Civile

Wednesday 21 May 2003

La relazione annuale del Garante della Privacy. Discorso del Presidente Stefano Rodotà 20.5.2003. Relazione

La relazione annuale del Garante della Privacy.

Garante della Privacy relazione 2002 . Discorso del Presidente Stefano Rodotà 20.5.2003. Relazione

Signor Presidente della Repubblica, due tendenze, spesso contrapposte, hanno dominato nellultimo anno il mondo della protezione dei dati personali.

Riconosciuta come diritto fondamentale dallarticolo 8 della Carta dei diritti fondamentali dellUnione europea, la protezione dei dati personali vedrà confermata e rafforzata questa sua natura dal futuro Trattato costituzionale dellUnione europea.

Emerge una nuova dimensione della libertà dei contemporanei, fondata sulla “costituzionalizzazione” della persona. Un modello, creato nellUnione europea, sta diventando punto di riferimento per i più diversi paesi del mondo, dando così un contributo importante alla “globalizzazione attraverso i diritti”.

Al tempo stesso, però, si è fatta più massiccia la pressione per utilizzare qualsiasi dato personale soprattutto per ragioni di sicurezza interna e internazionale, ma anche per finalità commerciali, né si è spenta la resistenza di molti settori della pubblica amministrazione. E lincessante innovazione scientifica e tecnologia, che congiunge campi fino a ieri lontani come lelettronica e la genetica, sembra rendere vana ogni pretesa di offrire tutele giuridiche.

Come si governa questa realtà variegata e contraddittoria, questo continuo divaricarsi tra il rafforzamento delle tutele istituzionali e le pretese di non tenerne conto? Bisogna rifuggire da impostazioni che presentino come inevitabilmente conflittuali il diritto alla protezione dei dati personali ed altri diritti. E analizzare piuttosto le dinamiche reali, dove il gioco degli interessi rifiuta dessere chiuso in schemi semplificati.Le invasioni quotidiane della sfera privata Lo dimostra con chiarezza una vicenda recentissima, quella dellinvio massiccio di messaggi non desiderati di posta elettronica. Il Garante italiano ha sempre sostenuto che invii del genere fossero legittimi solo con il consenso degli interessati:

un atteggiamento che qualcuno giudicò eccessivo, arrivando addirittura a parlare di un “khomeinismo” del Garante.

Ma la nostra posizione ha poi trovato conferme in atti come la Direttiva europea 58/02, in occasione della quale la scelta per lopt-in, per il consenso degli interessati, ha prevalso grazie anche al sostegno del ministro delle Comunicazioni. E vi è, eloquentissima, la forza delle cose. Improvvisamente gli Stati Uniti hanno scoperto che lo spamming, linvio massiccio di “messaggi spazzatura”, ha ormai superato il 40% del traffico su Internet, passando da un miliardo di messaggi nel 1999 a 5.6 miliardi nel 2002. La Federal Trade Commission accerta che il 66% di questi messaggi contiene “elementi di falsità”, percentuale che arriva al 90% per le offerte finanziarie o di investimento. Sommersa dalle proteste, la più grande società del settore, America on Line, chiede dieci milioni di dollari di risarcimento a cinque società responsabili di spamming, seguendo lesempio di altre imprese che già hanno ottenuto risarcimenti miliardari. E si calcola che lo spamming, nel 2002, sia costato alleconomia americana quasi 9 miliardi di dollari.

Con uno spettacolare rovesciamento di posizioni, il paese più ostile alla regolamentazione della rete ha imboccato la via di pesantissimi interventi legislativi. Lo Stato della Virginia ha approvato una legge che considera linvio massiccio di posta elettronica indesiderata come un reato, punibile con la reclusione da uno a cinque anni. Il Congresso affronterà questo problema, considerando anche la possibilità di “taglie” a favore dei cacciatori di chi fa spamming.

Ha dunque ragione lEuropa nel ritenere indispensabile luso dello strumento legislativo per la concreta protezione dei dati personali, e per evitare che la natura stessa di Internet sia stravolta da una sua trasformazione in un gigantesco contenitore di messaggi spazzatura. In questa materia interveniamo quasi quotidianamente a tutela dei cittadini vittime dello spamming; abbiamo sottolineato che la semplice presenza in rete di un indirizzo di posta elettronica non lo rende “pubblico”, utilizzabile senza il consenso dellinteressato; abbiamo già bloccato una ventina di banche dati utilizzate a questo fine, con interventi finora unici in Europa e che intensificheremo già nelle prossime settimane. Ci muoviamo lungo una linea che, dando piena tutela alla sfera privata, può evitare in futuro derive costose per il sistema economico, testimoniate dallesperienza americana e da una circolazione globale quotidiana di 30 miliardi di e-mail al giorno. Cominciamo così a tradurre in azione concreta il titolo di un nostro seminario internazionale del dicembre passato, quando avevamo parlato di una privacy che da costo si faceva risorsa. Possiamo dire di essere stati più lungimiranti di molti imprenditori indicando nellinvio massiccio di messaggi indesiderati una malattia che avrebbe potuto pregiudicare la salute del sistema imprenditoriale.

Si affronta così una emergenza concreta, e al tempo stesso si dà rilievo ad una questione più generale. Oggi la tutela dei dati personali non riguarda soltanto la divulgazione impropria delle nostre informazioni. Consiste anche nella difesa della sfera privata contro invasioni che violano il diritto alla tranquillità, cancellano il diritto di non sapere.Uno Stato, una privacy

Quando altre esigenze premono, come accade oggi con quelle legate alla sicurezza interna ed internazionale, il bilanciamento tra gli interessi deve sempre assicurare il mantenimento di un “elevato grado di tutela”, come vuole la Direttiva 95/46. Nelle passate relazioni abbiamo richiamato molti casi nei quali il nostro intervento ha reso possibile la coesistenza tra le ragioni della sicurezza e quelle della tutela dei dati personali. Oggi ricordiamo che la Carta dei diritti fondamentali dellUnione europea obbliga a rispettare il contenuto essenziale dei diritti (art.52.1) e che la Convenzione europea dei diritti delluomo prevede la possibilità di limitazioni alla tutela della vita privata, ma le subordina in ogni caso al fatto che si tratti di misure necessarie “in una società democratica”.

La difesa del valore della democrazia, dunque, appare il bene da salvaguardare prima di ogni altro. Il Garante non è certo lunica istituzione alla quale sia stato affidato il compito di evitare che le nostre divengano quelle società della sorveglianza e della classificazione delle quali già in passato avevamo paventato lavvento.

