Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Newsletter 18 - 24 ottobre 1999

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
48110
Data:
18/10/99
Tipologia:
Newsletter

Newsletter 18 - 24 ottobre 1999

 

  • Anagrafe, stato civile e riservatezza del cittadino.
  • Il Forum dell´OCSE sul commercio elettronico.
  • Privacy e informazione.
  • Il Garante blocca la diffusione dei dati in una Asl.
  • In Usa battaglia su privacy e posta elettronica.
  • In Spagna la Telefonica chiede ai clienti di cederle i dati.

 

Anagrafe, stato civile e riservatezza del cittadino

"Sulla base di norme assai sommarie e generiche si stanno sperimentando o realizzando varie carte elettroniche e si auspicano interconnessioni fra le basi dei più diversi soggetti con rischi evidenti di sovrapposizioni, di impropria diffusione dei dati o di formazione di pericolose concentrazioni di dati raccolti per specifiche finalità ma poi utilizzati a tutt´altri fini". E´ quanto ha affermato il prof. Ugo De Siervo, componente dell´Autorità Garante, intervenendo al XIX Convegno nazionale dell´Anusca

(Associazione Nazionale Ufficiali di stato civile e d´anagrafe), svoltosi a S. Benedetto del Tronto lo scorso 12 ottobre.

In particolare, per quanto riguarda i servizi anagrafici e dello stato civile, ha spiegato De Siervo, qualche problema sorge in relazione alle molte innovazioni in corso di adozione o in via di sperimentazione, dato che la nuova legislazione in materia non può contraddire i principi fondamentali della legge sulla protezione dei dati personali, dedotti da una Direttiva comunitaria ed ispirati ad una moderna lettura degli stessi principi contenuti nell´art. 2 della nostra Costituzione. E ciò tanto più se si interviene mediante fonti regolamentari che sembrerebbero addirittura prescindere da una previa copertura legislativa.

De Siervo ha ricordato come uno dei pochi rilievi del Garante allo schema di regolamento sulla carta di identità elettronica, che sembra essere stato accolto a livello governativo, riguardava la proposta di attribuire a ciascuno un "codice individuale" aggiuntivo rispetto al numero di codice fiscale. Il Garante aveva notato come questa ipotesi non fosse prevista nella disposizione di legge, come invece sarebbe stato necessario, specie in considerazione della rilevanza della scelta di introdurre un mezzo identificativo di portata generale. "Sui cosiddetti P.I.N., i numeri personali di identificazione - ha detto De Siervo - vi è stato un dibattito vivacissimo in molti paesi europei, risoltosi normalmente attraverso esplicite scelte del legislatore e non sempre nel senso di ammetterlo".

Al tempo stesso, se fra i contenuti della carta sembrano ora essere opportunamente venuti meno, rispetto allo schema originario, le generiche "altre informazioni desunte dall´archivio dello stato civile", sembra esserci ancora la possibilità dell´inserimento di "dati amministrativi del servizio sanitario nazionale" e cioè di buona parte dei sicuri contenuti della tessera sanitaria elettronica, prevista da altre norme ed attualmente in via di concreta sperimentazione in diverse realtà regionali tanto che il Governo ha adottato nel luglio scorso con l´art. 6 del decreto legislativo 282/1999 apposite disposizioni per cercare di tutelare anche in questa fase sperimentale la riservatezza dei soggetti interessati e la selezione dei diversi soggetti coinvolti. "Qualcuno potrebbe giustamente notare - ha osservato De Siervo - la discutibile concorrenza fra due diverse tessere nel voler contenere i dati amministrativi del servizio sanitario nazionale, ma permettete che io aggiunga anche il rilievo che in tal modo si moltiplica inutilmente il rischio (immanente in ogni documentazione) di improprie diffusioni di dati delicati, poiché idonei a rivelare la stessa condizione sanitaria degli interessati".

