Newsletter 5 - 11 giugno 2000  

• Privacy e questioni condominiali.
• Misure minime di sicurezza, superfluo l´invio di comunicazioni al Garante.
• Vicenda gemelline peruviane.
• Fasicoli personali sui cittadini.
• Spioni su Internet.

Privacy e questioni condominiali

L´amministratore di condominio può mettere a disposizione dei condomini le informazioni riguardanti la gestione dell´immobile, ma deve osservare alcune cautele nella raccolta e nell´uso di questi dati.

Il Garante ha affrontato il rapporto tra diritto alla riservatezza e disciplina della cosa comune nell´ambito di un articolato parere che trae spunto dai numerosi quesiti giunti all´Autorità in merito al trattamento dei dati personali per finalità di tipo condominiale.

Nel parere si chiarisce che la legge sulla privacy non pone ostacoli all´applicazione delle norme del codice civile riguardanti il condominio degli edifici, sottolineando comunque la necessità che vengano raccolti e utilizzati solo i dati personali necessari alla gestione amministrativa della proprietà. Da questo punto di vista, spiega il Garante, i condomini devono infatti essere considerati come contitolari di un medesimo trattamento e in quanto tali hanno il diritto di accedere e di ricevere le informazioni riguardanti l´amministrazione e il funzionamento del condominio.

Viene pertanto eliminato ogni dubbio sulla possibilità da parte dell´amministratore di comunicare dati di bilancio o prospetti contabili sulle quote pagate e sulle eventuali morosità. Per quanto riguarda l´accertamento del diritto dei condomini di intervenire all´assemblea o il calcolo delle rispettive quote di proprietà ai fini della ripartizione delle spese e dell´esercizio del diritto di voto, l´Autorità ha poi precisato che l´amministratore può acquisire queste informazioni anche attraverso la preventiva esibizione da parte dei condomini di una copia o di un estratto dell´atto notarile di proprietà. In ogni caso, ribadisce il Garante, devono essere rispettati i principi di pertinenza e di non eccedenza previsti per il trattamento dei dati personali dalla legge sulla privacy. In base a questi principi, ha precisato l´Autorità, potranno quindi essere raccolti ed eventualmente archiviati anche ai fini del loro periodico aggiornamento solo i dati strettamente indispensabili alla convocazione o al funzionamento dell´assemblea, (per esempio la proprietà o la superficie dell´immobile ai fini del calcolo dei millesimi), mentre non dovranno essere prese in considerazione altre informazioni come quelle riguardanti il prezzo pagato per l´acquisto dell´appartamento.

L´amministratore può mettere queste informazioni a disposizione dei condomini che ne fanno richiesta e che potrebbero essere interessati a verificare la regolare convocazione di un´assemblea o ad impugnare le decisioni assunte, ma deve adottare le cautele necessarie per evitare l´accesso ai dati da parte di persone estranee.

Misure minime di sicurezza, superfluo l´invio di comunicazioni al Garante

E´ superfluo l´invio al Garante per la protezione dei dati personali di ogni comunicazione relativa agli adempimenti previsti dal regolamento n. 318/99 sulle misure minime di sicurezza, entrato in vigore dal 29 marzo scorso.

E´ quanto chiarisce l´Autorità in un provvedimento adottato in relazione alla trasmissione al Garante, da parte di numerosi soggetti pubblici e privati, di comunicazioni di vario tenore sulle iniziative da essi intraprese per adeguare archivi e banche dati alle misure volte a garantire la sicurezza ed a prevenire la distruzione, la dispersione o l´uso illecito dei dati personali in essi contenute.

L´Autorità sottolinea, infatti, che nei confronti dei soggetti interessati non sussiste alcun obbligo di comunicare al Garante le determinazioni eventualmente adottate in attuazione del regolamento, e tanto meno ciò può discendere da un disegno di legge, attualmente in discussione in Parlamento e approvato in prima lettura dal Senato, che introduce un termine di adeguamento più ampio alle nuove norme.

Nel provvedimento, che sarà trasmesso anche ai soggetti che hanno inviato al Garante in queste settimane note e documentazioni sull´adozione delle misure minime di sicurezza, viene inoltre precisato che gli atti previsti dal regolamento, come il documento programmatico sulla sicurezza o la designazione dei responsabili e degli incaricati del trattamento, devono essere esibiti all´Autorità solo a seguito di una eventuale e specifica richiesta in sede di ispezione o di controllo.