Ma nellultimo periodo questo rischio è aumentato, si è fatto sempre più evidente lintreccio tra questione democratica e tutela dei dati personali.

Questo ci attribuisce una maggiore responsabilità, accresce quel carattere di istituzione di frontiera che il Garante, fin dallorigine, ha avuto. Possiamo contribuire a far sì che nei momenti difficili non prendano il sopravvento reazioni emotive o interessate, che inducano a scambiare libertà della sfera privata contro sicurezza, invece di ricercare i possibili punti di equilibrio, rispondenti alla logica che ha ispirato il testo di base in questa materia, la Direttiva europea 95/46, che ha garantito, al tempo stesso, la massima possibile circolazione delle informazioni personali e la massima loro tutela. Questo vuol dire che ogni misura che incide sulla tutela dei dati personali deve sempre essere accompagnata da controlli e garanzie ulteriori, in grado di salvaguardare appunto gli equilibri democratici.

Il nostro compito sarà certamente reso più incisivo dalla prossima approvazione del codice per la protezione dei dati personali, attualmente allesame delle Camere e che, non a caso, si apre riproducendo il primo comma dellart. 8 della Carta dei diritti fondamentali dellUnione europea: “Chiunque ha diritto alla protezione dei dati di carattere personale che lo riguardano”. Non è un omaggio formale.

È la conferma della natura nuova che il diritto alla tutela dei dati personali ha definitivamente assunto, dando piena evidenza ad un sistema di garanzie che deve accompagnare la persona in ogni momento di una vita divenuta ormai uno scambio continuo di informazioni, una rappresentazione sociale che dà pubblica e continua evidenza al corpo e alle sue immagini, alle opinioni ed alle preferenze, ai narcisismi ed al pudore.

È nata una nuova concezione integrale della persona, alla cui proiezione nel mondo corrisponde il forte diritto di non perdere mai il potere di mantenere il pieno controllo sul proprio “corpo elettronico”, distribuito in molteplici banche dati, nei luoghi più diversi. Un diritto che si caratterizza ormai come componente essenziale della nuova cittadinanza, da intendere come il fascio di poteri e doveri che appartengono ad ogni persona, e non più come il segno dun legame territoriale o di sangue.

Questa ricostruzione della natura della tutela dei dati personali non risponde soltanto ad una esigenza di pulizia concettuale. Ha immediate implicazioni istituzionali.

Come diritto fondamentale della persona, ed elemento costitutivo della sua cittadinanza, la tutela dei dati personali si colloca tra le materie per le quali lo Stato mantiene competenza legislativa esclusiva, nel quadro già disegnato dalla riforma del Titolo V della Costituzione e confermato dai riferimenti all”unità giuridica” ed all”interesse nazionale” contenuti nei testi attualmente allesame delle Camere, giustamente ispirati al criterio che vuole i diritti fondamentali sottratti al rischio di disarmonie territoriali e, nel nostro caso, affidati quindi alla garanzia di una sola autorità indipendente.

La questione già si è posta concretamente in occasione di una legge della provincia di Bolzano (15 novembre 2002, n. 14) istitutiva di una banca di dati in materia sanitaria, che il Consiglio dei ministri, nella riunione del 24 gennaio 2003, ha opportunamente impugnato davanti alla Corte costituzionale, sottolineando che “la tutela della privacy, classico esempio di diritto inviolabile, non può non essere rimessa alla competenza dello Stato”. E si è anche ricordato che si deve considerare “principio fondamentale della materia” la disposizione contenuta nellart. 23.4 della legge sulla protezione dei dati personali, che vieta la rivelazione dei dati sulla salute, salvo che ciò sia necessario per laccertamento, la prevenzione e la repressione dei reati. Inutile dire che la decisione della Corte assumerà particolare rilevanza non solo per la definizione delle competenze di Stato, Regioni e province autonome (il problema già si pone per diverse regioni), ma anche per un chiarimento di portata generale sulla possibilità, da parte di soggetti pubblici, di trattare i dati sulla salute per finalità diverse da quelle della diretta tutela dellinteressato.

È opportuno ricordare che più volte il Garante ha dato una interpretazione rigorosa delle norme in materia, quando si intendeva ricorrere a dati sulla salute per realizzare, ad esempio, finalità di lotta allevasione fiscale. Intendiamo tener fermo questo orientamento, anche per evitare violazioni del fondamentale principio delleguaglianza tra i cittadini. Se, ad esempio, si costituissero banche dati contenenti tutte le prescrizioni mediche con indicazione nominativa delle persone alle quali si riferiscono, si creerebbe un sistema ad alto rischio sociale, al quale potrebbero sottrarsi soltanto coloro i quali decidessero di non utilizzare il sistema sanitario nazionale e di pagare direttamente i farmaci. Non permetteremo la trasformazione della protezione dei dati personali in un privilegio per i più abbienti.Corpo, salute, dignità: la genetica come questione centrale

I dati sulla salute richiedono sempre una attenzione particolare, non solo perché così vuole la legge, ma perché essi rimandano alla nuda condizione umana, colgono la persona nei momenti di massima fragilità, rivelano la debolezza del corpo.

E proprio il corpo, quello fisico e non quello disincarnato delle informazioni elettroniche, è oggi al centro di una attenzione che vuole scandagliarne ogni recesso, utilizzarne ogni possibilità. Qui lintreccio tra elettronica, biologia e genetica ha già aperto scenari nuovi, insieme promettenti e inquietanti. Qui si gioca una partita essenziale per il futuro della protezione dei dati, la cui intensità diviene anche la condizione perché ciascuno possa godere delle grandi promesse della genetica.

Il corpo sta diventando una password, la fisicità prende il posto delle astratte parole chiave, impronte digitali, iride, tratti del volto, Dna: si ricorre sempre più frequentemente a questi dati biometrici non solo per finalità di identificazione o come chiave per laccesso a diversi servizi, ma anche come elementi per classificazioni, per controlli ulteriori rispetto al momento dellidentificazione.

E il corpo può essere predisposto per essere seguito e localizzato permanentemente.

Alcuni genitori inglesi, traumatizzati da rapimenti e violenze sui bambini, hanno chiesto che sotto la pelle dei loro figli venga inserito un chip elettronico proprio per poter sapere in ogni momento dove si trovano. La sorveglianza sociale si affida ad una sorta di guinzaglio elettronico, il corpo umano viene assimilato ad un qualsiasi oggetto in movimento, controllabile a distanza con una tecnologia satellitare.

