Lo Psicologo, i Dati sensibili e la Legge
La protezione dei dati sensibili è uno stringente obbligo deontologico e legale, non una scelta individuale del professionista psicologo o psichiatra.
La Legge 675/96 prevede che il responsabile del trattamento dei dati personali, soprattutto se sensibili (quali i dati concernenti lo stato di salute di una persona), sia chiamato direttamente a rispondere delle procedure messe in atto per salvaguardarne la riservatezza e proteggerli da eventuali intrusioni. Il DPR 318/99 definisce le cosiddette "misure minime", ovvero le misure di sicurezza previste ma non definite per la tutela informatica dei dati sensibili di cui alla 675/96. In esso, si fa esplicito riferimento a generici "programmi di sicurezza" (per i quali il legislatore intende, secondo i pareri dei principali esperti di legislazione informatica, antivirus e firewall, integrati dove necessario da programmi di crittografia).
Si riportano di seguito gli articoli della 675/96 di maggiore interesse per i temi trattati:
Art. 15 - Sicurezza dei dati
1. I dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
2. Le misure minime di sicurezza da adottare in via preventiva sono individuate con regolamento emanato con decreto del Presidente della Repubblica (...)
3. Le misure di sicurezza di cui al comma 2 sono adeguate (...) con cadenza almeno biennale, con successivi regolamenti emanati con le modalità di cui al medesimo comma 2, in relazione all'evoluzione tecnica del settore e all'esperienza maturata."
Art. 18 - Danni cagionati per effetto del trattamento di dati personali
1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile."
Art. 36. (Omessa adozione di misure necessarie alla sicurezza dei dati)
1. Chiunque, essendovi tenuto, omette di adottare le misure necessarie a garantire la sicurezza dei dati personali, in violazione delle disposizioni dei regolamenti di cui ai commi 2 e 3 dell'articolo 15, è punito con la reclusione sino ad un anno. Se dal fatto deriva nocumento, la pena è della reclusione da due mesi a due anni.
2. Se il fatto di cui al comma 1 è commesso per colpa si applica la reclusione fino a un anno."
Come si può vedere, non solo chi omette dolosamente di adottare le misure di sicurezza necessarie compie un illecito; ma il secondo comma dell'articolo 36 prevede e sancise anche una responsabilità colposa per omessa adozione di misure di sicurezza (da specificare nel regolamento, di cui al DPR 318/99). Poiché il contenuto della colpa è rappresentato, secondo il dettato dell'articolo 43 del codice penale, da "negligenza, o imprudenza, o imperizia ovvero per inosservanza di leggi, regolamenti, ordini e discipline", è evidente che l'ipotesi della mancata utilizzazione di strumenti di protezione informatica può fondare anche in questo caso un giudizio di responsabilità per il non adempimento di quanto previsto dalla legge.
Per la nostra professione, la situazione è ulteriormente sottolineata anche dagli artt. 22 e 23.
Art. 22 - Dati sensibili
1. I dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale, possono essere oggetto di trattamento solo con il consenso scritto dell'interessato e previa autorizzazione del Garante. "
Art. 23 - Dati inerenti alla salute
1. Gli esercenti le professioni sanitarie e gli organismi sanitari pubblici possono, anche senza l'autorizzazione del Garante, trattare i dati personali idonei a rivelare lo stato di salute, limitatamente ai dati e alle operazioni indispensabili per il perseguimento di finalità di tutela dell'incolumità fisica e della salute dell'interessato. Se le medesime finalità riguardano un terzo o la collettività, in mancanza del consenso dell'interessato, il trattamento può avvenire previa autorizzazione del Garante. (...)
4. La diffusione dei dati idonei a rivelare lo stato di salute è vietata, salvo nel caso in cui sia necessaria per finalità di prevenzione, accertamento o repressione dei reati, con l'osservanza delle norme che regolano la materia."
Ed ecco gli articoli delle "misure minime" (DPR 318/99), a cui siamo tutti tenuti ad adeguarci (si veda in particolare la sezione 2):
CAPO II: Trattamento dei dati personali effettuato con strumenti elettronici o comunque automatizzati
Sezione I
Trattamento dei dati personali effettuato mediante elaboratori NON accessibili da altri elaboratori o terminali
Art. 2 - Individuazione degli incaricati
1. Salvo quanto previsto dall'articolo 8, se il trattamento dei dati personali è effettuato per fini diversi da quelli di cui all'articolo 3 della legge mediante elaboratori non accessibili da altri elaboratori o terminali, devono essere adottate, anteriormente all'inizio del trattamento, le seguenti misure:
a) prevedere una parola chiave per l'accesso ai dati, fornirla agli incaricati del trattamento e, ove tecnicamente possibile in relazione alle caratteristiche dell'elaboratore, consentirne l'autonoma sostituzione, previa comunicazione ai soggetti preposti ai sensi della lettera b);
b) individuare per iscritto, quando vi è più di un incaricato del trattamento e sono in uso più parole chiave, i soggetti preposti alla loro custodia o che hanno accesso ad informazioni che concernono le medesime.
Sezione II
Trattamento dei dati personali effettuato mediante elaboratori accessibili in rete
Art. 3 - Classificazione
1. Ai fini della presente sezione gli elaboratori accessibili in rete impiegati nel trattamento dei dati personali sono distinti in:
a) elaboratori accessibili da altri elaboratori solo attraverso reti non disponibili al pubblico;
b) elaboratori accessibili mediante una rete di telecomunicazioni disponibili al pubblico.
Art. 4 - Codici identificativi e protezione degli elaboratori
1. Nel caso di trattamenti effettuati con gli elaboratori di cui all'articolo 3, oltre a quanto previsto dall'articolo 2 devono essere adottate le seguenti misure:
a) a ciascun utente o incaricato del trattamento deve essere attribuito un codice identificativo personale per l'utilizzazione dell'elaboratore; uno stesso codice, fatta eccezione per gli amministratori di sistema relativamente ai sistemi operativi che prevedono un unico livello di accesso per tale funzione, non può, neppure in tempi diversi, essere assegnato a persone diverse;
b) i codici identificativi personali devono essere assegnati e gestiti in modo che ne sia prevista la disattivazione in caso di perdita della qualità che consentiva l'accesso all'elaboratore o di mancato utilizzo dei medesimi per un periodo superiore ai sei mesi;
c) gli elaboratori devono essere protetti contro il rischio di intrusione ad opera di programmi di cui all'articolo 615 quinquies del codice penale, mediante idonei programmi, la cui efficacia ed aggiornamento sono verificati con cadenza almeno semestrale."
Come si può vedere, la situazione è molto più seria di quanto si possa pensare.
Un cliente o committente che porti in giudizio un professionista "informaticamente sprovveduto", in caso di malaugurata disseminazioni delle informazioni personali tramite strumenti informatici, non avrebbe la minima difficoltà a vincere la causa (ed a ragione).
Se si pensa inoltre che all'art. 31 della legge 675/96 è previsto, tra le mansioni del Garante per la Privacy, anche la "sottoscrizione di un codice di deontologia e buona condotta" in relazione alle tematiche della Privacy per gli appartenenti a determinati settori professionali, si può ben capire l'importanza che tali questioni possono rivestire per la nostra pratica professionale.
Sarebbe auspicabile un'azione di sensibilizzazione ed educazione da parte degli Ordini Professionali, perchè quella della riservatezza e della sicurezza dei dati sensibili è una dimensione fondamentale delle nostre professionalità.
|