Tali indicazioni si aggiungono a quelle già fornite dal Garante nelle decisioni adottate il 29 febbraio scorso (e disponibili sul sito ufficiale dell´Autorità all´indirizzo www.garanteprivacy.it) per richiamare l´attenzione dei soggetti obbligati sulle misure minime di sicurezza e per chiarire che l´adozione di tali misure non comporta la necessità per i titolari dei trattamenti di dati di modificare le notificazioni a suo tempo presentate al Garante.

L´Autorità si è comunque riservata di tornare a breve sulla materia, una volta che il Parlamento abbia deliberato sul disegno di legge in discussione, con un provvedimento che conterrà ulteriori suggerimenti volti a favorire una piena e corretta attuazione del regolamento n. 318/99.

Vicenda gemelline peruviane

In merito alla vicenda delle due gemelline peruviane, l´Autorità Garante per la protezione dei dati personali informa di aver posto fin dall´inizio grande attenzione alle possibili violazioni delle norme sulla tutela della sfera privata che alcuni comportamenti posti in atto in questa occasione potrebbero aver determinato. A tale proposito, l´Autorità farà conoscere al più presto le proprie valutazioni, anche alla luce delle segnalazioni che stanno pervenendo all´ufficio.

Va comunque precisato che le molte preoccupazioni sulla spettacolarizzazione della dolorosa vicenda sembrano riguardare prevalentemente altri tipi di violazioni (di regole deontologiche, del segreto professionale) che attengono alla competenza degli Ordini professionali dei medici e dei giornalisti, chiamati a vigilare sul comportamento dei propri iscritti, o dell´autorità giudiziaria.

Fasicoli personali sui cittadini

In riferimento alle notizie di stampa, relative ad una segnalazione riguardante fascicoli personali che sarebbero detenuti dall´Arma dei Carabinieri, il Garante per la protezione dei dati personali precisa che questo tipo di segnalazione riguarda materie sulle quali l´Autorità svolge da tempo le attività di verifica previste dalla legge sulla riservatezza dei dati.

Come ogni altra segnalazione pervenuta all´ufficio, anche questa è stata presa in considerazione e sono stati avviati i doverosi accertamenti all´esito dei quali l´Autorità farà conoscere le proprie conclusioni.

Spioni su Internet
(editoriale pubblicato su The New York Times on the Web del 29 maggio)

Uno spettro si aggira per Internet: è lo spettro dello spionaggio sul Web.

Può trattarsi della società che emette carte di credito e comunica a rivenditori di pornografia le vostre abitudini di acquisto o magari confida i vostri progetti di viaggio o i medicinali acquistati a investigatori privati. Oppure può trattarsi di un ladro che utilizza il vostro numero di previdenza sociale per rubarvi l´identità e rovinare il vostro buon nome; può anche trattarsi di un criminale che cerca sul Web una vostra foto, come è già avvenuto con conseguenze tragiche.

Non c´è da preoccuparsi, dicono i responsabili di imprese occupatissime a compilare dossier su ogni cittadino americano. Lasciate che siamo noi a darci delle regole. Un giorno – quando avremo raccolto ogni notizia su di voi, fino ai voti nella pagella delle elementari – ci decideremo a limitare la nostra invadenza.

La scorsa settimana, dopo aver ascoltato false promesse per cinque anni, la maggioranza della Federal Trade Commission (con il voto contrario dei Repubblicani) si è risolta a proporre una legge che fornisca agli americani i rudimenti di una tutela della privacy.

Il rapporto preparato dalla FTC ha indicato che meno di 1 sito Internet ogni 10 che raccolgono dati personali identificativi reca il sigillo di buona condotta in materia di privacy che un consorzio assegna in base ad un´adesione volontaria. L´"autodisciplina" promessa dalle imprese che nascono come funghi è una farsa, perché le imprese hanno l´acquolina dinanzi a tutto il denaro che c´è da ricavare dal pedinamento degli utenti informatici, dallo spionaggio della loro vita privata.