Le derive tecnologiche assumono così tratti particolarmente inquietanti. Le finalità di identificazione, sorveglianza, sicurezza delle transazioni possono davvero giustificare qualsiasi utilizzazione del corpo umano resa possibile dallinnovazione tecnologica? La nostra linea di lavoro su questi temi può essere così sintetizzata:

– rispetto della dignità della persona, espressamente richiamata dallart. 1 della legge n. 675 del 1996 e dichiarata inviolabile dal primo articolo della Carta dei diritti fondamentali dellUnione europea; – rispetto dellidentità personale, anchessa menzionata nellart. 1 della legge, considerando in particolare i possibili “furti didentità”, già ricordati nella Relazione dello scorso anno a proposito delle impronte digitali e che diventano pericolosissimi quando riguardano il materiale genetico e le relative informazioni; – rispetto dei principi di finalità e di proporzionalità: solo ragioni sociali molto forti, e non una semplice convenienza organizzativa o economica, possono giustificare il ricorso alla biometria, che tuttavia non deve essere utilizzata per schedature centralizzate e di massa e deve sempre essere accompagnata da adeguati strumenti di controllo affidati anche agli stessi interessati; – attenzione per gli effetti cosiddetti imprevisti o indesiderati e che, invece, spesso sono conseguenze determinate da analisi incomplete o troppo interessate delle tecnologie alle quali si intende ricorrere.

Il problema della protezione dellidentità dai suoi possibili “furti”, già imponente nel settore del commercio elettronico e che esige cautele particolari per le impronte digitali, può divenire drammatico se il furto riguarda materiale che consente di ottenere informazioni genetiche. Un recente caso di cronaca può illustrare la questione in modo semplice e persuasivo. Una persona ben nota è stata seguita, e ci si è impadroniti di un suo fazzoletto di carta buttato via dopo essersi soffiato il naso. Il materiale genetico così raccolto è stato poi adoperato, ovviamente allinsaputa dellinteressato, per effettuare accertamenti riguardanti la sua paternità.

La violazione della sfera privata, in sé gravissima, diviene ancor più inquietante se si tiene conto del fatto che, grazie ai dati ricavabili da qualsiasi frammento di materiale genetico (saliva, capelli, pelle, sangue), è possibile ottenere informazioni relative non soltanto allidentità della persona, ma anche di tipo “predittivo”. E, poiché il genoma costituisce il tramite tra le generazioni, i dati riguardanti una singola persona forniscono informazioni su tutti gli appartenenti al suo gruppo biologico. Passato, presente e futuro, dunque, possono essere scandagliati attraverso i dati genetici. Riteniamo che, in un tempo in cui si puniscono con severità eccessiva violazioni della proprietà intellettuale, i legislatori debbano riflettere su questa possibilità di impadronirsi di un aspetto dellidentità altrui che tocca le radici stesse dellesistenza individuale e di gruppo, prevedendo anche una adeguata tutela penale.

Verrebbe così efficacemente integrato un sistema di tutela dei dati necessario anche per consentire a tutti di godere al massimo dei benefici della ricerca genetica.

Benefici grandi, che ampliano le possibilità di prevenzione e di cura di un numero crescente di malattie, di trattamenti farmacologici personalizzati, in generale di compiere scelte di vita in modo più consapevole. Ma la condizione prima di questo arricchirsi della libertà e della tutela della salute è un ricorso ai dati genetici strettamente limitato alle finalità prima indicate. Lesperienza internazionale ci dice che le persone spesso preferiscono rinunciare ai benefici loro offerti dalla genetica se temono che i loro dati possano poi essere utilizzati da altri in modo discriminatorio.

Questo è, appunto, uno di quegli effetti “imprevisti” che, invece, sono facilissimi da prevedere e che è compito di una istituzione come la nostra evitare.Le nuove diseguaglianze

Se, infatti, grandi sono le opportunità offerte dalla genetica, altrettanto grandi sono i rischi di utilizzazioni dei dati genetici che possono determinare discriminazioni nellaccesso al lavoro o al credito, nella conclusione di contratti di assicurazione vita o malattia, o attraverso forme di schedatura genetica di massa. Non a caso tutti i documenti internazionali sottolineano con forza questo aspetto. “È vietata qualsiasi forma di discriminazione fondata, in particolare, (&sul)le caratteristiche genetiche” dice lart. 21 della Carta dei diritti fondamentali dellUnione europea. Si vieta “ogni forma di discriminazione nei confronti di una persona per il suo patrimonio genetico” nellart. 11 della Convenzione europea di biomedicina.

E lo stesso orientamento si trova nellart. 6 della Dichiarazione universale sul genoma umano: “nessuno può essere discriminato per le sue caratteristiche genetiche, con finalità o effetti di violazione dei suoi diritti e libertà fondamentali e del riconoscimento della sua dignità”.

È indispensabile, quindi, non solo impedire iniziative che possano nellimmediato provocare discriminazioni, ma anche evitare che si creino situazioni comunque propizie alla diseguaglianza. Il nostro immediato programma dazione è volto a controllare la legittimità di ogni forma di trattamento dei dati genetici; a ribadire la rilevanza dellinformazione e del consenso degli interessati; a valutare i contesti allinterno dei quali si svolge lattività di raccolta e trattamento dei dati genetici, riprendendo in particolare lattività di controllo sui progetti di ricerca genetica sulle popolazioni, già in corso in diverse regioni; a seguire con il massimo rigore gli intrecci nuovi tra tecnologie informatiche e trattamento dei dati genetici.

Denunciamo senza ambiguità il grave rischio rappresentato dallofferta di test genetici via Internet. I genetisti li condannano, così come diverse organizzazioni per la tutela dei diritti civili; serissime riserve sono state espresse dalla Human Genetics Commission inglese, in un rapporto del marzo di questanno. Le tecniche adoperate accrescono le preoccupazioni. I test vengono spesso proposti come se si trattasse di un qualsiasi prodotto da supermercato: paghi due e scegli tre test in un elenco di malattie; offerte speciali, sconti, kit in omaggio.

Considerando i profili giuridici della questione, e dunque i poteri e le responsabilità del Garante, abbiamo avviato accertamenti su siti italiani, per verificare il rispetto di principi essenziali della protezione dei dati, come quelli riguardanti linformativa a quanti richiedono il test, il consenso che gli stessi devono prestare, le modalità di comunicazione dei risultati, lautorizzazione eventuale del Garante. Le questioni del consenso diventano particolarmente gravi per i test di paternità, ordinariamente chiesti dal padre dubbioso utilizzando materiale genetico di un minore allinsaputa della madre, con conseguenze gravi sulla disciplina delle relazioni familiari.

