Codice della Privacy

Il trattamento dei dati giudiziari nell’informazione giuridica: condizioni e limiti secondo la Cassazione

L’informazione giuridica legittima sempre il trattamento di dati personali relativi a condanne penali e reati? Quali sono i limiti alla diffusione dei dati giudiziari? Con la sentenza n. 3702 del 2022 la Corte di Cassazione ha fatto il punto sul trattamento illecito dei dati giudiziari penali e di natura amministrativa a seguito delle modifiche al Codice Privacy, soffermandosi in particolare sull’ambito di applicabilità dell’art. 167.

La protezione dei dati personali dei defunti

Anche i defunti hanno Diritto alla Privacy. Ma cosa succede ai dati personali in caso di decesso? I dati personali dei deceduti non rientrano nell’ambito applicativo del GDPR ed è per tale ragione che il Regolamento europeo ha riconosciuto agli Stati membri la facoltà di introdurre norme ad hoc sul trattamento di tali dati. Il legislatore italiano ha, all’uopo, emanato il D.Lgs. 101/2018 al fine di armonizzare le norme contenute nel Codice della privacy (D.Lgs 196/2003) con quelle introdotte dal Regolamento UE 679/2016. Con riguardo ai diritti riguardanti le persone decedute il suddetto decreto, all’art. 2-terdecies, comma 1°, prevede che: “I diritti di cui agli articoli da 15 a 22 del Regolamento UE 2016/679 riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione”. Questa disposizione abroga l’art. 9 del Codice della Privacy, che al 3° comma, di fatto, prevedeva la medesima possibilità. Si ribadisce, a costo di essere ridondanti, che il D.Lgs 196/2003 seppur novellato ad oggi è ancora in vigore. La novità risiede nel fatto che l’interessato può preventivamente disporre, con una dichiarazione scritta, espressa ed inequivocabile, e limitatamente all’offerta diretta di servizi della società dell’informazione*, quali fra il diritto di accesso, rettifica, cancellazione, limitazione e portabilità (artt. da 15 a 22 GDPR) non potrà essere esercitato da parte di terzi, una volta deceduto. [*Per completezza espositiva, si precisa che per “servizi della società dell’informazione” si intendono tutti quei “servizi prestati dietro retribuzione, a distanza, per via elettronica, mediante apparecchiature elettroniche di elaborazione e di memorizzazione di dati, e a richiesta individuale di un destinatario” (direttiva 98/34/CE del Parlamento europeo e del Consiglio, del 22 giugno 1998).] Non vi sono dubbi che, come specificato all’ultimo comma dell’art. 2-terdecies, tale divieto non è consentito ove l’accesso ai dati personali del defunto sia necessario a terzi per l’esercizio di diritti patrimoniali ovvero per la difesa dei propri interessi in sede processuale. Dal dettato normativo emerge che i soggetti che possono esercitare tali diritti, oltre a coloro che vantano un interesse proprio (ed è la categoria poc’anzi trattata), vi sono anche coloro che agiscono per conto di terzi in qualità di mandatari, e.g. gli esecutori testamentari, e coloro il cui interesse risiede nel legame familiare col defunto, nello specifico il coniuge, i figli, i fratelli e tutti gli ascendenti e discendenti diretti sino al 4° grado. Il Garante della Privacy ha recentemente fornito un parere sulla materia, nell’ambito del procedimento relativo ad una richiesta di riesame del diniego di accesso civico, per un presunto caso di “malasanità”.