Newsletter 10 - 16 aprile 2000  

• Certificati di assistenza al parto: il Garante chiede più riservatezza.
• Finanziamenti bancari e cancellazione dei dati personali.
• Il Garante italiano alla conferenza di Stoccolma.
• Borsa Usa: la Commissione di controllo rafforza il monitoraggio in rete.

Certificati di assistenza al parto: il Garante chiede più riservatezza

Il trattamento dei dati personali contenuti nei nuovi certificati di assistenza al parto dovrà avvenire nel rispetto della privacy e in modo tale da garantire la riservatezza delle informazioni più delicate come quelle riguardanti le interruzioni di gravidanza e l´anonimato delle madri che non consentono di essere nominate.

Lo ha stabilito il Garante in un parere fornito su richiesta del ministero della Sanità in merito allo schema di decreto ministeriale che modifica il contenuto e la struttura del certificato di assistenza al parto ai fini delle rilevazioni statistiche sulle nascite, sulla mortalità infantile e sui nati affetti da malformazioni.

L´Autorità ha, innanzitutto, rilevato che il provvedimento del Ministero deve assumere la forma di regolamento ministeriale e non di semplice atto amministrativo, dal momento che individua i dati e le operazioni concretamente eseguibili nell´ambito delle rilevanti finalità di interesse pubblico perseguite attraverso l´attività di certificazione sanitaria.

Ma soprattutto lo schema di decreto risulta privo di una serie di clausole volte a garantire l´anonimato e la piena riservatezza delle informazioni che saranno inserite nel certificato. Il nuovo modello di certificato, infatti, verrebbe ad essere composto di una sezione generale, contenente i dati anagrafici della madre, e di una parte ulteriore in cui verrebbero, prevalentemente, annotate le informazioni di carattere sanitario sullo stato di salute dei genitori e del neonato.

A tale riguardo il Garante ha chiesto al Ministero della Sanità di inserire nel decreto misure che consentano di evitare l´identificazione, anche indiretta, della donna che ha partorito attraverso il collegamento tra i suoi dati personali e le altre informazioni contenute nel certificato. I dati anagrafici dovranno, pertanto, essere conservati separatamente da quelli sensibili che possono rilevare a fini di ricerca statistica, come ad esempio le indagini sul numero delle interruzioni volontarie di gravidanza.

Nel suo parere, il Garante ha anche sottolineato l´obbligo per le strutture sanitarie di individuare il personale autorizzato ad effettuare le eventuali operazioni di ricongiungimento tra i dati sensibili e quelli anagrafici. Se i dati anagrafici sono contenuti in elenchi, registri o banche dati gestiti attraverso sistemi elettronici o automatizzati, si dovranno utilizzare tecniche di cifratura o codici identificativi che permettano di risalire agli interessati solo in caso di necessità.

Rilevato che nello schema di decreto si è tenuto conto del problema della riservatezza della donna che non vuole essere nominata, disponendo che nel certificato non compaiano il nome e cognome e il codice sanitario dell´interessata, l´Autorità ha però chiesto al Ministero di estendere tale garanzia anche alle altre informazioni anagrafiche suscettibili di consentirne l´identificazione anche in modo indiretto. Nel caso in cui la madre abbia chiesto l´anonimato, nel certificato non dovrebbero, ad esempio, comparire neppure i dati relativi al Comune di nascita e a quello di residenza.

E´ in ogni caso opportuno, secondo l´Autorità, che venga comunque lasciata la successiva possibilità al figlio della madre che non vuole essere nominata di poter accedere, anche a distanza di tempo, ad informazioni importanti per la tutela della propria salute, prevedendo che tra il certificato depurato dei dati personali e le altre informazioni di carattere sanitario relative al parto (per esempio, quelle contenute nella cartella clinica) venga mantenuta una forma di collegamento.

L´Autorità ha inoltre sollecitato l´amministrazione ad integrare lo schema di decreto con una norma che estenda anche alle regioni l´obbligo di eliminare gli elementi identificativi diretti dai certificati di assistenza al parto che vengono trasmessi ogni sei mesi al ministero della Sanità e successivamente comunicati all´Istat.

Il Garante ha, infine, richiamato l´attenzione del ministero della Sanità sulla necessità di adottare riguardo all´attività di certificazione, le misure minime di sicurezza previste dal regolamento n.318/1999 (ora peraltro interessato da una proposta di proroga in discussione alla Camera dei deputati) e sull´obbligo, per tutte le strutture pubbliche e private coinvolte nel flusso dei dati relativi al certificato di assistenza al parto, di provvedere a nominare i responsabili e gli incaricati del trattamento di queste informazioni.

