di legislazione specifica; al riguardo si applicano, pertanto, le disposizioni generali in tema di protezione dei dati personali. Il Garante ha ritenuto necessario intervenire nuovamente in tale settore con il “Provvedimento in materia di videosorveglianza - 8 aprile 2010” che sostituisce quello del 29 aprile 2004.

Ciò in considerazione sia dei numerosi interventi legislativi in materia, sia dell'ingente quantità di quesiti, segnalazioni, reclami e richieste di verifica preliminare in materia sottoposti all’autorità preposta.

2. Trattamento dei dati personali e videosorveglianza: principi generali

La raccolta, la registrazione, la conservazione e, in generale, l'utilizzo di immagini configura un trattamento di dati personali (art. 4, comma 1, lett. b), del Codice). È considerato dato personale, infatti, qualunque informazione relativa a persona fisica identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione.

Un'analisi non esaustiva delle principali applicazioni dimostra che la videosorveglianza è utilizzata a fini molteplici, alcuni dei quali possono essere raggruppati nei seguenti ambiti generali:

1) protezione e incolumità degli individui, ivi ricompresi i profili attinenti alla sicurezza urbana, all'ordine e sicurezza pubblica, alla prevenzione, accertamento o repressione dei reati svolti dai soggetti pubblici, alla razionalizzazione e miglioramento dei servizi al pubblico volti anche ad accrescere la sicurezza degli utenti, nel quadro delle competenze ad essi attribuite dalla legge;

2) protezione della proprietà;

3) rilevazione, prevenzione e controllo delle infrazioni svolti dai soggetti pubblici, nel quadro delle competenze ad essi attribuite dalla legge;

4) acquisizione di prove.

La necessità di garantire, in particolare, un livello elevato di tutela dei diritti e delle libertà fondamentali rispetto al trattamento dei dati personali consente la possibilità di utilizzare sistemi di videosorveglianza, purché ciò non determini un'ingerenza ingiustificata nei diritti e nelle libertà fondamentali degli interessati.

Naturalmente l'installazione di sistemi di rilevazione delle immagini deve avvenire nel rispetto, oltre che della disciplina in materia di protezione dei dati personali, anche delle altre disposizioni dell'ordinamento applicabili, quali ad es. le vigenti norme dell'ordinamento civile e penale in materia di interferenze illecite nella vita privata, sul controllo a distanza dei lavoratori, in materia di sicurezza presso stadi e impianti sportivi, o con riferimento a musei, biblioteche statali e archivi di Stato, in relazione ad impianti di ripresa sulle navi da eggeri adibite a viaggi nazionali e, ancora, nell'ambito dei porti, delle stazioni ferroviarie, delle stazioni delle ferrovie metropolitane e nell'ambito delle linee di trasporto urbano. In tale quadro, pertanto, è necessario che:

a) il trattamento dei dati attraverso sistemi di videosorveglianza sia fondato su uno dei presupposti di liceità che il Codice prevede espressamente per i soggetti pubblici da un lato (svolgimento di funzioni istituzionali: artt. 18-22 del Codice) e, dall'altro, per soggetti privati ed enti pubblici economici (es. adempimento ad un obbligo di legge, provvedimento del Garante di c.d. "bilanciamento di interessi" o consenso libero ed espresso: artt. 23-27 del Codice). Si tratta di presupposti operanti in settori diversi e che sono pertanto richiamati separatamente nei successivi paragrafi del presente provvedimento relativi, rispettivamente, all'ambito pubblico e a quello privato;

b) ciascun sistema informativo ed il relativo programma informatico vengano conformati già in origine in modo da non utilizzare dati relativi a persone identificabili quando le finalità del trattamento possono essere realizzate impiegando solo dati anonimi (es., configurando il programma informatico in modo da consentire, per monitorare il traffico, solo riprese generali che escludano la possibilità di ingrandire le immagini e rendere identificabili le

persone). Lo impone il principio di necessità, il quale comporta un obbligo di attenta configurazione di sistemi informativi e di programmi informatici per ridurre al minimo l'utilizzazione di dati personali (art. 3 del Codice);

c) l'attività di videosorveglianza venga effettuata nel rispetto del c.d. principio di proporzionalità nella scelta delle modalità di ripresa e dislocazione (es. tramite telecamere fisse o brandeggiabili, dotate o meno di zoom), nonché nelle varie fasi del trattamento che deve comportare, comunque, un trattamento di dati pertinenti e non eccedenti rispetto alle finalità perseguite (art. 11, comma 1, lett. d) del Codice).

3. Adempimenti applicabili a soggetti pubblici e privati

3.1. Informativa

Gli interessati devono essere sempre informati che stanno per accedere in una zona videosorvegliata; ciò anche nei casi di eventi e in occasione di spettacoli pubblici (es. concerti, manifestazioni sportive).

A tal fine, il Garante ritiene che si possa utilizzare lo stesso modello semplificato di informativa "minima", indicante il titolare del trattamento e la finalità perseguita, già individuato ai sensi dell'art. 13, comma 3, del Codice nel provvedimento del 2004.

Il modello è ovviamente adattabile a varie circostanze. In presenza di più telecamere, in relazione alla vastità dell'area oggetto di rilevamento e alle modalità delle riprese, potranno essere installati più cartelli.

Il o con l'informativa:

• deve essere collocato prima del raggio di azione della telecamera, anche nelle sue immediate vicinanze e non necessariamente a contatto con gli impianti; • deve avere un formato ed un posizionamento tale da essere chiaramente visibile in ogni condizione di illuminazione ambientale, anche quando il sistema di videosorveglianza sia eventualmente attivo in orario notturno;

• può inglobare un simbolo o una stilizzazione di esplicita e immediata comprensione, eventualmente diversificati al fine di informare se le immagini

sono solo visionate o anche .

Il Garante ha ritenuto auspicabile che l'informativa, resa in forma semplificata avvalendosi del predetto modello, poi rinvii a un testo completo contenente tutti gli elementi di cui all'art. 13, comma 1, del Codice, disponibile agevolmente senza oneri per gli interessati, con modalità facilmente accessibili anche con strumenti informatici e telematici (in particolare, tramite reti Intranet o siti Internet, affissioni in bacheche o locali, avvisi e cartelli agli sportelli per gli utenti, messaggi preregistrati disponibili digitando un numero telefonico gratuito).

In ogni caso il titolare, anche per il tramite di un incaricato, ove richiesto è tenuto a fornire anche oralmente un'informativa adeguata, contenente gli elementi individuati dall'art. 13 del Codice.

3.1.1. Informativa e sicurezza

Talune disposizioni del Codice, tra le quali quella riguardante l'obbligo di fornire una preventiva informativa agli interessati, non sono applicabili al trattamento di dati personali effettuato, anche sotto forma di suoni e immagini, dal "Centro elaborazione dati del Dipartimento di pubblica sicurezza o da forze di polizia sui dati destinati a confluirvi in base alla legge, ovvero da organi di pubblica sicurezza o altri soggetti pubblici per finalità di tutela dell'ordine e della sicurezza pubblica, prevenzione, accertamento o repressione dei reati, effettuati in base ad espressa disposizione di legge che preveda specificamente il trattamento" (art. 53 del Codice).

Alla luce di tale previsione del Codice, i predetti titolari del trattamento di dati personali devono osservare i seguenti principi:

a) l'informativa può non essere resa quando i dati personali sono trattati per il perseguimento delle finalità di tutela dell'ordine e della sicurezza pubblica, prevenzione, accertamento o repressione dei reati;

b) il trattamento deve comunque essere effettuato in base ad espressa disposizione di legge che lo preveda specificamente.

3.1.2. Ulteriori specificazioni: l'informativa eventuale nella videosorveglianza effettuata per finalità di tutela dell'ordine e della sicurezza pubblica, prevenzione, accertamento o repressione dei reati

Il Garante, al fine di rafforzare la tutela dei diritti e delle libertà fondamentali degli interessati, ha ritenuto fortemente auspicabile che l'informativa, benché non obbligatoria, laddove l'attività di videosorveglianza sia espletata ai sensi dell'art. 53 del Codice, sia comunque resa in tutti i casi nei quali non ostano in concreto specifiche ragioni di tutela e sicurezza pubblica o di prevenzione, accertamento o repressione dei reati.

Ciò naturalmente all'esito di un prudente apprezzamento volto a verificare che l'informativa non ostacoli, ma anzi rafforzi, in concreto l'espletamento delle specifiche funzioni perseguite, tenuto anche conto che rendere palese l'utilizzo dei sistemi di videosorveglianza può, in molti casi, svolgere una efficace funzione di deterrenza.

A tal fine i titolari del trattamento possono rendere nota la rilevazione di immagini tramite impianti di videosorveglianza attraverso forme anche semplificate di informativa, che evidenzino, mediante l'apposizione nella cartellonistica di riferimenti grafici, simboli, diciture, l'utilizzo di tali sistemi per finalità di tutela dell'ordine e della sicurezza pubblica, prevenzione, accertamento o repressione dei reati.

In ogni caso resta fermo che, anche se i titolari si avvalgono della facoltà di fornire l'informativa, resta salva la non applicazione delle restanti disposizioni del Codice tassativamente indicate dall'art. 53, comma 1, lett. a) e b).

Va infine sottolineato che deve essere obbligatoriamente fornita un'idonea informativa in tutti i casi in cui, invece, i trattamenti di dati personali effettuati tramite l'utilizzo di sistemi di videosorveglianza dalle forze di polizia, dagli organi di pubblica sicurezza e da altri soggetti pubblici non siano riconducibili a quelli espressamente previsti dall'art. 53 del Codice (es. utilizzo di sistemi di rilevazioni delle immagini per la contestazione delle violazioni del Codice della strada).

3.1.3. Informativa da parte dei soggetti privati che effettuano collegamenti con le forze di polizia

I trattamenti di dati personali effettuati da soggetti privati tramite sistemi di videosorveglianza, direttamente collegati con le forze di polizia, esulano dall'ambito di applicazione dell'art. 53 del Codice. Pertanto, l'attivazione del predetto collegamento deve essere reso noto agli interessati. A tal fine, il Garante ha ritenuto che si possa utilizzare il modello semplificato di informativa "minima" - indicante il titolare del trattamento, la finalità perseguita ed il collegamento con le forze di polizia- individuato ai sensi dell'art. 13, comma 3, del Codice. Nell'ambito del testo completo di informativa reso eventualmente disponibile agli interessati, tale collegamento deve essere reso noto.

Al predetto trattamento si applicano le prescrizioni previste per i sistemi integrati di videosorveglianza, ovvero, in ottemperanza del principio di economicità delle risorse e dei mezzi impiegati, si è incrementato il ricorso a sistemi integrati di videosorveglianza tra diversi soggetti, pubblici e privati, nonché l'offerta di servizi centralizzati di videosorveglianza remota da parte di fornitori (società di vigilanza, Internet service providers, fornitori di servizi video specialistici, ecc.). Inoltre, le immagini riprese vengono talvolta rese disponibili, con varie tecnologie o modalità, alle forze di polizia. Nell'ambito dei predetti trattamenti, sono individuabili le seguenti tipologie di sistemi integrati di videosorveglianza:

a) gestione coordinata di funzioni e servizi tramite condivisione, integrale o parziale, delle immagini riprese da parte di diversi e autonomi titolari del trattamento, i quali utilizzano le medesime infrastrutture tecnologiche; in tale ipotesi, i singoli titolari possono trattare le immagini solo nei termini strettamente funzionali al perseguimento dei propri compiti istituzionali ed alle finalità chiaramente indicate nell'informativa, nel caso dei soggetti pubblici,

ovvero alle sole finalità riportate nell'informativa, nel caso dei soggetti privati;

b) collegamento telematico di diversi titolari del trattamento ad un "centro" unico gestito da un soggetto terzo; tale soggetto terzo, designato responsabile del trattamento ai sensi dell'art. 29 del Codice da parte di ogni singolo titolare, deve assumere un ruolo di coordinamento e gestione dell'attività di videosorveglianza senza consentire, tuttavia, forme di correlazione delle immagini raccolte per conto di ciascun titolare;

c) sia nelle predette ipotesi, sia nei casi in cui l'attività di videosorveglianza venga effettuata da un solo titolare, si può anche attivare un collegamento dei sistemi di videosorveglianza con le sale o le centrali operative degli organi di polizia. L'attivazione del predetto collegamento deve essere reso noto agli interessati.

Le modalità di trattamento sopra elencate richiedono l'adozione di specifiche misure di sicurezza ulteriori rispetto a quelle individuate precedentemente, quali:

1) adozione di sistemi idonei alla registrazione degli accessi logici degli incaricati e delle operazioni compiute sulle immagini , compresi i relativi riferimenti temporali, con conservazione per un periodo di tempo congruo all'esercizio dei doveri di verifica periodica dell'operato dei responsabili da parte del titolare, comunque non inferiore a sei mesi;

2) separazione logica delle immagini dai diversi titolari. Il mancato rispetto delle misure previste ai punti 1) e 2) comporta l'applicazione della sanzione amministrativa stabilita dall'art. 162, comma 2-ter, del Codice. Fuori dalle predette ipotesi, in tutti i casi in cui i trattamenti effettuati tramite

sistemi integrati di videosorveglianza hanno natura e caratteristiche tali per cui le misure e gli accorgimenti sopra individuati non siano integralmente applicabili, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che possono determinare, il titolare del trattamento è tenuto a richiedere una verifica preliminare al Garante.

