EntiOnLine
Categorie
Tutorial > Glossario-Definizioni
Tutorial > Normativa
Normativa europea e internazionale
Normativa italiana
Tutorial > Autocontrollo di conformita' > chek list
Tutorial > Modulistica-Formulari-Procedure
Modulistica Garante
Procedure-Buone prassi
Formule
Massimario > Quesiti e Faq
Accesso Civico e documentale
Albo pretorio e Trasparenza
Attivita' di trattamento
Attori interni ed esterni
Canali Social e motori di ricerca> Youtube, Facebook, Twitter, Linkedin - Google, Safari, Firefox
Certificazione e accreditamento
Cookie
Coronavirus
Data Breach
Dati Sanitari
Diritti
DPIA
Foto e Video Online
Garante
RPD
GDPR
Green-pass
Informativa
Internet e Motori di ricerca
ISTAT
Minori
Password
Phishing
Piano triennale trattamento e protezione dati
Polizia Postale e delle Comunicazioni
Pubblica amministrazione e trasparenza
Registrazione delle attivita' di trattamento
Sanzioni Amministrative
Scuola
Sicurezza informatica
Spam
Spid
Trattamento dei dati
Videosorveglianza
News
Tutorial > Formazione - Slide
Tutorial > Formazione -Video
Soggetti > Titolare autonomo
Soggetti > Contitolare
Soggetti > Titolare - Dirigenti designati - Dipendenti incaricati
Accountability
Soggetti > Servizio protezione dati - DPO
Soggetti > Responsabile del trattamento
Soggetti > Responsabile servizio protezione dati-rpd
Vigilanza DPO-RPD
Soggetti > Interessati - diritti
Diritti degli interessati
Informativa in formato elettronico e icone sul sito web
Informativa: trasparenza del trattamento
Autorita' di regolazione > Garante europeo
Giornate europee della protezione dei dati
Autorita' di controllo > Garante
Attivita' ispettiva
Linee guida e Linee guida europee
Pareri
Pareri su istanze di accesso civico - art.5, co. 7 D.Lgs. 33/2013
Provvedimenti
Provvedimenti approvazione regole deontologiche e Codici di condotta
Provvedimenti di accertamento, ordinanze ingiunzione, correttivi e sanzionatori
Pubblicazioni e Comunicati
Autorita' di indagine > Guardia di finanza - Polizia postale
Sistema di gestione rischio> Valutazione di impatto - DPIA
Sistema di gestione rischio > Attivita' di trattamento - REGISTRI
Registro attivita' di trattamento
Registro Data breach
Sistema di gestione rischio > Data Breach > Illeciti penali
Sistema gestione rischio > Attivita' di trattamento dati particolari
Sistema gestione rischio - Analisi - DESCRIZIONE SISTEMATICA
Adesione a un meccanismo di certificazione
Ambito di applicazione del trattamento
Archivi/banche dati
Categorie di destinatari
Categorie di interessati
Categorie di trattamenti - forme ordinarie di elaborazione
Categorie di trattamenti - particolari forme di elaborazione- : interconnessione e raffronti di dati-elaborazioni automatizzate
Categorie di trattamenti - particolari forme di elaborazione: comunicazione
Categorie di trattamenti - particolari forme di elaborazione: diffusione
Categorie di trattamenti - particolari forme di elaborazione: trasferimento all'estero
Categorie-tipi di dati
Cessazione trattamento: modalita' di cessazione dei dati
Cessazione trattamento: Periodo di conservazione dei dati
Cessazione trattamento: termine ultimo per la cancellazione delle diverse categorie di dati
Codici di condotta e regole deontologiche
Contesto del trattamento
Finalita' del trattamento
Fonte normativa
Interesse legittimo
Luoghi di custodia dei dati
Natura del trattamento
Opinioni interessati o loro rappresentanti
Parere di esperti
Parere RPO/RTD
Registrazione dei dati personali, dei destinatari e del periodo di conservazione dei dati personali
Sintetica descrizione del trattamento e del flusso informativo
Tipo di archivio/banca dati
Valutazione impatto sulla protezione dei dati - DPIA
Sistema di gestione rischio - Valutazione - Determinazione preliminare
1.Valutazione o assegnazione di punteggio
2.Processo decisionale automatizzato
3.Monitoraggio sistematico
4.Dati sensibili o aventi carattere altamente personale
5.Trattamento di dati su larga scala
6.Creazione di corrispondenze o combinazione di insieme di dati
