|
Notizie sul DPS
Il 1° gennaio
2004 è entrato in vigore il Testo Unico sulla Privacy,
ovvero il Decreto legislativo n. 196/2003, che ha
recepito la Legge delega n. 127/2001 in materia
protezione dei dati personali.
Il nuovo
testo, che ha abrogato la vecchia legge n. 675/1996,
appare al lettore quale strumento agile per quanto
attiene la applicazione delle nuove norme e nel contempo
rigido nella comminazione delle sanzioni, sia
amministrative che penali, per chi viola la legge.
Il decreto
parte dalla premessa che tutti i dati personali devono
essere trattati in modo lecito e secondo correttezza,
raccolti e registrati per scopi determinati e conservati
osservando particolari regole; i soggetti i cui dati
sono raccolti devono essere previamente informati, anche
verbalmente, circa le finalità e le modalità del
trattamento dei dati e dei propri diritti, nonché dei
dati identificativi del Titolare del trattamento dati e
degli eventuali responsabili.
Il consenso
al trattamento dei dati deve espresso per iscritto
dall'interessato; non è richiesto il consenso in diversi
casi; si citano i più importanti:
quando il
trattamento è necessario per adempiere ad un obbligo di
legge,
quando il
trattamento riguarda dati provenienti da pubblici
registri o atti o documenti conoscibili da chiunque,
quando il
trattamento è necessario ai fini di investigazioni
difensive o da far valere in sede giudiziaria, quando il
trattamento è effettuato da Associazioni, Enti od
Organismi senza scopo di lucro, in riferimento a
soggetti che hanno contatti regolari o ad aderenti, per
il perseguimento di scopi determinati individuati nello
statuto sociale.
Sono
considerati "dati sensibili" quei dati che attengono
all'origine razziale, alle convinzioni religiose,
filosofiche, politiche, all'adesione a partiti,
sindacati, associazioni od organizzazioni avente i
caratteri di cui sopra, nonché i dati relativi alla
salute ed alla vita sessuale.
Al proposito
si segnala che i soggetti pubblici, nello svolgimento
delle attività istituzionali, non sono tenuti a
richiedere il consenso dell'interessato per il
trattamento dei propri dati.
Importante
appare segnalare una rilevante novità introdotta dal
Legislatore; diversamente dalla vecchia normativa, sono
espressamente previsti i casi in cui è obbligatorio
notificare al Garante il trattamento dei dati personali:
dati
genetici, biometrici o dati che indicano la posizione
geografica di persone od oggetti mediante una rete di
comunicazione elettronica;
dati idonei a
rivelare lo stato di salute e la vita sessuale, trattati
a fini di procreazione assistita, prestazione dei
servizi sanitari per via telematica relativi a banche di
dati o alla fornitura di beni, indagini epidemiologiche,
rilevazioni di malattie mentali, infettive e diffusive,
sieropositività, trapianto di organi e tessuti e
monitoraggio della spesa sanitaria;
dati idonei a
rivelare la vita sessuale o la sfera psichica trattati
da associazioni, enti od organismi senza scopo di lucro,
a carattere politico, filosofico, religioso o sindacale;
i dati
trattati con l'ausilio di strumenti elettronici volti a
definire il profilo e la personalità dell'interessato o
ad analizzare abitudini o scelte di consumo ... omissis;
i dati
sensibili registrati in banche dati a fini di selezione
del personale per conto di terzi, nonché dati sensibili
utilizzati per sondaggi di opinione, ricerche di mercato
e altre ricerche campionarie;
dati
registrati in apposite banche dati gestite con strumenti
elettronici e relative al rischio sulla solvibilità
economica, alla situazione patrimoniale, al corretto
adempimento delle obbligazioni, a comportamenti illeciti
o fraudolenti.
Tale
elencazione potrà essere soggetta a revisioni e/o
aggiunte da parte del Garante.