La violazione delle disposizioni riguardanti l'informativa di cui all'art. 13, consistente nella sua omissione o inidoneità (es. laddove non indichi comunque il titolare del trattamento, la finalità perseguita ed il collegamento con le forze di polizia), è punita con la sanzione amministrativa prevista dall'art. 161 del Codice.

3.2. Prescrizioni specifiche

3.2.1. Verifica preliminare

I trattamenti di dati personali nell'ambito di una attività di videosorveglianza devono essere effettuati rispettando le misure e gli accorgimenti prescritti da questa Autorità come esito di una verifica preliminare attivata d'ufficio o a seguito di un interpello del titolare (art. 17 del Codice), quando vi sono rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità degli interessati, in relazione alla natura dei dati o alle modalità di trattamento o agli effetti che può determinare. In tali ipotesi devono ritenersi ricompresi i sistemi di raccolta delle immagini associate a dati biometrici. L'uso generalizzato e incontrollato di tale tipologia di dati può comportare, in considerazione della loro particolare natura, il concreto rischio del verificarsi di un pregiudizio rilevante per l'interessato, per cui si rende necessario prevenire eventuali utilizzi impropri, nonché possibili abusi.

Ad esempio, devono essere sottoposti alla verifica preliminare di questa Autorità i sistemi di videosorveglianza dotati di software che permetta il riconoscimento della persona tramite collegamento o incrocio o confronto delle immagini rilevate (es. morfologia del volto) con altri specifici dati personali, in particolare con dati biometrici, o sulla base del confronto della relativa immagine con una campionatura di soggetti precostituita alla rilevazione medesima.

Un analogo obbligo sussiste con riferimento a sistemi c.d. intelligenti, che non si limitano a riprendere e registrare le immagini, ma sono in grado di rilevare automaticamente comportamenti o eventi anomali, segnalarli, ed eventualmente registrarli. In linea di massima tali sistemi devono considerarsi eccedenti rispetto alla normale attività di videosorveglianza, in quanto possono determinare effetti particolarmente invasivi sulla sfera di autodeterminazione dell'interessato e, conseguentemente, sul suo comportamento. Il relativo utilizzo risulta comunque giustificato solo in casi particolari, tenendo conto delle finalità e del contesto in

cui essi sono trattati, da verificare caso per caso sul piano della conformità ai principi di necessità, proporzionalità, finalità e correttezza (artt. 3 e 11 del Codice).

Deve essere sottoposto a verifica preliminare l'utilizzo di sistemi integrati di videosorveglianza nei casi in cui le relative modalità di trattamento non corrispondano a quelle individuate nei punti 4.6 e 5.4 del presente provvedimento. Ulteriori casi in cui si rende necessario richiedere una verifica preliminare riguardano l'allungamento dei tempi di conservazione dei dati delle immagini oltre il previsto termine massimo di sette giorni derivante da speciali esigenze di ulteriore conservazione, a meno che non derivi da una specifica richiesta dell'autorità giudiziaria o di polizia giudiziaria in relazione a un'attività investigativa in corso (v. punto 3.4).

Comunque, anche fuori dalle predette ipotesi, in tutti i casi in cui i trattamenti effettuati tramite videosorveglianza hanno natura e caratteristiche tali per cui le misure e gli accorgimenti individuati nel presente provvedimento non sono integralmente applicabili, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che possono determinare, il titolare del trattamento è tenuto a richiedere una verifica preliminare a questa Autorità.

3.2.2. Esclusione della verifica preliminare

Il titolare del trattamento di dati personali effettuato tramite sistemi di videosorveglianza non deve richiedere una verifica preliminare purché siano rispettate tutte le seguenti condizioni:

a) il Garante si sia già espresso con un provvedimento di verifica preliminare in relazione a determinate categorie di titolari o di trattamenti;

b) la fattispecie concreta, le finalità del trattamento, la tipologia e le modalità d'impiego del sistema che si intende adottare, nonché le categorie dei titolari, corrispondano a quelle del trattamento approvato;

c) si rispettino integralmente le misure e gli accorgimenti conosciuti o concretamente conoscibili prescritti nel provvedimento di cui alla lett. a) adottato dal Garante.

Resta inteso che il normale esercizio di un impianto di videosorveglianza, non rientrante nelle ipotesi previste al precedente punto 3.2.1, non deve essere sottoposto all'esame preventivo del Garante, sempreché il trattamento medesimo avvenga con modalità conformi al presente provvedimento.

Resta altresì inteso che nessuna approvazione implicita può desumersi dal semplice inoltro al Garante di documenti relativi a progetti di videosorveglianza (spesso generici e non valutabili a distanza) cui non segua un esplicito riscontro dell'Autorità, in quanto non si applica il principio del silenzio-assenso.

3.2.3. Notificazione

E' regola generale che i trattamenti di dati personali devono essere notificati al Garante solo se rientrano in casi specificamente previsti (art. 37 del Codice). In relazione a quanto stabilito dalla lett. f), del comma 1, dell'art. 37, il Garante ha già disposto che non vanno comunque notificati i trattamenti di dati effettuati per esclusive finalità di sicurezza o di tutela delle persone o del patrimonio ancorché relativi a comportamenti illeciti o fraudolenti, quando immagini o suoni raccolti siano conservati temporaneamente. Al di fuori di tali precisazioni, il trattamento, che venga effettuato tramite sistemi di videosorveglianza e che sia riconducibile a quanto disposto dall'art. 37 del Codice, deve essere preventivamente notificato al Garante.

La mancata o incompleta notificazione ai sensi degli artt. 37 e 38 del Codice è punita con la sanzione amministrativa prevista dall'art. 163.

3.3. Misure di sicurezza da applicare ai dati personali trattati mediante sistemi di videosorveglianza e soggetti preposti

3.3.1. Misure di sicurezza

I dati raccolti mediante sistemi di videosorveglianza devono essere protetti con idonee e preventive misure di sicurezza, riducendo al minimo i rischi di distruzione, di perdita, anche accidentale, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta, anche in relazione alla trasmissione delle immagini (artt. 31 e ss. del Codice).

Devono quindi essere adottate specifiche misure tecniche ed organizzative che consentano al titolare di verificare l'attività espletata da parte di chi accede alle immagini o controlla i sistemi di ripresa (se soggetto distinto dal titolare medesimo, nel caso in cui questo sia persona fisica).

E' inevitabile che - in considerazione dell'ampio spettro di utilizzazione di sistemi di videosorveglianza, anche in relazione ai soggetti e alle finalità perseguite nonché della varietà dei sistemi tecnologici utilizzati - le misure minime di sicurezza possano variare anche significativamente. E' tuttavia necessario che le stesse siano quanto meno rispettose dei principi che seguono:

a) in presenza di differenti competenze specificatamente attribuite ai singoli operatori devono essere configurati diversi livelli di visibilità e trattamento delle immagini. Laddove tecnicamente possibile, in base alle caratteristiche dei sistemi utilizzati, i predetti soggetti, designati incaricati o, eventualmente, responsabili del trattamento, devono essere in possesso di credenziali di autenticazione che permettano di effettuare, a seconda dei compiti attribuiti ad ognuno, unicamente le operazioni di propria competenza;

b) laddove i sistemi siano configurati per la registrazione e successiva conservazione delle immagini rilevate, deve essere altresì attentamente limitata

la possibilità, per i soggetti abilitati, di visionare non solo in sincronia con la ripresa, ma anche in tempo differito, le immagini e di effettuare sulle medesime operazioni di cancellazione o duplicazione;

c) per quanto riguarda il periodo di conservazione delle immagini devono essere predisposte misure tecniche od organizzative per la cancellazione, anche in forma automatica, delle registrazioni, allo scadere del termine previsto;

d) nel caso di interventi derivanti da esigenze di manutenzione, occorre adottare specifiche cautele; in particolare, i soggetti preposti alle predette operazioni possono accedere alle immagini solo se ciò si renda indispensabile al fine di effettuare eventuali verifiche tecniche ed in presenza dei soggetti dotati di credenziali di autenticazione abilitanti alla visione delle immagini;

e) qualora si utilizzino apparati di ripresa digitali connessi a reti informatiche, gli apparati medesimi devono essere protetti contro i rischi di accesso abusivo di cui all'art. 615-ter del codice penale; f) la trasmissione tramite una rete pubblica di comunicazioni di immagini riprese da apparati di videosorveglianza deve essere effettuata previa applicazione di tecniche crittografiche che ne garantiscano la riservatezza; le stesse cautele sono richieste per la trasmissione di immagini da punti di ripresa dotati di connessioni wireless (tecnologie wi-fi, wi-max, Gprs).

3.3.2. Responsabili e incaricati

Il titolare o il responsabile devono designare per iscritto tutte le persone fisiche, incaricate del trattamento, autorizzate sia ad accedere ai locali dove sono situate le postazioni di controllo, sia ad utilizzare gli impianti e, nei casi in cui sia indispensabile per gli scopi perseguiti, a visionare le immagini (art. 30 del Codice). Deve trattarsi di un numero delimitato di soggetti, specie quando il titolare si avvale di collaboratori esterni. Occorre altresì individuare diversi livelli di accesso in corrispondenza delle specifiche mansioni attribuite ad ogni singolo operatore, distinguendo coloro che sono unicamente abilitati a visionare le immagini dai soggetti che possono effettuare, a determinate condizioni, ulteriori operazioni (es. registrare, copiare, cancellare, spostare l'angolo visuale, modificare lo zoom, ecc.).

Vanno osservate le regole ordinarie anche per ciò che attiene all'eventuale designazione di responsabili del trattamento (art. 29 del Codice).

Il mancato rispetto delle misure minime di sicurezza comporta l'applicazione della sanzione amministrativa stabilita dall'art. 162, comma 2-ter, del Codice.

L'omessa adozione delle misure minime di sicurezza comporta l'applicazione della sanzione amministrativa stabilita dall'art. 162, comma 2-bis, ed integra la fattispecie di reato prevista dall'art. 169 del Codice.

3.4. Durata dell'eventuale conservazione

Nei casi in cui sia stato scelto un sistema che preveda la conservazione delle immagini, in applicazione del principio di proporzionalità (v. art. 11, comma 1, lett. e),del Codice), anche l'eventuale conservazione temporanea dei dati deve essere commisurata al tempo necessario - e predeterminato - a raggiungere la finalità perseguita.

La conservazione deve essere limitata a poche ore o, al massimo, alle ventiquattro ore successive alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione in relazione a festività o chiusura di uffici o esercizi, nonché nel caso in cui si deve aderire ad una specifica richiesta investigativa dell'autorità giudiziaria o di polizia giudiziaria. Solo in alcuni casi, per peculiari esigenze tecniche (mezzi di trasporto) o per la particolare rischiosità dell'attività svolta dal titolare del trattamento (ad esempio, per alcuni luoghi come le banche può risultare giustificata l'esigenza di identificare gli autori di un sopralluogo nei giorni precedenti una rapina), può ritenersi ammesso un tempo più ampio di conservazione dei dati che, sulla scorta anche del tempo massimo legislativamente posto per altri trattamenti, si ritiene non debba comunque superare la settimana. Per i comuni e nelle sole ipotesi in cui l'attività di videosorveglianza sia finalizzata alla tutela della sicurezza urbana, alla luce delle recenti disposizioni normative, il termine massimo di durata della conservazione dei dati è limitato "ai sette giorni successivi alla rilevazione delle informazioni e delle immagini raccolte mediante l'uso di sistemi di videosorveglianza, fatte salve speciali esigenze di ulteriore conservazione".

In tutti i casi in cui si voglia procedere a un allungamento dei tempi di conservazione per un periodo superiore alla settimana, una richiesta in tal senso deve essere sottoposta ad una verifica preliminare del Garante, e comunque essere ipotizzato dal titolare come eccezionale nel rispetto del principio di

proporzionalità. La congruità di un termine di tempo più ampio di conservazione va adeguatamente motivata con riferimento ad una specifica esigenza di sicurezza perseguita, in relazione a concrete situazioni di rischio riguardanti eventi realmente incombenti e per il periodo di tempo in cui venga confermata tale eccezionale necessità. La relativa congruità può altresì dipendere dalla necessità di aderire ad una specifica richiesta di custodire o consegnare una copia specificamente richiesta dall'autorità giudiziaria o dalla polizia giudiziaria in relazione ad un'attività investigativa in corso.

