FAQ

DOMANDE E RISPOSTE
In questo documento sono raccolte le domande più frequenti in materia di trattamento di dati personali.
Le fonti normative dalle quali sono state elaborate le risposte sono i provvedimenti del Garante per la protezione dei dati personali e la giurisprudenza. 


 

1. Attività didattica

1.1  Quali sono le modalità con cui i laureandi possono eseguire ricerche con raccolta di dati personali e/o sensibili presso soggetti privati (es. tramite questionari a risposta multipla) da utilizzare per la tesi di laurea?

L'Università ed in particolare gli studenti laureandi necessitano a volte di raccogliere informazioni personali su un certo campione di soggetti. In tal caso è necessario che siano a ciò autorizzati dal docente che li segue nella tesi di laurea, ma soprattutto che nel momento in cui vengono raccolte le informazioni per la ricerca, venga fornita ai partecipanti l'informativa con la quale rendere noto agli interessati le finalità della raccolta dei dati, le modalità del trattamento, l'indicazione che trattasi di partecipazione volontaria e ogni altra informazione utile (es. come esercitare i propri diritti..) a definire gli ambiti della ricerca e l'utilizzo che verrà fatto di tali dati.

1.2  Nell'ambito del sistema interbibliotecario, quali dati è necessario che vengano trasmessi da una biblioteca all'altra?

Nell'ambito del sistema di scambio interbibliotecario, precisa il Garante, non è necessario trasmettere tutti i dati personali dell'interessato. Questi infatti rimangono agli atti della biblioteca richiedente. Sarà necessario trasmettere solo i dati relativi al libro richiesto.

1.3 Possono essere pubblicati gli esiti degli scritti degli esami universitari? Quali sono le modalità da osservare?

Sì, gli esiti delle prove scritte possono essere pubblicati sia mediante affissione nelle apposite bacheche, sia on-line sul sito web d’Ateneo.
Tale prassi risulta conforme alla vigente normativa ed in particolare al Codice in materia di protezione di dati personali, a condizione che la pubblicazione avvenga in osservanza dei principi di finalità e di non eccedenza nel trattamento dei dati personali.
Per garantire il rispetto dei principi enunciati dal legislatore si suggerisce l’opportunità di pubblicare gli esiti degli esami osservando le seguenti regole:
- individuare gli studenti tramite il numero di matricola, anziché tramite i dati anagrafici;
- pubblicare solo i dati relativi agli studenti che hanno superato positivamente la prova;
- laddove la votazione finale derivi dalla somma di voti parziali e sia necessario garantire agli studenti (compresi quelli che non hanno superato l’esame) la possibilità di conoscere nel dettaglio la valutazione, garantire la piena visibilità dei soli dati concernenti l’esito finale dell’esame (riportando, per gli studenti respinti, esclusivamente la dicitura “insufficiente” o “non superato”) e prevedere apposita procedura (ad es. informatica) che consenta a ciascun singolo studente di visionare, previa autenticazione, il dettaglio della valutazione che lo riguarda;
- mantenere la pubblicazione non oltre il tempo giudicato necessario a garantire la presa visione dei dati da parte dei soggetti interessati.
Qualora la pubblicazione avvenisse on-line, in considerazione delle peculiari caratteristiche dello strumento utilizzato (la rete internet) che esporrebbe i dati a un maggior rischio di abusi, si consiglia l’adozione di ulteriori misure cautelative (a titolo esemplificativo: la limitazione dell’accesso alla pagina web agli studenti e ai docenti che operano nell’ambito della struttura).
 

Inizio pagina

2. Consenso al trattamento

2.1  Che cos'è il consenso? Chi lo può dare?

Il consenso è la libera manifestazione della volontà dell'interessato con cui questi accetta espressamente un determinato trattamento dei suoi dati personali, sul quale è stato preventivamente informato da chi gestisce i dati. Il consenso può essere prestato solo dall'interessato. È sufficiente che il consenso sia "documentato" in forma scritta (ossia, annotato, trascritto, riportato dal titolare o dal responsabile o da un incaricato del trattamento su un registro o un atto o un verbale), a meno che il trattamento riguardi dati "sensibili"; in questo caso occorre il consenso rilasciato per iscritto dall'interessato (ad es., con la sua sottoscrizione).