Finanziamenti bancari e cancellazione dei dati personali

Non viola la legge sulla privacy la banca che in caso di revoca di una richiesta di finanziamento conserva, per esigenze contabili, i dati personali del cliente.

Lo ha stabilito il Garante in un provvedimento con cui è stato respinto il ricorso presentato da un privato per ottenere la cancellazione di tutti i dati personali acquisiti da un istituto di credito in occasione di un prestito finanziario che l´interessato aveva successivamente deciso di non attivare.

La banca, dopo aver annullato tutti i documenti inerenti alla richiesta di finanziamento e aver disposto la chiusura del relativo conto corrente, aveva, infatti, trattenuto la documentazione prevista dal codice civile. Nel respingere il ricorso l´Autorità ha spiegato che la cancellazione di dati personali è ammessa solo nel caso in cui essi vengano trattati in violazione di norme di legge. Nel caso in questione non si sono però verificate irregolarità, poiché la banca ha correttamente adempiuto all´obbligo di conservazione delle scritture contabili, senza peraltro trattenere documenti originali della pratica di finanziamento.

Il Garante si è comunque riservato di avviare una propria indagine per verificare quale tipo di dati personali debba essere necessariamente conservato nel rispetto delle disposizioni concernenti la tenuta delle scritture contabili e quale sia l´estensione temporale di tale obbligo di conservazione.

Il Garante italiano alla conferenza di Stoccolma

Il 6 e 7 aprile si è svolta a Stoccolma la conferenza di primavera delle Autorità di garanzia europee per la protezione dei dati personali, organizzata per approfondire i temi di maggiore attualità nel dibattito internazionale sulla tutela della privacy, con particolare riferimento alle più recenti implicazioni tecnologiche e alle nuove frontiere genetiche nell´uso di dati personali.

Ai lavori hanno preso parte anche Stefano Rodotà, Claudio Manganelli e Giovanni Buttarelli, rispettivamente presidente, componente e segretario generale dell´Autorità Garante.

La conferenza si è articolata in varie sessioni dedicate all´analisi dei problemi concernenti il trattamento delle informazioni di carattere genetico e sanitario, la situazione nei paesi dell´Unione europea dopo il recepimento e l´attuazione delle direttive comunitarie sulla protezione dei dati personali, il diritto di accesso e la trasparenza dei documenti in possesso delle pubbliche amministrazioni. Particolare attenzione è stata posta alle questioni relative al cybercrimine, ai rapporti tra privacy e Internet, all´uso dei dati nelle telecomunicazioni, alla massiccia diffusione di tecnologie invasive.

Su quest´ultimo aspetto Stefano Rodotà ha fornito una serie di documenti e di spunti volti a sollecitare una più attenta riflessione sul tema della videosorveglianza a fini di sicurezza e ordine pubblico, mentre Claudio Manganelli è intervenuto sul "free telephoning", cioè sui servizi telefonici gratuiti, interrotti da spot pubblicitari, forniti in cambio di dati personali.

Borsa Usa: la Commissione di controllo rafforza il monitoraggio in rete
(articolo pubblicato sull´International Herald Tribune del 30 marzo)

Ma la proposta della SEC di monitorare il cyberspazio alla ricerca di truffe e frodi mobiliari solleva interrogativi legati alla tutela della privacy

La Securities and Exchange Commission (Commissione USA per i titoli e la borsa, n.d.r.) intende potenziare l´attività di contrasto delle frodi mobiliari online creando un sistema automatizzato che andrebbe ad "ascoltare" i messaggi nelle bacheche elettroniche su Internet, nei siti Web e nei gruppi di discussione online dove vengono scambiate "dritte" sugli investimenti azionari.

Quest´anno la Commissione ha chiesto discretamente ad oltre 100 società di presentare progetti per la realizzazione di sistemi di sorveglianza del genere, che permetterebbero di cercare su Internet parole e frasi di utilizzo comune da parte degli artisti della truffa. Molte società hanno risposto a tale richiesta e stanno sperimentando i sistemi che poi la Commissione dovrà esaminare.

Martedì scorso funzionari della Commissione hanno dichiarato che si tratta semplicemente dell´automazione di attività di sorveglianza che sono già svolte su base regolare dagli agenti della Commissione - i quali in tal modo avrebbero la possibilità di dedicarsi al più impegnativo compito di interpretare ed indagare le varie segnalazioni. Hanno fatto riferimento a 125 casi di truffe online, a dimostrazione della convenienza per i consumatori di questa attività di monitoraggio.