Il sistema impiegato deve essere programmato in modo da operare al momento prefissato l'integrale cancellazione automatica delle informazioni allo scadere del termine previsto da ogni o, anche mediante sovra-registrazione, con modalità tali da rendere non riutilizzabili i dati cancellati. In presenza di impianti basati su tecnologia non digitale o comunque non dotati di capacità di elaborazione tali da consentire la realizzazione di meccanismi automatici di expiring dei dati registrati, la cancellazione delle immagini dovrà comunque essere effettuata nel più breve tempo possibile per l'esecuzione materiale delle operazioni dalla fine del periodo di conservazione fissato dal titolare.

Il mancato rispetto dei tempi di conservazione delle immagini raccolte e del correlato obbligo di cancellazione di dette immagini oltre il termine previsto comporta l'applicazione della sanzione amministrativa stabilita dall'art. 162, comma 2-ter, del Codice.

3.5. Diritti degli interessati

Deve essere assicurato agli interessati identificabili l'effettivo esercizio dei propri diritti in conformità al Codice, in particolare quello di accedere ai dati che li riguardano, di verificare le finalità, le modalità e la logica del trattamento (art. 7 del Codice).

La risposta ad una richiesta di accesso a dati conservati deve riguardare tutti quelli attinenti al richiedente identificabile e può comprendere eventuali dati riferiti a terzi solo nei limiti previsti dal Codice, ovvero nei soli casi in cui la scomposizione dei dati trattati o la privazione di alcuni elementi renda incomprensibili i dati personali relativi all'interessato (art. 10, comma 5, del Codice). In riferimento alle immagini non è in concreto esercitabile il diritto di aggiornamento, rettificazione o integrazione in considerazione della natura intrinseca dei dati raccolti, in quanto si tratta di immagini raccolte in tempo reale riguardanti un fatto obiettivo (art. 7, comma 3, lett. a), del Codice). Viceversa, l'interessato ha diritto di ottenere il blocco dei dati qualora essi siano trattati in violazione di legge (art. 7, comma 3, lett. b), del Codice).

4. Il settore specifico dei rapporti di lavoro

Nelle attività di sorveglianza occorre rispettare il divieto di controllo a distanza dell'attività lavorativa, pertanto è vietata l'installazione di apparecchiature specificatamente preordinate alla predetta finalità: non devono quindi essere effettuate riprese al fine di verificare l'osservanza dei doveri di diligenza stabiliti per il rispetto dell'orario di lavoro e la correttezza nell'esecuzione della prestazione lavorativa (ad es. orientando la telecamera sul badge). Vanno poi osservate le garanzie previste in materia di lavoro quando la videosorveglianza è resa necessaria da esigenze organizzative o produttive, ovvero è richiesta per la sicurezza del lavoro: in tali casi, ai sensi dell'art. 4 della l. n. 300/1970, gli impianti e le apparecchiature, "dai quali può derivare anche la possibilità di controllo a distanza dell'attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l'Ispettorato del lavoro, dettando, ove occorra, le modalità per l'uso di tali impianti" (v., altresì, artt. 113 e 114 del Codice; art. 8 l. n. 300/1970 cit.; art. 2 d.lg. n. 165/2001).

Tali garanzie vanno osservate sia all'interno degli edifici, sia in altri contesti in cui è resa la prestazione di lavoro, come, ad esempio, nei cantieri edili o con riferimento alle telecamere installate su veicoli adibiti al servizio di linea per il trasporto di persone (artt. 82, 85-87, d.lg. 30 aprile 1992, n. 285, "Nuovo codice della strada") o su veicoli addetti al servizio di noleggio con conducente e servizio di piazza (taxi) per trasporto di persone (le quali non devono riprendere in modo stabile la postazione di guida, e le cui immagini, raccolte per finalità di sicurezza e di eventuale accertamento di illeciti, non possono essere utilizzate per controlli, anche indiretti, sull'attività lavorativa degli addetti, v. punto 4.4).

Il mancato rispetto di quanto sopra prescritto comporta l'applicazione della sanzione amministrativa stabilita dall'art. 162, comma 2-ter, del Codice.

L'utilizzo di sistemi di videosorveglianza preordinati al controllo a distanza dei lavoratori o ad effettuare indagini sulle loro opinioni integra la fattispecie di reato prevista dall'art. 171 del Codice.

Sotto un diverso profilo, eventuali riprese televisive sui luoghi di lavoro per documentare attività od operazioni solo per scopi divulgativi o di comunicazione istituzionale o aziendale, e che vedano coinvolto il personale dipendente, possono essere assimilati ai trattamenti temporanei finalizzati alla pubblicazione occasionale di articoli, saggi ed altre manifestazioni del pensiero. In tal caso, alle stesse si applicano le disposizioni sull'attività giornalistica contenute nel Codice (artt. 136 e ss.), fermi restando, comunque, i limiti al diritto di cronaca posti a tutela della riservatezza, nonché l'osservanza del codice deontologico per l'attività giornalistica ed il diritto del lavoratore a tutelare la propria immagine opponendosi, per motivi legittimi, alla sua diffusione (art. 7, comma 4, lett. a), del Codice).

5. Prescrizioni e sanzioni

Il Garante invita tutti i titolari dei trattamenti di dati personali effettuati tramite sistemi di videosorveglianza ad attenersi alle prescrizioni indicate nel presente provvedimento.

Le misure necessarie prescritte con il presente provvedimento devono essere osservate da tutti i titolari di trattamento. In caso contrario il trattamento dei dati è, a seconda dei casi, illecito oppure non corretto, ed espone:

• all'inutilizzabilità dei dati personali trattati in violazione della relativa disciplina (art. 11, comma 2, del Codice);

• all'adozione di provvedimenti di blocco o di divieto del trattamento disposti dal Garante (art. 143, comma 1, lett. c), del Codice), e di analoghe decisioni adottate dall'autorità giudiziaria civile e penale;

• all'applicazione delle pertinenti sanzioni amministrative o penali (artt. 161 e ss. del Codice).

CAPITOLO IV-FASCICOLO SANITARIO ELETTRONICO ED IL DOSSIER SANITARIO

1. La sanità elettronica: profili generali

Nel quadro del processo di ammodernamento della sanità pubblica e privata sono in atto numerose iniziative volte a migliorare l'efficienza del servizio sanitario attraverso un ulteriore sviluppo delle reti e una più ampia gestione informatica e telematica di atti, documenti e procedure.

In tale contesto si collocano alcune iniziative volte ad archiviare, mediante nuove tecniche, la svariata documentazione di cui gli organismi sanitari si avvalgono a diverso titolo nei processi di cura dei pazienti come, ad esempio, le più recenti esperienze di informatizzazione della cartella clinica, documento sanitario che pure è regolato da specifiche disposizioni normative. Il trattamento dei dati utilizzati nell'ambito di tali iniziative è regolato già dal Codice sulla protezione dei dati personali e non è oggetto delle presenti Linee guida (cfr., in particolare, artt. 75 e ss. e art. 20 del Codice).

Accanto a tali iniziative più generali emerge di recente un'attività diversa e più specifica che rientra anch'essa nel complesso delle azioni per modernizzare la realtà sanitaria, ma ha caratteristiche peculiari che ne rendono opportuna una considerazione in forma specifica. La novità che si intende esaminare in questa sede in chiave autonoma riguarda la condivisione informatica, da parte di distinti organismi o professionisti, di dati e documenti sanitari che vengono formati, integrati e aggiornati nel tempo da più soggetti, al fine di documentare in modo unitario e in termini il più possibile completi un'intera gamma di diversi eventi sanitari riguardanti un medesimo individuo e, in prospettiva, l'intera sua storia clinica.

Questi dati e documenti possono presentare caratteristiche o sfumature diverse e

sono da tempo oggetto di specifica attenzione nell'ambito della problematica del cosiddetto Fascicolo sanitario elettronico (di seguito Fse) e del c.d. dossier sanitario (di seguito dossier). Nelle presenti Linee guida per tali strumenti si ha riguardo all'insieme dei diversi eventi clinici occorsi ad un individuo, messo in condivisione logica dai professionisti o organismi sanitari che assistono l'interessato, al fine di offrirgli un migliore processo di cura.

La peculiarità della condivisione da parte di distinti soggetti delle delicate informazioni sanitarie che documentano un insieme di eventi di rilevanza medica occorsi a uno stesso individuo giustifica la formulazione di particolari considerazioni rispetto alla gestione cartacea di analoghi documenti e alla più generale tematica dell'informatizzazione sanitaria.

Nelle more di un possibile intervento normativo che regoli alcuni aspetti di fondo, il Garante ritiene pertanto opportuno individuare un primo quadro di cautele, al fine di delineare per tempo specifiche garanzie e responsabilità, nonché alcuni diritti.

2. Ambito di applicazione delle Linee guida

Il Fse e i dossier non risultano essere definiti a livello nazionale da norme di carattere primario o secondario. Ciò, comporta la necessità di utilizzare una definizione convenzionale del fenomeno che trae spunto anche da quanto emerso in sede europea nel Gruppo che riunisce le autorità garanti di protezione dei dati (cd. Gruppo Art. 29).

Le considerazioni sviluppate nelle presenti Linee guida sono applicabili al Fse e al dossier intesi, come detto, quali insieme di dati sanitari relativi di regola ad un medesimo soggetto e riportati in più documenti elettronici tra loro collegati, condivisibili da soggetti sanitari diversi, pubblici e privati.

Il Fse e il dossier contengono diverse informazioni inerenti allo stato di salute di un individuo relative ad eventi clinici presenti e trascorsi (es.: referti, documentazione relativa a ricoveri, accessi al pronto soccorso), volte a documentarne la storia clinica. I dati personali sono collegati tra loro con modalità informatiche di vario tipo che ne rendono, comunque, possibile un'agevole consultazione unitaria da parte dei diversi professionisti o organismi sanitari che prendono nel tempo in cura l'interessato.

Alla luce di quanto emerso a livello nazionale ed, in particolare, dalle osservazioni del gruppo di lavoro costituito presso il Ministero del lavoro, della salute e delle politiche sociali, per l'istituzione di un sistema nazionale di Fascicolo sanitario elettronico, nelle presenti Linee guida il suddetto insieme di dati sanitari risulta diversamente denominato in funzione del suo ambito di operatività. In particolare, si parla di dossier sanitario qualora tale strumento sia costituito presso un organismo sanitario in qualità di unico titolare del trattamento (es., ospedale o clinica privata) al cui interno operino più

professionisti. Si intende invece per Fse il fascicolo formato con riferimento a dati sanitari originati da diversi titolari del trattamento operanti più frequentemente, ma non esclusivamente, in un medesimo ambito territoriale (es., azienda sanitaria, laboratorio clinico privato operanti nella medesima regione o area vasta). I dossier sanitari possono anche costituire, ad esempio, l'insieme di informazioni sanitarie detenute dai singoli titolari coinvolti in una iniziativa di Fse regionale.

Il Fse deve essere costituito preferendo, di regola, soluzioni che non prevedano una duplicazione in una nuova banca dati delle informazioni sanitarie formate dai professionisti o organismi sanitari che hanno preso in cura l'interessato.

In secondo luogo, provenendo i dati sanitari e i documenti riuniti nel Fse da più soggetti, devono essere adottate idonee cautele per ricostruire, anche in termini di responsabilità, chi ha raccolto e generato i dati e li ha resi disponibili nell'ambito del Fse.

Nel caso di Fse, venendo poi in considerazione documenti sanitari del tutto distinti tra loro, deve essere assicurato che ciascun soggetto che li ha prodotti autonomamente ne rimanga di regola l'unico titolare, anche se le informazioni sono -come detto- disponibili agli altri soggetti abilitati all'accesso (ad esempio come spesso accade-, attraverso la condivisione, da parte di tutti i soggetti che prendono in cura l'interessato, dell'elenco degli eventi sanitari occorsi, elenco strutturato anche sotto forma di indici o di puntatori logici dei singoli episodi clinici).

In assenza di una previsione legislativa che preveda l'istituzione di tali strumenti per il perseguimento di finalità amministrative proprie delle regioni o di organi centrali dello Stato, le finalità che possono essere perseguite attraverso la costituzione del Fse o del dossier possono essere ricondotte esclusivamente a finalità di cura dell'interessato, ovvero ad assicurare un migliore processo di cura dello stesso attraverso la ricostruzione di un insieme -di regola su base logica- il

più possibile completo della cronistoria degli eventi di rilievo clinico occorsi a un interessato relativi a distinti interventi medici.

A garanzia dell'interessato, le finalità perseguite devono essere ricondotte quindi solo alla prevenzione, diagnosi, cura e riabilitazione dell'interessato medesimo, con esclusione di ogni altra finalità (in particolare, per le attività di programmazione, gestione, controllo e valutazione dell'assistenza sanitaria, che possono essere, peraltro, espletate in vari casi anche senza la disponibilità di dati personali), ferme restando eventuali esigenze in ambito penale.

Qualora attraverso il Fse o il dossier si intendano perseguire anche talune finalità amministrative strettamente connesse all'erogazione della prestazione sanitaria richiesta dall'interessato (es. prenotazione e pagamento di una prestazione), tali strumenti devono essere strutturati in modo tale che i dati amministrativi siano separati dalle informazioni sanitarie, prevedendo profili diversi di abilitazione degli aventi accesso agli stessi in funzione della differente tipologia di operazioni ad essi consentite.

