Il Garante privacy: più tutele sui certificati di gravidanza all’Inps

Servono maggiori garanzie a tutela della riservatezza delle lavoratrici madri. Le chiede il Garante privacy nel parere espresso su unoschema di decreto interministeriale elaborato dal ministero del Lavoro e delle politiche sociali che detta le modalità tecniche per la predisposizione e l’invio all’Inps dei certificati medici di gravidanza, interruzione della gravidanza e parto.
In base al Testo unico sulla maternità e paternità, questi certificati devono essere inviati all'Inps direttamente dal medico del Servizio sanitario nazionale, esclusivamente per via telematica, utilizzando il medesimo sistema di trasmissione delle certificazioni di malattia.
Lo schema di decreto sottoposto all'Autorità, che ha già recepito molte delle indicazioni fornite dall'Ufficio del Garante nel corso di incontri avuti con le amministrazioni interessate, presenta, tuttavia, ancora dei profili che devono essere ulteriormente perfezionati.

Secondo l'Autorità lo schema deve essere integrato prevedendo che l'invio telematico dei certificati, come stabilito dalla normativa, non sia automatico, ma avvenga su richiesta della lavoratrice per consentirle di potersi avvalere dei diritti che l'ordinamento le riconosce (interruzione della gravidanza, non riconoscimento del figlio, parto in anonimato). Occorre, infatti, scongiurare il rischio che si instauri la prassi dell'invio automatico dei certificati senza verificare che la donna sia una lavoratrice e che voglia avvalersi dei benefici erogati dall'Inps. Nello schema inoltre, deve essere inserita una specifica disposizione che preveda l'adozione di idonee misure di sicurezza a protezione dei dati. Particolare attenzione poi, deve essere, riservata ai dati che, in base alla normativa di settore o
ai principi del Codice privacy, possono essere inclusi nei certificati.
Nello schema vanno quindi evitate le diciture che possono risultare generiche o ambigue, o
che possono arrecare lesioni alla riservatezza delle lavoratrici. L'Autorità ha chiesto, ad esempio, che sia espunta dal certificato di interruzione di gravidanza l'informazione sulle condizioni del feto al momento della nascita (vivo, morto), poiché ininfluente (e quindi eccedente e non pertinente) ai fini della fruizione dei periodi di assenza dal lavoro per malattia o degli eventuali benefici previdenziali o assistenziali. Ulteriori modifiche richieste dal Garante riguardano il perfezionamento dello schema per evitare che il datore di lavoro venga a sapere informazioni che non deve conoscere e l'individuazione, anche per categorie, delle strutture sanitarie competenti all'invio dei certificati.

Banche dati Pa più interconnesse e più sicure: in caso di violazioni o incidenti informatici il Garante va informato entro 48 ore. Le pubbliche amministrazioni che intendono mettere a disposizione delle altre Pa, gli accessi telematici alle proprie banche dati, in attesa della definizione degli “standard di comunicazione e le regole tecniche” da parte dell'Agenzia per l'Italia digitale (Agid), dovranno adottare le misure di sicurezza fissate dal Garante privacy. Il provvedimento, in corso di pubblicazione nella Gazzetta ufficiale, riafferma le misure tecniche e organizzative individuate nel parere dato all'Agid nel 2013: regole rigorose a protezione dei data base della Pa, contraddistinti da un'ingente mole di dati trattati, dalla delicatezza delle informazioni contenute e dalla molteplicità dei soggetti autorizzati ad accedervi.
Dovranno, invece, mettersi in regola entro il 31 dicembre 2015 le amministrazioni che hanno previsto modalità di accesso non conformi a quanto previsto dal Garante nel 2013. Esulano dall'intervento odierno le amministrazioni che hanno già sottoposto le modalità di accesso alle banche dati all'esame del Garante nell'ambito di specifici provvedimenti.
Il Garante inoltre, per innalzare ulteriormente i livelli di tutela dei dati, ha prescritto che le amministrazioni dello Stato - compresi gli istituti e le scuole di ogni ordine e grado, le Regioni e le Province, anche quelle autonome, i Comuni, le aziende e gli enti del Servizio sanitario nazionale e gli enti pubblici non economici - devono comunicare allo stesso Garante, entro quarantotto ore dalla conoscenza del fatto, tutte le violazioni o gli incidenti informatici (i cosiddetti “data breach”) che possono avere un impatto significativo sui dati personali contenuti nelle banche dati.
Le comunicazioni devono essere redatte secondo il modello predisposto dal Garante e inviate via mail all'indirizzo databreach.pa@pec.gpdp.it.
Tra le dettagliate misure individuate dall'Autorità in un allegato al provvedimento vanno segnalate: la redazione da parte della Pa erogatrice di un documento, costantemente aggiornato, con l'elenco delle banche dati accessibili e i dati disponibili ai fruitori esterni; il divieto per il soggetto pubblico fruitore di estrarre dati in via automatica e massiva e di creare nuove banche dati; l'identificazione dei soggetti che hanno accesso alla banca dati e l'adeguato tracciamento delle operazioni compiute; la cifratura dei dati sensibili e giudiziari.