Altro aspetto
importante a cui tutti i soggetti che trattano dati
personali con strumenti elettronici devono adeguarsi è
quello relativo al c.d. "documento programmatico sulla
sicurezza" che dovrà essere preparato entro il 30 giugno
prossimo; tale documento dovrà contenere:
elenco dei
trattamenti di dati personali;
distribuzione
dei compiti e delle responsabilità nell'ambito delle
strutture preposte al trattamento dei dati;
analisi dei
rischi che incombono sui dati;
misure da
adottare per garantire l'integrità e la disponibilità
dei dati, nonché la protezione delle aree e dei locali,
rilevanti ai fini della loro custodia e accessibilità;
descrizione dei criteri e delle modalità per il
ripristino della disponibilità dei dati in seguito a
distruzione o danneggiamento;
previsione di
interventi formativi degli incaricati del trattamento,
delle misure adottate per prevenire eventi dannosi;
individuazione per i dati personali sensibili, dei
criteri da adottare per la separazione di tali dati
dagli altri dati personali della persona, anche mediante
l'utilizzo di appositi armadi con chiusura a chiave a
cura del Responsabile.
Particolarmente importante segnalare le sanzioni
previste, che si riassumono:
omessa o
inidonea informativa da Euro 3.000,00 a Euro 18.000,00
nei casi di dati sensibili da Euro 5.000,00 a Euro
30.000,00 tali sanzioni possono triplicare in ragione
delle condizioni economiche del contravventore.
cessione dati
in caso di cessazione trattamento da Euro 5.000,00 a
Euro 30.000,00
omessa o
incompleta notificazione al Garante da Euro 10.000,00 a
Euro 60.000,00 oltre la sanzione accessoria della
pubblicazione dell'ordinanza — ingiunzione
omessa
informazione o esibizione al Garante da Euro 4.000,00 a
Euro 24.000,00
trattamento
illecito dei dati: reclusione da sei a diciotto mesi; se
il fatto consiste nella comunicazione o diffusione,
reclusione da sei a ventiquattro mesi;
altre
violazioni, se dal fatto deriva nocumento: reclusione da
uno a tre anni;
falsità nelle
dichiarazioni al Garante: reclusione da sei mesi a tre
anni;
omessa
adozione misure di sicurezza: arresto sino a due anni e
ammenda da Euro 10.000,00 a Euro 50.000,00;
inosservanza
dei provvedimenti del Garante: reclusione da tre mesi a
due anni.
Il Testo
Unico sulla Privacy riserva, in particolare, solo due
articoli, il 95 — 96, al settore " Istruzione "; in essi
viene chiarito che le finalità di istruzione e di
formazione sono da considerarsi di rilevante interesse
pubblico e che i dati relativi agli esiti scolastici
possono essere comunicati o diffusi alfine di agevolare
l'orientamento, la formazione e l'inserimento
professionale, ferme restando le disposizioni in tema di
tutela alla riservatezza dello studente e le
disposizioni in materia di pubblicazione degli esiti
degli esami mediante affissione nell'albo dell'istituto
e di rilascio di diplomi e certificati.
Ferme
restando le regole di carattere generale, diverse sono
le problematiche che si pongono nell'ambito della
gestione dei dati trattati dalle istituzioni scolastiche
che meritano, particolare attenzione; tra le più
importanti si segnalano:
a) gestione
dei certificati medici relativi allo stato di salute dei
Docenti e degli alunni/studenti,
b) scelta
della religione,
c) dati
relativi a portatori di handicap,
d) dati
particolari quali comunicazioni relative situazioni
particolari familiari ( separazioni — trattamenti
cautelari in capo ai genitori, etc.).
La gestione
dei dati sopra elencati devono essere oggetto
particolare cautela sia per quanto attiene la raccolta
sia per quanto attiene la conservazione e la successiva
distruzione.
In tutti i
casi di cui sopra si riterrebbe necessario, anche
mediante la emanazione di apposite circolari, istruire
il personale, in particolare quello Docente che
normalmente riceve la documentazione, sulle modalità di
raccolta e la successiva conservazione; tale ultimo
adempimento potrà essere curato da un Responsabile il
quale conserverà il tutto in appositi locali o armadi
dotati di chiusura le cui chiavi sono dallo stesso
detenute; quando tale documentazione non sarà più
necessaria ai fini dello svolgimento dei compiti
istituzionali, essa dovrà essere distrutta mediante
strumenti che non permettano la lettura del loro
contenuto.
Altra
problematica che le istituzioni scolastiche sono tenute
ad affrontare, in particolare quelle relative alle
scuole di primo e secondo grado, è quella relativa alla
gestione della rete Internet.
|