Per quanto riguarda la comunicazione dei risultati, essendo la loro interpretazione particolarmente complessa nel caso dei test predittivi, e tale da poter incidere drammaticamente su scelte di vita, assume specifica rilevanza il secondo comma dellart. 23 della legge n. 675 del 1996, che impone la comunicazione dei dati sulla salute tramite un medico di fiducia. Intermediazione peraltro insufficiente in questi casi, tanto che lart. 12 della Convenzione europea di biomedicina condiziona la legittimità dei test predittivi ad “una consulenza genetica appropriata”, ovviamente riferita allintero processo, e non solo alla comunicazione del risultato finale. Poiché la Convenzione è stata ratificata con la legge n.

145 del 28 marzo 2001, sollecitiamo il Governo a depositare i relativi strumenti, permettendo così lentrata in vigore di una normativa che, in particolare nella materia della genetica, può assicurare pienezza di tutela alla libertà esistenziale ed al diritto fondamentale alla salute.La localizzazione delle persone e i “guinzagli elettronici”

Se il corpo investigato attraverso lintima sua struttura genetica apre inquietanti prospettive, preoccupazioni nuove nascono dal diffondersi delle tecniche di localizzazione delle persone. Ormai consolidate attraverso i servizi di telecomunicazione, ed offerte dai loro gestori, queste tecniche cominciano ad utilizzare anche strumenti diversi, in particolare i chip che possono essere inseriti in qualsiasi prodotto e, come si è già ricordato, addirittura nel corpo umano. Esse individuano una dimensione nuova della sorveglianza, resa possibile dal mutamento sociale che ha portato il telefono mobile a divenire quasi una protesi della persona, un robustissimo e invisibile filo elettronico che permette di seguire ogni nostro movimento in qualsiasi labirinto. A questo si accompagna linteresse di un mondo imprenditoriale che vuole seguire la circolazione dei prodotti e, attraverso questa, ricostruire anche i comportamenti di acquirenti e utilizzatori.

Avevamo tra i primi segnalato il diffondersi della videosorveglianza, sulla quale continueremo a vigilare viste le molte utilizzazioni improprie da parte dei comuni. Ma le nuove forme di controllo capillare non sono più limitate agli spazi pubblici, ci seguono implacabilmente anche nei luoghi più intimi, neppure la casa offre più un riparo.

Il tema della localizzazione e della continua “tracciabilità” delle persone individua così una dimensione nella quale la protezione dei dati può intrecciarsi con quella di altri diritti fondamentali, inviolabili e indisponibili. Questo vuol dire che neppure il consenso dellinteressato può rendere legittimo linserimento nel suo corpo di un chip che permetta di seguirne i movimenti, o il ricorso a chip che, inseriti in un prodotto, rendano poi possibile il controllo dei comportamenti di chi lo utilizza. Il “guinzaglio elettronico” confligge con la dignità della persona.

La localizzazione attraverso il telefono esige valutazioni che muovano dagli stessi principi. Esclusa ogni utilizzazione lesiva della dignità o che indebitamente interferisca nellaltrui sfera privata, e ferme restando le regole sul consenso, si deve sottolineare che è stato riconosciuto il diritto a non essere localizzato, che consente di sottrarsi ad una opprimente forma di controllo sociale, senza stigmatizzazioni o discriminazioni nei confronti di chi concretamente esercita questo nuovo diritto.

Inoltre, ogni conservazione dei dati di traffico per un determinato periodo, che implichi anche la possibilità di ricostruire i movimenti della persona, deve essere adeguatamente motivata e circoscritta nel tempo, con riferimenti dettagliati ad eventuali situazioni di emergenza o esigenze di sicurezza. Viene così confermata la necessità, sottolineata con particolare forza nella Relazione dellanno scorso, di circoscrivere rigorosamente tempi e modalità di conservazione dei dati di traffico, in via generale, anche al di là dello specifico profilo della localizzazione.

La questione rimane aperta e, anzi, si è complicata dopo le richieste di estendere lobbligo di conservazione anche ai dati riguardanti Internet. E qui i dubbi si fanno ancor più consistenti, poiché vengono in gioco non solo la libertà di “navigare” in rete, e dunque la versione nuova ed elettronica della libertà di circolazione, ma pure la libertà di manifestazione del pensiero e quella di associazione, vista la crescente vocazione di Internet ad essere proprio strumento di espressione e di organizzazione per milioni di persone.Il Garante e i cittadini

Affrontando problemi nuovi, il Garante sente più forte la responsabilità istituzionale di “curare la conoscenza tra il pubblico delle norme che regolano la materia”.

Questo ha richiesto una strategia complessa, delineata nelle passate relazioni e che ha preso le mosse da un ripensamento della nostra struttura. Ora la riorganizzazione interna è compiuta, e possiamo misurarne gli effetti in termini di efficienza, grazie anche alla nomina di un direttore di gestione.

I dati statistici per il 2002 mostrano un incremento costante del lavoro dellUfficio rispetto al 2001. È raddoppiato il numero dei ricorsi definiti (da 211 a 500), gli interventi su segnalazioni e reclami sono passati da 2327 a 3689.

Sono stati 12.800 le richieste di informazioni e i quesiti telefonici, ai quali si devono aggiungere 6.400 casi di assistenza telefonica alle notificazioni. Rimane statisticamente esiguo il numero delle impugnazioni dei nostri atti e provvedimenti:

un risultato nel quale non si riflette una sorta di accettazione passiva della giurisprudenza del Garante, quanto piuttosto un dialogo persuasivo con tutti i nostri interlocutori.

Considerando ricorsi, reclami, quesiti e segnalazioni si giunge ad una cifra di 28.475, che conferma i dati degli anni precedenti per quanto riguarda i flussi verso il Garante, mettendo a dura prova lintera struttura. Non è mancato limpegno del personale in un lavoro che esige anche una capacità costante di tenere il passo di una opinione pubblica esigente e di una realtà tecnologica e sociale straordinariamente dinamica. Un ringraziamento per tutti, in particolare per la guida che allintera attività è venuta dal Segretario generale.

Dobbiamo certo rafforzare la nostra capacità di risposta alle domande dei cittadini, rendendoli anche consapevoli dei poteri che possono direttamente esercitare.