Eventuali, future utilizzazioni anche parziali del Fse o del dossier per ulteriori fini di ricerca scientifica, epidemiologica o statistica non sono di per se precluse, ma possono avvenire solo in conformità alla normativa di settore ed essere oggetto di preventiva e specifica attenzione, anche nei casi in cui -come accade per taluni progetti di Fse esaminati- la tenuta dell'elenco degli eventi sanitari riguardante un determinato interessato sia demandata a un'infrastruttura regionale.

3. Diritto alla costituzione di un Fascicolo sanitario elettronico o di un dossier sanitario

In base alle disposizioni contenute nel Codice dell'amministrazione digitale, deve essere assicurata la disponibilità, la gestione, l'accesso, la trasmissione, la conservazione e la fruibilità dell'informazione in modalità digitale utilizzando le tecnologie dell'informazione e della comunicazione nel rispetto della disciplina rilevante in materia di trattamento dei dati personali e, in particolare, delle disposizioni del Codice dell'amministrazione digitale (d.lg. 7 marzo 2005, n. 82).

A ciò deve aggiungersi che allo stato delle notizie al momento acquisite dall'Autorità, non consta l'esistenza di una norma che obblighi gli organismi sanitari a costituire un Fse o un dossier, la cui introduzione deve ritenersi, pertanto, facoltativa.

Le finalità perseguite attraverso il Fse o il dossier, come sopra ricordato, sono generalmente riconducibili alla documentazione di una "memoria storica" degli eventi di rilievo sanitario relativi a un medesimo individuo consultabile dal medico curante.

Il trattamento dei dati personali effettuato mediante il Fse o il dossier, perseguendo le menzionate finalità di prevenzione, diagnosi, cura e riabilitazione, deve uniformarsi al principio di autodeterminazione (artt. 75 e ss. del Codice). All'interessato deve essere consentito di scegliere, in piena libertà, se far costituire o meno un Fse/dossier con le informazioni sanitarie che lo riguardano, garantendogli anche la possibilità che i dati sanitari restino disponibili solo al professionista o organismo sanitario che li ha redatti, senza la loro necessaria inclusione in tali strumenti.

Il diritto alla costituzione o meno del Fse/dossier si deve, quindi, tradurre nella garanzia di decidere liberamente, sulla base del consenso, se acconsentire o meno alla costituzione di un documento che, come si è detto, raccoglie un'ampia storia sanitaria. Affinché tale scelta sia effettivamente libera, l'interessato che non desideri che sia costituito un Fse/dossier deve poter accedere comunque alle prestazioni del Servizio sanitario nazionale e non avere conseguenze negative sulla possibilità di usufruire di prestazioni mediche.

Il consenso, anche se manifestato unitamente a quello previsto per il trattamento dei dati a fini di cura (cfr. art. 81 del Codice), deve essere autonomo e specifico.

In ragione delle finalità perseguite attraverso il Fse/dossier, è opportuno che sia illustrata all'interessato l'utilità di costituire e disporre di un quadro il più possibile completo delle informazioni sanitarie che lo riguardano, in modo da poter offrire un migliore o all'organismo sanitario, al medico e all'interessato stesso. Una conoscenza approfondita dei dati clinici, relativi anche al ato, può infatti contribuire ad una più efficace ricognizione degli elementi utili alle valutazioni del caso.

Tuttavia, devono essere previsti momenti distinti in cui l'interessato possa esprimere la propria volontà, attraverso un consenso di carattere generale per la costituzione del Fse e di consensi specifici ai fini della sua consultazione o meno da parte dei singoli titolari del trattamento (es. medico di medicina generale, pediatra di libera scelta, farmacista, medico ospedaliero).

Ferma restando l'indubbia utilità di un Fse/dossier completo, deve essere garantita la possibilità di non far confluire in esso alcune informazioni sanitarie relative a singoli eventi clinici (ad es., con riferimento all'esito di una specifica

visita specialistica o alla prescrizione di un farmaco). Ciò, analogamente a quanto avviene nel rapporto paziente-medico curante, nel quale il primo può addivenire a una determinazione consapevole di non informare il secondo di certi eventi.

L'"oscuramento" dell'evento clinico (revocabile nel tempo) deve peraltro avvenire con modalità tali da garantire che, almeno in prima battuta, tutti (o alcuni) soggetti abilitati all'accesso non possano venire automaticamente (anche temporaneamente) a conoscenza del fatto che l'interessato ha effettuato tale scelta ("oscuramento dell'oscuramento").

In tale quadro, alcuni progetti di Fse esaminati garantiscono l'esercizio della "facoltà di oscuramento" mediante una "busta elettronica sigillata" non visibile, apribile di volta in volta solo con la collaborazione dell'interessato, ovvero utilizzando codici casuali relativi a singoli eventi che non consentono di collegare tra loro alcune informazioni contrassegnate.

Resta ferma la possibilità per il titolare del trattamento di informare i soggetti abilitati ad accedere a tali strumenti che tutti i fascicoli o i dossier cui hanno accesso possono non essere completi, in quanto l'interessato potrebbe aver esercitato il suddetto diritto di oscuramento.

Nulla osta, inoltre, che il titolare del trattamento possa prevedere che l'interessato eserciti tale facoltà in presenza del medico che ha eseguito la prestazione sanitaria, affinché quest'ultimo gli possa illustrare le conseguenze, da un punto di vista clinico, di tale scelta.

Il titolare del trattamento che intenda istituire il Fse/dossier anche con informazioni sanitarie relative a eventi clinici precedenti alla sua costituzione (es. referti relativi a prestazioni mediche pregresse) deve essere autorizzato

preventivamente dall'interessato, lasciando libero quest'ultimo di esercitare la facoltà di "oscuramento".

L'inserimento delle informazioni relative ad eventi sanitari pregressi all'istituzione del Fse/dossier deve fondarsi sul consenso specifico ed informato dell'interessato, potendo quest'ultimo anche scegliere che le informazioni sanitarie pregresse che lo riguardano non siano inserite nel Fascicolo.

In ogni caso, sia con riferimento alle informazioni sanitarie pregresse che a quelle attuali, il titolare del trattamento deve assicurare all'interessato di poter esercitare il diritto di oscuramento sia prima dell'inserimento delle informazioni sanitarie che successivamente.

In caso di incapacità di agire deve essere acquisito il consenso di chi esercita la potestà. Raggiunta la maggiore età, il titolare del trattamento deve provvedere ad acquisire una nuova ed espressa manifestazione di volontà del minore divenuto maggiorenne, non essendo sufficiente una mera o implicita conferma di quella prestata dai genitori (artt. 13 e 82, comma 4, del Codice). Tale consenso può essere espresso anche al primo contatto -relativo ad un evento di cura- tra il titolare e l'interessato divenuto maggiorenne. Restano ovviamente ferme le ipotesi di differimento del consenso in caso di emergenze o per la tutela della salute e dell'incolumità fisica (art. 82 del Codice).

In caso di revoca (liberamente manifestabile) del consenso, il Fse/dossier non deve essere ulteriormente implementato. I documenti sanitari presenti devono restare disponibili per l'organismo che li ha redatti (es. informazioni relative a un ricovero utilizzabili dalla struttura di degenza) e per eventuali conservazioni per obbligo di legge, ma non devono essere più condivisi da parte degli altri organismi o professionisti che curino l'interessato (art. 22, comma 5, del Codice).

Il trattamento di dati genetici eventualmente effettuato in relazione al Fse/dossier deve avvenire nel rispetto dell'apposita autorizzazione generale al trattamento dei dati genetici rilasciata dal Garante.

4. Individuazione dei soggetti che possono trattare i dati

Il trattamento di dati personali effettuato attraverso il Fse/dossier, perseguendo esclusivamente fini di prevenzione, diagnosi e cura dell'interessato, deve essere posto in essere esclusivamente da parte di soggetti operanti in ambito sanitario, con esclusione di periti, compagnie di assicurazione, datori di lavoro, associazioni o organizzazioni scientifiche e organismi amministrativi anche operanti in ambito sanitario. Analogamente, l'accesso è precluso anche al personale medico nell'esercizio di attività medico-legale (es. visite per l'accertamento dell'idoneità lavorativa o alla guida), in quanto, sebbene figure professionali di tipo sanitario, tali professionisti svolgono la loro attività professionale nell'ambito dell'accertamento di idoneità o status, e non anche all'interno di un processo di cura dell'interessato.

Il titolare del trattamento deve prevedere, inoltre, le modalità con cui consentire all'interessato una facile consultazione del proprio Fse/dossier, anche in merito alla facoltà riconoscibile a quest'ultimo di estrarne copia. In tale ottica, l'interessato potrà utilizzare le informazioni o i documenti a cui ha avuto accesso anche ai fini della messa a disposizione a terzi.

La titolarità del trattamento dei dati personali effettuato tramite il Fse/dossier deve essere di regola riconosciuta alla struttura o organismo sanitario inteso nel suo complesso e presso cui sono state redatte le informazioni sanitarie (es. azienda sanitaria o ospedale) (artt. 4 e 28, comma 1, lett. f) del Codice).

I titolari hanno la facoltà di designare gli eventuali soggetti responsabili del trattamento, mentre devono preporre in ogni caso le persone fisiche incaricate, le quali possono venire lecitamente a conoscenza dei dati personali trattati attraverso tali strumenti nell'ambito delle funzioni svolte e attenendosi alle

istruzioni scritte impartite dal titolare o dal responsabile (artt. 4, comma 1, lett. g) e h), 29 e 30 del Codice).

Le persone fisiche legittimate a consultare il Fse/dossier devono essere adeguatamente edotte delle particolari modalità di creazione e utilizzazione di tali strumenti.

All'atto della designazione degli incaricati, il titolare o il responsabile devono indicare con chiarezza l'ambito delle operazioni consentite (operando, in particolare, le opportune distinzioni tra il personale con funzioni amministrative e quello con funzioni sanitarie), avendo cura di specificare se gli stessi abbiano solo la possibilità di consultare il Fascicolo/dossier o anche di integrarlo o modificarlo.

5. Accesso ai dati personali contenuti nel Fascicolo sanitario elettronico e nel Dossier sanitario

Il titolare deve valutare attentamente quali dati pertinenti, non eccedenti e indispensabili inserire nel Fse/dossier in relazione alle necessità di prevenzione, diagnosi, cura e riabilitazione (artt. 11, comma 1, lett. d) e 22, comma 5 del Codice).

Devono essere, pertanto, preferite soluzioni che consentano un'organizzazione modulare di tali strumenti in modo da limitare l'accesso dei diversi soggetti abilitati alle sole informazioni (e, quindi, al modulo di dati) indispensabili.

In alcuni progetti di Fse esaminati tale organizzazione modulare permette, ad esempio, di selezionare le informazioni sanitarie accessibili ai diversi titolari abilitati in funzione del loro settore di specializzazione (es. rete oncologica composta da unità operative specializzate nella lotta ai tumori), garantendo così l'accesso alle sole informazioni correlate con la patologia in cura.

Analogamente, alcune categorie di soggetti quali i farmacisti, che svolgono la propria attività in uno specifico segmento del percorso di cura, possono accedere al Fse/dossier, ma limitatamente ai soli dati (o moduli di dati) indispensabili all'erogazione di farmaci (es. accesso limitato all'elenco dei farmaci già prescritti, al fine di valutare eventuali incompatibilità tra il farmaco vendibile senza obbligo di prescrizione medica (SOP) e altri farmaci precedentemente assunti).

A titolo esemplificativo si riporta che in alcuni progetti di dossier sanitario è

stato affidato alla direzione sanitaria il compito di valutare l'indispensabilità delle informazioni mediche generate dai diversi reparti/strutture ai fini della loro consultabilità, nonché quello di decidere se autorizzare o meno l'accesso alle informazioni relative agli eventi clinici anche pregressi da parte del reparto/struttura che ha in cura l'interessato sulla base del tipo di intervento medico e delle argomentazioni poste alla base della richiesta.

I titolari del trattamento, nel costituire il Fse/dossier e nell'individuare la tipologia di informazioni che possono esservi anche successivamente riportate, devono rispettare le disposizioni normative a tutela dell'anonimato della persona tra cui quelle a tutela delle vittime di atti di violenza sessuale o di pedofilia (l. 15 febbraio 1996, n. 66; l. 3 agosto 1998, n. 269 e l. 6 febbraio 2006, n. 38), delle persone sieropositive (l. 5 giugno 1990, n. 135), di chi fa uso di sostanze stupefacenti, di sostanze psicotrope e di alcool (d.P.R. 9 ottobre 1990, n. 309), delle donne che si sottopongono a un intervento di interruzione volontaria della gravidanza o che decidono di partorire in anonimato (l. 22 maggio 1978, n. 194; d.m. 16 luglio 2001, n. 349), nonché con riferimento ai servizi offerti dai consultori familiari (l. 29 luglio 1975, n. 405). Il titolare del trattamento può, pertanto, decidere di non inserire tali informazioni nel Fse/dossier, ovvero di inserirle a fronte di una specifica manifestazione di volontà dell'interessato, il quale potrebbe anche legittimamente richiedere che tali informazioni siano consultabili solo da parte di alcuni soggetti dallo stesso individuati (ad es. specialista presso cui è in cura).

