La legge 675/1996 sulla tutela della privacy cambia look e diventa “Codice”. Nella nuova “veste”, che verrà identificata come D.Lgs. 196/2003 e che diverrà attuativa a partire dal 1° gennaio 2004, troveranno spazio oltre alla legge originale, tutte le variazioni intervenute successivamente, i regolamenti, i codici deontologici in materia nonché alcune innovazioni.
Ricordo che quando le Legge fu approvata si diffusero (come sempre capita davanti ad una norma innovativa) notevoli preoccupazioni sugli oneri a cui si sarebbe dovuti sottostare per osservarla.
Si parlava di “notificazione al Garante del trattamento dei dati”, di “consenso scritto”, di “informativa”, di “dati sensibili” e non… Tutti termini “terribili” a cui non eravamo abituati ma che, poco per volta, sono entrati nel linguaggio corrente.
Quasi subito dopo l’entrata in vigore della legge 675/1996 il Garante della Privacy (forse preoccupato dall’immane mole di richieste che avrebbe dovuto evadere?) precisò che la notificazione del trattamento dei dati non dovesse essere effettuata in alcuni casi particolari tra cui l’attività dei liberi professionisti iscritti negli albi se il trattamento fosse finalizzato all’adempimento delle prestazioni di stretta pertinenza professionale. Su questo aspetto il Codice risulta innovativo in quanto viene, di fatto, ribaltata l’identificazione dei casi in cui è necessaria la notifica al Garante: non vengono più individuati i casi in cui si è esentati dall’obbligo, ma vengono, viceversa, precisate le situazioni in cui si è tenuti a farlo, non sussistendo l’onere al di fuori delle fattispecie enunciate. All’atto pratico,
per il trattamento dei dati personali effettuato usualmente dal veterinario libero professionista nulla cambia, non essendo necessario effettuare al Garante alcuna comunicazione.
Il Garante a suo tempo ha anche provveduto ad autorizzare cumulativamente al trattamento dei “dati sensibili”, tra l’altro,
i professionisti, limitatamente ai dati dei loro clienti a per finalità strettamente relative all’espletamento della professione.
Bisogna precisare, a questo punto, che per “dati sensibili” si intendono “i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”; pertanto, risulta difficile pensare che un veterinario abbia necessità di trattare simili dati.
E’ però anche vero che il veterinario deve svolgere una funzione di “sentinella della salute” non solo nei confronti dei propri pazienti animali, ma anche in funzione di un sano rapporto uomo-animale; per questo non mi sembrerebbe poi così sbagliato che il veterinario annotasse nel suo database tra
i dati relativi al proprietario, per esempio, se questi è in una situazione di immunodepressione perché sieropositivo al virus dell’AIDS, o perché trapiantato, o in quanto affetto da patologie tumorali… Ecco che, quindi, si troverebbe a trattare veri e propri “dati sensibili”. A questo punto si pone il problema se il professionista debba chiedere all’interessato il consenso scritto al trattamento di queste informazioni, in quanto la legge prevede, in questo caso, tale formalità. La risposta, a mio avviso, non potrebbe che essere affermativa.
Ciò che il professionista deve invece senz’altro fare è produrre a chi è oggetto di trattamento dei dati l’informativa, che deve a sua volta preludere al consenso dell’interessato al trattamento dei propri dati personali.
L’informativa, che può essere resa oralmente o per iscritto deve precisare:
· le finalità e le modalità del trattamento cui sono destinati i dati;
· la natura obbligatoria o facoltativa del conferimento dei dati;
· le conseguenze di un eventuale rifiuto di rispondere;
· i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;
· i diritti di cui all'articolo 7 (accesso, aggiornamento, cancellazione etc. dei propri dati personali);
· gli estremi identificativi del titolare e del responsabile dei dati.
Non è chiaro, invece, se il successivo consenso possa validamente essere reso oralmente o
debba necessariamente essere riportato per iscritto in quanto l’art. 23, comma 4 del Codice dice:
“Il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili” lasciando intendere che in mancanza di dati sensibili possa anche essere reso oralmente, sennonchè il precedente comma 3 riporta:
“Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all'articolo 13”.
Peraltro, l’art. 24, comma 1 dispone tra l’altro che:
“Il consenso non è richiesto… quando il trattamento è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria”… Tra questi obblighi di legge ritengo che possa senz’altro annoverarsi la
fatturazione e la
tenuta della contabilità, per cui, dunque, se questo fosse l’unico obiettivo del trattamento dei dati personali, dovrebbe essere sufficiente produrre l’informativa senza preoccuparsi del consenso.
Altro aspetto importante preso in considerazione dalla normativa è le modalità di conservazione dei dati. L’art. 31, comma 1 del Codice dispone che:
“I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.”. E, a proposito di conservazione in sicurezza dei dati, particolarmente interessante è ciò che viene previsto per
i database tenuti su supporti informatici (art. 34):
“1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:
· autenticazione informatica;
· adozione di procedure di gestione delle credenziali di autenticazione;
· utilizzazione di un sistema di autorizzazione;
· aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
· protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
· adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
· tenuta di un aggiornato documento programmatico sulla sicurezza;
· adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.”
Le misure di sicurezza per la conservazioni degli archivi cartacei, invece, sono riportati nel successivo art. 35:
“1. Il trattamento di dati personali effettuato senza l’ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:
· aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;
· previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
· previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati.”
Sembra
non riguardare il Veterinario, invece, quanto disposto nel Titolo V del Codice: “Trattamenti di dati personali in ambito sanitario”; la cosa è peraltro comprensibile se si pensa che il veterinario, nella sua professione, non dovrebbe trattare informazioni sullo stato di salute dei propri clienti umani (anche se, come abbiamo visto, non è detto che la cosa debba corrispondere sempre e necessariamente al vero).
Infine nessun problema (come era stato invece ipotizzato con orrore subito dopo l’entrata in vigore della legge 675/1996) per i
dati contenuti in agendine (cartacee o elettroniche) o mezzi similari tenuti a fini personali; come dice l’articolo 5, comma 3: “Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all'applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione.”
Giorgio Neri
