Nel complesso avviamento della disciplina di trattamento dei dati personali introdotto in Italia dall'8 maggio 1997 con l'entrata in vigore della legge 675/96, occupano un posto di rilievo le quattro autorizzazioni per intere categorie diramate a fine novembre il Garante per la tutela dei dati personali, prof. Stefano Rodotà, che si rivolgono a disciplinare il trattamento dei dati sensibili definiti all'art. 22 della Legge, cioè i dati idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazione a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
Come è noto questi dati, particolarmente "delicati" e pertanto soggetti a maggiore tutela, possono essere oggetto di trattamento solo con il consenso scritto dell’interessato e previa autorizzazione del Garante. In mancanza di autorizzazione comunicata entro 30 giorni dalla domanda, il trattamento è vietato: vale cioè il silenzio-rigetto dell'autorizzazione richiesta.
Questa formulazione nella Legge 675/96 aveva sollevato più di qualche perplessità in numerose categorie di operatori: anche in caso di semplici ritardi dovuti al presumibile carico di lavoro nell'ufficio del Garante, avrebbe di fatto bloccato tutta una serie di elaborazioni vitali per la sopravvivenza di un'azienda, ad sempio la produzione dei cedolini stipendio (giacchè entrano in gioco le trattenute sindacali), l'emissione delle polizze vita e infortuni (contenenti dati sulla salute), l'attività di medici, periti e avvocati con pratiche di infortunistica stradale, etc.
Preannunciate fin dall'insediamento dell'Autorità Garante, sono arrivate puntualmente a fine novembre le autorizzazioni per categorie di soggetti e di trattamenti che superano il problema e rendono di fatto inutili - salvo casi particolari - le richieste singole da parte di privati ed aziende, qualora i trattamenti siano conformi a uno "standard". Il Garante ha fatto cioè lo sforzo di "tipizzare" tutta una serie di trattamenti molto comuni nella prassi, e li ha riconosciuti leciti ed automaticamente autorizzati purchè siano soddisfatti alcuni criteri. Così facendo ha tolto alle aziende l'onere di dover richiedere singole autorizzazioni per tutte le elaborazioni "normali" bisognerà dunque far richiesta al Garante, entro il 31/12/97, soltanto per eventuali elaborazioni non previste dalle autorizzazioni stesse.
La prima delle autorizzazioni concesse in data 19/11/97 riguarda il trattamento dei dati sensibili nei rapporti di lavoro e si applica dunque a qualunque azienda, ente, associazione o persona che abbia a trattare dati di dipendenti, collaboratori, consulenti, agenti, o che si avvalga di prestazioni lavorative anche atipiche, parziali o temporanee. Come definito nell'art. 2, l'autorizzazione si applica anche alle cariche sociali aziendali (sindaci, revisori, amministratori) e ai candidati all'instaurazione a di un rapporto di lavoro.
Le finalità (art. 3) del trattamento sono quelle ovvie, e cioè la gestione dei normali rapporti amministrativo- contabili inerenti la gestione del personale e gli adempimenti normativi ad esso connessi, nonchè la salvaguardia della salute del singolo o dei terzi. In concreto, per fare alcuni esempi, il datore di lavoro è autorizzato a conoscere eventuali minorazioni fisiche del dipendente, allo scopo di non gravarlo di lavori a lui inadatti, a richiedere i certificati medici al lavoratore assente per malattia, nonchè a prendere i provvedimenti necessari a tutela della salute dei dipendenti qualora uno di essi si scopra affetto ad esempio da una malattia infettiva.
Il punto più delicato dell'intera autorizzazione, su cui è necessario richiamare l'attenzione, è contenuto nell'art. 5, e cioè l'obbligo di acquisire il consenso scritto dell'interessato dopo averlo informato secondo quanto previsto dagli articoli 10 e 22 della legge n. 675/96.
Il testo dell'autorizzazione non lascia adito a dubbi: tutti i dipendenti devono firmare un modulo in cui prendono nota di una serie di diritti, di cui quelli principali sono l'accesso, la rettifica e la cancellazione di propri dati personali, nonchè esprimono consenso al trattamento dei propri dati sensibili e non. Questo adempimento è però in parte derogato dall'art. 41 della Legge 675/96, secondo il quale le disposizioni che prescrivono il consenso dell’interessato non si applicano in riferimento ai dati personali raccolti precedentemente all'8/5/97. Resta però l'obbligo di raccogliere il consenso per i casi di rapporti di lavoro instaurati dopo tale data, da realizzarsi entro il 31/12/97, data ultima per la messa a norma dei trattamenti onde fruire dell'autorizzazione automatica (art. 10).