Nella maggior parte dei progetti di Fse/dossier esaminati il rispetto delle garanzie di anonimato e riservatezza previste dalle sopra richiamate disposizioni di legge è stato ad esempio assicurato prevedendo che le informazioni relative ai suddetti eventi clinici non siano documentabili all'interno di tali strumenti.

In alcuni progetti esaminati all'interno del Fse/dossier è stata poi individuata una sintesi di rilevanti dati clinici sul paziente, ovvero un insieme di informazioni la cui conoscenza può rivelarsi indispensabile per salvaguardare la vita dell'interessato (es., malattie croniche, reazioni allergiche, uso di dispositivi o

farmaci salvavita, informazioni relative all'impiego di protesi o a trapianti). Tali informazioni –raccolte di regola in un modulo distinto- sono conoscibili da parte di tutti i soggetti che prendono in cura l'interessato; circostanza di cui l'interessato dovrebbe essere edotto nell'informativa di cui all'art. 13 del Codice.

Il titolare del trattamento può, inoltre, prevedere che l'interessato possa inserire o ottenere l'inserimento –anche in appositi moduli e secondo degli standard, anche di sicurezza, definiti dal titolare- talune informazioni sanitarie (es. autovalutazioni, referti emessi da strutture sanitarie di altre regioni o Stati) o amministrativo sanitarie (es. appuntamenti medici, periodicità dei controlli prescritti) che riterrà più opportune.

Tali informazioni devono essere distinguibili (da un punto di vista logico o organizzativo) da quelle inserite dagli operatori sanitari, in modo tale da rendere sempre evidente a chi accede la "paternità" dell'informazione, ovvero l'identità del soggetto che l'ha generata.

A garanzia del diritto all'autodeterminazione devono essere poi individuate modalità tali da favorire un accesso modulare al Fse/dossier con riferimento ai dati personali e ai soggetti abilitati a consultarli.

L'identificazione dei soggetti o delle categorie dei soggetti abilitati a consultare il Fse/dossier deve essere effettuata con chiarezza. In relazione alle finalità perseguite con la costituzione del Fascicolo/dossier, l'accesso deve essere consentito solamente per fini di prevenzione, diagnosi e cura dell'interessato e unicamente da parte di soggetti operanti in ambito sanitario, con conseguente esclusione –come anzidetto- di periti, compagnie di assicurazione, datori di lavoro, associazioni o organizzazioni scientifiche, organismi amministrativi anche operanti in ambito sanitario, nonché del personale medico che agisca nell'esercizio di attività medico-legali. Il Fse/dossier può essere, pertanto, consultato -salvo diversa volontà dell'interessato- da tutti quei professionisti che a vario titolo prenderanno in cura l'interessato, secondo modalità tecniche di

autenticazione che consentano di autorizzare l'accesso al Fse/dossier da parte del medico curante.

Il personale amministrativo operante all'interno della struttura sanitaria in cui venga utilizzato il Fse/dossier può, in qualità di incaricato del trattamento, consultare solo le informazioni necessarie per assolvere alle funzioni amministrative cui è preposto e strettamente correlate all'erogazione della prestazione sanitaria (ad es., il personale addetto alla prenotazione di esami diagnostici o visite specialistiche può consultare unicamente i soli dati indispensabili per la prenotazione stessa).

L'abilitazione all'accesso deve essere consentita all'interessato nel rispetto delle cautele previste dall'art. 84 del Codice, secondo cui gli esercenti le professioni sanitarie e gli organismi sanitari possono comunicare all'interessato informazioni inerenti al suo stato di salute per il tramite di un medico -individuato dallo stesso interessato o dal titolare- o di un esercente le professioni sanitarie, che nello svolgimento dei propri compiti intrattiene rapporti diretti con il paziente. Tale intermediazione può essere soddisfatta accompagnando la messa a disposizione del reperto (inteso come il risultato dell'esame clinico o strumentale effettuato, come ad es. un'immagine radiografica, un'ecografica o un valore ematico) con un giudizio scritto e la disponibilità del medico a fornire ulteriori indicazioni su richiesta dell'interessato.

L'accesso al Fse/dossier deve essere sempre consentito al soggetto che ha redatto il documento con riferimento al documento medesimo. L'accesso deve essere permesso, inoltre, agli altri soggetti che abbiano in cura l'interessato, sempre che quest'ultimo ne abbia autorizzato l'accesso nei termini sopra indicati. In alcuni progetti di Fse esaminati, l'accesso da parte di alcune categorie di soggetti (es. medici specialisti) è ad esempio autorizzato di volta in volta dallo stesso interessato attraverso la consegna di una smart card.

Il professionista o l'organismo sanitario che ha in cura l'interessato deve poter

accedere al Fse/dossier consultando i documenti sanitari dallo stesso redatti e quelli relativi ad altri eventi clinici eventualmente formati da reparti o strutture del medesimo titolare –nel caso di dossier-o da altri organismi o professionisti sanitari nel caso di Fse (es. ricovero pregresso, analisi cliniche antecedenti).

In ogni caso, l'accesso al Fse/dossier deve essere circoscritto al periodo di tempo indispensabile per espletare le operazioni di cura per le quali è abilitato il soggetto che accede. Ciò, comporta che i soggetti abilitati all'accesso devono poter consultare esclusivamente i fascicoli/dossier riferiti ai soggetti che assistono e per il periodo di tempo in cui si articola il percorso di cura per il quale l'interessato si è rivolto ad essi.

L'elencazione della tipologia di informazioni da ricondurre alla sintesi dei rilevanti dati clinici sul paziente, ove prevista, deve essere effettuata in modo esaustivo dal titolare del trattamento, il quale procede anche ad aggiornare tale elenco.

Resta ovviamente fermo l'esercizio del diritto di accesso ai documenti amministrativi (l. 7 agosto 1990, n. 241 e successive modificazioni e integrazioni artt. 59 e 60 del Codice).

6. Diritti dell'interessato sui propri dati personali (art. 7 del Codice)

Rispetto ai dati personali trattati mediante il Fse/dossier deve essere garantita la possibilità di esercitare in ogni momento i diritti di cui all'art. 7 del Codice.

Come già precisato, all'interessato devono essere garantite facili modalità di consultazione del proprio Fse/dossier, nonché, ove previsto, di ottenerne copia, anche ai fini della messa disposizione a terzi (es. medico operante in un'altra regione o in un altro Stato).

Tali diritti, tra i quali quello di accedere ai dati contenuti nel Fse/dossier e di ottenerne la comunicazione in forma intelligibile, ovvero l'integrazione, l'aggiornamento o la rettifica, vanno esercitati direttamente nei confronti di ciascun organismo o professionista sanitario. All'interessato deve essere fornito senza ritardo un riscontro compiuto e analitico in merito alle sue eventuali istanze (artt. 7, 8, 9, 10 e 146 del Codice). In particolare, deve essere fornito riscontro alle richieste di accesso ai dati personali estrapolando le informazioni oggetto dell'accesso e comunicandole all'interessato con modalità tali da renderne agevole la comprensione, se del caso trasponendole su o cartaceo o informatico; a tali istanze può essere opposto un rifiuto nei soli casi previsti dal Codice (art. 8). Trattandosi di documentazione medica, in analogia a quanto disposto dall'Autorità in tema di ricerche in ambito medico, biomedico ed epidemiologico, il riscontro a istanze di integrazione, aggiornamento e rettificazione dei dati può essere fornito annotando le modifiche richieste senza alterare necessariamente la documentazione di riferimento.

7. Limiti alla diffusione e al trasferimento all'estero dei dati

I dati sanitari documentati nel Fse/dossier non devono essere in alcun modo diffusi. La circolazione indiscriminata delle informazioni idonee a rivelare lo stato di salute è infatti vietata espressamente dal Codice (artt. 22, comma 8 e 23, comma 5, del Codice). La violazione di tale divieto configura un trattamento illecito di dati personali sanzionato penalmente (art. 167 del Codice).

Anche il trasferimento all'estero dei dati sanitari documentati nel Fse/dossier per finalità di prevenzione, diagnosi e cura dell'interessato può avvenire esclusivamente con il suo consenso, salvo il caso in cui sia necessario per la salvaguardia della vita o della incolumità di un terzo (art. 43 del Codice). Non a caso, nell'ambito dei progetti esaminati, la necessità di comunicare all'estero informazioni sanitarie dell'interessato contenute in tali strumenti si verifica prevalentemente per consentire all'interessato di usufruire di cure mediche all'estero o per consultare un esperto straniero.

8. Informativa e consenso

Per consentire all'interessato di esprimere scelte consapevoli, il titolare del trattamento deve fornire previamente un'idonea informativa (artt. 13, 79 e 80 del Codice).

L'informativa, da formulare con linguaggio chiaro, deve indicare tutti gli elementi richiesti dall'art. 13 del Codice. In particolare, deve essere evidenziata l'intenzione di costituire un Fascicolo/dossier il più possibile completo che documenti la storia sanitaria dell'interessato per migliorare il suo processo di cura e, quindi, per fini di prevenzione, diagnosi, cura e riabilitazione (cfr. art. 76, comma 1, lett. a) del Codice), spiegando in modo semplice le opportunità che offrono tali strumenti, ma, al tempo stesso, l'ampia sfera conoscitiva che essi possono avere.

A garanzia del diritto alla costituzione o meno del Fse/dossier, l'interessato deve essere -come detto- informato che il mancato consenso totale o parziale non incide sulla possibilità di accedere alle cure mediche richieste. L'informativa, anche con formule sintetiche, ma agevolmente comprensibili, deve indicare in modo chiaro –nel caso di dossier- i soggetti (ad es., medici che operano in un reparto in cui è ricoverato l'interessato o che operano in strutture di pronto soccorso) e -nel caso di Fse- le categorie di soggetti diversi dal titolare (es., medico di medicina generale, farmacista) che, nel prendere in cura l'interessato, possono accedere a tali strumenti, nonché la connessa possibilità di acconsentire che solo alcuni di questi soggetti possano consultarlo.

Nel caso di Fse, l'informativa e la connessa manifestazione del consenso possono essere formulate distintamente per ciascuno dei titolari o, più opportunamente, in

modo cumulativo, avendo comunque cura di indicare con chiarezza l'ambito entro il quale i singoli soggetti trattano i dati rispetto al Fse.

L'interessato deve essere informato anche della circostanza che il Fascicolo/dossier potrebbe essere consultato, anche senza il suo consenso, ma nel rispetto dell'autorizzazione generale del Garante, qualora sia indispensabile per la salvaguardia della salute di un terzo o della collettività (art. 76 del Codice e Autorizzazione generale del Garante n. 2/2008 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale del 19 giugno 2008).

L'informativa deve anche mettere in luce la circostanza che il consenso alla consultazione del Fascicolo/dossier da parte di un determinato soggetto (ad es., del medico di medicina generale o del medico di reparto in cui è avvenuto il ricovero) può essere riferito anche al suo sostituto.

L'informativa deve rendere note all'interessato anche le modalità attraverso le quali rivolgersi al titolare per esercitare i diritti di cui agli artt. 7 e ss. del Codice, come pure per revocare il consenso all'implementazione del suo Fse/dossier o per esercitare la facoltà di oscurare alcuni eventi clinici.

Al fine di assicurare una piena comprensione degli elementi indicati nell'informativa, il titolare deve formare adeguatamente il personale coinvolto sugli aspetti rilevanti della disciplina sulla protezione dei dati personali, anche ai fini di un più efficace rapporto con gli interessati.

9. Comunicazione al Garante

Il Fse, costituendo un insieme logico di informazioni e documenti sanitari volto a documentare la storia clinica di un individuo condiviso da più titolari del trattamento, deve essere improntato a criteri di massima trasparenza nella sua strutturazione e nel suo funzionamento. A garanzia di tale evidenza i trattamenti di dati personali effettuati attraverso il Fse devono essere resi noti al Garante mediante una apposta comunicazione da effettuarsi secondo un modello che sarà adottato dall'Autorità con specifico provvedimento, ai sensi dell'art. 154, comma 1, lett. c) del Codice.

Con riferimento alle iniziative di Fse attualmente in corso, sarà indicato nel citato provvedimento il termine entro il quale dovrà essere effettuata la suddetta comunicazione. In considerazione delle osservazioni ricevute a seguito della consultazione pubblica, nel suddetto provvedimento saranno anche indicate le modalità attraverso le quali le strutture coordinatrici di iniziative di Fse operanti in un circoscritto ambito territoriale possano, in modo cumulativo, procedere alla suddetta comunicazione in luogo dei singoli titolari del trattamento coinvolti.

