È lecito scrivere sulla croce del feto il nome della donna senza che questa ne sia a conoscenza? Analizziamo la disciplina della protezione dei dati sensibili

 

Il caso del “cimitero dei feti” e la protezione dei dati sensibili

È fine settembre quando fa capolinea sulle prime pagine di tutte le maggiori testate italiane il caso di Marta Loi. Tramite un post su Facebook questa donna racconta la sua storia:

Nel momento in cui firmai tutti i fogli relativi alla mia interruzione terapeutica di gravidanza, mi chiesero: “Vuole procedere lei con esequie e sepoltura? Se sì, questi sono i moduli da compilare. ”
Risposi che non volevo procedere, per motivi miei, personali che non ero e non sono tenuta a precisare a nessuno.

Dopo circa sette mesi dalla pratica, Marta scopre l’esistenza di una croce con sopra scritto il suo nome nel “Cimitero degli Angeli” di Roma. In questo luogo, infatti, vengono seppelliti i prodotti del concepimento o feti dopo aborti volontari o spontanei.

Marta, quindi, viene a conoscenza che a sua insaputa il feto era stato prelevato dall’ospedale, seppellito nel cimitero con rito religioso, con il suo nome e cognome scritto su una croce, insieme alla data dell’aborto. Eppure, non è un caso isolato: accade a volte che le donne coinvolte non sappiano che in quel “cimitero” ci sia una croce con il proprio nome scritto sopra. E che la loro privacy venga violata.

Il nome e cognome rientrano nell’ambito di applicabilità della disciplina in materia di protezione dei dati sensibili. Com’è possibile che queste informazioni vengano scritte senza consenso della donna titolare dei dati?

 

Articolo 9 del Regolamento europeo n. 679 del 2016

Non è possibile e non è lecito un simile comportamento.

Scrivere nome e cognome di una donna a sua insaputa in un luogo pubblico costituisce una grave violazione di un dato sensibile. L’articolo 9 del Regolamento europeo sulla privacy n.679 del 2016 è finalizzato alla protezione dei dati sensibili e, in questo caso, è stata commessa una grave violazione di questa norma.

L’articolo in questione statuisce:

È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

 

I dati elencati nell’articolo non possono essere trattati senza il consenso esplicito dell’interessato.

Ecco che, nel caso di Marta, i suoi dati sono stati resi pubblici senza la sua approvazione, violando perciò l’articolo 9 del Regolamento europeo in materia di privacy.

I dati sensibili elencati in questo articolo, i quali hanno un trattamento speciale, si inseriscono in una categoria più ampia dei dati personali[1]. Quest’ultima, infatti, contiene al suo interno tutti i dati che possono identificare o rendere identificabile, direttamente o indirettamente, una persona. Nei dati personali ritroviamo, inoltre, anche i dati giudiziari relativi a condanne penali e reati.

A seguito dell’evoluzione delle nuove tecnologie sono stati ricompresi nella definizione di dati personali anche quelli inerenti ai dati relativi alle comunicazioni elettroniche e alla geolocalizzazione.

 

La normativa europea sulla privacy…

Il Regolamento generale per la protezione dei dati personali n. 679/2016, conosciuto anche con l’abbreviazione inglese GDPR, contiene la normativa europea in materia di protezione dei dati.

Questo regolamento mira a uniformare e rafforzare la disciplina sul trattamento dei dati nel contesto europeo.

Questa esigenza di maggior tutela è sorta in seguito all’approvazione del Trattato di Lisbona, nel quale la protezione dei dati sensibili è configurata come diritto fondamentale dei cittadini. Nel 2007 viene firmato da parte degli Stati il Trattato di Lisbona che conferisce valore giuridico alla Carta di Nizza del 2001, la quale è considerata come la Carta dei diritti fondamentali dell’Unione Europea. Questa Carta all’articolo 8 decreta:

Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.

Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica.

Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente.

 

Questo articolo mira a tutelare il diritto di ogni persona alla protezione dei dati personali che la riguardano. Sarà proprio l’articolo 8 la base di partenza per il nuovo Regolamento generale per la protezione dei dati sensibili.

L’articolo 1, 2 comma del GDPR, infatti, riprende e si uniforma all’articolo sopracitato: “Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.”

 

… e quella italiana

La Costituzione italiana non fa esplicito riferimento al diritto alla protezione dei dati sensibili, però questo viene incorporato interpretativamente nell’articolo 2 della Carta costituente tra i diritti inviolabili dell’uomo.

La prima legge sulla materia è riconducibile alla legge n. 675 del 1996 che garantisce alle persone una tutela al trattamento dei dati personali. Questa legge fu adottata per dare attuazione alla direttiva comunitaria in materia di trattamento e di libera circolazione dei dati personali.

Alla legge del 1996 ne seguirono altre per specificare nonché chiarire la disciplina in oggetto.

Solo nel 2003 è stato approvato il Codice in materia di protezione dei dati personali, comunemente chiamato il Codice Privacy, nel quale era riunita e riordinata la normativa esistente in materia. Il Codice fu poi modificato per adeguarlo al GDPR così da realizzare l’uniformità legislativa propria degli obiettivi europei.

Il punto chiave della disciplina in materia di protezione dei dati sensibili è il consenso del titolare di questi dati, il quale deve essere reso in maniera libera e consapevole.

 

Lo strumento dell’informativa

L’informativa è il mezzo attraverso il quale il titolare dei dati sensibili presta il suo consenso al trattamento degli stessi. L’articolo 12 del GDPR individua questo strumento per attuare la protezione dei dati sensibili.

