Il codice in materia di protezione dei dati personali nasce dall’esigenza di ricomporre organicamente le varie norme che riguardano, anche indirettamente, la tutela della privacy con le disposizioni e i principi introdotti dal Garante per la protezione dei dati personali attraverso i codici deontologici, i regolamenti e le decisioni. Ispirato dall’intento di semplificare gli adempimenti in materia e di razionalizzare l’esistente, il codice ha anche introdotto alcune nuove norme. Difatti l’art. 33 ha disposto l’obbligo in capo al titolare del trattamento di adottare misure minime volte ad assicurare un livello minimo di protezione dei dati personali.
In attesa del regolamento ministeriale con il quale verrà adottato il documento programmatico di sicurezza, si ritiene comunque necessario, fornire i primi chiarimenti e le indicazioni operative in materia del trattamento dei dati personali e, in particolare, il trattamento dei dati sensibili e giudiziari. Preliminarmente si evidenzia che le disposizioni in vigore attengono alle seguenti categorie di dati, che devono essere trattati secondo i principi di seguito indicati:

Dati diversi da quelli sensibili e giudiziari (art. 19,c.1)

Il trattamento di tali dati da parte di un soggetto pubblico è consentito anche in mancanza di una norma di legge o di regolamento che lo preveda espressamente, fermo restando quanto previsto dall’art. 18 c.2 , in base al quale i dati personali possono essere trattati dai soggetti pubblici soltanto per lo svolgimento delle funzioni istituzionali.
In proposito si ritiene doveroso richiamare l’attenzione di tutto il personale sulle norme che riguardano gli aspetti relativi alla sicurezza dei dati. In particolare si sottolinea la disposizione contenuta nell’art. 31del codice, secondo cui “i dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”.

Dati sensibili e giudiziari

L’individuazione di tali dati, in relazione alle procedure amministrative che danno luogo al trattamento degli stessi, è stata effettuata dal Ministero del Lavoro e delle Politiche Sociali nell’allegata scheda riepilogativa.

DISPOSIZIONI GENERALI

I dati devono essere trattati limitatamente alle esigenze connesse allo svolgimento dell’attività istituzionale e per il tempo strettamente necessario. I documenti contenenti dati sensibili e/o giudiziari non devono essere lasciati incustoditi o esposti alla visione di soggetti comunque estranei alla predetta attività. Per quanto attiene all’attività di vigilanza, tutte le unità ispettive provvederanno all’adozione di particolari forme di riservatezza nella notificazione degli atti, nonché nella procedura ispettiva secondo le indicazioni fornite dal Ministero del Lavoro e delle Politiche Sociali con circolare n. 22 del 19.03.1999 e secondo le disposizioni impartite dallo scrivente con comunicazioni di servizio n. 4/99 – e n. 9/99 che qui si richiamano integralmente per la loro rigorosa osservanza.

DISPOSIZIONI PARTICOLARI

a) dati sensibili nonché giudiziari conservati nei fascicoli dei dipendenti
i dati sensibili nonché i dati giudiziari, contenuti nei fascicoli personali dei dipendenti, devono essere conservati separatamente rispetto alle altre informazioni. Questo principio di separatezza, di recente ribadito dal Garante per la tutela dei dati, non fa venir meno l’unitarietà del fascicolo. Per quanto riguarda i fascicoli cartacei occorrerà adottare alcune cautele per la custodia dei dati sensibili e giudiziari presenti nel fascicolo personale utilizzando appositi sottofascicoli da conservare in armadi chiusi muniti di serratura. Ciò al fine di ridurre la possibilità di un’indistinta consultazione nel corso dell’ordinaria attività amministrativa.

b) documentazione sanitaria contenuta nei fascicoli di dipendenti e nelle pratiche in materia di autorizzazioni a favore delle lavoratrici madri, di inchieste amministrative in materia di infortuni sul lavoro, di autorizzazioni al lavoro di minori, di esami per conduttori di generatori di vapore e sussidi al personale
la documentazione sanitaria a corredo della domanda deve essere contenuta in apposita busta chiusa recante l’indicazione: “documentazione sanitaria”.

DISPOSIZIONI PER IL PERSONALE AUTORIZZATO AL TRATTAMENTO DEI DATI

Premessa
La normativa in vigore stabilisce che:

1. il titolare del trattamento e' la persona giuridica che esercita un
potere decisionale del tutto autonomo sulle finalita' e sulle
modalita' del trattamento, ivi compreso il profilo della sicurezza;

2. il responsabile del trattamento è il funzionario preposto dal titolare al trattamento dei dati;

3. l’incaricato del trattamento è il dipendente autorizzato dal responsabile a elaborare o utilizzare materialmente i dati personali, attenendosi alle istruzioni ricevute dal titolare o dal responsabile del trattamento.

Alla luce della complessa disciplina ora in vigore sul trattamento dei dati personali e sulle misure di sicurezza degli stessi, si ritiene di potere individuare tra gli “incaricati” anche il personale addetto agli archivi, alla protocollazione degli atti, alle copie, alla spedizione della corrispondenza.
Agli incaricati è consentito l’accesso ai soli dati personali la cui conoscenza è strettamente necessaria per adempiere ai compiti istituzionali assegnati.

La nuova disciplina sull’accesso ai documenti amministrativi.
L’art. 59 del Codice stabilisce ce le disposizioni di cui alla legge 241/90 si applicano “anche per ciò che concerne i tipi di dati sensibili e giudiziari e le operazioni di trattamento eseguibili in esecuzione di una richiesta di accesso”. Per quanto riguarda i dati sensibili diversi da quelli sensibilissimi di cui all’art. 60, secondo l’elaborazione giurisprudenziale consolidata, l’accesso è ammissibile nel rispetto dei due limiti specifici posti dall’art. 24 della citata legge n. 241/90:

I. sul piano della legittimazione attiva il richiedente deve dimostrare di essere portatore di un interesse giuridicamente rilevante;

II. sul piano modale non è consentita l’estrazione di copia, ma solo la visione del documento.

Per i dati cd. Sensibilissimi in quanto idonei a rivelare lo stato di salute o la vita sessuale, fermi restando i due limiti di cui sopra, l’accesso è consentito al richiedente per la tutela di situazioni giuridiche di rango equivalente al diritto dell’interessato, ovvero consistenti in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile.

Sistema sanzionatorio

Nel rammentare il rigoroso sistema sanzionatorio stabilito dagli artt. 161 e ss., si evidenzia che il Codice configura in caso di inosservanza delle norme in esso contenute un complesso sistema sanzionatorio articolato in sanzioni amministrative e penali di seguito sinteticamente illustrate:

1. Violazioni amministrative
(art. 161 Omessa o inidonea informativa all’interessato)
La violazione è punita con la sanzione pecuniaria da 3.000,00 a 18.000,00 euro. Nei casi di trattamento dei dati sensibili o giudiziari, la sanzione è aumentata nella misura da 5.000,00 a 30.000,00 euro.

2. Illeciti penali
(art. 167 Trattamento illecito dei dati)
La fattispecie punisce con la reclusione chiunque al fine di trarne profitto per sé o per altri o di recare ad altri un danno, procede al trattamento dei dati personali in violazione alle disposizioni del codice.
(art. 169 Omissione delle misure minime di sicurezza)
La fattispecie contravvenzionale prevede la pena dell’arresto o dell’ammenda in caso di mancata adozione delle misure minime di sicurezza.