La suddetta comunicazione non dovrà, invece, essere effettuata nel caso di dossier sanitari.

10. Misure di sicurezza

La particolare delicatezza dei dati personali trattati mediante il Fse/dossier impone l'adozione di specifici accorgimenti tecnici per assicurare idonei livelli di sicurezza (art. 31 del Codice), ferme restando le misure minime che ciascun titolare del trattamento deve comunque adottare ai sensi del Codice (artt. 33 e ss.).

Nell'utilizzo di sistemi di memorizzazione o archiviazione dei dati devono essere utilizzati idonei accorgimenti per la protezione dei dati registrati rispetto ai rischi di accesso abusivo, furto o smarrimento parziali o integrali dei i di memorizzazione o dei sistemi di elaborazione portatili o fissi (ad esempio, attraverso l'applicazione anche parziale di tecnologie crittografiche a file system o database, oppure tramite l'adozione di altre misure di protezione che rendano i dati inintelligibili ai soggetti non legittimati).

Devono essere, inoltre, assicurati:

• idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli e delle esigenze di accesso e trattamento (ad es., in relazione alla possibilità di consultazione, modifica e integrazione dei dati);

• procedure per la verifica periodica della qualità e coerenza delle credenziali di autenticazione e dei profili di autorizzazione assegnati agli incaricati;

• individuazione di criteri per la cifratura o per la separazione dei dati idonei a

rivelare lo stato di salute e la vita sessuale dagli altri dati personali;

• tracciabilità degli accessi e delle operazioni effettuate;

• sistemi di audit log per il controllo degli accessi al database e per il rilevamento di eventuali anomalie.

Nel caso di Fse, devono essere, poi, garantiti protocolli di comunicazione sicuri basati sull'utilizzo di standard crittografici per la comunicazione elettronica dei dati tra i diversi titolari coinvolti.

BIBLIOGRAFIA

Le indicazioni rese tengono altresì conto, per i profili esaminati, della Raccomandazione n. R (89) 2 del Consiglio d'Europa relativa alla protezione dei dati a carattere personale utilizzati ai fini dell'occupazione, del Parere 8/2001sul trattamento dei dati personali nel contesto dell'occupazione, reso il 13 settembre 2001 dal Gruppo dei Garanti europei, in http://ec.europa.eu e del Code of practice, "Protection of workers' personal data ", pubblicato dall'Organizzazione internazionale del lavoro (ILO). Cfr. Provv. 10 gennaio 2002, in, doc. web n. 1064553 Cfr. Provv. 23 aprile 2002, doc. web n. 1065065 Cfr., in merito, i principi affermati in giurisprudenza: Cass. 24 marzo 2003, n. 4274; v. altresì Cass. 1° aprile 1999, n. 3136 In merito v. di seguito il punto 9 Cfr. art. 1 della legge 11 gennaio 1979, n. 12; cfr. art. 31, comma 1, d.lg. 10 settembre 2003, n. 276; l. 14 febbraio 2003, n. 30 Come già accade per i soggetti indicati al menzionato art. 1 della legge n. 12/1979 In particolare, d.lg. 19 settembre 1994, n. 626 e successive modificazioni e integrazioni Cfr. circolare Ispesl 3 marzo 2003, n. 2260 In tal senso, v. l' autorizzazione generale n. 1/2005, in rapporto al diverso titolo in base al quale il medico opera quale libero professionista, o quale dipendente del datore di lavoro o di aziende sanitarie locali. La cui violazione è peraltro penalmente sanzionata ai sensi dell'art. 92, lett. a), d.lg. n. 626/1994

Cfr. Provv. 21 luglio 2005, doc. web n. 1150679 Cfr. Provv. 15 giugno 2006, docc. web nn. 1306523, 1306530 e 1306551 Cfr. Provv. 23 novembre 2005, doc. web n. 1202254 Cfr. Provv. 15 giugno 2006, doc. web n. 1306098; v., inoltre, Provv. 26 luglio 2006, doc. web n. 1318582 Cfr. Cass., sez. lav., 24 novembre 1997, n. 11741; Cass., sez. lav., 11 febbraio 2000, n. 1557; Cass., sez. lav., 16 febbraio 2000, n. 1752 Cfr., in relazione alla diffusione di informazioni in grado di rivelare situazioni di handicap, Provv. 27 febbraio 2002, in Boll. n. 25/2002, p. 51, doc. web n. 1063639 Cfr. Provv. 11 dicembre 2000, doc. web n. 30991 Cfr. Provv. 12 maggio 2005, doc. web n. 1137798 Cfr., con riguardo alle dizioni riportate sui "cedolini" dello stipendio, o su documenti aventi la medesima funzione, Provv. 31 dicembre 1998, in Boll. n. 6, p. 100; v. anche Provv. 19 febbraio 2002, doc. web n. 1063659 Cfr. Provv. 7 luglio 2004, doc. web n. 1068839. V. pure il punto 50 della sentenza della Corte di giustizia delle Comunità europee, 6 novembre 2003, C101/01, Lindqvist Tra le quali, ad esempio, la richiamata regolamentazione contenuta nel d.lg. n. 626/1994 o nell'art. 5 della legge n. 300/1970 sugli accertamenti sanitari facoltativi Si pensi, ad esempio, ai divieti contenuti negli artt. 5 e 6 della legge 5 giugno 1990, n. 135, in materia Aids; art. 124 d.P.R. 9 ottobre 1990, n. 309 Cfr. Provv. 15 aprile 2004, doc. web n. 1092564 Cfr. art. 2, d.l. 30 dicembre 1979, n. 663, conv. in l., con mod., con l'art. 1, l. 29 febbraio 1980, n. 33 e mod. dal comma 149 dell'art. 1, l. 30 dicembre 2004, n. 311

Cfr. di seguito al punto 8 In tal senso v. il Provv. 15 aprile 2004, doc. web n. 1092564 Cfr. art. 33, legge 5 febbraio 1992, n. 104; si vedano anche le pertinenti disposizioni contenute nel d.lg. 26 marzo 2001, n. 151 V. Provv. 28 settembre 2001, cit V. anche il Parere 8/2001, cit., secondo il quale "i lavoratori devono conoscere quali dati il datore di lavoro stia raccogliendo sul loro conto (direttamente o da altre fonti), quali siano gli scopi delle operazioni di trattamento previste o effettuate per tali dati sia per il presente che per il futuro ". Cfr. Provv. 30 ottobre 2001, doc. web n. 39085 Parere 8/2001, cit.). Cfr. Provv. 27 luglio 2004, doc. web n. 1099386 Cfr. Provv. 16 giugno 2005, doc. web n. 1149957 V. già Provv. 7 marzo 2001, doc. web n. 40285; cfr. Provv. 15 novembre 2004, doc. web n. 1102939. Raccomandazione n. 1/2001 concernente i dati relativi alla valutazione del personale del Gruppo art. 29, Wp 42. In tal senso, con riguardo ad esempio alle mansioni proprie di un determinato profilo professionale cfr. Provv. 29 ottobre 2003, doc. web n. 1053781 In tal senso cfr., in relazione ad informazioni personali conservate con tecniche di cifratura, Provv. 21 novembre 2001, doc. web n. 39773 Cfr. Provv. 17 febbraio 2005, doc. web n. 1148228, con il quale si è dichiarato inammissibile un ricorso presentato a seguito di istanza avanzata dalle "segreterie nazionali" di alcune organizzazioni sindacali priva di sottoscrizione. Cfr. ad esempio Provv. 2 luglio 2003, doc. web n. 1079989; Provv. 24 giugno 2003, doc. web n. 1132725 Cfr. Provv. 17 marzo 2005, doc. web n. 1170467 Cfr. da ultimo Provv. 7 luglio 2005, doc. web n. 1149559; Provv. 16 giugno

2005, doc. web n. 1149999 Provv. 16 ottobre 2002, doc. web n. 1066447 Cfr. Provv. 25 novembre 2002, doc. web n. 1067321 Cfr. Provv. 20 aprile 2005, doc. web n. 1134190; già Provv. 27 dicembre 2001, in Boll., 2001, n. 23, p. 72 Cfr. Provv. 21 dicembre 2005, doc. web n. 1219039 Cfr., in relazione all'aggiornamento del dato relativo al titolo di studio, Provv. 6 settembre 2002, doc. web n. 1066183 Cfr., in relazione all'aggiornamento delle informazioni relative al titolo di studio, Provv. 9 gennaio 2003, doc. web n. 1067817 Provv. 23 novembre 2006, n. 53, in www.garanteprivacy.it, doc. web n. 1364099, e in G.U. 7 dicembre 2006, n. 285. Anche per le presenti linee guida si è tenuto conto della Raccomandazione n. R (89) 2 del Consiglio d'Europa relativa alla protezione dei dati a carattere personale utilizzati ai fini dell'occupazione, del Parere n. 8/2001 sul trattamento dei dati personali nel contesto dell'occupazione, reso il 13 settembre 2001 dal Gruppo Art. 29 dei Garanti europei (in http://ec.europa.eu), nonché del Code of practice, "Protection of workers' personal data", approvato dall'Organizzazione internazionale del lavoro (Oil). Art. 2, comma 2, del Codice. Art. 2, comma 5, del Codice dell'amministrazione digitale (d.lg. 7 marzo 2005, n. 82 così come modificato dal d.lg. 4 aprile 2006, n. 159). L'organizzazione sindacale potrà a sua volta comunicare a terzi o diffondere i dati personali ottenuti dall'amministrazione soltanto previa acquisizione del consenso informato dei dipendenti interessati o di altro presupposto equipollente (art. 24 del Codice). Provv. 30 dicembre 2003, in www.garanteprivacy.it, doc. web n. 1085621.

Note 9 dicembre 1997, ivi, doc. web nn. 30915 e 39785. Cfr. circolare Ispesl 3 marzo 2003, n. 2260. Art. 4, comma 8, d.lg. 19 settembre 1994, n. 626. Provv. 23 novembre 2006, in www.garanteprivacy.it, doc. web n. 1364099. Provv. 9 novembre 2005, in www.garanteprivacy.it, doc. web n. 1191411. A titolo di esempio, oltre ad alcuni regolamenti concernenti amministrazioni centrali (Ministero della difesa, d.m. 13 aprile 2006, n. 203, in G.U. 1° giugno 2006, n. 126; Ministero dell'interno, d.m. 21 giugno 2006, n. 244, in G.U. 9 agosto 2006, n. 184, S.O.; Ministero della pubblica istruzione, d.m. 7 dicembre 2006, n. 305, in G.U. 15 gennaio 2007, n. 11; Ministero delle infrastrutture, d.m. 9 febbraio 2007, n. 21, in G.U. 16 marzo 2007, n. 63; Ministero della giustizia, d.m. 12 dicembre 2006, n. 306, in G.U. 15 gennaio 2007, n. 11; Ministero dell'università e della ricerca, d.m. 28 febbraio 2007, n. 54, in G.U. 26 aprile 2007, n. 96), si segnalano taluni schemi tipo di regolamento relativi ad enti locali (in www.garanteprivacy.it, doc. web n. 1174532), comunità montane (doc. web n. 1182195) e province (doc. web n. 1175684 ). Provv. 30 giugno 2005, in www.garanteprivacy.it, doc. web n. 1144445. Art. 50 d.lg. 30 marzo 2001, n. 165 con riferimento alla trasmissione alla Presidenza del Consiglio dei ministri di informazioni nominative relative al personale che ha fruito di distacchi, permessi cumulativi sotto forma di distacco, aspettative e permessi per attività sindacale o per funzioni pubbliche elettive, al fine del contenimento, della trasparenza e della razionalizzazione delle aspettative e dei permessi sindacali nel settore pubblico. Artt. 59 e 60 del Codice. Si vedano anche gli artt. 22 e ss. l. 7 agosto 1990, n. 241; d.P.R. 12 aprile 2006, n. 184; art. 8 d.P.R. 27 giugno 1992, n. 352;artt. 10 e 43 d.lg. 18 agosto 2000, n. 267. Cfr. par. 5.1 e 5.2 delle presenti linee guida. Relazione annuale per il 2004 del Garante, p. 81. Provv. 12 maggio 2005, in www.garanteprivacy.it, doc. web 1137798.

