|
[doc. web n. 1870212]
[comunicato stampa]
Linee guida in tema di
trattamento di dati personali per finalità di pubblicazione e
diffusione nei siti web esclusivamente dedicati alla salute - 25
gennaio 2012
(Pubblicato sulla Gazzetta
Ufficiale n. 42 del 20 febbraio 2012)
Registro dei provvedimenti
n. 31 del
25 gennaio 2012
IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI
NELLA riunione odierna, in presenza
del prof. Francesco Pizzetti, presidente, del dott. Giuseppe
Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott.
Giuseppe Fortunato, componenti e del dott. Daniele De Paoli,
segretario generale;
VISTO il Codice in materia di
protezione dei dati personali (d.lg. 30 giugno 2003, n. 196,di
seguito il "Codice" );
CONSIDERATO che il ricorso alle
potenzialità del web, con riferimento a tematiche che riguardano la
salute rappresenta una realtà in costante evoluzione che coinvolge
un sempre maggior numero di utenti anche medici che, tramite
Internet, si scambiano informazioni e pareri e condividono
esperienze scientifiche e umane;
CONSIDERATO che tale scambio di
informazioni ed esperienze riveste una particolare utilità e
rilevanza per la condivisione, non solo di conoscenze scientifiche,
ma anche di contatti umani e per la creazione di reti di solidarietà
e di sostegno tra gli utenti;
CONSIDERATO, tuttavia, che il
trattamento nella rete di dati sensibili e, in particolare, dei dati
che riguardano la salute degli utenti presenta profili di rischio
per i diritti e le libertà fondamentali, nonché per la dignità dei
soggetti interessati, in relazione alla particolare delicatezza dei
dati trattati e delle caratteristiche di Internet;
VISTO che, in tale contesto, emerge la
necessità di una maggiore sensibilizzazione e attenzione agli
aspetti che riguardano il corretto trattamento dei dati personali e
sensibili;
VISTE le osservazioni dell'Ufficio,
formulate dal segretario generale ai sensi dell'art. 15 del
regolamento n. 1/2000;
Relatore il prof. Francesco
Pizzetti;
DELIBERA
1. di adottare l'unito
documento, recante le "Linee guida in materia di trattamento di
dati personali per finalità di pubblicazione e diffusione nei siti
web esclusivamente dedicati alla salute", che forma parte
integrante della presente deliberazione (Allegato
1);
2. che copia del presente
provvedimento sia trasmessa al Ministero della giustizia-Ufficio
leggi e decreti, per la sua pubblicazione sulla Gazzetta Ufficiale
della
Repubblica Italiana ai sensi
dell'art. 143, comma 2, del Codice.
Roma, 25 gennaio
2012
IL PRESIDENTE
Pizzetti
IL RELATORE
Pizzetti
IL SEGRETARIO GENERALE
De
Paoli
Allegato
1
IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI
Linee guida in materia di
trattamento di dati personali per finalità di pubblicazione e
diffusione nei siti web esclusivamente dedicati alla
salute
Sommario
1. Premessa
2. Ambito considerato
3. Trattamento dei dati personali nei siti web
esclusivamente dedicati alla salute
4. Adempimenti dei gestori dei siti
4.1. Siti web esclusivamente dedicati alla salute che
prevedono la registrazione dell'utente
4.1.1. Informativa
4.1.2 Specifica "avvertenza di rischio"
4.1.3. Esercizio dei diritti
4.1.4. Misure di sicurezza 4.2. Siti web esclusivamente dedicati alla salute che non
prevedono la registrazione dell'utente
4.2.1. Specifica "avvertenza di
rischio"
1. Premessa
Il ricorso alle potenzialità del web con riferimento alle
tematiche relative alla salute rappresenta una realtà in costante
evoluzione.
Lo scambio quotidiano tra utenti di
informazioni, consigli, commenti e testimonianze, nei siti che si
occupano di tali tematiche, testimonia l'utilità e il valore di
queste esperienze sia con riguardo alla condivisione di conoscenze
scientifiche sia con riguardo alla creazione di uno spazio di
solidarietà e di reciproco sostegno umano.