La ristrutturazione del nostro sito, la distribuzione in centinaia di migliaia di copie di piccoli opuscoli informativi dovrebbero favorire questo risultato. Speriamo che un buon risultato informativo sia venuto dallo spot diffuso sulle reti televisive e radiofoniche Rai: una novità nel mondo delle autorità indipendenti, resa possibile dalla collaborazione della Presidenza del Consiglio. Lo spot, è bene sottolinearlo, è stato prodotto direttamente da noi, a bassissimo costo, grazie alla generosità (nessuno ha richiesto compensi) di tutti i partecipanti a questa impresa.

In un solo punto non si registrano novità: il permanere di una straordinaria compattezza nel lavoro del collegio. Che non significa assenza di discussione, e persino di contrasti. Ma questo avviene in un clima di confronto così intenso che non può, poi, destar meraviglia lunanimità che ha sempre accompagnato le nostre decisioni, risultato di un lavoro unitario e convergente. Merito, forse, anche delle particolari modalità di nomina del Garante.

A Parlamento e Governo deve essere indirizzata unaltra segnalazione.

Abbiamo rispettato le decisioni della legge finanziaria sulla riduzione degli stanziamenti e quelle relative al taglio delle spese. Ma il mantenimento dei livelli qualitativi e quantitativi, che hanno finora caratterizzato lattività del Garante, così come la capacità di orientamento culturale nelle infinite materie a noi affidate e la forte iniziativa in campo internazionale, sarebbero sicuramente pregiudicati da una distribuzione delle risorse che privilegi criteri astratti, e non si fondi, invece, su di una puntuale valutazione delle esigenze di ciascuna istituzione.

Larghissimo, infatti, è lo spettro delle competenze del Garante e, probabilmente, la miglior politica informativa è quella che si concreta nella tempestiva risposta a domande diffuse nella società. Abbiamo constatato lattenzione dei cittadini quando ci siamo occupati delle centrali rischi private, che coinvolgono interessi di milioni di persone. Ma, insieme alla capacità di intervenire a tutela di interessi di larga rilevanza sociale, è essenziale la prontezza nellaffrontare le questioni nuove. Accade da mesi nella materia dello spamming. Cogliendo le inquietudini suscitate dallarrivo sul mercato dei nuovi telefoni cellulari in grado di inviare foto, gli Mms, abbiamo subito indicato le condizioni per il corretto uso di questa tecnologia.

Ma è lintero sistema delle telecomunicazioni a costituire un vero nervo scoperto.

Se i cittadini sono avidi di cogliere le opportunità che continuamente offre, sono pure particolarmente reattivi e chiedono tutela contro ogni utilizzazione impropria dei dati, contro ogni ostacolo opposto alle loro richieste di controllo dei diversi fornitori di servizi. Dopo essere intervenuto, insieme allAutorità per le telecomunicazioni, per far sì che i nuovi elenchi telefonici consentano a ciascun abbonato di decidere liberamente se e come comparire in essi, il Garante sta rispondendo allinsieme delle questioni emerse in questo settore con provvedimenti che, oltre a quello già ricordato sugli Mms, hanno già riguardato linvio di Sms da parte di soggetti istituzionali, ai quali si aggiungeranno nei prossimi giorni quelli riguardanti in generale gli Sms e la fatturazione dettagliata.

Laltra lunga frontiera, dove il Garante incontra lopinione pubblica, è quella del sistema dellinformazione. Le richieste sono numerose, i nostri interventi sono particolarmente attenti alla tutela dei minori, al rispetto della dignità di tutti. Lo sforzo è anche quello di promuovere una cultura comune attraverso un dialogo continuo con i giornalisti, anche attraverso attività formative, e affrontando i nuovi problemi legati allinformazione attraverso Internet e la telefonia cellulare.

Nellambito delle attività economiche assume rilievo particolare il trasferimento dei dati fuori dellUnione europea, che coinvolge sia linteresse delle imprese alla fluidità della circolazione delle informazioni, sia il diritto dei cittadini a mantenere intatte le loro garanzie. Stiamo attentamente seguendo le modalità di tali trasferimenti, ed abbiamo anche svolto una indagine conoscitiva su un campione delle 50 maggiori società italiane. Ha finora risposto l80.8% degli interpellati. L85.7% delle società effettua trasferimenti fuori dellUnione europea, ricorrendo nella grande maggioranza dei casi al consenso degli interessati (83.3%). Poiché nelle risposte viene indicato anche il contemporaneo ricorso ad una molteplicità di strumenti, si registra un riferimento allesecuzione di obblighi contrattuali nel 50% dei casi, una significativa utilizzazione dellaccordo Safe Harbor per i trasferimenti negli Stati Uniti (16.7%), un avvio promettente delle clausole contrattuali standard predisposte dallUnione europea (8.3%). I soggetti interessati sono soprattutto gruppi societari.

Analizzando il tipo di dati trasferiti, nella maggior parte dei casi si tratta di informazioni relative ai dipendenti, anche se sono rilevanti pure i trasferimenti relativi ai dati di altre società (clienti, concorrenti, fornitori). Il riferimento prevalente al consenso rivela una preferenza per gli strumenti più collaudati, ma esige pure una attenta verifica sulleffettivo rispetto di tutte le condizioni che legittimano il trasferimento.

Le garanzie, infatti, potrebbero apparire deboli se non venissero accompagnate da una adeguata attività di controllo. Per questo è stata rafforzata lattività di ispezione, grazie anche ad un protocollo dintesa con la Guardia di Finanza, il cui Comandante Generale intendiamo qui pubblicamente ringraziare. Lapplicazione delle sanzioni, anche nei confronti di una pubblica amministrazione troppe volte distratta, rende più incisiva la nostra azione, e quindi il rispetto di regole scritte nellesclusivo interesse dei cittadini.

La legittimazione sociale del Garante è affidata anche ad una sua percezione da parte dellopinione pubblica come istituzione capace di tenere vivo un dialogo continuo con lintera collettività, che da essa attende una capacità di regolazione in grado di assicurare sintonia tra sistema giuridico e dinamiche tecnologiche e sociali.

In questa direzione assumono particolare rilievo i codici di deontologia e buona condotta, che ampliano responsabilità e poteri del Garante in settori delicatissimi come la disciplina di Internet e del rapporto di lavoro, della videosorveglianza e del direct marketing. Siamo di fronte ad un significativo mutamento del sistema delle fonti che, nellambito di una legislazione per principi, affida al Garante il compito di promuovere e governare un sistema flessibile di regole, omeostatico, per certi versi sperimentale, capace di quei rapidi aggiustamenti di fronte ad una realtà mutata che non possono essere richiesti agli interventi parlamentari.