Cfr. art. 6 Ccnl relativo al personale del comparto scuola del 24 luglio 2003. Cfr. art. 40, comma 4, d.lg. n. 165/2001 e art. 28 l. 20 maggio 1970, n. 300. Si vedano anche Corte cass. 17 aprile 2004, n. 7347; Corte d'appello Torino 16 luglio 2003 in Rivista giuridica del lavoro e della previdenza sociale, 2002, parte I, p. 116; par. 7 Raccomandazione del Consiglio d'Europa n. R (89)2; par. 10.10. del Code of practice dell'Oil. Si veda, ad es., art. 37 Ccnl del personale del comparto "ministeri" del 16 maggio 1995; art. 48 del Ccnl del personale del comparto "sanità" del 1° settembre 1995; art. 6 del Ccnl del personale del comparto "università" del 9 agosto 2000; art. 6, Ccnl del personale del comparto enti art. 70 d.lg. 165/2001 del 14 febbraio 2001; art. 37 Ccnl del personale del comparto delle "Istituzioni e degli enti di ricerca e sperimentazione" del 21 febbraio 2002; art. 7 Ccnl del personale del comparto delle regioni-autonomie locali del 6 luglio 1995; art. 7 Ccnl del personale del comparto regioni ed autonomie locali personale non dirigente del 1°aprile 1999. Si veda, ad es., Consiglio di Stato sez. IV, 5 maggio 1998, n. 752; Tar Lombardia Milano, sez.I, 31 luglio 2002, n. 3261;; Tar Emilia-Romagna 10 gennaio 2003, n. 16; Tar Calabria, sez. II, 11 luglio 2005, n. 1165; Commissione per l'accesso ai documenti amministrativi, pareri 6 luglio 2004, n. 8 e 28 giugno 2006, n. 51. Si vedano ad es. cfr. art. 12 Ccnl del personale dirigente dell'area 1 del 5 aprile 2001; art. 11, Ccnl segretari comunali e provinciali del 16 maggio 2001; art. 13 Ccnl relativo al quadriennio normativo 1998-2001 del personale del comparto università. Artt. 111 e 104 d.P.R. 10 gennaio 1957, n. 3. Cfr. Provv. 27 febbraio 2002 (doc. web n. 1063639 ), con il quale il Garante ha vietato la diffusione di dati idonei a rivelare lo stato di salute riportati in una graduatoria dei trasferimenti affissa nella bacheca di un provveditorato agli studi. Cfr. Relazione annuale del Garante 2004, p. 83. Art. 15 d.P.R. 9 maggio 1994, n. 487; v. anche art. 4 d.P.R. 21 settembre 2001, n. 446; art. 18, comma 6, d.P.R. 27 marzo 2001, n. 220; art. 8 d.P.R. 28 luglio 2000, n. 271; art. 2 d.P.R. 28 luglio 2000, n. 272; art. 2 d.P.R. 28 luglio 2000, n. 270; art. 52, comma 2, r.d. 12 ottobre 1933, n. 1364.

Cfr. art. 6 d.P.R. 23 marzo 2000, n. 117. Provv. 19 aprile 2007 recante "Linee guida in materia di trattamento di dati personali per finalità di pubblicazione e diffusione di atti e documenti di enti locali". Cfr. Comunicato stampa del Garante del 14 giugno 1999. Cfr. Provv.10 novembre 2004, doc. web n. 1116068; cfr. anche Newsletter 21-27 marzo 2005. Cfr. Provv. 19 aprile 2007, cit. Cfr., ad es., art. 6, comma 6, d.P.R. n. 487/1994 con riferimento agli esiti delle prove intermedie dei concorsi per accedere agli impieghi nelle pubbliche amministrazioni e art. 25, comma 3, r.d. 22 gennaio 1934, n. 37, con riferimento all'elenco degli ammessi alla prove orali per l'abilitazione alla professione di avvocato. Cfr. Provv. 19 aprile 2007, cit. Art. 54 d.lg. 7 marzo 2005, n. 82. Cfr. Provv. 19 dicembre 2002, doc. web n. 1067231. Cfr. art. 23 d.lg. n. 165/ 2001 e artt. 1, comma 7 e 2, comma 4, d.P.R. 23 aprile 2004, n. 108. Art. 1, comma 593, l. 27 dicembre 2006, n. 296. Cfr. l. 5 luglio 1982, n. 441. Si veda anche Newsletter del Garante 4-10 giugno 2001 e Corte di giustizia delle Comunità europee, 20 maggio 2003, causa C465/2000. Cfr. art. 17, comma 22, l. 15 maggio 1997, n. 127. Si veda anche Parere 8 giugno 1999, doc. web n. 40369. Analoga disciplina vige anche per magistrati, avvocati dello Stato e procuratori, professori e ricercatori universitari di livello dirigenziale od equiparato. Cfr. art. 10 e 124 d.lg. n. 267/2000.

Art. 3, comma 3, l. n. 241/1990. Cfr. Provv. 27 febbraio 2002, doc. web 1063639, Provv. 9 dicembre 2003 e Provv. 17 aprile 2003, doc. web n. 1054640. Si vedano anche, con particolare riferimento alle deliberazioni degli enti locali, Provv. 19 aprile 2007 cit. e Provv. 25 gennaio 2007, doc. web 1386836. Cfr. parte seconda, 2.3.1, b.3), d.P.C.M. 21 dicembre 1992; art. 1.1. e all. n. 8 art. 61 d.P.C.M. 19 maggio 1995; parte seconda, 2.5.1, d.P.C.M. 30 dicembre 1998 art. 4.2.2, provv. Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e Bolzano 5 agosto 1999. Art.1, l. n. 241/1990. Per i dipendenti del settore privato v. Provv. 23 novembre 2006, doc. web n. 1364939. Cfr. art. 18 del Codice; art. 4 dell'accordo riguardante le tipologie degli orari di lavoro ai sensi dell'art. 19, comma 5, del Ccnl comparto ministeri del 16 maggio 1995, confermato dall'art. 26 del Ccnl del 12 giugno 2003. Si veda anche l'art. 17 Ccnl del comparto del personale delle regioni-autonomie locali del 6 luglio 1995, confermato dall'art. 45 del Ccnl del 22 gennaio 2004. Nell'interpello al Garante vanno specificate le caratteristiche tecnologiche delle apparecchiature utilizzate e le ragioni in base alle quali non si ritengono idonei, rispetto alle finalità da perseguire, altri sistemi o procedure che pongono minori pericoli o rischi per i diritti e le libertà fondamentali degli interessati. Cfr. Provv. 7 luglio 2004, doc. web n. 1068839. Cfr. artt. 8 e 38 l. n. 300/1970 e artt. 113 e 171 del Codice. Tra le quali, ad esempio, la richiamata disciplina contenuta nel d.lg. n. 626/1994 o nell'art. 5 della l. n. 300/1970 sugli accertamenti sanitari facoltativi. Si pensi ai divieti contenuti negli artt. 5 e 6 l. 5 giugno 1990, n. 135, in materia di Aids. Cfr. art. 5 l. n. 300/1970; si vedano anche le pertinenti disposizioni dei contratti collettivi relativi ai differenti comparti (art. 21, comma 10, Ccnl Comparto

ministeri del 16 maggio 1995; art. 17, comma 12, Ccnl relativo al personale del comparto scuola del 24 luglio 2003, già art. 49, lettera g) del Ccnl del 26 maggio 1999 e art. 23, comma 12, del Ccnl del 4 agosto 1995; art. 34, comma 10, Ccnl del personale non dirigente del comparto università, del 9 agosto 2000; art. 17, comma 11, Ccnl relativo al personale del comparto delle istituzioni e degli enti di ricerca e sperimentazione del 21 febbraio 2002; art. 11, comma 12, Ccnl relativo al personale del comparto delle istituzioni di alta formazione e specializzazione artistica e musicale del 16 febbraio 2005). Cfr. art. 5, comma 3, l. n. 300/1970, art. 15, d.P.R. n. 461/2001, art. 21, comma 3, Ccnl Comparto ministeri del 16 maggio 1995; art. 17, comma 3, Ccnl relativo al personale del comparto scuola del 24 luglio 2003, già art. 23, comma 3, del Ccnl del 4 agosto 1995; art. 34, comma 3, Ccnl del personale non dirigente del comparto università, del 9 agosto 2000; art. 17, comma 4, Ccnl relativo al personale del comparto delle istituzioni e degli enti di ricerca e sperimentazione del 21 febbraio 2002; art. 11, comma 3, Ccnl relativo al personale del comparto delle istituzioni di alta formazione e specializzazione artistica e musicale del 16 febbraio 2005. Dall'accertamento in questione può, inoltre, conseguire l'attribuzione all'interessato di altri incarichi o mansioni, oppure la risoluzione del rapporto di lavoro e la conseguente adozione degli atti necessari per riconoscere trattamenti pensionistici alle condizioni previste dalle disposizioni di settore. Cfr. art. 8 d.P.R. 27 febbraio 1991 n. 132 (Corpo forestale dello Stato); art. 129 d.lg. 30 ottobre 1992, n. 443 (Corpo di polizia penitenziaria); art. 15 d.P.R. 29 ottobre 2001, n. 461; art. 99 l. 22 dicembre 1975, n. 685; tossicodipendenza; art 5 d.P.R. 20 febbraio 2001, n. 114 (carriera diplomatica); art. 5 d.P.R. 23 maggio 2001, n. 316 (carriera prefettizia); art. 2 d.m. 30 giugno 2003, n. 198 (Polizia di Stato). Cfr. Provv. 7 luglio 2004, doc. web n. 1068839. V. pure il punto 50 della sentenza della Corte di giustizia delle Comunità europee 6 novembre 2003 C101/01, Lindqvist. Cfr. l. n. 68/1999 citata e l. 29 marzo 1985, n. 113. Provv. 15 aprile 2004, doc. web n. 1092564; Cfr. art. 5 l. n. 300/1970; si vedano anche le pertinenti disposizioni dei contratti collettivi di lavoro applicabili ai diversi comparti come, ad esempio, l'art. 21 Ccnl comparto ministeri personale non dirigente del 16 maggio 1995.

Cfr. art. 2 d.l. 30 dicembre 1979, n. 663, conv. in l., con mod., con l'art. 1 l. 29 febbraio 1980, n. 33, successivamente modificato dal comma 149 dell'art. 1 l. 30 dicembre 2004, n. 311. Cfr. art. 61 d.P.R. 28 ottobre 1985, n. 782 per il personale della Polizia di Stato. In tal senso si veda art. 17, comma 11, Ccnl relativo al personale del comparto scuola del 24 luglio 2003, già art. 49, lettera f) del Ccnl del 26 maggio 1999 e art. 23, comma 10, del Ccnl del 4 agosto 1995; art. 34,comma 9, Ccnl del personale non dirigente del comparto Università, del 9 agosto 2000; art. 17, comma 10, Ccnl relativo al personale del comparto delle istituzioni e degli enti di ricerca e sperimentazione del 21 febbraio 2002; art. 11, comma 11, Ccnl relativo al personale del comparto delle istituzioni di alta formazione e specializzazione artistica e musicale del 16 febbraio 2005. Cfr. art. 55 d.P.R. d.P.R. 10 gennaio 1957, n. 3 e art. 24 d.P.R. 3 maggio 1957 n. 686. Si veda anche Provv. 19 ottobre 2005, doc. web n. 1185148 con riferimento al servizio matricolare del Corpo della Guardia di finanza. Cfr. par. 1.1 delle presenti linee guida. Cfr. art. 2 d.l. 30 dicembre 1979, n. 663, conv. in l., con mod., con l'art. 1, l. 29 febbraio 1980, n. 33 e mod. dal comma 149 dell'art. 1 l. 30 dicembre 2004, n. 311. Si veda anche art. 14, lett. q), l. 23 dicembre 1978, n. 833. Art. 5 d.l. 12 settembre 1983, n. 463 conv., con mod., in l. 11 novembre 1983, n. 638 e art. 6, comma 3, d.m. 15 luglio 1986. Cfr. Provv. 24 settembre 2001, doc. web n. 39460 e 28 settembre 2001, doc. web n. 41103. Cfr. art. 17 Ccnl del personale del comparto scuola stipulato il 24 luglio 2003; art. 17 Ccnl del personale del comparto delle istituzioni e degli enti di ricerca e sperimentazione stipulato il 21 febbraio 2002; art. 34 Ccnl del personale non dirigente del comparto Università stipulato il 9 agosto 2000; art. 23 Ccnl del personale del comparto sanità stipulato il 1° settembre 1995 e art. 11 Ccnl integrativo stipulato il 20 settembre 2001; art. 21 Ccnl del personale del comparto ministeri stipulato il 16 maggio 1995 e art. 6 Ccnl integrativo stipulato il 16 maggio 2001. Si vedano anche i chiarimenti forniti dall'Aran in data 20 gennaio 2003 in relazione ai quesiti B14 e B16, in www.aranagenzia.it.

