La cartella clinica deve essere leggibile
Il Garante chiede maggiori tutele per i pazienti

Se la cartella clinica è illeggibile per la grafia di chi l’ha redatta, deve essere trascritta in modo che le informazioni in essa contenute risultino chiare per il malato. La leggibilità delle informazioni  è la prima condizione per la loro piena comprensione.

Lo ha precisato l’Autorità Garante accogliendo il ricorso di un paziente che lamentava un riscontro inadeguato da parte dell’azienda  ospedaliera cui si era rivolto chiedendo la comunicazione in forma intelligibile dei dati personali contenuti nella sua cartella clinica.In risposta aveva ricevuto copia  della cartella che, però, a suo parere,  risultava illeggibile per la pessima grafia degli autori e quindi incomprensibile. Nel ricorso il malato chiedeva che le spese del procedimento fossero attribuite all’azienda ospedaliera.

Nel provvedimento l’Autorità ha sottolineato la specifica tutela che la legge sulla privacy garantisce alle persone al momento dell’accesso ai propri dati personali, rispetto al diverso diritto di accesso agli atti e documenti amministrativi disciplinato dalla legge 241/1990.  L’art 13 della legge 675/1996  prevede, infatti, che i dati personali devono estratti e comunicati all’interessato in forma intelligibile ed il principio viene ulteriormente specificato nel  d.P.R. 501/1998, quando in riferimento ad alcune modalità di riscontro al diritto di accesso,  si afferma  che la comprensione dei dati deve essere agevole  e obbliga il titolare del trattamento ad adottare opportune misure per agevolare l’accesso ai dati da parte degli interessati. Anche nel caso in cui l’estrazione e la trasposizione  dei dati su un supporto cartaceo o informatico dovesse risultare particolarmente difficoltosa, la richiesta di accesso ai dati personali, formulata ai sensi della legge sulla privacy, può essere sì soddisfatta dall’esibizione o dalla consegna in copia di un documento, ma la leggibilità delle informazioni è la prima condizione, necessaria anche se non sufficiente, per la loro comprensibilità.

Riconosciuta, quindi, la legittimità delle richieste del ricorrente, il Garante ha ordinato all’azienda ospedaliera di  rilasciare, entro un termine  stabilito, una trascrizione dattiloscritta o comunquecomprensibile delle informazioni contenute nella cartella clinica e di comunicarle all’interessato, come prescrive la legge, tramite il medico di fiducia o designato dalla Asl.

All’Azienda sono state inoltre imputate le spese del procedimento, stabilite in 250 euro, che dovranno essere versate direttamente a favore del ricorrente.

Sfratti e privacy
Graduatorie per sostegno ad handicappati: sono accessibili ai soli controinteressati

La diffusione della graduatoria relativa ai nuclei familiari che, sottoposti a sfratto esecutivo, beneficiano di aiuti economici   per la locazione di immobili perché un loro componente ha un’età superiore ai sessantacinque anni o è un disabile grave, contrasta con la normativa sulla protezione dei dati personali. 

Lo ha precisato il Garante rispondendo ad un quesito di un’amministrazione comunale che chiedeva se questo genere di informazioni poteva essere comunicato indiscriminatamente all’esterno e, nello specifico, alle organizzazioni sindacali e agli uffici giudiziari che ne avevano fatto richiesta. 

L’Autorità, in particolare, ha rilevato che la selezione, e dunque l’inserimento in graduatoria, degli inquilini beneficiari del sostegno avviene proprio sulla base di informazioni riguardanti lo stato di salute (disabilità grave) o l’età (superiore ai sessantacinque anni) di almeno uno dei componenti il nucleo familiare. In tal senso il Garante ha ravvisato nella diffusione della graduatoria un contrasto con la normativa sulla protezione dei dati personali, che vieta ai soggetti pubblici la diffusione dei dati idonei a rilevare lo stato di salute (art. 23, comma 4, legge n. 675/1996; art. 4, comma 4 decreto legislativo n. 135/1999 ).

D’altronde, il dispositivo dell’art. 13 del decreto legislativo n. 135/1999  vieta, ai soggetti pubblici autorizzati a concedere specifici benefici economici connessi all’invalidità civile, di diffondere i dati relativi allo stato di salute dei soggetti beneficiari come in questo caso risultano essere gli iscritti nella graduatoria.

Tra l’altro, ha precisato l’Autorità, per come sono strutturate queste graduatorie non appare neppure agevole l’eventuale soluzione di estrapolare i dati sensibili, relativi ai portatori di handicap, da quelli degli inquilini di età superiore ai sessantacinque anni.

Resta fermo, ha comunque precisato il Garante, il diritto per i soggetti interessati, come ad esempio i proprietari degli immobili che abbiano avviato una procedura di sfratto o le famiglie escluse dal beneficio, di accedere alla graduatoria e a comunicare i dati, in essa contenuta, anche a terzi preposti al compimento di specifici atti.

Come ci si difende dallo spamming
I risultati di uno studio condotto negli Usa

Il Center for Democracy and Technology (CDT), una delle maggiori organizzazioni negli USA per la difesa dei diritti civili, ha condotto uno studio sperimentale che nell’arco di sei mesi (giugno-dicembre 2002) ha analizzato le fonti dei messaggi di posta elettronica indesiderata ed i rischi legati a diversi tipi di “comportamento” su Internet (http://www.cdt.org/speech/spam ) Lostudio mette in luce come la frequenza ed il numero dei messaggi di spam dipendono dalle modalità di utilizzo del proprio indirizzo di posta elettronica, in particolare se l’indirizzo viene riportato su una pagina Web o nell’ambito di newsgroups, e fornisce inoltre alcune indicazioni per difendersi dallo spamming attraverso strumenti non particolarmente sofisticati.