7.Dati relativi a interessati vulnerabili
8.Uso innovativo o applicazioni di nuove soluzioni tecnologiche o organizzative
9.Trattamento che impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o un contratto
Criteri pertinenti in base alle linee guida
Criteri pertinenti rilevati dall'Ente
Descrizione sistematica
Motivazione assenza rischio elevato
MY PERSONAL BD > Sistema gestione rischio - Valutazione - Necessita' proporzionalita' conformita' gdrp
Linee-guida Gruppo Articolo 29
Metodologia di valutazione dei rischi
Data breach
Misure che contribuiscono ai diritti degli interessati in relazione alle finalita'
Misure che contribuiscono alla proporzionalita' e necessita' del trattamento in relazione alle finalita'
Misure previste per dimostrare la conformita' al RGPD
Valutazione rischio: sintesi
Sistema di gestione rischio > Data Breach > Illeciti amministrativi e danno erariale
Sistema di gestione rischio > Prescrizioni - raccomandazioni Garante
Sistema di gestione rischio > Revisione - Monitoraggio - Riesame
Fasi attuazione misure
Indicatori attuazione misure
Responsabile attuazione misure
Riesame e motivazione riesame
Stato attuazione misure
Sistema di gestione rischio > Minacce
RISCHI Impatti potenziali in caso di eventi fra cui accesso illegittimo, modifiche indesiderate e indisponibilita' dei dati
RISCHI Minacce che potrebbero comportare accessi illegittimi, modifiche indesiderate e indisponibilita' dei dati
RISCHI Origine/fonte dei rischi: accessi illegittimi, modifiche indesiderate e indisponibilita' dei dati
Valutazione rischio - ponderazione
Sistema gestione rischio - Trattamento - Misure di sicurezza e sicurezza informatica
AgID e sicurezza informatica
Misure di sicurezza logistiche
Misure di sicurezza organizzative
Misure di sicurezza procedurali
Misure di sicurezza tecniche informatiche, comprese le misure di ripristino in caso di data breach
Sistema di gestione rischio > Attivita' di trattamento dati personali
Attivita' fiscale e tributaria
Attivita' giudiziaria
Big data e Open data
Dati biometrici
Biometria in ambito pubblico
Dati biometrici nel rapporto di lavoro
Dati personali nel rapporto di lavoro pubblico e privato
Dati personali dei dipendenti mediante dispositivi e posta elettronica
Dati personali nella gestione del rapporto di lavoro
Dati relativi ai dipendenti tramite sistemi di geolocalizzazione
Pubblicita' e trasparenza dei dati dei lavoratori
Dati sensibili e giudiziari presso le pubbliche amministrazioni
Documentazione anagrafica e la materia elettorale
Istruzione scolastica
Previdenza e l'assistenza sociale
Recupero crediti
Sanita' e dati genetici
Trattamenti effettuati presso regioni ed enti locali
Videosorveglianza
Videosorveglianza in ambito privato
Videosorveglianza in ambito pubblico
Sistema di gestione rischio > Attivita' di trattamento - principi e base giuridica
Liceita' del trattamento
Liceita'-Consenso
Principi generali
Trasparenza del trattamento
Sistema di gestione rischio > Trasparenza - privacy - accesso civico
Sorveglianza DPO
Sorveglianza DPO > Programmazione
Sorveglianza DPO > Prescrizioni - raccomandazioni
Raccomandazioni e Prescrizioni RPD
Focus > Transizione al digitale
Focus > Intelligenza artificiale
Focus > Elezioni
Trattamento dei dati personali da parte di movimenti politici e associazioni
Trattamento dei dati personali degli eletti e degli amministratori da parte delle P.A.
Focus > Coronavirus e smart working
Focus > Censimento
Focus > Casi riportati dalla stampa
Focus > Rapporto lavoro pubblico
Focus > Giurisprudenza
Focus > Albo pretorio e amministrazione trasparente
cerca
CONSULENZA
FAQ
Pareri del consulente
STRUMENTI
Modulistica
Schemi e tabelle
Procedure
Glossario
Rassegna stampa
NORMATIVA
Normativa
Linee guida ANAC
Linee guida Garante Privacy
Principi di diritto
Documentazione
GIURISPRUDENZA
Giurisprudenza
Decisioni amministrative
Provvedimenti delle autorita'
indietro
28/06/2023 Servizi cimiteriali e cimiteri dei feti
Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

