Più tutele per gli utenti di social network, blog e forum dedicati alla salute

Prevista per i siti l’ “avvertenza di rischio”

Più tutele per chi è iscritto a social network dedicati alla salute, partecipa a blog e a forum di discussione o segue siti web che si occupano esclusivamente di tematiche sanitarie. Dal 20 febbraio 2012 in poi i gestori di questi siti saranno tenuti a fornire agli utenti una specifica “avvertenza”, che informi sui rischi di esporsi in rete con la propria patologia.

É quanto stabiliscono le “Linee guida” per i siti web dedicati alla salute (che non riguardano comunque i servizi di assistenza sanitaria on line e la telemedicina) varate dal Garante privacy e pubblicata sulla G.U. in data 20 febbraio 2012.

Il ricorso sempre più crescente alla rete da parte di persone che, nell’ambio di siti web, blog, forum, social network si scambiano informazioni, inviano commenti, chiedono consigli o consulenze, presenta, insieme ad un innegabile vantaggio per gli utenti, anche potenziali rischi connessi alla pubblicazione e alla diffusione on line dei dati relativi alla loro salute.

In base alle Linee guida del Garante, i gestori di siti, blog, forum, social network dedicati a tematiche relative alla salute, che prevedano o meno la registrazione degli utenti, dovranno inserire nella loro home page una specifica “avvertenza di rischio”, il cui scopo sarà quello di richiamare l’attenzione sui rischi connessi al fatto di rendersi identificabili sul web in relazione alla propria patologia. E questo anche alla luce della possibilità che tali informazioni possano essere indicizzate dai motori di ricerca generalisti o conosciuti dalla generalità degli utenti Internet e non dai soli iscritti al sito.

L’utente, così avvisato, potrà fare attenzione e decidere in modo più consapevole se inserire o meno dati personali (es. nome, cognome e-mail etc.) che possano rivelare, anche indirettamente, la propria identità o quella di terzi, così come se pubblicare foto o video che consentano di rendere identificabili persone e luoghi.

L’utente sarà invitato a dare conferma di aver preso visione dell’ “avvertenza di rischio”, barrando un’apposita casella.

I siti che prevedono la registrazione saranno tenuti anche ad informare gli utenti sugli scopi per i quali i dati sono richiesti, sulle modalità del loro trattamento, sui tempi di conservazione, sul diritto di cancellare, aggiornare, rettificare o integrare i dati così raccolti, come previsto dal Codice privacy.

Il Garante ha stabilito, infine, che i dati raccolti dai gestori dei siti dovranno:

  • essere protetti da rigorose misure di sicurezza
  • restare riservati e non essere comunicati o diffusi a terzi,  
  • essere trattati solo da personale autorizzato.


Annunci

DPS addio, benvenuto APA

Eliminato l’obbligo di redazione del DPS, si pone il problema di come adempiere agli obblighi di aggiornamento annuale del Sistema privacy aziendale previsti dal DLgs 196/2003 e dal suo Allegato B (Disciplinare Tecnico in materia di misure minime di sicurezza) e presidiati da sanzioni che vanno da un minimo di 10.000 € ad un massimo di 120.000 €.

Vediamo anzitutto quali sono questi obblighi.

Almeno annualmente, ogni Titolare deve:

  • Verificare le attività
 degli Amministratori di Sistema: l’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei Titolari del trattamento o dei Responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti;
  • Verificare la sussistenza delle condizioni per la conservazione dei profili di autorizzazione;
  • Aggiornare l’elenco di “chi fa cosa” (Incaricati e Responsabili trattamento);
  • Programmare gli interventi formativi;
  • Aggiornare l’Informativa completa: le notizie da indicare per legge devono essere aggiornate, specificando la data dell’ultimo aggiornamento.

L’APA (Aggiornamento Privacy Annuale)

Pur non essendo indicata alcuna scadenza specifica nell’arco dell’anno, il nostro Studio mantiene il 31 marzo come termine ultimo entro il quale adempiere al dettato normativo attraverso un documento denominato APA, acronimo di Aggiornamento Privacy Annuale.

 L’APA, da conservare nel Fascicolo privacy aziendale, è così suddiviso:

  1. Elenco dai trattamenti effettuati
  2. Mansionario Privacy
  3. Incaricati e trattamenti effettuati
  4. Archivi e Database di riferimento
  5. Incaricati alla custodia degli Archivi ad accesso controllato
  6. Incaricati e archivi/database di accesso
  7. Responsabili del trattamento
  8. Verifica dell’attività degli Amministratori di Sistema
  9. Verifica dell’aggiornamento della Privacy policy online
  10. Programmazione degli Interventi formativi.

Ancora una volta ricordiamo che il DPS era una semplice fotografia ufficiale del Sistema privacy aziendale che va, comunque,  adeguato alla normativa di riferimento, ovvero:

  • Decreto Legislativo 196/2003 (Codice in materia di Protezione dei Dati Personali);
  • Allegato B al DLgs 196/2003: Disciplinare Tecnico in materia di Misure Minime di Sicurezza;
  • Provvedimenti del Garante ex artt. 143 e 154, comma 1,  lett. c) DLgs 196/2003.

Email lavorative: si al controllo datoriale, ma in via eccezionale

La Cassazione ribadisce il No al controllo sistematico delle email lavorative, argomentando il Si alle verifiche eccezionali da parte del datore di lavoro.

La Sentenza della Corte di Cassazione 2722/2012 stabilisce il divieto di controlli sistematici dell’attività dei lavoratori, riconoscendo di converso al datore di lavoro la facoltà di controlli eccezionali dettati da esigenze defensionali a tutela del datore di lavoro stesso.

Gli strumenti informatici installati dal Datore di lavoro per tutelarsi da utilizzi impropri dei PC da parte dei lavoratori, rientrano nelle c.d. apparecchiature di controllo a distanza previste dall’Art. 4 dello Statuto dei Lavoratori, secondo il quale:

Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le modalità per l’uso di tali impianti.“. 

Nel caso di specie, davanti alla Cassazione, il lavoratore licenziato si oppone al licenziamento per giusta causa adducendo che il Disciplinare interno sull’uso di internet e posta elettronica adottato in Azienda:

  • non era stato preventivamente sottoposto alle procedure sindacali previste dall’articolo 4 Statuto Lavoratori
  • non prevedeva specificamente le modalità di monitoraggio della posta elettronica aziendale.

La Corte di Cassazione, comunque allineata col Garante Privacy, rigettando il ricorso, ritiene che, anche se la possibilità di controllo passa in secondo piano rispetto alla riservatezza del lavoratore, eccezione può essere fatta dove la sorveglianza non costituisca una modalità continua ma eccezionale e fondata sostanzialmente sull’esigenza del datore di lavoro di porre in essere i cosiddetti “controlli difensivi”, ossia

controlli diretti ad accertare comportamenti illeciti dei lavoratori quando tali comportamenti riguardino l’esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro e non la tutela di beni estranei al rapporto stesso ove la sorveglianza venga attuata mediante strumenti che presentano quei requisiti strutturali e quelle potenzialità lesive la cui utilizzazione è subordinata all’accordo con il sindacato o all’intervento dell’Ispettorato del Lavoro“.