2.2  Il consenso per il trattamento dei dati personali non sensibili è sempre necessario?

No, in alcuni casi il trattamento può essere effettuato senza il consenso degli interessati.
In particolare, se i dati sono stati raccolti e sono conservati perché così prescrive la legge o un regolamento o una norma comunitaria; oppure se il trattamento di dati è necessario per adempiere agli obblighi previsti da un contratto; se i dati sono ricavati da pubblici registri, atti o documenti che chiunque può conoscere; se il trattamento ha scopi scientifici o statistici e rispetta il relativo codice di deontologia; se il trattamento è effettuato per scopi giornalistici (si applica anche il codice deontologico per i giornalisti); se i dati riguardano lo svolgimento di attività economiche (ad es., i dati relativi al fatturato di un'azienda), e non si violano eventuali segreti aziendali o industriali; se occorre salvaguardare l'incolumità fisica o la vita dell'interessato (o di un terzo) che non è in grado di dare il consenso (è il caso dei trattamenti sanitari d'urgenza); se il trattamento è necessario per far valere o a difendere un diritto in sede giudiziaria (ad es., per l'istruzione di un processo, per la preparazione del dibattimento, ecc.).

2.3 Anche i soggetti pubblici debbono richiedere il consenso per il trattamento dei dati non sensibili?

No. I soggetti pubblici, tra cui l'Università, non devono raccogliere il consenso degli interessati, poiché il Codice consente loro di effettuare trattamenti di dati personali soltanto per lo svolgimento delle funzioni istituzionali, nei limiti stabiliti da leggi e da regolamenti.

Inizio pagina

3. Dati personali, giudiziari e sensibili

3.1 Che cos'è un dato personale?

Il dato personale è ogni informazione che riguardi persone identificate o che possano essere identificate anche attraverso altre informazioni, ad esempio, attraverso un numero o un codice identificativo. Sono dati personali: nome e cognome; indirizzo; codice fiscale; una foto, la registrazione della voce di una persona, la sua impronta digitale o vocale. La persona può essere infatti identificata anche attraverso alcune informazioni: a titolo esemplificativo associando la registrazione della voce di una persona alla sua immagine, oppure alle circostanze in cui la registrazione è stata effettuata: luogo, ora, situazione.

3.2  Che cos'è un dato giudiziario?

Il dato giudiziario è quel dato personale che rivela l'esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (quali, ad es., i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione). Rientrano in questa categoria anche la qualità di imputato o di indagato. Per completezza espositiva si richiama la definizione contenuta nell'art. 4, comma 1, lettera e del Codice.

3.3  Che cos'è un dato sensibile?

Il dato sensibile è un dato personale che può rivelare l'origine razziale ed etnica, le convinzioni religiose o di altra natura, le opinioni politiche, l'adesione a partiti, sindacati o associazioni, lo stato di salute e la vita sessuale delle persone. Per la sua delicatezza, richiede particolari cautele.

3.4  Quali sono le particolari cautele da seguire in caso di trattamento di dati sensibili?

I soggetti privati possono operare solo in base alle autorizzazioni del Garante e al consenso scritto degli interessati. I soggetti pubblici non devono richiedere il consenso, ma possono svolgere solo determinati trattamenti per rilevanti finalità di interesse pubblico.
Per quanto riguarda specificamente il trattamento dei dati sullo stato di salute in ambito sanitario pubblico e privato, esiste una particolare disciplina secondo la quale tale trattamento può essere svolto, di regola, soltanto con il consenso dell'interessato, se ciò serve per tutelare la sua salute o l'incolumità fisica.
Per alcune specifiche esigenze di tutela della salute di terzi o della collettività (prevenzione e cure di malattie, ricerca medica ed epidemiologica, interventi in materia di igiene e sanità pubblica ecc.) gli "esercenti le professioni sanitarie e medici chirurghi" e gli organismi sanitari pubblici (A.s.l., enti ospedalieri) possono trattare i dati sanitari anche senza il consenso dei pazienti interessati, ma nel rispetto delle prescrizioni contenute in un'autorizzazione del Garante.
Il trattamento dei dati sensibili è disciplinato negli artt. 20, 22 e 26 del Codice e nell'autorizzazione n. 2/2004 del Garante.

3.5  Dati sanitari contenuti nelle cartelle cliniche. Interviene il Garante. In che modo?

Poiché la leggibilità delle informazioni è la prima condizione per la loro piena comprensione, se la cartella clinica è illeggibile per la grafia di chi l'ha redatta, l'interessato ha diritto di ottenere dall'azienda sanitaria la trascrizione delle informazioni ivi contenute in modo da risultare chiare.