La Newsletter del Garante in data 22/06/23, accessibile dal link https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9899946, ha riportato la seguente notizia:

- Cimitero dei feti: dal Garante privacy pesanti sanzioni a Comune di Roma e Ama. Ammonimento per la Asl Roma 1”.

La news si riferisce ad una pluralità di provvedimenti adottati dal Garante e originati da numerose notizie stampa attraverso le quali l'Autorità ha appreso che, presso il cimitero Flaminio del Comune di Roma, gestito dalla società in house Ama S.p.a.:

- sulle croci bianche apposte sopra le sepolture relative a prodotti abortivi erano apposte etichette riportanti le generalità delle donne che avevano interrotto una gravidanza e la data.

Le sanzioni irrogate dall'Autorità sono le seguenti:

-il Comune di Roma deve pagare la somma di euro 176.000,00 a titolo di sanzione amministrativa pecuniaria per la diffusione illecita di dati personali delle donne indicate sulle targhette apposte sulle sepolture e per ulteriori violazioni (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9900808);

-Ama S.p.a deve, a sua volta, pagare la somma di euro 239.000,00 a titolo di sanzione amministrativa pecuniaria per le medesime violazione sopra citate (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9900826).

Il pagamento delle sanzioni deve essere effettuato, sia per il Comune sia per Ama, entro 30 giorni dalla notificazione dell’Ordinanza-ingiunzione del Garante, pena l’adozione di atti esecutivi (art. 27 della Legge n. 689/1981).

Entrambi i trasgressori possono comunque:

-definire la controversia mediante il pagamento di un importo pari alla metà della sanzione irrogata.

Anche tale pagamento deve comunque avvenire entro 30 giorni dalla data della notifica dell’Ordinanza-ingiunzione, (166, comma 8, del Codice).

Unitamente alle due Ordinanze sanzionatorie sopra citate, l'Autorità ha adottato anche un provvedimento di Ammonimento nei confronti della Asl, ingiungendo alla stessa di adottare, entro il termine di giorni 60 dalla notifica del provvedimento:

- adeguate misure tecniche e/o organizzative volte a non rendere immediatamente identificabili le donne che hanno effettuato una interruzione di gravidanza nella documentazione da trasmettere ai servizi cimiteriali (art. 58, par. 2, lett. d), GDPR).

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9900503

Le sanzioni irrogate al Comune di Roma e ad Ama devono restare casi isolati.

Pertanto è necessario che:

-all’interno del nostro Ente, procediamo ad una doverosa verifica, in autocontrollo, in ordine alla circostanza che, nei cimiteri, non vi siano illecite diffusioni di dati personali in relazione ai prodotti abortivi o del concepimento. In particolare, va verificato che sulle lapidi delle sepolture relative a prodotti abortivi o del concepimento non risultino apposte etichette riportanti le generalità delle donne che hanno interrotto una gravidanza e la data dell'interruzione, salvo richiesta della donna o di chi per essa.

Per comprendere la motivazione per cui, nei cimiteri romani, si è potuta verificare la violazione dei dati delle donne che hanno interrotto una gravidanza occorre partire dall’esame del quadro normativo di riferimento, attualmente vigente, che è lacunoso e difficile da applicare.

Le disposizioni in vigore non forniscono ai dirigenti e agli operatori comunali dei servizi cimiteriali una puntuale e completa disciplina, che possa essere attuata direttamente.

Nel panorama normativo in essere è infatti presente una lacuna di regolamentazione, che impone di ricorrere all'interpretazione sistematica e analogica per poter gestire le sepolture dei prodotti abortivi o del concepimento.

Si tratta di una carenza che può determinare gravi violazioni del diritto di protezione dei dati personali laddove tale carenza normativa non venga “colmata” da una corretta interpretazione delle norme e di specifiche istruzioni impartite dal Comune, in qualità di titolare del trattamento, ai dipendenti incaricati del trattamento e ai responsabili esterni, affidatari del servizio cimiteriali.