Oltre a questo urgente adempimento, un secondo punto dell'Autorizzazione n. 1 che pone qualche problema alle aziende sta nel trattamento dei dati personali dei "candidati" all'assunzione. Anche per essi, l'autorizzazione al trattamento vale in presenza di consenso scritto. E' dunque necessario che nei futuri colloqui di assunzione (e anche in maniera retroattiva a partire dall'8/5/97) venga proposto e fatto firmare ai candidati un modulo di informativa e consenso da inserire agli atti. In presenza di rifiuto di consenso, il candidato dovrebbe essere respinto senza trattenere il suo curriculum. E proprio su questo punto si apre il problema: cosa fare di quei curricula che giungono non richiesti per posta? Cestinarli per assenza di consenso o "trattarli" (il fatto stesso di conservarli, senz'altra azione, è trattamento, come specificato a chiare lettere dalla Legge 675 all'inizio delle definizioni) in violazione dell'Autorizzazione? In attesa che il Garante sciolga con una sua interpretazione questo punto, si può dare un consiglio valido per i candidati: nelle proprie lettere di presentazione alle aziende e nei propri curricula val la pena di inserire una breve frase in calce, del tipo di quella riportata nel box allegato. Sottoscrivendo questa clausola il candidato toglie l'azienda dal dubbio di come trattare questo curriculum e dimostra anche una rara attenzione e professionalità che non può che essere ben valutata.
Lo stesso consiglio però è valido anche per l'azienda: l'apposizione sul curriculum di un timbro con questa stessa clausola da far sottoscrivere al candidato in sede di primo colloquio può di fatto sostituire il modulo di informativa e consenso per i candidati, in attesa di chiarimenti del Garante su questi obblighi.
CLAUSOLA DI CONSENSO AL TRATTAMENTO DI DATI SENSIBILI DI CANDIDATI A INSTAURARE UN RAPPORTO DI LAVORO
"Dichiaro di essere pienamente informato dei diritti di cui all'art. 10 della L. 675/96 ed esprimo il consenso senza riserve al trattamento dei miei dati personali da parte della vostra azienda, compresi anche quelli sensibili, definiti nell'art. 22 della Legge citata".
Proseguendo nell'analisi degli adempimenti urgenti che toccano aziende, enti e professionisti per l'adeguamento alla Legge 675/96, si esaminano in questo articolo i riflessi dell'Autorizzazione n. 2/1997 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale, diramata dal Garante per la tutela dei dati personali lo scorso 27/11/1997.
Fin dalla pubblicazione del testo di legge, era chiaro che i dati "sensibili" inerenti la salute erano oggetto di un diffuso trattamento da parte di intere categorie di soggetti, che il Garante con questo documento ha appunto individuato ed autorizzato.
La prima categoria è quella degli operatori sanitari, e quindi medici e infermieri: vista la specificità della professione, questi soggetti sono stati autorizzati esplicitamente a trattare dati sanitari anche in assenza di consenso, ma solo per tutelare l'incolumità fisica e la salute di un terzo oppure della collettività. Va rilevato che già l'art. 23 della Legge 675 autorizzava gli esercenti professioni sanitarie a trattamenti per salvaguardare la salute dell'interessato. Mettendo insieme dunque il disposto della legge e quello dell'autorizzazione sembrerebbe che un medico non abbia necessità di richiedere il consenso per queste finalità: l'art. 4 dell'autorizzazione indica però chiaramente che la conservazione dei dati stessi deve avvenire per un periodo di tempo non superiore a questo scopo. Ne consegue che se si desidera mantenere i dati anche più a lungo, a fini di documentazione dell'attività effettuata, o di statistica, o altro, è necessario aver ottenuto il consenso dell'interessato, a meno di non trasformare i dati personali in dati anonimi, cancellando dunque nome, cognome e altri dati che permettano l'identificazione (ad es. il numero della tessera sanitaria, o il codice fiscale), mantenendo invece i dati clinici rilevanti.
Poichè di norma vale il secondo comma dell'art. 3 dell'Autorizzazione e cioè restano fermi gli obblighi di acquisire il consenso scritto dell'interessato di informarlo come previsto dagli artt. 10, 22 e 23 della Legge 675/96, è pertanto consigliabile anche per i medici che intrattengano un rapporto continuativo con il paziente far firmare un modulo di consenso come quello nel box allegato, che tra l'altro dovrebbe essere visto come un segno positivo di rispetto dei diritti del paziente. E' del tutto evidente che in caso di minori il consenso è validamente prestato anche da uno solo dei genitori, mentre per i nascituri viene espresso dalla gestante.