Inizio pagina

4. Dati sensibili e personali del lavoratore

4.1  Si possono diffondere dati personali del dipendente contenuti nel fascicolo personale?

No. Il fascicolo del dipendente contiene sicuramente dati personali ma anche sensibili, che possono essere trasmessi dall'amministrazione solo in ottemperanza a specifici obblighi di legge o ai propri fini istituzionali. Il Garante ha ricordato, inoltre, che i dati sensibili vanno conservati in un'apposita sezione separata del fascicolo personale ed essere accessibili solo dal personale autorizzato.
Il Garante è poi intervenuto in diversi casi di diffusione erronea di dati sensibili del lavoratore, affermando che, in conformità ai principi di proporzionalità, necessità e pertinenza, il datore di lavoro deve trattare solo i dati personali strettamente collegati all'utilizzo che se ne deve fare evitando quindi diffusione di dati inutili per quel tipo di trattamento. In virtù di tale principio il Garante ha sanzionato una pubblica amministrazione che nel provvedimento di trasferimento di un dipendente per gravi motivi di salute aveva indicato anche i problemi di salute sofferti. In questo caso, infatti, l' indicazione generica di "problemi di salute" già esaurisce l'obbligo di motivazione degli atti amministrativi.

4.2  L'autorizzazione rilasciata dal datore di lavoro ad un dipendente, per lo svolgimento di un incarico esterno, deve essere portata a conoscenza anche del superiore gerarchico dell'interessato?

Si, la nota con cui l'Università riscontra l'istanza formulata da un dipendente che chiede di essere autorizzato a ricoprire un incarico esterno, deve venire a conoscenza anche del superiore gerarchico.

4.3  In caso di malattia del dipendente, quali dati devono essere trasmessi all'INAIL?

In caso di malattia del dipendente, il Garante ha affermato che all'INAIL va trasmessa la prognosi, ma non la diagnosi completa.

4.4  Si può chiedere all'Università (uffici competenti) ai sensi della legge sulla privacy i dati relativi alle mansioni del lavoratore contenute negli accordi collettivi?

Il diritto di accesso, regolato dalla normativa sulla Privacy, consente al lavoratore di accedere a tutti i dati che lo riguardano detenuti dal proprio datore di lavoro, ma non può essere esercitato per conoscere notizie di carattere contrattuale o professionale (quali, ad esempio, gli accordi collettivi nazionali od aziendali), se non strettamente e direttamente riferite all'interessato. Nel caso concreto il Garante ha rigettato il ricorso di un lavoratore il quale lamentava di non essere stato adeguatamente informato circa le sue mansioni da svolgere.

Inizio pagina

5. Diritti dell'interessato

5.1  Quali sono i diritti che spettano all'interessato?

Il Codice in materia di protezione dei dati personali riconosce all'interessato (art. 7) i seguenti diritti:

  1. il diritto di avere informazioni generali sui trattamenti di dati svolti nel nostro Paese (attraverso la consultazione gratuita per via telematica del registro dei trattamenti, pubblicato sul sito http://www.garanteprivacy.it/ );
  2. il diritto di accesso ai propri dati personali direttamente presso chi li detiene (titolare del trattamento), ossia il diritto di ottenere la conferma della loro esistenza e la loro comunicazione e di sapere da dove sono stati acquisiti e quali sono i criteri e gli scopi del trattamento. Il titolare può chiedere il pagamento di una somma ("contributo spese") se non detiene dati dell'interessato;
  3. il diritto di ottenere la cancellazione o il blocco di dati che sono trattati violando la legge (ad esempio., perché non è stato chiesto il consenso); tali diritti possono essere esercitati anche quando non ci sono più motivi validi per conservare i dati;
  4. il diritto di aggiornare, correggere o integrare i dati inesatti e incompleti;
  5. il diritto, nei casi indicati nelle lettere c) e d), di ottenere anche un'attestazione da parte del titolare che tali operazioni sono state portate a conoscenza dei soggetti ai quali i dati erano stati precedentemente comunicati, a meno che ciò risulti impossibile o richieda un impegno sproporzionato rispetto al diritto tutelato;
  6. il diritto di opporsi, per motivi legittimi, al trattamento dei propri dati;
  7. il diritto di opporsi al trattamento dei propri dati per scopi di informazione commerciale o per l'invio di materiale pubblicitario o di vendita diretta, oppure per ricerche di mercato.

5.2  Come si può verificare se un soggetto detiene informazioni personali?

Si può chiedere senza particolari formalità conferma o meno della presenza di dati personali dei privati, rivolgendosi direttamente alla società che ha inviato una pubblicità indesiderata, al datore di lavoro, alla banca o assicurazione, all'ente pubblico o a chiunque altro custodisca informazioni sul conto dell'interessato.

