Internet: informative chiare e consenso libero
Il Garante impone ad una società che fornisce servizi on line di cambiare il proprio modello contrattuale

Nel momento in cui un cittadino compila un modulo cartaceo o on line, o comunica i suoi dati per telefono per richiedere la fornitura di un servizio, deve ricevere informazioni chiare e precise sull´uso che si farà dei dati personali che lo riguardano e deve poter esprimere un consenso libero e non condizionato. Lo ha disposto il Garante, accogliendo il ricorso di un utente che contestava, tra l´altro, la poca chiarezza dei modelli on line, che aveva compilato al momento della registrazione sul portale di una società che fornisce servizi in Internet, e il continuo invio di messaggi pubblicitari indesiderati.

La società, che fornisce anche servizi gratuiti (tra i quali accesso alla rete, caselle di posta elettronica, spazio web per un sito personale), dovrà sospendere immediatamente l´invio di materiale pubblicitario al cliente che non ne aveva fatto richiesta e riformulare la modulistica contrattuale adeguandola alla normativa in materia di protezione dei dati personali. In attesa della sottoscrizione delle nuove clausole contrattuali, dovrà inoltre astenersi da ogni trattamento dei dati personali del ricorrente per finalità di profilazione commerciale e dalla loro utilizzazione per scopi di marketing e promozionali. Nel corso del procedimento il Garante ha accertato che le informative presenti sul sito web della società non permettevano a chi intendeva registrarsi di esprimere scelte libere, consapevoli e, soprattutto, non contraddittorie tra loro. La società chiedeva, infatti, all´utente un consenso "omnibus", a suo dire facoltativo, ma dal quale faceva dipendere la fornitura dei servizi. Il consenso in alcuni casi ingiustificato veniva chiesto anche per finalità non previste dal Codice in materia di protezione dei dati personali. È illegittimo infatti, come faceva la società, chiedere l´"autorizzazione" del cliente per una eventuale trasmissione di dati all´autorità giudiziaria, quando questa, nei casi previsti dalla legge è comunque doverosa a prescindere dalla volontà del cliente. Così come non è giustificato chiedere il consenso per finalità di fatturazione commerciale quando le utenze fornite sono gratuite. Non è corretto, poi, chiedere il consenso senza dare all´utente la possibilità di esprimerlo liberamente. La società, attraverso un´unica sottoscrizione, chiedeva invece anche l´autorizzazione a definire il profilo commerciale dell´utente e ad utilizzalo per finalità di marketing e promozionali.

Con un autonomo procedimento il Garante verificherà altri profili di liceità del trattamento dei dati in particolare per quanto riguarda il sistema di analisi degli accessi alla rete e delle modalità utilizzate per rilevare le attitudini commerciale dei clienti.

La direttiva della Funzione pubblica sulla protezione dei dati personali
Entro il 31 dicembre 2005 le pubbliche amministrazioni dovranno adottare un regolamento per il trattamento dei dati sensibili e giudiziari

Forte segnale del Ministro per la Funzione Pubblica, Mario Baccini, in vista di una piena attuazione nella P.a. delle norme sulla protezione dei dati personali. Con la pubblicazione sulla Gazzetta ufficiale n. 97 del 28 aprile 2005 della Direttiva 11 febbraio 2005, il Dipartimento della funzione pubblica ha individuato "Misure finalizzate all´attuazione nelle pubbliche amministrazioni delle disposizioni contenute nel decreto legislativo 30 giugno 2003, n. 196, recante Codice in materia di protezione dei dati personali, con particolare riguardo alla gestione delle risorse umane". Alla predisposizione della Direttiva, su richiesta del Dipartimento della funzione pubblica e nel tradizionale spirito di collaborazione, hanno assicurato il loro contributo anche gli uffici del Garante.

La Direttiva mira a richiamare l´attenzione delle amministrazioni sulle prescrizioni del Codice che incidono maggiormente nel settore pubblico e che richiedono l´adozione di efficaci scelte organizzative per tradurre sul piano sostanziale le garanzie previste dal legislatore. Una particolare attenzione è data alle cautele previste in materia di trattamento di dati sensibili e giudiziari. Ai soggetti pubblici è consentito trattare i dati sensibili o giudiziari quando ciò sia previsto da una norma di legge (oppure, se si tratta di dati giudiziari, da un provvedimento del Garante) che specifichi espressamente: le rilevanti finalità di interesse pubblico perseguite; i dati personali che possono essere utilizzati e le operazioni di trattamento eseguibili. Nel caso in cui la legge indichi soltanto le finalità di rilevante interesse pubblico, ma non fornisca alcuna indicazione sui tipi di dati e di operazioni eseguibili, le pubbliche amministrazioni, per operare lecitamente, devono adottare, entro il 31 dicembre 2005, regolamenti in cui siano individuati tipi di dati trattati e operazioni indispensabili.