I dati sulla salute non sono però pertinenza esclusiva delle professioni sanitarie: esistono varie altre categorie che hanno necessità di trattare questi dati, e che sono state individuate alla lettera e) dell'art. 1 dell'Autorizzazione n.2, che riguarda appunto persone fisiche e giuridiche, imprese, enti, associazioni e altri organismi, limitatamente ai dati e alle operazioni indispensabili per adempiere agli obblighi anche precontrattuali derivanti da un rapporto di fornitura all'interessato di beni, di prestazioni o di servizi. Anche in questi casi è essenziale ricordare l'obbligo di ottenere il consenso scritto al trattamento da parte dell'interessato, dopo aver reso, anche oralmente, l'informativa di cui all'art. 10 della Legge 675/96.
La formulazione usata dal Garante è in realtà molto ampia ed alcuni esempi aiutano a chiarirne la portata. Si prenda il caso delle compagnie di assicurazione. Nei rami vita e infortuni è prassi normale far compilare all'assicurando un questionario sanitario contenente una sorta di anamnesi, al fine di valutare correttamente il rischio. Si tratta in questo caso di un tipico obbligo precontrattuale, e come tale ammesso, sia che il contratto venga poi effettivamente stipulato, sia che invece, per le ragioni più diverse, ciò non avvenga. Per adempiere al dettato della Legge 675/96, le Compagnie devono però prevedere (entro il 31/12/97) in calce al questionario sanitario una richiesta esplicita di consenso al trattamento dei dati sensibili.
Nel caso della liquidazione di un sinistro su una polizza infortuni o malattie, il Cliente deve prestare il consenso alle indagini sanitarie dell'assicuratore al momento della liquidazione del sinistro. Ovviamente può rifiutarsi di farlo, la legge 675/96 glielo consente, ma ciò è contro il suo interesse, poichè quasi sempre è contrattualmente pattuito che il Cliente debba dare libero accesso alla cartella clinica e al medico curante onde permettere alla Compagnia di liquidare correttamente l'infortunio o la malattia sopraggiunta. In mancanza di consenso è di solito esplicitamente prevista per il Cliente la perdita del diritto al risarcimento.
Ancor più interessante e più diffuso il caso di una denuncia di sinistro per lesioni in un incodente stradale. Se nei casi precedenti esisteva un rapporto contrattuale tra la Compagnia di assicurazione e il suo Cliente, qui invece si tratta di una pura richiesta di servizio (la liquidazione del sinistro appunto): l'autorizzazione ricomprende anche questo caso, anzi è esplicitamente specificato nell'Autorizzazione n. 2, se il rapporto intercorre con istituti di credito, imprese assicurative o riguarda valori mobiliari, che devono considerarsi indispensabili i soli dati necessari per fornire servizi su richiesta dall'interessato. Pertanto a una richiesta di risarcimento per un danno di lesioni da incidente stradale la Compagnia del responsabile civile dovrebbe innanzitutto richiedere il consenso al trattamento dei dati sensibili: in caso di rifiuto potrebbe però legittimamente respingere il sinistro.
CLAUSOLA DI CONSENSO AL TRATTAMENTO DI DATI INERENTI LA SALUTE
"Dichiaro di essere pienamente informato dei diritti di cui all'art. 10 della L. 675/96 ed esprimo il consenso senza riserve al trattamento dei miei dati personali da parte vostra, compresi in particolare i dati sulla salute come indicato negli artt. 22 e 23 della Legge citata".
La terza delle autorizzazioni collettive emanate dal Garante per la tutela dei dati personali in data 29/11/97 riguarda associazioni, anche non riconosciute, comprese le comunità religiose, i partiti e i movimenti politici, le organizzazioni sindacali, i patronati, le associazioni di categoria, le organizzazioni assistenziali o di volontariato, nonché le loro federazioni; riguarda inoltre le fondazioni, i comitati e ogni altro ente senza scopo di lucro, nonchè le cooperative sociali, le società di mutuo soccorso e più in generale il vasto mondo del "no profit".
Lo scopo del Garante nel rilasciare questa organizzazione è stato evidentemente duplice: da un lato non trovare intasati i propri uffici da una miriade di richieste da evadere entro i 30 giorni fissati dalla Legge, onde non interrompere le attività di tante associazioni, e al tempo stesso un concreto aiuto ad organismi le cui strutture spesso sono volontarie e poco preparate da un punto di vista giuridico per poter continuare ad operare senza orpelli amministrativi insostenibili.