In tal senso v. il Provv. 15 aprile 2004, doc. web n. 1092564. Art. 5, comma 3, l. n. 300/1970; art. 15 d.P.R. 29 ottobre 2001, n. 461. Cfr. d.P.R. 29 dicembre 1973, n.1092 e d.P.R. 29 ottobre 2001, n. 461. Cfr. art. 2, comma 12, l. 8 agosto 1995, n. 335; art. 13, l. 8 agosto 1991, n. 274; d.P.R. 29 ottobre 2001, n. 461. Artt. 7, 9, comma 2 e 15, comma 1, d.P.R. n. 461/2001. Cfr. Provv. 23 luglio 2004, doc. web n. 1099216. Art. 4, commi 3 e 4, d.P.R. n. 461/2001. Cfr. Provv. 22 gennaio 2004, doc. web n. 1086280; v. anche, per altri profili, Provv. 15 gennaio 2004, doc. web n. 1054663 e Trib. Venezia 14 luglio 2004, n. 340. Cfr. artt. 119 e 128–130 d.lg. 30 aprile 1992, n. 285. Cfr. d.lg. 30 aprile 1992, n. 285 e d.P.R. 16 dicembre 1992, n. 495. Cfr. artt. 119 e 128–130 d.lg. 30 aprile 1992, n. 285. In merito, poi, alle comunicazioni di dati personali sensibili da parte delle aziende sanitarie alle commissioni mediche locali per le patenti di guida si guardi il Provv. del Garante del 28 giugno 2006, doc. web n. 1322833. Art. 138 d.lg. n. 285/1992. Cfr. art. 138, commi 4 e 12, d.lg. n. 285/1992. Si veda anche Cons. Stato sez. IV, 14 maggio 2001, n. 2648. Cfr. Provv. 21 marzo 2007, doc. web n. 1395821. Cfr. art. 33 l. 5 febbraio 1992, n. 104; art. 4, comma 2, l. 8 marzo 2000, n. 53 e artt. 33 e 42 d.lg. 26 marzo 2001, n. 151; si veda anche Cass. civ., 17 agosto 1998, n. 8068. Art. 4, l. 8 marzo 2000, n. 53 e d.m. 21 luglio 2000, n. 278.

Art. 124, commi 1 e 2, d.P.R. n. 309/1990. Art. 4, comma 2, l. 8 marzo 1989, n. 101 recante "Norme per la regolazione dei rapporti tra lo Stato e l'Unione delle Comunità ebraiche italiane"; art. 17, comma 2, l. 22 novembre 1988, n. 516 recante "Norme per la regolazione dei rapporti tra lo Stato e l'Unione italiana delle Chiese cristiane avventiste del 7° giorno". Art. 6, comma 2, d.P.R. 9 maggio 1994, n. 487 "Regolamento recante norme sull'accesso agli impieghi nelle pubbliche amministrazioni e le modalità di svolgimento dei concorsi, dei concorsi unici e delle altre forme di assunzione nei pubblici impieghi". Cfr. artt. 4, comma 2 e 5, l. n. 101/1989 e art. 17, comma 2, l. n. 516/1988 cit.

Sistema automatizzato di cassette di sicurezza basato sul rilevamento dell'impronta digitale dei clienti. Verifica preliminare richiesta da Banca degli Ernici di credito coop. SA - 6 febbraio 2014 [doc. web n. 3000045] • Sistema automatizzato di cassette di sicurezza basato sul rilevamento dell’impronta digitale dei clienti. Verifica preliminare richiesta da Banca Patrimoni Sella & C. S.p.a. - 6 febbraio 2014 [doc. web n. 2986091] • Servizio di firma digitale remota con autenticazione biometrica. Verifica preliminare richiesta da Telecom Italia Trust Technologies s.r.l. e Banca Generali S.p.A. - 23 gennaio 2014 [doc. web n. 2938921] • Ordinanza di ingiunzione nei confronti di Associazione culturale Koala - 5 dicembre 2013 [doc. web n. 2997038] • Ordinanza di ingiunzione nei confronti di Axa società cooperativa a responsabilità limitata - 28 novembre 2013 [doc. web n. 2996788] • Provvedimento del 28 novembre 2013 [doc. web n. 2951732] • Sistema per l'accesso della clientela in modalità self service, 24 ore su 24, alle cassette di sicurezza, con trattamento di dati biometrici - Verifica preliminare richiesta da Credito Lombardo Veneto S.p.A. - 19 settembre 2013 [doc. web n. 2710934]

• Sistema per la sottoscrizione in forma elettronica di atti, contratti e altri documenti relativi a prodotti e servizi offerti da una banca - 12 settembre 2013 • Sistema biometrico di rilevazione delle presenze dei dipendenti in una scuola 1° agosto 2013 [doc. web n. 2578547] • Videosorveglianza e biometria all'interno di una scuola per la rilevazione delle presenze dei dipendenti - 30 maggio 2013 • Installazione in un istituto scolastico di un dispositivo a riconoscimento biometrico (impronta digitale) per finalità di controllo del rispetto dell'orario di servizio - 30 maggio 2013 [doc. web n. 2503101] • Installazione in un istituto scolastico di un dispositivo a riconoscimento biometrico (impronta digitale) per finalità di controllo del rispetto dell'orario di servizio - 30 maggio 2013 [doc. web n. 2502951] • Sistema per l'accesso della clientela in modalità c.d. self service, 24 ore su 24 alle cassette di sicurezza che può prevedere il trattamento di dati biometrici. Verifica preliminare richiesta da Banca di credito cooperativo di Vigevano - 14 febbraio 2013 [doc. web n. 2375735] • Sistemi di rilevazione biometrica. Verifica preliminare richiesta da IT Telecom s.r.l. e Cassa di Risparmio di Parma e Piacenza S.p.A. - 31 gennaio 2013 [doc. web n. 2311886] • Trattamento di dati biometrici. Verifica preliminare richiesta da Unicredit S.p.A. - 31 gennaio 2013 [doc. web n. 2304808] • Trattamento di dati biometrici per finalità di rilevazione delle presenze dei dipendenti: verifica preliminare richiesta dal Comune di Boscoreale - 31 gennaio 2013 [doc. web n. 2304669] • Sistema di rilevazione di dati biometrici dei lavoratori basato sulla lettura della geometria della mano - 10 gennaio 2013 [doc. web n. 2354574] • Ordinanza di ingiunzione nei confronti di G & W Invest s.r.l. - 29 novembre 2012 [doc. web n. 2315593] • Sistema di rilevazione di dati biometrici dei eggeri. Verifica preliminare

richiesta da Alitalia–Compagnia Aerea Italiana S.p.A. - 4 ottobre 2012 • Installazione di un sistema completamente automatizzato di cassette di sicurezza. Verifica preliminare richiesta da Cassa Raiffeisen di Lagundo Soc. coop”, 13 settembre 2012 [doc. web n. 1927441] • Trattamento dei dati biometrici riferiti ai lavoratori presso un cantiere edile - 13 settembre 2012, [doc. web n. 1927456] • Dati biometrici: illecito raccogliere e utilizzare le impronte digitali degli iscritti per l'accesso ad una palestra - 29 marzo 2012 [doc. web n. 1891999] • Dati biometrici: illecito raccogliere e utilizzare le impronte digitali degli iscritti per l'accesso ad una palestra - 16 febbraio 2012 [doc. web n. 1894570] • Divieto di trattamento dei dati biometrici dei dipendenti per finalità di rilevazione della presenza sul posto di lavoro - 20 ottobre 2011 [doc. web n. 1851657] • Trattamento di dati biometrici ricavati dalla lettura delle impronte digitali Verifica preliminare - 10 giugno 2011 [doc. web n. 1835792] • Trattamento sproporzionato di dati biometrici dei dipendenti per finalità di accesso alla sede aziendale - 10 marzo 2011 [doc. web n. 1807683] • Trasporto: impronte digitali solo in casi particolari - 17 novembre 2010 [doc. web n. 1779745] • Trasporto: impronte digitali solo in casi particolari - 17 novembre 2010 [doc. web n. 1779758] • Banche: cassette sicure con le impronte digitali - 15 aprile 2010 [doc. web n. 1719879] • Nuove tecnologie e aree a rischio - 10 dicembre 2009 [doc. web n. 1689698] • Divieto all'uso di dati biometrici per rilevare la presenza sul luogo di lavoro 29 ottobre 2009 [doc. web n. 1682066] • Imprese: vietato l'uso della biometria per la rilevazione delle presenze e dei

tempi di lavoro - 15 ottobre 2009 [doc. web n. 1664257] • Vigilanza più "vigilata" negli aeroporti - 17 settembre 2009 [doc. web n. 1655708] • Biometria e rilevamento della presenza del personale aeroportuale - 12 giugno 2008 [doc. web n. 1635731] • Videosorveglianza e biometria per esigenze di sicurezza: impiego non conforme - 4 giugno 2009 [doc. web n. 1629975] • Rilevazione di impronte digitali ed immagini per accedere agli istituti di credito: verifica preliminare - 14 maggio 2009 [doc. web n. 1617735] • Trattamento di dati biometrici per finalità di autenticazione di accesso a particolari aree aziendali - 8 aprile 2009 [doc. web n. 1610018] • Dati biometrici: vietati per la rilevazione dell'orario di lavoro - 2 ottobre 2008 [doc. web n. 1571502] • Uso di dati biometrici nelle operazioni di trasfusione - 19 giugno 2008 [doc. web n. 1532480] • Più sicurezza in ospedale con le impronte digitali - 15 aprile 2008 [doc. web n. 1523435] • Riconoscimento vocale e gestione di sistemi informatici - 28 febbraio 2008 [doc. web n. 1501094] • Trattamento dei dati biometrici di dipendenti per incrementare la sicurezza della rete idrica - 15 febbraio 2008 [doc. web n. 1497675] • Trattamento di dati biometrici in Banca (Cariprato S.p.A.) - 23 gennaio 2008 [doc. web n. 1490382] • Trattamento di dati biometrici in banca (Monte dei Paschi di Siena) - 23 gennaio 2008 [doc. web n. 1490463] • Trattamento di dati biometrici in banca (Banca nazionale del lavoro) - 23 gennaio 2008 [doc. web n. 1490477]

• Trattamento di dati biometrici in banca (Banca San Paolo Imi S.p.A.) - 23 gennaio 2008 [doc. web n. 1490533] • Rivelazioni biometriche per verificare la presenza a corsi di formazione - 23 gennaio 2008 [doc. web n. 1487903] • Rilevazioni biometriche per l'accesso alla sala operativa di una soprintendenza archeologica - 8 novembre 2007 [doc. web n. 1461908] • Verifica preliminare: trattamento dei dati biometrici per l'accesso ad un complesso polifunzionale nel settore orafo - 1 febbraio 2007 [doc. web n. 1381983] • Biometria per sicurezza merci e controllo delle presenze presso aeroporti - 26 luglio 2006 [doc. web n. 1318582] • Verifica preliminare: uso della biometria per identificazione del personale nelle banche - 15 giugno 2006 [doc. web n. 1306098] • Trattamento di dati biometrici per la verifica della presenza dei dipendenti e l'accesso ad aree produttive (mulino) - 15 giugno 2006 [doc. web n. 1306530] • Istituti di credito - Modifica del termine per gli adempimenti sulla rilevazione di impronte digitali ed immagini - 2 marzo 2006 [doc. web n. 1248850] • Verifica preliminare: dati biometrici e Rfid nelle banche - 23 febbraio 2006 [doc. web n. 1251535] • Accesso ad aree riservate di azienda operante nel settore avionico ed elettronico: uso proporzionato di dati biometrici - 23 novembre 2005 [doc. web n. 1202254] • Rilevazione di impronte digitali ed immagini per accedere agli istituti di credito: limiti e garanzie - 27 ottobre 2005 [doc. web n. 1246675] • Uso delle impronte digitali per i sistemi di rilevamento delle presenze nei luoghi di lavoro”, 21 luglio 2005 [doc. web n. 1150679] • Indicazioni sullo schema di decreto interministeriale sui documenti di soggiorno elettronici - 4 marzo 2004 [doc. web n. 1054853]

• Videosorveglianza e dati biometrici - Rilevazioni biometriche presso istituti di credito ' 28 settembre 2001 [doc. web n. 39704] • Videosorveglianza - Raccolta di impronte digitali associate ad immagini per l'accesso a banche - 7 marzo 2001 [doc. web n. 30947] • Videosorveglianza - Videosorveglianza e rilevazione di impronte digitali all'ingresso di banche - 28 febbraio 2001 [doc. web n. 40181] • Videosorveglianza - Impronte digitali per l'accesso in banca - 11 dicembre 2000 [doc. web n. 30903] • Videosorveglianza e biometria - Trattamento dati personali mediante utilizzo di impronte digitali - 19 novembre 1999 [doc. web n. 42058]

Documento di lavoro sul trattamento dei dati personali relativi alla salute contenuti nelle cartelle cliniche elettroniche (Cce) adottato il 15 febbraio 2007 consultabile sul sito http://ec.europa.eu/... Cfr. art. 22, comma 6, del Codice; regola 24 del Disciplinare tecnico in materia di misure minime di sicurezza di cui all'allegato B) al Codice.

Resta ferma la possibilità per il personale amministrativo operante all'interno della struttura sanitaria in cui è utilizzato il Fse/dossier di accedere alle informazioni necessarie per assolvere alle funzioni amministrative cui è preposto.

Cfr. Provvedimento del 9 novembre 2005 "Strutture sanitarie: rispetto della dignità" consultabile sul sito Internet [doc. web n. 1191411].

Provvedimento generale del 24 luglio 2008 "Linee guida per i trattamenti di dati personali nell'ambito delle sperimentazioni cliniche di medicinali" pubblicato in

G.U. 14 agosto 2008, n. 190 e consultabile sul sito [doc. web n. 1533155].