L´adozione di regolamenti presuppone, però, che le amministrazioni pubbliche compiano un´ampia e scrupolosa opera di ricognizione di tutti i trattamenti di dati sensibili e giudiziari che effettuano. Lo scopo è quello di verificare la corrispondenza dei trattamenti effettuati ai principi fissati dall´art. 22 del Codice e, in particolare, al principio di proporzionalità, in forza del quale è legittimo il trattamento dei soli dati "indispensabili" allo svolgimento di attività che non potrebbero essere adempiute mediante il ricorso a dati anonimi o a dati personali di diversa natura.

I regolamenti dovranno, comunque, essere adottati in conformità al parere reso dal Garante. Parere che, per rendere più agevole e rapida l´adozione di tali atti, può essere formulato anche su schemi tipo. In vista di questo obiettivo, in ottemperanza al principio di semplificazione introdotto dal Codice, il Dipartimento della funzione pubblica ha esortato le amministrazioni ad avviare ogni iniziativa utile ad identificare settori di attività, comuni a più enti, per i quali si possa procedere ad un´elaborazione congiunta di schemi tipo da sottoporre all´attenzione del Garante.

Da tempo, infine, sono in corso tavoli di lavoro tra gli uffici del Garante e gli organismi rappresentativi degli enti locali e delle università. Lo scopo è, anche in questo caso, quello di incentivare e promuovere l´attuazione delle norme a protezione dei dati e l´adozione delle previste garanzie per i cittadini.

Multinazionali ed export di dati personali
I Garanti Ue fissano la procedura per riconoscere l´adeguatezza delle cosiddette "norme vincolanti d´impresa"

Il Gruppo che riunisce le autorità europee per la protezione dei dati ha approvato due documenti (WP107 e WP108, disponibili in lingua inglese all´indirizzo www.europa.eu.int.....pdf e www.europa.eu.int....pdf) attraverso i quali le imprese multinazionali potranno vedere riconosciuta in tutti i Paesi dell´UE la validità delle cosiddette "norme vincolanti d´impresa" ai fini del trasferimento di dati personali verso Paesi terzi che non garantiscono un livello adeguato di protezione dei dati personali.

Le "norme vincolanti d´impresa" (Binding Corporate Rules) sono uno degli strumenti dei quali le imprese multinazionali possono avvalersi per procedere ai trasferimenti di dati personali da Paesi UE verso Paesi terzi "non adeguati". Ricordiamo che la Commissione europea ha autorizzato il ricorso a clausole contrattuali tipo, nonché, limitatamente agli USA, l´adesione agli accordi cosiddetti di "Safe Harbor" per trasferire dati personali verso Paesi terzi garantendo una protezione adeguata.

In passato, le imprese, soprattutto multinazionali, avevano spesso chiesto la disponibilità di un approccio "one-stop-point", ossia di poter dialogare con un solo interlocutore anziché con 25 diverse autorità onde ottenere l´autorizzazione all´impiego delle norme in questione. Questo è adesso possibile attraverso l´approccio elaborato dai Garanti europei, che al contempo garantisce alle autorità di protezione dati la possibilità di svolgere una valutazione congiunta in un quadro di garanzie uniformi e nel rispetto della prerogative di ciascuna.

I Garanti hanno fissato gli aspetti procedurali nel documento WP107, che prevede la designazione di un´autorità di protezione dati quale "leader" della valutazione, alla quale tutte le altre autorità interessate (ossia, quelle dei Paesi UE dai quali devono essere trasferiti dati personali) faranno capo per commenti e osservazioni. La designazione spetta alla società multinazionale, che dovrà rifarsi ai criteri indicati nel documento, fra i quali priorità viene data alla considerazione del Paese ove è situata la capogruppo o la sede centrale europea della multinazionale. Le autorità sono libere o meno di accettare tale designazione sulla base della documentazione prodotta dalla società, eventualmente formulando una contro-proposta. Stabilita l´autorità-leader, la procedura prevede l´elaborazione di una bozza finale di "norme vincolanti d´impresa" che è sottoposta alla valutazione congiunta di tutte le autorità interessate, coordinate dall´autorità-leader; l´accettazione di tale bozza finale vale come riconoscimento dell´adeguatezza delle norme in essa contenute e, quindi, come autorizzazione al loro impiego.

I Garanti hanno poi prodotto un altro documento (WP108), che integra e completa il precedente fornendo indicazioni specifiche sui contenuti delle norme vincolanti d´impresa. Rifacendosi ai criteri fissati in materia con un documento approvato nel giugno 2003 (WP74, del 3 giugno 2003, http://www.europa.eu.int....pdf, v. Newsletter 2-8 giugno 2003), i Garanti hanno elaborato una sorta di "checklist" che le imprese dovranno utilizzare per verificare che le rispettive "norme vincolanti d´impresa" rispondano ai principi fissati nella Direttiva 95/46. Ciò riguarda, in particolare, la dimostrazione dell´effettiva vincolatività delle norme – sia all´interno del gruppo (controllate, collegate, dipendenti, terzi fornitori) sia all´esterno, soprattutto ai fini dell´esercizio dei diritti riconosciuti agli interessati.