I codici deontologici si inseriscono nel nuovo quadro istituzionale delineato dal testo unico (“codice”) appena approvato dal Consiglio dei ministri sulla base delleccellente lavoro svolto dalla Commissione nominata dal ministro per la Funzione Pubblica. Si tratta del primo tentativo a livello europeo (e non solo) di codificare la complessa e dispersa materia della tutela dei dati personali.

Ci accingiamo ad esprimere il nostro parere su questo testo e ci auguriamo che dai pareri delle Camere venga un ulteriore contributo alla migliore definizione della disciplina.Mutamenti sociali e ragioni della libertà

Ma non si può fare buona politica di tutela dei dati personali in un paese solo.

Bisogna partire almeno dal modello europeo, oggi rudemente messo alla prova da richieste come quella proveniente dallamministrazione americana di poter disporre di una cospicua massa di dati su chi vola dallEuropa verso gli Stati Uniti, senza tener conto delle garanzie previste dalle norme europee e nazionali. Di fronte ad una posi- zione della Commissione a dir poco arrendevole, ed alla passività di altre autorità nazionali, il Garante italiano ed il Gruppo dei garanti europei si sono rivolti ai vertici delle istituzioni dellUnione, trovando una significativa risposta nel Parlamento europeo, che con un voto quasi unanime ha censurato loperato della Commissione.

Se la partita è ancora aperta, lo si deve dunque ad una nostra iniziativa che ha preso sul serio i diritti riconosciuti dalla Carta, dalle direttive europee e dalle leggi interne dei diversi paesi. Questo atteggiamento di fermezza sui principi dovrebbe ora esser fatto valere dallUnione europea anche a proposito del Total Information Awareness Program (Programma per la conoscenza totale delle informazioni), che lamministrazione statunitense intende utilizzare per il controllo di tutte le comunicazioni di ogni cittadino del pianeta, eccezion fatta per gli americani.

È in corso un confronto tra diversi modelli di tutela delle libertà, con molte istituzioni e personalità degli Stati Uniti attentissime al modello europeo. Il dialogo può essere fecondo soprattutto se si ricorda che il modello europeo è stato costruito partendo da ingredienti importati dagli Stati Uniti, lidea moderna di privacy e le autorità indipendenti.

La libertà è oggi sfidata da molte volontà e molte tecniche rivolte alla costruzione di una società della sorveglianza. Per sfuggire a questo rischio servono strategie istituzionali adeguate. Lo spazio virtuale devessere sottratto alla pura logica di mercato, a quella che è stata chiamata la “disneyzzazione”, che nega la sua natura di spazio pubblico.

Ma anche lo spazio reale, i tradizionali luoghi pubblici strade, piazze, parchi, stazioni, aeroporti vengono sempre più sottoposti ad un controllo capillare, scrutati implacabilmente, segnando così il passaggio da una sorveglianza mirata ad una generalizzata. È la stessa logica che presiede alla conservazione per periodi sempre più lunghi di tutti i dati riguardanti il traffico telefonico, la posta elettronica, la navigazione su Internet.

Il mutamento sociale è proprio qui. La sorveglianza si trasferisce dalleccezionale al quotidiano, dalle classi “pericolose” alla generalità delle persone. La folla non è più solitaria e anonima. La digitalizzazione delle immagini, le tecniche di riconoscimento facciale consentono di estrarre il singolo dalla massa, di individuarlo e di seguirlo. Il data mining, lincessante ricerca di informazioni sui comportamenti di ciascuno, genera una produzione continua di “profili” individuali, familiari, di gruppo. La sorveglianza non conosce confini.

Questa inarrestabile pubblicizzazione degli spazi privati, questa continua esposizione a sguardi ignoti e indesiderati, incide sui comportamenti individuali e sociali. Sapersi scrutati riduce la spontaneità e la libertà. Riducendosi gli spazi liberi dal controllo, si è spinti a chiudersi in casa, e a difendere sempre più ferocemente questultimo spazio privato, peraltro sempre meno al riparo da tecniche di sorveglianza sempre più sofisticate. Ma se libertà e spontaneità saranno confinate nei nostri spazi rigorosamente privati, saremo portati a considerare lontano e ostile tutto quel che sta nel mondo esterno. Qui può essere il germe di nuovi conflitti, e dunque di una permanente e più radicale insicurezza, che contraddice il più forte argomento addotto per legittimare la sorveglianza, appunto la sua vocazione a produrre sicurezza.

Cercando di intrecciare i diversi fili che compongono la trama complessa della protezione dei dati, emerge con chiarezza sempre maggiore che molti problemi possono essere risolti solo in una dimensione che superi quella degli Stati nazionali.

Lesperienza europea ci dice che questo è possibile, e ci offre strumenti e modelli in questo senso. Ma non basta. I casi dellofferta dei test genetici, dello spamming, dellintera gamma delle attività svolte su Internet ci rinviano ad una dimensione ben più larga, che tende a coincidere con quella planetaria.

Già nella Conferenza mondiale sulla privacy tenuta a Venezia nel 2000, il Garante italiano propose una Convenzione internazionale. Oggi la necessità di questo strumento è sempre più avvertita. Sarebbe buona cosa se il Governo italiano cominciasse a muoversi lungo questa strada, facendo una sua proposta in occasione del semestre di presidenza dellUnione europea.

Arrivare a questo tipo di documento richiede lunghe negoziazioni tra i governi. Ma lavvio di una trattativa potrebbe stimolare tutti i soggetti coinvolti nella gestione di Internet (cittadini, provider, produttori, imprese, autorità garanti) a sperimentare codici comuni di autoregolamentazione, a verificare quali problemi possano essere risolti con strumenti tecnologici (privacy enhancing techologies), definendo così sperimentalmente il campo della futura Convenzione. Se non si arriverà a questa “costituzione di Internet”, le regole rischieranno dessere dettate soprattutto dalle logiche tecnologiche e dalle logiche (e dalle censure) di mercato.

Per quel che possiamo, intendiamo restare fedeli a un mandato che ci vuole modesti, ma determinati, custodi delleguaglianza e della libertà dei contemporanei.

La relazione

N u ovi diritti, riserva t e z z a , dignità della persona: a sei anni dalla legge 67 5 .