Infine, il tema importante e delicato dell´attuazione di quanto previsto dal quinto comma dell´art. 2 della legge 127/1997: la previsione che i Comuni operino per la trasmissione - anche attraverso sistemi informatici e telematici - "di dati o documenti tra gli archivi anagrafici e dello stato civile, le altre pubbliche amministrazioni, nonché i gestori o esercenti di pubblici servizi, garantendo il diritto alla riservatezza delle persone". "Nessuno - ha concluso De Siervo - nega minimamente la possibilità e spesso l´opportunità che flussi di dati passino da un´amministrazione pubblica ad un´altra, ma questo deve avvenire nel rispetto delle forme legali e non come esito di una mera operazione tecnologica, specie quando si tratta di dati personali fra i più delicati, come quelli contenuti nello stato civile".

 

Privacy e informazione

Non c´è violazione della privacy né del codice deontologico dei giornalisti se le informazioni sono rese note direttamente dagli interessati o attraverso il loro comportamento in pubblico.

E´ stato dichiarato infondato il ricorso di una signora che si era rivolta al Garante per lamentare la violazione della privacy e del codice deontologico dei giornalisti da parte del proprio coniuge separato, il quale, in un´intervista ad un´emittente televisiva, aveva diffuso informazioni relative alla figlia minore, compreso il nome. La madre aveva chiesto al Garante la cancellazione dei dati relativi alla propria figlia.

Con una memoria difensiva, l´emittente televisiva aveva fatto sapere che i rilievi formulati dall´interessata erano privi di fondamento, in quanto la trasmissione aveva fatto riferimento a due persone note, la cui vicenda presentava aspetti di interesse generale. Per quanto riguardava la minore, la televisione sosteneva che la citazione del nome non avrebbe costituito un dato personale trattandosi di una mera indicazione, peraltro fornita dal coniuge separato, e che comunque la stessa interessata, in data precedente alla trasmissione televisiva, aveva citato il nome della figlia in un´intervista rilasciata ad alcuni settimanali.

Nell´esaminare il ricorso (che, in termini analoghi, era stato presentato dall´interessata anche nei confronti di alcune testate giornalistiche), il Garante non ha ravvisato alcuna violazione delle norme della legge n.675 del 1996 né del codice di deontologia per l´attività giornalistica.

L´Autorità, infatti, pur premettendo che non possono essere condivise le considerazioni dell´emittente televisiva che ritiene il nome di battesimo non sufficiente a identificare in modo compiuto la minore, ha chiarito che ciò che appare determinante nella vicenda è il fatto che il nome della bambina sia stato fornito da entrambi i genitori. Il codice deontologico dei giornalisti consente al giornalista di trattare "i dati relativi a circostanze o fatti resi noti direttamente dagli interessati o attraverso loro comportamenti in pubblico" (art.5). In particolare, come è emerso dalla documentazione acquisita, anche la stessa ricorrente aveva reso noto, in un´intervista rilasciata ad un settimanale, il nome della figlia.

L´Autorità ha, tuttavia, richiamato l´attenzione sul fatto che sarebbe stata opportuna, da parte del giornalista che ha curato l´intervista, un´autonoma valutazione sui rischi che la diffusione di dati, pur resi noti dai legittimi rappresentanti della minore, avrebbe potuto avere sulla bambina nella delicata fase dell´età evolutiva.

Va ricordato che il Garante si è espresso più volte sul fatto che l´utilizzo, in circostanze del genere, di nomi di fantasia, nulla toglie alla completezza e all´interesse della notizia.

Nel motivare la sua decisione, il Garante ha sottolineato che il tenore della trasmissione non può essere considerato lesivo della dignità della bambina e ha fatto presente che la pronuncia non pregiudica, comunque, il diritto del ricorrente di rivolgersi al giudice ordinario per far accertare eventuali reati e per chiedere il risarcimento dei danni, anche morali.