Le finalità per cui è rilasciata l'autorizzazione collettiva sono quelle individuate dall'atto costitutivo o dallo statuto dell'associazione: tipicamente si tratta di finalità culturali, religiose, politiche, sindacali, sportive, di istruzione, di formazione, di ricerca scientifica, di patrocinio, di tutela dell'ambiente e dell'arte, di salvaguardia dei diritti civili, nonché di beneficenza o assistenza sociale. Tra le finalità accessorie ci sono naturalmente le incombenze di carattere amministrativo-contabile, la diffusione di riviste, bollettini e simili.
Perchè tali associazioni dovrebbero aver bisogno di trattare dati sensibili è subito chiaro dalla definizione stessa, contenuta nell'art. 22 della Legge 675/96: dati inerenti alla salute, come quelli trattati da associazioni assistenziali nonchè da società sportive, opinioni politiche e sindacali, credo religioso etc. Va sottolineato che la portata di questa autorizzazione investe tutti i tipi di dati sensibili, e non soltanto una sottocategoria, come ad esempio gli importanti dati sulla salute, che erano oggetto specifico invece dell'Autorizzazione n. 2.
D'altra parte va rilevato che l'autorizzazione riguarda il trattamento appunto dei dati sensibili e non mette pertanto al riparo l'associazione dagli obblighi di notificazione, che comunque dovranno essere adempiuti nei primi mesi del 1998, tramite una modulistica su dischetto che il Garante sta predisponendo. Quest'autorizzazione dunque nulla aggiunge e nulla toglie a quelle associazioni che di loro natura non trattano dati sensibili, ed è pertanto in errore chi ritiene che essa esenti le associazioni da ogni obbligo tout court verso il Garante.
Specifico di questa autorizzazione è comunque l'inclusione tra i soggetti i cui dati sensibili si possono trattare non solo dei soci, dei beneficiari e relativi familiari, ma anche delle cariche sociali e persino dei sottoscrittori e benefattori.
Come nei precedenti testi autorizzativi, anche in questo caso restano fermi gli obblighi di acquisire il consenso scritto dell'interessato e di informare l'interessato medesimo, in conformità a quanto previsto dagli articoli 10 e 22 della Legge n. 675/96. Pertanto anche le associazioni, come si era già visto nel caso delle aziende commentando l'autorizzazione n. 1, devono muoversi in fretta per essere pienamente a norma, e cioè acquisire il consenso scritto da parte delle persone fisiche che sono venute in contatto con esse, comunicando dati sensibili, a partire dalla data di ingresso in vigore della Legge 675 in Italia e cioè dall'8/5/97 (una specifica deroga contenuta nell'art. 41 della Legge 675/96 consente di evitare la richiesta di consenso per dati sensibili conferiti in precedenza).
Ancora a titolo di esempio, va segnalato che qualora i dati conferiti dopo l'8 maggio non siano sensibili, la richiesta di consenso scritto non è indispensabile ai sensi di questa autorizzazione, ma ricade nel caso più generale: è questo per esempio il caso di una donazione o di un nuovo socio o presidente, a meno che - naturalmente - da questi dati non si possano dedurre dati sensibili, come quelli sulla salute della persona stessa (ad esempio una donazione a un ente di ricerca scientifica da parte di chi è stato affetto da una certa malattia). Il previsto consenso al trattamento dei dati sensibili può essere espresso nella forma indicata nel box allegato, ma deve essere raccolto entro e non oltre il 31/12/97 onde non essere fuori dai termini fissati dall'Autorizzazione n. 3 all'art. 9.
CLAUSOLA DI CONSENSO AL TRATTAMENTO DI DATI SENSIBILI DA PARTE DI ASSOCIAZIONI
"Dichiaro di essere pienamente informato dei diritti di cui all'art. 10 della L. 675/96 ed esprimo il consenso senza riserve al trattamento dei miei dati personali da parte dell'associazione, compresi anche quelli sensibili, ai sensi dell'art. 22 della Legge citata".
La quarta autorizzazione emanata in data 29/11/97 dal Garante per la tutela dei dati personali, ha per oggetto il trattamento dei dati sensibili da parte dei liberi professionisti e ricomprende tutto quanto non espressamente disciplinato in precedenza, e in particolare: - il trattamento dei dati da parte di chi esercita professioni sanitarie, come disciplinato dall'Autorizzazione n. 2 discussa in precedenza; - il trattamento dei dati per i rapporti di lavoro, disciplinato dalla Autorizzazione n. 1 e anch'esso già estensivamente discusso; - il trattamento di dati sensibili da parte di investigatori e di giornalisti, oggetto di apposita menzione nel corpo della Legge 675/96 all'art. 25, oltre che all'art. 11commi e) e h);
In base a questo documento i liberi professionisti sono autorizzati a trattare dati sensibili dei loro clienti o di terzi, limitatamente però in quest'ultimo caso dove ciò sia indispensabile per lo svolgimento delle proprie prestazioni professionali. Un semplice esempio è il caso di un architetto, che ristruttura una villa per conto di un committente che chiede particolari accorgimenti architettonici per un terzo, proprio parente, affetto da handicap motori.