Robert Pitofsky, presidente della FTC, ha dichiarato alla Commissione per il commercio del Senato che i siti Web dovrebbero essere tenuti per legge a specificare con chiarezza quali informazioni raccolgono (spesso in modo surrettizio, attraverso "cookies" inseriti nella memoria dei computer e in grado di tenere traccia delle singole transazioni) e a chi vendono o con chi scambiano i dati personali raccolti.

E´ un obbligo che dovrebbe essere previsto già da tempo: gli sproloqui giuridici che vengono fatti passare per "dichiarazioni della politica seguita in materia di privacy" nascondono la realtà generando solo confusione. Pitofsky raccomanda inoltre che ai cittadini della Rete sia riconosciuto il diritto di accedere alle informazioni raccolte nei loro riguardi – esattamente come i consumatori hanno oggi il diritto di prendere visione delle schede personali di valutazione della solvibilità e di correggere eventuali inesattezze.

Fin qui niente da dire, anche se le lobby pro-spionaggio protestano affermando che si tratta di un obbligo eccessivamente oneroso e che potrebbe rallentare il boom del commercio elettronico. Ma la FTC si è poi sottratta alle proprie responsabilità verso i consumatori, proponendo soltanto che i siti Web siano obbligati ad offrire ai consumatori "l´opzione" di opporsi alla profilatura.

Sembra una buona forma di tutela, ma gli spioni del Web sanno che questo primo, timido passo è solo una finzione. Gli specialisti del marketing lo chiamano "opt-out" (scelta di non aderire): lascia al consumatore l´onere di tutelare la propria privacy. La maggioranza delle persone non ha né il tempo, né le competenze o il fegato di analizzare con attenzione le possibili utilizzazioni dei propri dati: è improbabile che prendano l´iniziativa di indicare a dozzine di siti Web di non tenere traccia dei loro movimenti e di non comunicare a terzi informazioni che li riguardino.

L´"opt-out" è il trucco per il pubblico con cui gli specialisti di marketing danno l´impressione fittizia di lasciare una scelta. E´ lo stesso tipo di soluzione escogitata dal presidente della Commissione del Senato per le attività bancarie, Phil Gramm, e dal Ministro del tesoro Larry Summers, su pressione della lobby bancaria, per permettere alle banche nuove intrusioni nella privacy finanziaria dei clienti. Bisognerà aspettare che il senatore Richard Shelby, il difensore della privacy, diventi presidente della Commissione per le attività bancarie prima che questa opzione si trasformi in un "opt-in" (scelta di aderire).

L´unica vera forma di protezione della privacy online è rappresentata dal consenso informato per iscritto. E´ così che l´onere di ottenere l´autorizzazione a comunicare dati personali viene a cadere sul soggetto giusto – ossia, il soggetto che vende, al quale compete di spiegare in cosa consista la transazione e di convincere il compratore, magari attraverso qualche incentivo, a scegliere di dare il proprio consenso.

La vera privacy dipende da chi è che deve fare la domanda. Una dichiarazione della politica seguita in materia di privacy che non si concluda con la frase "ora che conosce con precisione quello che intendiamo fare dei suoi dati, vuole darci il suo consenso?" è una dichiarazione che sa di falso.

La scorsa settimana, Jay Rockefeller e Fritz Hollings, senatori del partito democratico nella Commissione per il commercio del Senato, hanno presentato una proposta di legge che impone ai siti Web di chiedere il consenso nei termini descritti. Il presidente della Commissione, John McCain, darà ai sostenitori della linea dura – per garantire l´imparzialità della discussione – la possibilità di promettere la luna dell´autodisciplina in altre audizioni previste per la prossima settimana.

"Ci metteremmo contro la lobby oggi più influente a Washington", mi ha confessato McCain, il quale ritiene che l´approccio scelto da Rockefeller e Hollings comporti "un´ingerenza eccessiva" nell´attività delle imprese. Alla domanda se intendeva almeno proporre l´approvazione delle raccomandazioni annacquate della FTC, ha risposto che "Proporrò un disegno di legge e lo metteremo all´ordine del giorno. Ma a giudicare da come vanno le cose in Senato, può darsi che non si arrivi mai ad una votazione. Sono qui da 14 anni e non ho mai visto risultati così scarsi".

Utenti del commercio elettronico, un consiglio: fin quando non verranno fermati gli spioni online, andate al negozio e pagate in contanti.