"Vogliamo semplicemente fare pulizia su Internet", ha dichiarato John Stark, direttore dell´Ufficio competente per Internet all´interno della Commissione. Ma il sistema proposto ha suscitato le proteste di legislatori e difensori della privacy, e va al cuore di quesiti che attendono ancora soluzione per quanto riguarda il concetto di "espressione" su Internet: è una situazione equivalente, mettiamo, al fatto di compiere determinate affermazioni in un parco pubblico, o magari è più simile a quanto si verifica durante una conversazione telefonica multipla?

"Dopo 25 anni, ancora non è chiaro come stiano le cose in questo ambito", ha dichiarato Lawrence Ponemon, esperto di privacy presso l´agenzia di consulenza Pricewaterhouse-Coopers.

Ponemon ha affermato che l´agenzia aveva declinato l´offerta di presentare una proposta relativa al sistema in questione, ritenendo che vi fossero troppe implicazioni connesse al rispetto di diritti costituzionali. Un sistema del genere comporterebbe l´installazione sui siti Internet di programmi di monitoraggio occulti. Ponemon ha paragonato questa forma di monitoraggio all´intercettazione telefonica, definendola una "netta violazione" della normativa in materia di perquisizione e sequestro.

Tuttavia, nonostante le preoccupazioni della Pricewaterhouse-Coopers per la meccanica del sistema, "pensiamo che la SEC in realtà stia facendo la cosa giusta con questo tentativo di migliorare le proprie capacità di sorveglianza su Internet".

Il sistema richiesto dalla Commissione prevede la ricerca automatica di frasi utilizzate in offerte promozionali fraudolente - del tipo "tanti soldi SUBITO!" oppure "ricchi in un giorno!!!!" - che sono ormai frequenti su Internet. Secondo quanto dichiarato da funzionari della Commissione, il sistema andrebbe oltre la semplice ricerca per parole-chiave attualmente utilizzata dagli agenti che controllano la presenza di offerte truffaldine su Internet.

La Commissione si è detta sorpresa del clamore suscitato dal progetto, affermando che il sistema proposto si limiterebbe ad automatizzare la raccolta di informazioni che viene già svolta su base routinaria dai propri agenti.

"Nell´invito a presentare proposte si chiarisce al di là di ogni dubbio che la ricerca riguarda esclusivamente dati di dominio pubblico", ha dichiarato Stark. "Da nessuna parte si dice che intendiamo andare a controllare informazioni che non siano già adesso sottoposte a controllo".

Ad ogni modo, la richiesta presentata dalla Commissione ha suscitato l´opposizione di associazioni per la tutela della privacy e di almeno un parlamentare.

"Nessuna agenzia governativa dovrebbe avere la possibilità di prendere una specie di aspirapolvere e raccogliere tutte le informazioni disponibili solo perché fra queste potrebbe esserci qualcosa che forse risulta illegale", ha dichiarato Robert Barr, deputato della Georgia per il partito repubblicano; martedì scorso Barr ha inviato una lettera ad Arthur Levitt, presidente della SEC, in cui esprimeva giudizi critici sul programma.

Marc Rotenberg, dell´Electronic Privacy Information Center di Washington, ha affermato che tutte queste forme di sorveglianza sollevano quesiti fondamentali rispetto a Internet.

"C´è un punto fondamentale da chiarire, ossia il concetto di perquisizione", ha dichiarato Rotenberg. Se si ritiene che un gruppo di discussione online sia analogo ad un raduno pubblico al quale magari partecipi un agente FBI con il compito di prendere appunti, esistono comunque regole che disciplinano l´attività di quell´agente. Se partecipare ad un gruppo di discussione online è invece più simile al partecipare ad una conversazione telefonica multipla, allora ci sono regole che si applicano alle perquisizioni e alle intercettazioni telefoniche - ad esempio, la necessità di avere un mandato di perquisizione e l´autorizzazione del tribunale competente.

"Se questa non è una perquisizione", ha affermato Rotenberg, "allora bisogna riflettere sul concetto di perquisizione nell´era digitale.

"C´è qualcosa che non va se un´agenzia federale può raccogliere un´enorme mole di informazioni su un enorme numero di persone senza bisogno di autorizzazioni e senza il consenso degli interessati".