 

Il Forum dell´OCSE sul commercio elettronico

"La tutela della privacy è una chiave di volta per lo sviluppo del commercio elettronico" in questi termini si è espresso Claudio Manganelli, componente del Garante per la protezione dei dati personali, che ha partecipato in rappresentanza dell´Autorità, al Forum dell´OCSE sul commercio elettronico che si è svolto a Parigi il 12 e 13 ottobre scorsi. Il Forum fa seguito alla conferenza di Ottawa dello scorso anno allo scopo di discutere gli sviluppi intervenuti nel frattempo nel campo del commercio elettronico.

I temi all´ordine del giorno sono stati la definizione di regole di base per il mercato digitale, lo sviluppo di infrastrutture informative, la possibilità di potenziare la massimo i benefici dell´e-commerce, la creazione della fiducia negli utenti e nei consumatori. Il Forum è stato preceduto l´11 ottobre da due importanti momenti di confronto con i consumatori e con il mondo delle imprese: la 3a Public Voice Conference, riservata alle Organizzazioni non governative ed associazioni dei consumatori, e un simposio con rappresentanti del settore privato e dei governi sul tema: commercio elettronico e sviluppo delle opportunità.

"Dagli interventi, molto articolati, che si sono susseguiti nelle due giornate e mezzo di lavori - ha dichiarato l´Ing. Manganelli al ritorno da Parigi - è emerso con chiarezza che lo sviluppo del commercio elettronico passa soprattutto attraverso un aumento della fiducia dei consumatori. La sicurezza nello scambio dei dati e idonee garanzie sulla tutela della riservatezza dell´individuo sono fra gli elementi fondamentali per rafforzare questa fiducia".

Manganelli ha sottolineato che: "qualcosa sembra muoversi finalmente anche in quei Paesi che hanno fatto finora registrare un impegno non adeguato nei confronti della tutela della riservatezza. Elementi di spicco di importanti associazioni di consumatori americane, infatti, hanno sottolineato con forza, nel corso dei lavori, che anche negli USA sta emergendo la consapevolezza della necessità di introdurre misure di controllo e di rispetto della privacy in rete".

"E´ ora essenziale – ha aggiunto Manganelli – che le componenti produttive, finanziarie e di rappresentanza dei cittadini agiscano con decisione ed accelerino il decollo del commercio elettronico nel nostro Paese nel pieno rispetto delle imprescindibili esigenze di tutela della riservatezza della persona. Il Garante offrirà la massima collaborazione per conciliare esigenze che non sono affatto in conflitto tra loro, ma, anzi, del tutto complementari".

 

Il Garante blocca la diffusione dei dati in una Asl

La presentazione al Garante di un ricorso volto a tutelare la riservatezza dei dati personali deve essere preceduta da una istanza con cui l´interessato chiede al gestore della banca dati l´applicazione degli specifici diritti previsti dalla legge n. 675/96. Non è, invece, sufficiente una generica istanza di cessazione di comportamenti ritenuti illegittimi, pena la stessa inammissibilità del ricorso.

Il principio di carattere procedurale è stato ribadito dall´Autorità Garante per la protezione dei dati personali in un provvedimento con cui è stato dichiarato inammissibile il ricorso presentato da un medico che aveva denunciato l´arbitraria ed illecita diffusione da parte di un dirigente sanitario, mediante affissione di note e circolari, nelle sale di attesa e nel reparto ospedaliero, di dati relativi al suo stato di salute. In particolare, erano stati diffusi i risultati di una visita medica, travisandoli ed attribuendo all´interessato un non meglio giustificato stato di inidoneità.

L´istanza rivolta al direttore generale della Asl competente per "chiedere la cessazione dell´attività lesiva" della dignità e della reputazione personale e professionale dell´interessato era rimasta senza esito. Di qui la decisione di rivolgersi al Garante per ottenere la "cessazione dei comportamenti ritenuti illegittimi" e la denuncia all´autorità giudiziaria dei "fatti configurabili come reati perseguibili d´ufficio".