Anche per questo è opportuno che il
trattamento dei dati personali identificativi e sensibili degli
utenti nell'ambito di siti web dedicati esclusivamente alla salute,
all'interno dei quali si richiedono consigli, si scambiano
informazioni e si inviano commenti, avvenga oltre che nel rispetto
della disciplina sulla protezione dei dati personali e, in
particolare, dei principi di pertinenza e non eccedenza, di
correttezza e buona fede (art. 11 del Codice), anche delle
specifiche indicazioni contenute nelle presenti
Linee-guida.
Con il presente provvedimento il
Garante ritiene utile fornire indicazioni e raccomandazioni, allo
scopo di prevenire i rischi connessi alla pubblicazione e diffusione
dei dati relativi alla salute in Internet e, in particolare, di
evitare un'impropria esposizione delle persone e dei loro dati più
intimi nella rete. Ciò anche al fine di consentire agli utenti di
partecipare, con maggior consapevolezza, a questi spazi di scambio
di informazioni e di reciproca manifestazione di
solidarietà.
2. Ambito considerato
Le presenti
linee-guida riguardano i gestori dei siti web dedicati
esclusivamente alla salute (specifici forum e blog, specifiche
sezioni di portali che contengono informazioni sanitarie, nonché
social network che si occupano di tematiche sulla salute attraverso
specifici profili, aperti da soggetti privati con finalità
di sensibilizzazione e confronto in tale ambito) in cui si
svolge un'attività di carattere meramente divulgativo e conoscitivo,
non solo con riferimento alle informazioni e ai commenti che si
scambiano gli utenti, ma anche con riferimento ai consigli o alle
"consulenze" mediche che vengono dagli stessi richieste.
Pertanto, non rientrano nell'ambito
considerato dalle linee-guida i servizi di assistenza sanitaria on
line e la telemedicina che, con riguardo alla cura della salute, si
inquadrano invece nella prestazione medica in senso
stretto.
3. Trattamento dei dati personali nei siti web
esclusivamente dedicati alla salute
Nell'ambito dei
diversi siti web dedicati esclusivamente alla salute, allo stato
attuale è possibile individuare siti che prevedono la registrazione
dell'utente per partecipare alle relative attività e siti che non
prevedono tale registrazione.
a) Nei siti che prevedono la
registrazione dell'utente, tramite la raccolta dei dati di
iscrizione (quali, ad esempio, il nome e l'indirizzo di posta
elettronica dell'utente, la data di nascita, la residenza, il
domicilio o altri dati utili all'identificazione dello stesso) al
gestore del sito che, in qualità di titolare del trattamento è
tenuto a porre in essere gli adempimenti previsti dalla normativa
in materia di protezione dei dati personali, si raccomanda anche
di adottare le ulteriori misure, indicate di seguito al punto
4.1.
b) Nei siti che non prevedono la
registrazione dell'utente, al gestore del sito si raccomanda
comunque di conformare il proprio comportamento a profili di
sicurezza idonei ad evitare i rischi connessi alla pubblicazione e
diffusione nel web di dati relativi alla salute degli utenti, in
particolare attraverso l'adozione della specifica avvertenza di
rischio di seguito indicata al punto 4.2.1.
4. Adempimenti dei gestori dei
siti
4.1. Siti web esclusivamente dedicati alla
salute che prevedono la registrazione dell'utente
4.1.1. Informativa (art. 13 del
Codice)
Con riguardo ai siti che prevedono
la registrazione degli utenti, il gestore, in quanto titolare
del trattamento, è tenuto, ai sensi dell'art. 13 del Codice,
a:
- fornire l'informativa
agli interessati prima della compilazione del modulo (form) di
raccolta dei dati di registrazione. Tale informativa deve
essere consultabile in qualsiasi momento in un'apposita pagina
del sito ad essa dedicata;
- indicare le finalità per
le quali i dati sono raccolti e le modalità del relativo
trattamento;
- specificare quali dati di
registrazione sono ritenuti necessari per partecipare alle
attività del sito e quali dati sono invece ritenuti
facoltativi;
- indicare i tempi di
conservazione dei dati personali raccolti;
- indicare i diritti di cui
all'art. 7 del Codice e rendere sempre visibili e facilmente
reperibili i propri estremi identificativi in qualità di
titolare del trattamento, ovvero quelli di altro soggetto
designato responsabile, cui sia possibile chiedere riscontro
in relazione ai diritti di cui al menzionato art. 7 del
Codice;
- invitare l'utente a
confermare, apponendo un segno di spunta in un'apposita
casella, l'avvenuta presa visione dell'informativa al
fine di registrarsi al sito.