5.3  Si può ottenere la correzione dei propri dati?

Sì. Con la stessa o con una successiva richiesta, si ha diritto di ottenere gratuitamente la correzione, l'aggiornamento e, se c'è un interesse, l'integrazione dei propri dati.

5.4  Si può chiedere la cancellazione dei propri dati trattati illecitamente?

Sì. Se i dati sono trattati in violazione di legge, l'interessato ha diritto di ottenerne gratuitamente la cancellazione o il "blocco" dei propri dati o la loro trasformazione in forma anonima.

Inizio pagina

6. Diritto di accesso e privacy

6.1  Le richieste di accesso ai dati personali possono essere subordinate al pagamento di un contributo?

Ai sensi del D. Lgs. n. 196/2003 (art. 10, comma 7) e del Regolamento d'Ateneo in materia di trattamento dei dati personali (art. 6, penultimo comma) l'accesso ai dati personali è gratuito. L'Università non può, pertanto, subordinare il rilascio delle informazioni al pagamento di una somma, ad eccezione dei seguenti casi:

- se non risulta confermata l'esistenza di dati che riguardano l'interessato, è dovuto un contributo spese di importo pari a € 10,00 (€ 2,50 se i dati sono trattati con strumenti elettronici e la risposta è data oralmente);

- se l'interessato ha chiesto di riprodurre uno speciale supporto sul quale sono conservati i dati (audiovisivi, lastre, nastri o altri specifici supporti magnetici), è dovuto un contributo di importo pari a € 20,00.

6.2  Quali sono le regole di protezione dei dati personali relativamente alle richieste di accesso di dati personali idonei a rivelare lo stato di salute o la vita sessuale di un soggetto contenuti in documenti amministrativi o depositati presso pubbliche amministrazioni?

Numerosi sono stati gli interventi del Garante sull'opportunità di accedere a documenti detenuti dalla P.A. che potevano contenere dati sanitari e/o sulla vita sessuale di un soggetto. Il criterio discriminante, precisato anche dalla giurisprudenza del Consiglio di Stato, è che l'interesse per cui si chiede l'accesso ai dati sensibili di soggetti terzi deve essere "di pari rango" rispetto all'interesse alla protezione dei dati personali. Tale valutazione va effettuata non con il generico diritto alla difesa, spesso utilizzato per giustificare l'accesso, bensì analizzando la situazione giuridica soggettiva che il terzo intende far valere.

Inizio pagina

7. Responsabili esterni

7.1 Nell'attività conto terzi, chi è il responsabile del trattamento dei dati personali?

Nell'attività conto terzi, titolare del trattamento dei dati personali è la società che chiede alla struttura universitaria una prestazione. Spetta quindi all'azienda committente nominare il responsabile e gli incaricati.

7.2  Aziende appaltatrici.

Alle aziende aggiudicatarie di un appalto deve essere rilasciata l'informativa ed è necessario valutare se la società sia configurabile quale "responsabile esterno".

Inizio pagina

8. Spamming e posta elettronica

8.1  Cos'è lo spamming?

E' il termine con il quale si indica l'invio di posta elettronica, fax, sms o posta contenente messaggi, anche pubblicitari, NON RICHIESTI.

8.2  E' Lecito?

No, è vietato. I messaggi di tipo informativo o pubblicitario possono essere inviati SOLO se il destinatario è stato preventivamente informato ed ha manifestato liberamente il suo consenso. L'indirizzo di posta elettronica è infatti considerato un dato personale e pertanto va trattato secondo la normativa vigente.

Inizio pagina

9. Varie

 

9.1 Nella presentazione di domande di partecipazione a concorsi pubblici, si possono presentare dichiarazioni sostitutive dei carichi pendenti?

Si, in quanto tale adempimento non costituisce violazione della disciplina sulla riservatezza.

9.2 Per l’utilizzo, con finalità di monitoraggio, dei software di registrazione e gestione degli accessi alle strutture – senza che siano memorizzate immagini - sono previste particolari prescrizioni?

No, tuttavia i dati raccolti sono dati personali che vanno trattati secondo quanto disposto dalla normativa vigente (Codice Privacy e Regolamento di Ateneo di attuazione delle norme in materia di attuazione dei dati personali).  La normativa nulla dispone circa i tempi di conservazione dei dati raccolti. Si applica alla fattispecie il principio di proporzionalità secondo il quale la conservazione temporanea dei dati deve essere commisurata al tempo necessario a raggiungere la finalità perseguita.

Inizio pagina