In particolare, occorre tenere presente che l’art. 7 del Regolamento di polizia mortuaria, D.P.R. 285/1990, prevede che:

-per la sepoltura dei prodotti abortivi di presunta eta' di gestazione dalle 20 alle 28 settimane complete e dei feti che abbiano presumibilmente compiuto 28 settimane di eta' intrauterina e che all'ufficiale di stato civile non siano stati dichiarati come nati morti, i permessi di trasporto e di seppellimento sono rilasciati dall'Unita' Sanitaria Locale (USL/USSL/ ASL);

-a richiesta dei genitori, nel cimitero possono essere raccolti​ ​con la stessa procedura anche prodotti del concepimento di presunta​ ​eta' inferiore alle 20 settimane. in questi casi casi, i parenti o chi per essi sono​ ​tenuti a presentare, entro 24 ore dall'espulsione od estrazione del​ ​feto, domanda di seppellimento all’Unità Sanitaria Locale​ ​accompagnata da certificato medico che indichi la presunta eta' di​ ​gestazione ed il peso del feto.

Ciò premesso, va ulteriormente rilevato che l'articolo 70 del Regolamento di polizia mortuaria stabilisce che:

-ogni fossa nei campi di inumazione deve essere contraddistinta, a cura del Comune, da un cippo costituito da materiale resistente all'azione disgregatrice degli agenti atmosferici e portante un numero progressivo;

-sul cippo, a cura del Comune, va applicata una targhetta di materiale inalterabile con indicazione del nome e del cognome e della data di nascita e di morte del defunto.

Se non chè, nella documentazione trasmessa dall'Unità Sanitaria Locale, per i prodotti abortivi o del concepimento, non sono presenti dati personali assimilabili ai “dati del defunto”.

In base alla prassi che il Garante ha riscontrato presso le Aziende sanitarie,l'autorizzazione al trasporto e alla sepoltura, al fine di identificare i prodotti abortivi, di regola fa riferimento alle generalità della donna.

Il Regolamento di polizia mortuaria, nell’indicare gli elementi da riportare sulla targhetta del cippo funerario, non prevede tuttavia il trattamento di dati personali di persone in vita (generalità della donna).

Benchè il dato personale della donna e la possibilità di indicare tale dato sul cippo funerario non siano desumibili dalla normativa, tuttavia, i Comuni hanno l'obbligo di contraddistinguere ogni fossa da un “cippo” con indicazione dei dati del defunto.

Ne consegue che, per ottemperare a tale obbligo, i Comuni devono necessariamente stabilire quali dati utilizzare.

Posto che l’Ufficiale di Stato Civile non emette il certificato di nascita/morte per i prodotti abortivi, ne deriva che, in questi casi, i dati relativi al nome e cognome della genitrice e data di estrazione/espulsione, che vengono trasmessi dalle Unità Sanitarie Locali, sono gli unici dati disponibili, utilizzabili anche ai fini della tracciabilità.

È evidente che si tratta di categorie particolari di dati che, in base alle disposizioni del Regolamento europeo e del Codice domestico, vanno trattati con garanzie e tutele rafforzate.

In particolare, vanno richiamati:

-lo specifico divieto di diffusione previsto sia dal Regolamento (art. 9, par. 4) sia dal Codice domestico (art. 2-septies, comma 8);

-il rigido ambito di riservatezza previsto dalla L. n. 194 del 1978 per i dati delle donne che fanno ricorso all’interruzione volontaria di gravidanza.

Divieto di diffusione

Le carenze di disciplina, per le inumazioni dei prodotti abortivi e del concepimento, vanno colmate attraverso un'operazione interpretativa finalizzata ad individuare quali dati possono essere indicati sui i cippi dei cimiteri comunali.

L'interpretazione corretta è nel senso di:

-escludere in toto il trattamento dei dati personali della donna.

Non può essere legittimato il trattamento del nome e del cognome della donna, tenuto conto che il Regolamento europeo preclude, rigorosamente, l'utilizzo dei dati particolari in assenza di espressa previsione normativa.

Va richiamato, al riguardo, il generale divieto di trattamento previsto all’art. 9 del Regolamento secondo cui il trattamento di particolari categorie di dati deve essere espressamente previsto “da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato”.

La diffusione di dati relativi alla salute è, comunque, sempre vietata (art. 2-septies, comma 8 del Codice).

Per contro, presso i cimiteri del Comune di Roma tale illecita diffusione è stata comunque effettuata.

Più in generale, una simile diffusione può essere potenzialmente riscontrata nei cimiteri di tutti i Comuni.