L’informativa è una comunicazione che deve essere fornita all’utente prima del trattamento dei suoi dati, quindi prima ancora che ne diventi interessato. L’interessato, infatti, è la persona fisica a cui i dati si riferiscono; questa qualifica si acquista solo quando inizia il trattamento dei dati personali, prima di allora non si riveste l’appellativo di titolare.

L’articolo 12 del GDPR statuisce che la comunicazione deve essere redatta “in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro…” e deve vertere principalmente sulle modalità e sulle finalità del trattamento dei dati personali. Questa comunicazione è dovuta ogni qualvolta ci sia un trattamento di dati.

 

Il contenuto dell’informativa privacy

Il contenuto dell’informativa, stabilito dagli articoli 13 e 14 del Regolamento europeo, deve obbligatoriamente indicare una serie di elementi:

  • chi è la persona fisica a cui i dati si riferiscono;
  • il soggetto che tratterà i dati;
  • il contatto, ove obbligatorio, del responsabile della protezione dei dati personali (RPD). Il RPD è una figura introdotta con il Regolamento europeo ed è il consulente tecnico legale di una azienda, il quale deve sorvegliare sulla corretta applicabilità della normativa in materia di privacy;
  • come verranno trattati i dati e perché;
  • la base giuridica del trattamento;
  • quali sono i dati raccolti e i diritti del titolare di questi dati;
  • se i dati verranno trasferiti in paesi extra Unione Europea;
  • se il trattamento comporta dei processi decisionali automatizzati;
  • per quanto tempo verranno conservati e in quale modo.

 

L’informativa deve essere resa per iscritto o con altri mezzi, ad esempio utilizzando mezzi elettronici come la posta elettronica, ma può esserne data comunicazione anche oralmente a richiesta dell’interessato.

Questa comunicazione, pertanto, rende possibile l’utilizzazione dei dati sensibili, infatti l’articolo 9 al paragrafo 2 afferma che è vietato la loro utilizzazione a meno che l’interessato abbia prestato il proprio consenso esplicito al trattamento degli stessi per una o più finalità specifiche. Ecco che, con la predisposizione di un’informativa chiara e completa di tutti i contenuti, si può realmente attuare la protezione dei dati sensibili del titolare.

 

Il Garante per la Protezione dei Dati Personali

Il Garante per la protezione dei dati personali è l’autorità amministrativa indipendente di controllo nazionale. È stata istituita dalla legge 675/1996 e disciplinata dal successivo Codice in materia di protezione dei dati personali del 2003.

I suoi compiti e le sue funzioni vertono prevalentemente sul controllo e sulla sorveglianza della corretta applicabilità della legge. La finalità principale dell’Autorità è, perciò, assicurare l’effettiva tutela dei diritti nel trattamento dei dati personali.

L’Autorità può indicare ai titolari del trattamento le misure da seguire e può promuovere dei codici deontologici e di condotta.

È titolare, inoltre, del potere sanzionatorio in ambito sia amministrativo che penale.

 

Mezzi di tutela

Cosa può fare un privato dopo aver subito una cattiva gestione dei suoi dati personali o una violazione della normativa sulla privacy?

Il mezzo di tutela principale è il reclamo che il privato può presentare direttamente al Garante della privacy. Con questo atto si rappresenta una violazione della disciplina in materia di protezione dei dati personali. Al reclamo fa seguito l’apertura di un’istruttoria preliminare e un eventuale procedimento amministrativo il quale può concludersi con l’ordine da parte dell’Autorità di cessare il comportamento ritenuto illegittimo.

Il titolare dei dati personali, il quale ritiene di aver subito una violazione della disciplina in materia, deve scegliere alternativamente tra due rimedi: il reclamo al Garante o il ricorso presso l’autorità giurisdizionale. La vecchia formulazione del codice della privacy prevedeva sia il reclamo che il ricorso presso il Garante, quest’ultima ipotesi è stata eliminata e la nuova formulazione prevede l’unico mezzo del reclamo per chiedere l’intervento dell’Autorità garante.

L’alternativa al reclamo è la segnalazione all’Autorità garante. Con questo mezzo chiunque, anche non il diretto interessato, può rivolgere una segnalazione che il Garante può valutare anche ai fini dell’emanazione dei provvedimenti. Questa, infatti, è diretta a sollecitare un controllo dell’Autorità in materia di protezione di dati sensibili. Se il garante ritiene fondata la segnalazione, e quindi questa non venga archiviata, allora seguirà lo stesso iter del reclamo.

Queste forme di tutela, riassumendo, sono state istituite e vengono attivate dai titolari dei dati personali per far

 

Istruttoria del Garante nel caso di Marta Loi

Come un cerchio che si chiude, dopo l’analisi della normativa, ritorniamo sulla vicenda iniziale.

Dopo il clamore mediatico che la vicenda ha acquistato, il Garante per la protezione dei dati personali ha dichiarato: “In relazione alla dolorosissima vicenda del feto sepolto con il nome della mamma, il Garante per la protezione dei dati personali ha deciso di aprire un’istruttoria per fare luce su quanto accaduto e sulla conformità dei comportamenti, adottati dai soggetti pubblici coinvolti, con la disciplina in materia di privacy.” Si presume, pertanto, che l’attenzione dell’Autorità sarà focalizzata sulla mancata corretta applicazione dell’articolo 9 GDPR in materia di protezione dei dati sensibili.

L’Autorità garante ha il potere di avviare d’ufficio un’istruttoria preliminare per verificare l’eventuale violazione della normativa in materia di privacy. I provvedimenti del Garante sono tempestivamente pubblicati sul suo sito internet.

Non ci resta che attendere gli ulteriori sviluppi della vicenda!