Le principali novità sul piano normativo

1. Il testo unico e i codici deontologici 3

2. A l t re attività norm a t i v e 5

3. Iniziative legislative 9

4. L’attività consultiva del Garante sugli atti del Govern o 1 1

Pubblica amministra z i o n e

5. P rofili generali 1 4

6. I n f o rmazioni sensibili e altri dati part i c o l a r i 1 6

7. Tr a s p a renza dell’attività amministrativa 1 9

8. Accesso ai documenti amministrativi 2 1

9. Banche dati di rilevanti dimensioni 2 4

10. Carta d’identità elettronica, carta nazionale dei servizi e tessera elettorale 2 7

11. Documentazione anagrafica e materia elettorale 3 0

12. I s t ru z i o n e 3 3

13. Canone radiotelevisivo 3 5

14. Enti locali 3 7

Attività giudiziarie e di polizia

15. P rofili generali 3 9

16. Trattamento di dati nell’ambito dell’attività giudiziaria 4 0

1 7 . Notificazione di atti e comunicazioni 4 1

1 8 . Attività di polizia 4 3

19. Sistema di informazione Schengen 4 5

S a n i t à

20. Trattamento di dati idonei a rivelare lo stato di salute 4 7

21. I n f o rmazioni genetiche 5 0

Ra p p o rto di lavo ro

22. Tutela dei dati personali dei lavoratori 5 2

23. C o n t rollo a distanza dei lavoratori 5 8

24. Annunci di lavoro, riforma del collocamento

e del sistema informativo in materia di lavoro 5 9

Statistica e ricerca scientifica

25. Il codice deontologico per il trattamento dei dati

a scopi statistici e di ricerca scientifica 6 2

Associazioni, movimenti politici e part i t i

26. Trattamento dei dati e realtà associative 6 4

27. Confessioni religiose 6 6

28. Condomini e multipro p r i e t à 6 8

Attività forense, investigazione priva t a

e liberi pro f e s s i o n i s t i

29. Liberi professionisti e albi pro f e s s i o n a l i 7 0

30. Raccolta di dati per finalità di difesa 7 1

Se t t o re del credito, finanziario ed assicura t i vo

31. Istituti di cre d i t o 7 3

32. I n t e rmediazione finanziaria 7 6

33. Centrali rischi e società finanziarie 7 8

34. R e g i s t ro dei pro t e s t i 8 2

35. Raccolte di dati in ambito assicurativo e banca dati Isvap 8 3

36. Perizie medico-legali 8 6

Attività giornalistiche e mezzi di informazione

3 7 . Attività giornalistica e rispetto dei principi della legge n. 675/1996 8 8

3 8 . Tutela dei minori 8 9

39. C ronache giudiziarie 9 1

40. Foto segnaletiche o di persone arre s t a t e 9 3

41. D i ffusione di informazioni raccolte mediante l’uso di telecamere nascoste 9 4

42. Dignità della persona e dati idonei a rivelare lo stato di salute 9 5

43. E s e rcizio dei diritti nei confronti degli organi di inform a z i o n e 9 7

S o rveglianza e sistemi biometrici

44. Vi d e o s o rv e g l i a n z a 9 8

45. Rilevazioni biometriche 1 0 2

M a r k e t i n g

46. Marketing e diritti dell’intere s s a t o 1 0 4

Telefonia e reti di comunicazione

47. P rofili generali 1 0 6

48. Accesso ai dati di traffico telefonico e altre questioni 1 0 8

49. S e rvizi non richiesti e consenso dell’intere s s a t o 1 1 1

50. Comunicazioni indesiderate dirette a utenze telefoniche mobili 1 1 2

51. Messaggi multimediali (M m s) 1 1 5

52. L o c a l i z z a z i o n e 1 1 6

53. Attività di cooperazione con l’Autorità per le garanzie nelle comunicazioni 1 1 7

Trattamento dei dati personali in I n t e r n e t

5 4 . P rofili generali 1 1 8

55. Comunicazioni indesiderate 1 1 9

56. Il codice deontologico 1 2 1

57. Pubblicazione di fotografie sui siti w e b 1 2 2

58. Fotografie e immagini su cataloghi pubblicitari,

g i o rnali, riviste o altri strumenti di diff u s i o n e 1 2 3

S i c u rezza dei dati e dei sistemi

59. M i s u re di sicurezza: novità normative e casi applicativi 1 2 4

I trasferimenti all’estero di dati

60. Paesi che off rono una protezione adeguata 1 2 7

61. “Safe Harbor” 1 2 9

II IL GARANTE

La trattazione dei ricorsi

62. Principali problemi esaminati 1 3 5

63. P rofili procedurali, impugnazione dei provvedimenti dell’Autorità 1 4 1

Attività ispettive e applicazione di sanzioni amministra t i ve

64. Tipologia degli accertamenti ispettivi e criteri adottati 1 4 3

65. La collaborazione con organi dello Stato.

Il protocollo d’intesa con la Guardia di finanza 1 4 5

66. La programmazione delle ispezioni e i risultati 1 4 7

67. L’attività sanzionatoria del Garante 1 4 8

L’attività di informazione e comunicazione

68. P rofili generali 1 5 0

69. Seminari, convegni ed altre iniziative 1 5 3

70. Il nuovo sito I n t e rn e t d e l l ’ A u t o r i t à 1 5 6

La gestione amministra t i va dell’Ufficio

71. I regolamenti del Garante e la nuova organizzazione dell’Uff i c i o 1 5 8

72. Il bilancio, gli impegni di spesa e l’attività contrattuale 1 6 0

73. Lo sviluppo del sistema inform a t i v o 1 6 3

74. Il personale e i collaboratori estern i 1 6 6

R e l a z i o n e 2 0 0 2 V

Il re g i s t ro dei tra t t a m e n t i

75. Organizzazione e sviluppi futuri 1 6 8

Dati statistici

76. P rospetto analitico. Tabelle e grafici 1 7 1

III ATTIVITÀ COMUNITARIE E INTERNAZIONALI

Il recepimento delle dire t t i ve comunitarie

77. Le direttive sulla protezioni dei dati 1 7 9

78. Stato di recepimento delle direttive 95/46/CE

e 97/66/CE negli Stati membri 1 8 0

79. P r i v a c y nelle telecomunicazioni 1 8 4

Al t re novità nel diritto comunitario

e nel settore giustizia-affari interni

80. P rofili generali 1 8 6

La cooperazione tra Autorità garanti in Eu ro p a

81. Il Gruppo per la tutela delle persone con riguard o

al trattamento dei dati personali 1 8 9

82. La partecipazione ad altri comitati e gruppi di lavoro 1 9 3

L’Autorità di controllo comune Schengen

83. L’attività dell’Autorità 1 9 5

Eu ro p o l

84. L’attività dell’Autorità comune di controllo e i primi casi di contenzioso 1 9 7

Il controllo sul Sistema informativo doganale

85. La creazione dell’Autorità di contro l l o 1 9 8

Eu ro d a c

86. Collaborazione tra Stati membri e garanzie per gli intere s s a t i 1 9 9

Consiglio d’Eu ro p a

87. La convenzione sul c y b e rc r i m e 2 0 0

88. L’attività dei gruppi di espert i 2 0 2

89. Linee-guida in materia di sorv e g l i a n z a 2 0 4

O . C . S . E .