Nel pronunciare la dichiarazione di inammissibilità il Garante ha osservato che prima di presentare il ricorso all´Autorità l´interessato avrebbe dovuto formulare le proprie richieste al titolare del trattamento facendo specifico riferimento ad uno o più dei diritti espressamente previsti dall´art. 13 della legge n.675/1996: accesso, aggiornamento, cancellazione, rettifica etc. In assenza dei predetti requisiti la nota consegnata al direttore generale della Asl poteva, infatti, essere considerata solo come un semplice reclamo e non come una richiesta formale di tutela cui fornire rapido riscontro entro i termini contemplati dalla legge sulla privacy.

Il Garante, tuttavia, pur non potendo accogliere, per questi motivi, il ricorso, ha ritenuto necessario un intervento e ha avviato un apposito procedimento per verificare quanto segnalato dal ricorrente in ordine alla diffusione dei dati idonei a rivelare il suo stato di salute (esplicitamente vietata dall´art.23, comma 4). Ha pertanto invitato la Asl a sospendere temporaneamente l´eventuale diffusione dei dati sanitari dell´interessato, mascherando o sostituendo i documenti affissi con altri privi delle stesse informazioni, dando conferma all´interessato del blocco della diffusione dei dati che lo riguardano, ed ha richiesto informazioni e documenti utili per una rapida e compiuta valutazione della segnalazione.

 

In Usa battaglia su privacy e posta elettronica
(articolo pubblicato sul Financial Times del 13 ottobre)

Gray Davis, governatore della California, ha posto il veto su un disegno di legge che prevedeva l´obbligo per le imprese di informare i dipendenti qualora ne controllassero i messaggi di posta elettronica.

La diffusione delle tecniche di controllo della posta elettronica va di pari passo con le misure che sempre più spesso le imprese adottano per tutelarsi nei confronti di potenziali rischi giudiziari. Attualmente oltre un quinto delle maggiori imprese sottopone a controllo la posta elettronica dei dipendenti, e la cifra è destinata ad aumentare rapidamente.

Il disegno di legge presentato in California, con il sostegno delle associazioni per la tutela della privacy, prevedeva che il datore di lavoro informasse il dipendente qualora ne controllasse i messaggi di posta elettronica, ottenendone il consenso alla politica adottata in materia di controlli. Permetteva inoltre al dipendente di accedere ai dati raccolti nei suoi riguardi.

Gli oppositori del disegno di legge affermano che avrebbe comportato un onere burocratico inaccettabile per i datori di lavoro.

La diffusione dei controlli sulla posta elettronica ha fatto seguito all´utilizzo sempre più frequente di materiale derivante da messaggi di posta elettronica in sede processuale, e in particolare nella causa intentata alla Microsoft per violazione della normativa antitrust. Spesso la posta elettronica viene utilizzata per comunicare idee e considerazioni che normalmente si preferirebbe non comparissero in un documento ufficiale, nella convinzione che i messaggi di posta elettronica siano memorizzati solo in modo temporaneo.

Invece questi messaggi restano memorizzati in permanenza nel computer e non scompaiono quasi mai.

Nel caso della Microsoft, durante il processo sono stati utilizzati come prova a carico messaggi di posta elettronica in cui, con un linguaggio molto aggressivo, venivano descritte tecniche di concorrenza.

Per molte imprese è forse ancora più preoccupante la possibilità che i messaggi e-mail dei dipendenti contengano termini offensivi utilizzabili come prova di un ambiente lavorativo ostile, in casi di molestie a sfondo razzista o sessuale.

I messaggi di posta elettronica vengono controllati anche per verificare che dall´impresa non escano informazioni di natura delicata o riservata, e che non siano inviati virus nel sistema informatico generale proprio attraverso la posta elettronica.

Attualmente vi sono diversi programmi per il controllo automatico della posta elettronica, tutti basati sulla ricerca di parole o frasi specifiche.