4.1.2. Specifica "avvertenza di
rischio"
In considerazione della
particolare delicatezza dei dati personali che vengono trattati
nei siti web esclusivamente dedicati alla salute, al gestore è
richiesto di rendere anche una specifica "avvertenza di
rischio".
Tale avvertenza è tesa a
richiamare l'attenzione dell'utente sul rischio che, immettendo
dati sensibili collegati a dati identificativi nel sito web, si
può essere individuati con la propria specifica patologia.
L'avvertenza è volta inoltre ad indicare all'utente le misure
necessarie a tutelarne la riservatezza, sia nella fase della
registrazione sia nella fase dell'inserimento dei contenuti
nello spazio web ad essi dedicato.
a) Rispetto ai dati di
registrazione al gestore si raccomanda di:
- specificare che,
qualora l'utente desideri mantenere l'anonimato, è possibile
non inserire il proprio nome e cognome tra i dati di
registrazione, utilizzando, invece un nickname che non
consenta di risalire alla relativa identità;
- specificare che i dati
di contatto (quali ad esempio l'indirizzo di posta
elettronica) da fornire eventualmente all'atto della
registrazione al sito non vengono automaticamente pubblicati
sul sito stesso unitamente ai commenti
dell'utente.
b) Rispetto ai contenuti
immessi dall'utente al gestore si raccomanda di:
- avvertire l'utente di
valutare con la necessaria attenzione l'opportunità, nei
propri interventi, di inserire, o meno, dati personali –
compreso l'indirizzo e-mail- che possano rivelarne, anche
indirettamente, l'identità (si pensi, ad esempio, al caso in
cui in cui l'utente, nel testimoniare la propria esperienza
o descrivere il proprio stato di salute, inserisca
riferimenti a luoghi, persone, circostanze e contesti che
consentano anche indirettamente di risalire alla sua
identità);
- avvertire l'utente di
valutare l'opportunità di pubblicare, o meno, foto o video
che consentano di identificare o rendere identificabili
persone e luoghi;
- avvertire l'utente di
prestare particolare attenzione alla possibilità di
inserire, nei propri interventi (postati nei diversi spazi
dedicati alla salute), dati che possano rivelare, anche
indirettamente, l'identità di terzi, quali, ad esempio,
altre persone accomunate all'autore del post dalla medesima
patologia, esperienza umana o percorso medico;
- specificare l'ambito di
conoscibilità dei dati propri o altrui, immessi dall'utente,
in particolare precisando se tali dati siano consultabili
soltanto dagli iscritti al sito, ovvero da qualsiasi utente
che acceda al sito stesso (reperibilità dei dati mediante
funzionalità di ricerca interne al sito);
- precisare se i dati
sono indicizzabili e reperibili o meno anche dai motori di
ricerca generalisti (Google, Yahoo etc.);
- invitare l'utente a
confermare, apponendo un segno di spunta in un'apposita
casella, l'avvenuta presa visione dell'avvertenza
di rischio.
L'avvertenza di rischio può essere
richiamata dal gestore anche eventualmente attraverso
l'inserimento, nella home page del sito, di un'immagine che
rimandi l'utente al testo dell'avvertenza stessa.
4.1.3. Esercizio dei
diritti
L'interessato può esercitare nei
confronti del gestore del sito i diritti previsti dall'art. 7
del Codice con riferimento ai dati richiesti dal gestore stesso
e forniti dall'utente.
In particolare l'interessato ha
sempre il diritto, qualora non intenda più partecipare
alle attività del sito (forum, blog etc.), di ottenere la
cancellazione dei propri dati personali rilasciati su richiesta
del gestore; analogamente, può richiedere l'aggiornamento, la
rettificazione ovvero l'integrazione dei dati stessi. A tal fine
l'interessato può rivolgere un'apposita richiesta al gestore del
sito, in quanto titolare del trattamento, secondo le modalità
previste dal Codice (artt. 8 e 9).