(Parere del 10 Gennaio 2019 – 9084520) L’Azienda sanitaria aveva negato l’accesso poiché dalla documentazione richiesta si evincevano dati sensibili personali del paziente deceduto, pertanto fuori dall’ambito applicativo del D.Lgs 33/2013 (aggiornata al D.Lgs 97/2016). In particolare, trattavasi di dati sulla salute, che fornivano infatti il quadro clinico del defunto, con specifici e accurati dettagli su ricovero, degenza, sintomi, anamnesi, diagnosi, esami effettuati (di cui alcuni particolarmente invasivi) con relativi risultati, terapia, farmaci somministrati, consulenze mediche effettuate, nonché informazioni sul credo religioso professato. Prima di entrare nel merito della vicenda, il Garante ha precisato che sebbene il Regolamento europeo sulla protezione dati non si applichi ai dati delle persone decedute, questi vengano tutelati dal D.Lgs 101/2018, introdotto appositamente per armonizzare la normativa del GDPR a quella italiana preesistente. Da ciò ne deriva che ai dati delle persone decedute continuano ad applicarsi le tutele previste dalla disciplina in materia di protezione dei dati personali anche dopo l’applicazione del Regolamento UE 679/2016. Fatte le necessarie premesse, prosegue sottolineando che l’accesso civico, istituto regolato all’art. 5 del D.Lgs 33 del 2013, introduce una legittimazione generalizzata, gratuita e senza necessità di motivazione, a richiedere la pubblicazione di documenti, informazioni o dati per i quali sussiste l’obbligo di pubblicazione da parte delle pubbliche amministrazioni, ai sensi della normativa vigente. Nel caso di specie, trattandosi di dati sanitari, il Codice della Privacy, all’art. 2-septies, comma 8, e all’art. 2-ter, prevede un espresso divieto di diffusione di tali dati, per cui è impossibile “darne conoscenza a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione”. In linea, peraltro, con quanto previsto dal D.lgs 33/2013 all’art. 7 bis, comma 6, sul “riutilizzo dei dati pubblicati”. Secondo l’Autorità Garante, si è dunque in presenza di una delle ipotesi di esclusione dell’accesso civico, previste dalla normativa statale in materia di trasparenza, che prevede espressamente come l’accesso civico debba essere escluso nei “casi di divieti di accesso o divulgazione previsti dalla legge” (art. 5-bis, comma 3, del d. lgs. n. 33/2013). Per tutto quanto evidenziato, il Garante della Privacy si è espresso in favore della Azienda sanitaria la quale ha correttamente respinto l’istanza di accesso ai dati del defunto. Si parla ormai di eredità digitale con riguardo a tutte quelle informazioni relative ad un soggetto ed in possesso del gestore di un servizio (piattaforma sociale, fornitore di servizio email, etc.). Nonostante i numerosi strumenti a disposizione, spesso i dati, una volta introdotti nel mondo di internet, godono di vita propria. Come detto, il nuovo Codice della Privacy ha esteso la tutela della privacy anche ai defunti, riconoscendo i diritti previsti dal GDPR a coloro che ne hanno interesse. In ogni caso chiunque può decidere preventivamente sulla sorte delle proprie informazioni digitali. E’ preferibile comunque non lasciare nulla al caso perché i dati sono eterni e non sempre la morte fisica della persona coincide con quella virtuale.   VP    