 

In Spagna la Telefonica chiede ai clienti di cederle i dati
(articolo pubblicato su El Pais del 9 ottobre)
La lettera non specifica che il termine per manifestare la propria opposizione è di un mese.

Teléfonica ha chiesto agli abbonati l´autorizzazione ad utilizzare i loro dati personali. L´iniziativa, sotto forma di lettera che è giunta al milione e mezzo di nuovi clienti dell´operatore telefonico, obbliga l´utente che non desideri ricevere pubblicità dall´impresa a scrivere ad una casella postale, ma omette di segnalare che il termine per comunicare la propria accettazione o meno è di un mese dalla data di ricevimento della lettera.

La lettera reca la data del 14 settembre ed è firmata dal direttore generale del marketing, Javier Aguilera; in linea di principio si conforma alla legislazione in materia di protezione dei dati, ed è indirizzata agli utenti che hanno stipulato un contratto con Teléfonica dopo il settembre 1998. Nel testo si assicura che è volontà della società telefonica tenere fede all´ "impegno di trasparenza" in materia, ma la formulazione della lettera è di fatto confusa. Non solo omette di ricordare ai clienti il periodo di cui dispongono per comunicare l´eventuale rifiuto, ma parla di "dati relativi al traffico telefonico" senza specificare di quali dati si tratti né per quali scopi saranno oggetto di trattamento.

I dati sono tutti quelli contenuti nella bolletta telefonica - numero e prefisso, ma anche destinazione delle chiamate, volume e importo di queste ultime -, secondo quanto confermato da fonti della società, e saranno trattati esclusivamente per "offrirLe il miglior trattamento possibile e proporLe i nostri servizi". A questo proposito, Teléfonica non chiarisce neppure se i dati saranno utilizzati da tutte le imprese del gruppo, che svolgono attività in campi molto diversi: assicurazioni, distribuzione di prodotti, consulenza finanziaria, raccolta di fondi, attività immobiliari o di recupero crediti - secondo quanto emerge dalla relazione annuale del 1998.

La società assicura che lo scopo è quello di ottenere il consenso esclusivamente per la promozione dei "prodotti del Gruppo Teléfonica", ma si è rifiutata di fornire qualsiasi altra informazione nonostante le sollecitazioni manifestate in tal senso da questo giornale almeno in una dozzina di occasioni.

Ad ogni modo, ciascuna impresa del gruppo dotata di personalità giuridica deve presentare la richiesta di consenso agli interessati, secondo quanto stabilito dalla Agencia de Protección de Datos.

E´ la seconda volta che Teléfonica si rivolge agli abbonati per scopi del genere. Nel 1998, in coincidenza con l´entrata in vigore di un regolamento che prevedeva questo obbligo per tutti gli operatori del settore, chiese agli oltre 15 milioni di utenti l´autorizzazione al trattamento automatizzato dei rispettivi dati personali - raccolta, acquisizione, conservazione, elaborazione, modificazione, cessione, blocco e cancellazione. La norma relativa indica chiaramente che "qualora nel termine di un mese" dal ricevimento della lettera l´abbonato non si opponga, "dovrà intendersi che acconsente alla richiesta".

La forma della campagna attuale lascia prevedere che saranno pochi i clienti che eserciteranno il diritto di non ricevere informazioni pubblicitarie. Non solo per il problema del termine, ma anche perché chi desidera farlo deve inviare la propria comunicazione di rifiuto per iscritto ad una casella postale. Tuttavia, le associazioni per la difesa dei consumatori da noi interpellate non hanno ricevuto alcuna lamentela.

L´iniziativa coincide con una riforma della legge sulla protezione dei dati, ancora all´esame del Parlamento, che prevede la creazione di un elenco dei cittadini che desiderano ricevere informazioni pubblicitarie. L´Istituto Nazionale di Statistica si rivolgerà a tale scopo a tutti i cittadini; chi non si oppone sarà incluso nell´elenco.