Nei cimiteri gestiti dai Comuni o da società affidatarie dei servizi cimiteriali, di regola vengono individuate aree appositamente destinate per la sepoltura a terra i bambini fino a 10 anni dove:

-sono inumati i nati morti e i prodotti abortivi o del concepimento di età di gestazione compresa tra le 20 e le 28 settimane. Per i prodotti abortivi o del concepimento sopra citati, anche nel caso in cui la madre o i familiari scelgano di non effettuare la sepoltura, questa avviene, comunque, su richiesta della Unità sanitaria locale;

-sono inumati anche i “prodotti del concepimento”, di età inferiore alle 20 settimane, se vi è una richiesta dei “genitori”, in assenza della quale, i prodotti del concepimento suddetti sono considerati rifiuti speciali ospedalieri e destinati alla termodistruzione (art. 7, comma 3).

In entrambi i casi, secondo quanto testualmente indicato nell'Ordinanza-ingiunzione di pagamento:

-non possono essere riportati sui cippi, a seguito del seppellimento, i dati delle donne che hanno abortito;

-il riconoscimento deve essere reso possibile soltanto da un codice posto sul retro della lapide.

Come precisato dal Garante:

-sul fronte della lapide è possibile, solo se richiesto dalla donna o da chi per essa, inserire nomi, che possono essere anche “di fantasia”.

Quando la richiesta di inumazione proviene dalla ASL, sulla lapide non è lecito riportare i dati delle donne.

Tuttavia, se espressamente richiesto dai familiari, può essere effettuato Il trattamento dei dati personali della madre anche nel caso di sepoltura richiesta dalla Asl, riportando in questo caso il nome della madre o il numero di registrazione dell’arrivo al cimitero sulla targa della lapide.

Ciò premesso, con riferimento specifico al Comune di Roma, non merita accoglimento, secondo il Garante, la difesa del Comune che si richiama alla necessità di ottemperare all’obbligo previsto dall’art. 70 del citato d.P.R. 285 del 1990 e, inoltre, alle lacune del quadro normativo, non essendo rinvenibili elementi in grado di discolpare la scelta del Comune di indicare, sulle targhe, le generalità complete delle donne.

Questa operazione di trattamento denota, invece, “l’assenza di qualsiasi valutazione in ordine alla conformità del trattamento alla disciplina in materia di protezione dei dati personali e, in particolare, dei principi di “liceità, trasparenza e correttezza” e di “minimizzazione” previsti dall’art. 5, par. 1, lett. a) e c) del Regolamento.Tale valutazione avrebbe condotto, con un approccio prudenziale, ad utilizzare per esempio solo le iniziali - scelta che sarebbe stata comunque non conforme al quadro normativo che non prevede il trattamento di tali dati - ma che avrebbe, comunque, ridotto l’impatto del trattamento sui diritti e sulle libertà fondamentali delle donne interessate”.

Sempre secondo il Garante, l’ulteriore difesa del Comune di Roma circa la necessità di riportare i dati della donna “ai fini della tracciabilità richiesta dalle norme” non tiene conto della circostanza che tale finalità può comunque essere perseguita attraverso la:

-registrazione dei dati trasmessi dalle Aziende sanitarie nei registri cimiteriali, anche se tale registrazione implica una modifica al vigente Regolamento cimiteriale comunale.

In definitiva, l'Ordinanza-ingiunzione conclude affermando i seguenti principi:

-l’indicazione dei dati delle donne sulle targhette apposte sui cippi funerari risulta “in contrasto con il principio di “minimizzazione” (art. 5, par. 1, lett.c) del Regolamento), oltre che priva di una finalità legittima – pienamente perseguibile, evidentemente, riportando semplici codici – e si pone in contrasto, quindi, con il principio di “limitazione delle finalità” (art. 5, par. 1, lett. b) del Regolamento)”.

-non potendosi ritenere “esatti” “rispetto alle finalità per le quali sono trattati”, i dati della donna utilizzati in modo incongruo per contrassegnare una sepoltura che non riguarda la donna, il predetto trattamento è contrario anche al principio di “esattezza” (art. 5, par. 1, lett. d), del Regolamento).

Team Entionline

Categorie
News
Parole chiave
Cimitero
Banca dati

Copyright © Entionline by Maggioli Spa - P.IVA 02066400405. Tutti i diritti riservati. Disclaimer - informativa privacy - Cookies policy

credits