Molto frequente è pure il caso di trattamento di dati sensibili da parte di avvocati, ad esempio per cause di infortunistica stradale. Si vede come in questi casi sia possibile venir a conoscenza di dati inerenti la salute sia del proprio cliente, sia di terzi coinvolti nel sinistro, in rapporto stretto però con l'incarico di difesa legale affidato dal cliente stesso.
Altrettanto tipico è il caso di un notaio che viene a conoscere le opinioni religiose di un Cliente in sede testamentaria, o di un commercialista che dalla dichiarazione dei redditi mod. 740 del Cliente può conoscere numerose informazioni sia di carattere sanitario, sia sulle opinioni politiche, religiose o sindacali.
Come nei casi precedenti, il Garante subordina l'autorizzazione al trattamento dei dati sensibili da parte di liberi professionisti all'ottenimento del consenso scritto, dopo aver fornito l'informativa di cui all'art. 10 della Legge 675/96. Viene fatta esplicita menzione a questo proposito, nell'art. 4, di due particolarità tipiche del lavoro libero professionale, che non comparivano nelle autorizzazioni precedenti: la facoltà di nominare responsabili del trattamento di dati personali collaboratori, sostituti, tirocinanti o praticanti dello studio profesisonale, nonchè la necessità di indicare chiaramente nell'informativa se il Titolare del trattamento è il singolo professionista, ovvero un'associazione di professionisti nel caso di studi associati. In pratica il cliente dev'essere a conoscenza se sta conferendo la facoltà di trattare i suoi dati personali ad una o più persone distinte.
La conseguenza di quanto esposto è semplice: il libero professionista che tratti dati sensibili deve predisporre un modulo secondo il modello allegato e farlo firmare al cliente, conservandolo poi agli atti come prova dell'avvenuto consneso al trattamento. In mancanza di ciò non è autorizzato a trattare dati sensibili. L'unica eccezione, contemplata nell'art. 41 della Legge 675/96 riguarda i trattamenti iniziati prima dell'8/5/96 data di ingresso in vigore della legge, perchè per essi non è necessaria la raccolta del consenso.
La parte finale del testo di Autorizzazione ricalca quanto già visto nei tre casi precedenti: la conservazione dei dati va fatta per un periodo non più lungo del necessario secondo le finalità sopra esposte; la comunicazione a terzi (ovvero "diffusione" come indicato dal testo di legge) dei dati sensibili può avvenire solo col consenso dell'interessato e per fini richiamati esplicitamente nel consenso espresso; la richieste di autorizzazione già inviate sono automaticamente accettate senza risposta se conformi a quanto riportato in questo documento, mentre quelle non conformi sono rigettate, a meno di casi giustificati e molto particolari.
Infine, nell'ultimo articolo, si specifica che l'Autorizzazione ha validità dal 30/11/97 al 30/9/98, data dalla quale il Garante evidentemente si riserva di apportare modifiche migliorative, visto che in più occasioni ha definito necessario un periodo di "rodaggio" di una normativa complessa e potenzialmente dirompente come la Legge sulla tutela dei dati personali. Da ultimo è chiarito che chi non è a norma nei trattamenti ha tempo fino al 31/12/97 per mettersi a norma secondo questa Autorizzazione, e cioè ottenere il consenso ove dovuto, predisporre i moduli necessari, prendere le misure di prevenzione per garantire la sicurezza dei dati personali, e in particolare di quelli sensibili, cancellare o distruggere dati sensibili non più necessari, e quant'altro previsto nei 45 articoli della Legge 675/96.
BOX ALLEGATO - CLAUSOLA DI CONSENSO AL TRATTAMENTO DI DATI SENSIBILI DA PARTE DI LIBERI PROFESSIONISTI "Dichiaro di essere pienamente informato dei diritti di cui all'art. 10 della L. 675/96 ed esprimo il consenso senza riserve al trattamento dei miei dati personali da parte del libero professionista, compresi anche quelli sensibili, ai sensi dell'art. 22 della Legge citata". |