GDPR: La gestione dei “visitatori” in azienda

La protezione dei dati personali è divenuto ormai l’obiettivo prioritario delle aziende che, negli ultimi mesi, hanno provveduto, con non poche difficoltà, a conformarsi alle disposizioni contenute nel Regolamento europeo sulla materia (GDPR). L’attenzione alla gestione della privacy è alta, non solo nei confronti dei dipendenti ma anche dei soggetti esterni all’azienda che, a vario titolo, vi entrano in contatto. I “visitatori”, che possono essere fornitori, consulenti, lavoratori per una ditta esterna, sono soggetti estranei all’impresa che, prima di accedervi, devono essere individuati, fornendo un documento di riconoscimento. Il ruolo della reception aziendale Un ruolo importante, in questo senso, è rivestito dalla reception. Questa è l’area di accesso dei dipendenti, dei consulenti continuativi come degli ospiti occasionali dell’azienda. In questa sede, infatti, avviene la prima raccolta dei dati dei soggetti che intendono introdursi nei locali dell’ente. Per i soggetti che non sono alle dipendenze della società la receptionist provvede alla registrazione dei dati, nella quale vengono indicati il motivo della visita, il referente interno con il quale ha appuntamento e la durata dell’incontro. In questa fase, preliminare ed obbligatoria, di identificazione del soggetto, si acquisirà anche il consenso al trattamento dei dati personali. In tale senso, è bene precisare che il trattamento dei dati dei visitatori prevede un serie di adempimenti, a cura dell’impiegato deputato al ricevimento, piuttosto semplici, in alcuni casi realizzati dallo stesso ospite su appositi totem self service. L’addetto alla reception, generalmente, consegna un badge al soggetto (che ritirerà una volta terminata la visita), sottopone all’ospite l’informativa sulla privacy (che dovrà essere sottoscritta) e fornisce le istruzioni in materia di sicurezza sul lavoro da seguire in caso di emergenza (D.Lgs 81/2008). Il badge è, a tutti gli effetti, un documento di riconoscimento (personale e non cedibile) del visitatore che dovrà essere da lui esibito ed indossato durante l’intera permanenza nei locali aziendali. Inoltre, questo strumento consente all’azienda di monitorare gli spostamenti del soggetto nei casi in cui acceda ad aree sottoposte a varchi (tornelli, porte, etc.) il cui transito avviene solo mediante autenticazione. Queste semplici operazioni, in realtà, hanno una rilevanza primaria poiché consentono di avere contezza, in qualunque momento, dei soggetti presenti nella azienda, e, ove necessario, anche di localizzarli al suo interno. I codici di condotta Per la gestione degli ospiti, solitamente, le aziende adottano un codice di comportamento che illustra i principi ai quali questi debbano attenersi dopo aver fatto ingresso nei locali dell’ente. Il predetto documento può disciplinare le modalità di ingresso dei visitatori, per esempio nei casi di accesso ad alcune aree per le quali può essere prevista una specifica approvazione e/o l’accompagnamento da parte di personale interno autorizzato. Può stabilire la condotta che gli ospiti sono tenuti a seguire nel contesto aziendale, per esempio con riferimento al trattamento di informazioni confidenziali ed interne della società occorre osservare i principi di onestà e discrezione, oltre a quanto previsto da leggi, regolamenti nazionali ed europei, policy e procedure interne. Può consentire l’eventuale accesso a sistemi informatici e/o a informazioni riservate societarie a fronte di un conferimento dell’utenza da parte di un referente interno autorizzato e secondo apposite policy e procedure. Può altresì vietare l’uso di sistemi e strumenti elettronici per scopi estranei all’attività lavorativa. Può impedire l’introduzione di strumenti elettronici o altro materiale, anche personale, da parte del soggetto entrante, qualora in conflitto con esigenze di sicurezza. Può infine imporre l’adozione di determinate precauzioni necessarie per proteggere la riservatezza delle informazioni. I diritti dei visitatori con riguardo ai propri dati personali Tutti i soggetti che accedono ai locali e al sistema informativo di una società, sono tenuti al rispetto delle prescrizioni dettate dal D. Lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali, nonché di tutti i successivi provvedimenti emanati dall’Autorità garante per la protezione dei dati personali, applicabili al contesto aziendale, e a quanto previsto dal Regolamento UE 2016/679. Allo stesso tempo, tali fonti normative riconoscono degli strumenti di tutela in favore di questi soggetti al fine di vedersi tutelati i propri dati personali. Per tale ragione, anche le informazioni raccolte all’atto di registrazione del visitatore devono essere trattate in conformità del GDPR. Le finalità per le quali vengono raccolti i dati del soggetto si esauriscono una volta che il soggetto abbandoni i locali aziendali. Tali informazioni dovrebbero quindi essere conservate nei limiti di questo arco temporale, tuttavia le tempistiche possono essere soggette a variazioni nel caso in cui si siano presentati eventi anomali durante la permanenza dell’ospite. In alcune società l’identificazione del soggetto entrante avviene con l’acquisizione di dati biometrici (art. 4, paragrafo 1, n. 14, GDPR, ad es. impronte digitali, sagoma della mano, colore e dimensione dell’iride, fisionomia del volto, etc.). Per sistemi di riconoscimento così sofisticati, il trattamento deve essere conforme alle disposizioni di legge vigenti e pertanto si rimanda alle linee guida del Garante delle Privacy in materia (Link). In ogni caso, il visitatore ha diritto di conoscere quali dati personali siano in possesso dall’azienda ed ha diritto altresì a richiederne la cancellazione (artt. 15 e ss. GDPR) L’accoglienza dei visitatori in azienda rappresenta evidentemente un aspetto critico. In commercio vi sono diversi sistemi di controllo ed ogni società opta per la soluzione che più aderisce al proprio contesto operativo. Ciò detto, per un azienda sicura e in linea con i principi dettati dalla legge è necessario istruire gli addetti ai desk di ricevimento, che ricoprono un ruolo spesso sottovalutato, e dotarsi di sistemi di monitoraggio efficienti e moderni.   VP

Scroll to Top