Lo studio ha avuto inizio nel giugno 2002, con la creazione di centinaia di indirizzi e-mail che sono stati disseminati o comunque “pubblicati” in cinque modi diversi per saggiare i diversi effetti in termini di spam effettuato: a) su siti web pubblici; b) su newsgroup Usenet; c) comunicando l’indirizzo e-mail a siti piuttosto conosciuti che forniscono determinati servizi; d) comunicando l’indirizzo e-mail a siti web che offrono servizi di collocamento, aste o accesso a gruppi di discussione; e) pubblicando l’indirizzo nel database Whois (che contiene le informazioni per contattare i responsabili e gli amministratori di sistema di tutti i nomi di dominio esistenti su Internet).

Gli indirizzi di posta elettronica forniti erano sia “standard” sia “modificati”; ciò significa che su alcuni indirizzi si interveniva nel tentativo di ridurre la probabilità di ricevere spam. In particolare, venivano adottate le seguenti strategie:

1. alcuni indirizzi sono stati rimossi, dopo due settimane, dai siti web pubblici ai quali erano stati comunicati. L’obiettivo era verificare se così facendo si sarebbe ridotta la quantità di spam ricevuta;
2. alcuni indirizzi sono stati pubblicati (su siti web e su newsgroups) esplicitandoli in linguaggio naturale. Ossia, anziché scrivere, tanto per fare un esempio,newsletter@garanteprivacy.it, si scrive newsletter at garanteprivacy punto it. In tal modo dovrebbe risultare più difficile per i programmi che raccolgono automaticamente gli indirizzi e-mail dal web (i cosiddetti “spider” o “robot”) riconoscere che la sequenza in oggetto rappresenta un indirizzo di posta elettronica;
3. un altro gruppo di indirizzi, pubblicati sia su siti web sia su newsgroups, sono stati scritti secondo codici Html, sempre con l’intento di rendere la vita difficile ai programmi che raccolgono automaticamente queste informazioni sul web. Ad esempio, anziché usare il simbolo @ si utilizza il corrispondente codice Html, ossia “@” ;
4. infine, in alcuni casi i ricercatori del CDT hanno modificato le proprie “Preferenze” dopo avere fornito l’indirizzo e-mail a siti pubblici, chiedendo (a distanza di due settimane) di non ricevere ulteriori messaggi all’indirizzo indicato.

Come si vede, si tratta di tecniche piuttosto semplici e comunque già conosciute da molti addetti ai lavori. L’analisi dei risultati dello studio offre spunti interessanti: da un lato conferma alcune ipotesi, e dall’altro smitizza alcune convinzioni molto diffuse rispetto allo spamming.

Attraverso i 250 indirizzi e-mail creati appositamente per lo studio sono giunti oltre 10.000 messaggi di posta elettronica, dei quali 8.842 sono stati classificati come spam vero e proprio. La stragrande maggioranza dei messaggi indesiderati è giunta attraverso gli indirizzi inseriti in pagine di siti web pubblicamente accessibili (97%). Tuttavia, gli indirizzi scritti in linguaggio naturale e quelli in codice Html non hanno ricevuto alcun messaggio di spam. Seguono, in termini di numero, i messaggi indesiderati ricevuti attraverso indirizzi comunicati su newsgroups; anche in questo caso lo spamming non ha colpito gli indirizzi scritti in linguaggio naturale o in codice Html.

Per quanto riguarda i siti commerciali, la maggior parte di quelli che offrivano la possibilità di scegliere se ricevere posta elettronica o meno risulterebbero rispettare la scelta indicata. Peraltro, nessun messaggio indesiderato è giunto attraverso gli indirizzi pubblicati su Whois, elemento questo particolarmente significativo, alla luce del dibattito in corso sui possibili rischi connessi all’utilizzazione impropria dei dati personali contenuti in questo database (v. Newsletter 18-24 giugno 2001 ).

Quali raccomandazioni pratiche possono essere formulate sulla base dello studio? La CDT ne indica alcuni:

1. Non pubblicare il proprio indirizzo di posta elettronica in formato standard su siti pubblici – è preferibile mascherarlo utilizzando il linguaggio naturale, oppure codici numerici equivalenti (Html). Sono proprio i siti pubblicamente accessibili la maggiore fonte di spamming, come mostrano i risultati dello studio;
2. non fornire il proprio indirizzo (ad esempio, su un modulo) se non sono indicate chiaramente le finalità di utilizzo e non è prevista la possibilità di rifiutare l’invio di messaggi. E’ buona norma leggere l’informativa sulla privacy che tutti i siti web dovrebbero prevedere (come richiesto, del resto, anche dai Garanti europei, ai sensi della Direttiva in materia, nella Raccomandazione sui “Requisiti minimi per la raccolta di dati online nell’Unione Europea”, http://www.europa.eu.int/.... );
3. utilizzare più indirizzi di posta elettronica in rapporto alla specifica finalità (newsgroup, ufficio, contatti personali). Un’altra possibilità, secondo il CDT, consiste nel ricorso ai cosiddetti “indirizzi usa-e-getta”, ossia indirizzi che vengono resi inattivi dopo essere stati utilizzati per il numero di volte specificato dall’utente; i rispettivi messaggi sono convogliati ad un indirizzo “permanente” (comunicato al provider del servizio “usa-e-getta”);
4. utilizzare i filtri anti-spam messi a disposizione da numerosi provider e servizi gratuiti di posta elettronica.