4.1.4. Misure di
sicurezza
I dati raccolti dal gestore del sito
su sua richiesta devono essere protetti con idonee e preventive
misure di sicurezza, riducendo al minimo i rischi di
distruzione, di perdita, anche accidentale, di accesso non
autorizzato, di trattamento non consentito o non conforme alle
finalità della raccolta (art. 31 e ss. del Codice).
I dati raccolti dal gestore devono
restare riservati (ivi compreso l'indirizzo e-mail) e non
possono essere comunicati o diffusi a terzi.
Nel caso il servizio sia
realizzato per il tramite di un sito web con un'organizzazione
(ad esempio editoriale) che prevede diverse figure professionali
che acquisiscono dati personali raccolti su richiesta del
gestore del sito, quest'ultimo deve garantire che i dati
dell'utente non siano utilizzati da personale non autorizzato e
per finalità che non sono conformi alla volontà espressa o
implicita dell'utente stesso.
Restano ferme le misure già
previste dall'allegato B al Codice (Disciplinare tecnico in
materia di misure minime di sicurezza), nonché quelle impartite
con il provvedimento dell'Autorità relativo agli amministratori
di sistema (Misure e accorgimenti prescritti ai titolari dei
trattamenti effettuati con strumenti elettronici relativamente
alle attribuzioni delle funzioni di amministratore di sistema -
27 novembre 2008, doc. web n. 1577499).
4.2. Siti web esclusivamente dedicati alla
salute che non prevedono la registrazione
dell'utente
4.2.1. Specifica "avvertenza di
rischio"
Nei siti dedicati alla salute che
non prevedono la registrazione dell'utente, ai gestori non è
richiesto di rilasciare l'informativa di cui all'art. 13 del
Codice, in quanto non vi è trattamento di dati personali di
registrazione. Negli spazi previsti in tali siti vengono però
inseriti dati di particolare delicatezza, quali i dati relativi
alla salute dell'utente. Pertanto, al gestore è richiesto di
fornire, per le ragioni precedentemente esposte, la specifica
avvertenza di rischio prevista al punto 4.1.3.
Al gestore si raccomanda quindi di:
- avvertire l'utente che
eventuali dati di contatto (quali ad esempio l'indirizzo di
posta elettronica) inseriti dallo stesso possono essere
pubblicati unitamente ai relativi commenti;
- avvertire l'utente di
valutare con la necessaria attenzione l'opportunità, nei
propri interventi, di inserire, o meno, dati personali –
compreso l'indirizzo e-mail- che possano rivelarne, anche
indirettamente, l'identità;
- avvertire l'utente di
valutare l'opportunità di pubblicare, o meno, foto o video che
consentano di identificare o rendere identificabili persone e
luoghi;
- avvertire l'utente di
prestare particolare attenzione alla possibilità di
inserire, nei propri interventi (postati nei diversi spazi
dedicati alla salute), dati che possano rivelare, anche
indirettamente, l'identità di terzi, quali, ad esempio, altre
persone accomunate all'autore del post dalla medesima
patologia, esperienza umana o percorso medico;
- specificare l'ambito di
conoscibilità dei dati propri o altrui, immessi dall'utente,
in particolare precisando se tali dati siano consultabili
soltanto dagli iscritti al sito, ovvero da qualsiasi utente
che acceda al sito stesso (reperibilità dei dati mediante
funzionalità di ricerca interne al sito);
- precisare se i dati sono
indicizzabili e reperibili o meno anche dai motori di ricerca
generalisti (Google, Yahoo etc.);
- invitare l'utente a
confermare, apponendo un segno di spunta in un'apposita
casella, l'avvenuta presa visione dell'avvertenza
di rischio.
L'avvertenza di rischio può essere
richiamata dal gestore anche eventualmente attraverso
l'inserimento, nella home page del sito, di un'immagine che
rimandi l'utente al testo dell'avvertenza
stessa. |