90. I risultati conseguiti nel 2002 2 0 5

91. Ulteriori iniziative 2 0 7

Nel 2002 è proseguito il consolidamento degli interventi normativi del 2001 che hanno integrato la disciplina in materia di protezione dei dati personali in vista dell’adozione di un testo unico in materia.

Dopo la legge 24 marzo 2001, n. 127, recante una nuova delega al Governo, e il decreto legislativo 28 dicembre 2001 n. 467, che ne rappresenta la prima fase di attuazione, sono state poste le basi per completare la disciplina in materia di protezione dei dati personali, con l’adozione, entro il 30 giugno 2003, di un testo unico (art. 1, comma 4, l. n. 127/2001) e con il varo di codici deontologici in alcuni importanti settori (art. 20, d.lg. n. 467/2001).

La previsione di un testo unico delle disposizioni normative in materia di protezione dei dati personali renderà possibile introdurre integrazioni e modifiche di coordinamento o finalizzate alla migliore attuazione della disciplina vigente, anche in settori, come quelli relativi alle attività giudiziarie e di polizia, nei quali è avvertita l’esigenza di completare il percorso previsto dalle leggi delega che si sono succedute dal 1996 ad oggi (leggi nn. 676/1996, 344/1996 e, appunto, 127/2001).

Il termine per completare i lavori per l’adozione del testo unico, originariamente fissato al 31 dicembre 2002, è stato prorogato al 30 giugno 2003 dalla legge comunitaria 2002 (art. 26, l. 3 febbraio 2003, n. 14) su iniziativa del Governo che potrà rendere possibile un esame ancora più approfondito della materia, già di per sé complessa, anche al fine di attuare la nuova direttiva relativa alla protezione dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva del Consiglio e del Parlamento europeo n. 2002/58/CE del 12 luglio 2002).

Nel 2002 e nei primi mesi del 2003 è proseguito l’impegno della commissione di esperti istituita presso la Presidenza del Consiglio dei ministri-Dipartimento della funzione pubblica per la messa a punto di uno schema del testo unico.

Al tema dei codici di deontologia e di buona condotta le recenti norme hanno dato notevole risalto, prevedendo anche che il rispetto delle relative disposizioni costituisca condizione essenziale per la liceità del trattamento dei dati. Come già riportato nella precedente Relazione del 2001, in ragione della sperimentata efficacia del ricorso a tali strumenti normativi, il d.lg.

n. 467/2001 ha esteso l’utilizzo di tale fonte regolatrice al fine di specificare i principi della legge n. 675/1996 in alcuni settori, fra quelli indicati nella legge-delega n. 127/2001, nei quali è sentita, anche da parte delle categorie di soggetti interessati, l’esigenza di una disciplina dettagliata e al tempo stesso flessibile nei suoi sviluppi (art. 20, d.lg. n. 467/2001).

I nuovi codici, che si aggiungeranno a quelli già sottoscritti o in via di completamento, riguardano, in sintesi, i trattamenti:

– effettuati nell’ambito dei servizi di comunicazione e informazione offerti per via telematica e in particolare attraverso Internet ; – necessari per la gestione del rapporto di lavoro e per finalità previdenziali; – effettuati per fini di direct marketing o di invio di materiale pubblicitario; – svolti a fini di informazione commerciale; – provenienti da archivi pubblici ed accessibili al pubblico; – effettuati nell’ambito di sistemi informativi utilizzati per la concessione di crediti al consumo (centrali rischi private); – effettuati con strumenti automatizzati di rilevazione di immagini (videosorveglianza).

Tali codici dovranno ispirarsi ai criteri direttivi delle pertinenti raccomandazioni del Consiglio d’Europa indicate nella legge-delega n. 676 del 1996 e ad alcuni principi integrativi di carattere generale per specifiche categorie di trattamenti, espressamente indicati nelle norme del 2001.

Sinora, in base all’ a rt. 31, comma 1, lett. h ) della legge n. 675/1996 -che attribuisce al Garante il compito di pro m u ove re la sottoscrizione di codici deontologici- e ad altre disposizioni normative (art. 25, l. n. 675/1996; art. 6, d.lg. 30 luglio 1998, n. 281), sono stati sottoscritti:

a) il codice re l a t i vo all’attività giornalistica, pubblicato a seguito del prov vedimento del Garante del 29 luglio 1998; b) quello per i trattamenti effettuati a scopi storici, pubblicato a seguito del prov vedimento del Garante del 14 marzo 2001; e c) nel decorso anno, il codice per i trattamenti effettuati a scopi statistici e di ricerca scientifica nell’ambito del SISTAN, pubblicato a seguito del prov vedimento del Garante del 31 luglio 2002 (per quest’ultimo si veda, più diffusamente, il paragrafo 25). Sono, inoltre, in avanzato stato i procedimenti per l’adozione del codice per l’attività forense e l’ i n vestigazione privata (art. 22, comma 4, l. n. 675/1996) e il codice per gli altri trattamenti effettuati a scopi statistici e di ricerca scientifica.

I codici di deontologia e di buona condotta, che saranno allegati al testo unico al fine di garantire completezza ed omogeneità al processo normativo di attuazione della delega (art. 20, comma 4, d.lg. n. 467/2001), costituiranno così una fonte significativa anche per gli effetti sul piano della liceità dei trattamenti. Il Garante ha avviato le procedure per l’approvazione dei nuovi codici con deliberazione del 10 aprile 2002, adottata in anticipo rispetto al termine previsto dal menzionato art. 20, fissato al 30 giugno, con la quale ha invitato “a partecipare all’a – dozione” dei codici tutti i soggetti pubblici o privati “aventi titolo &in base al principio di rap – presentatività” (art. 31, comma 1, lett. h), l. n. 675/1996). Numerose sono risultate le richieste di partecipazione pervenute all’Autorità.

Nel corso del 2002, nel quale è entrata nel vivo l’attività normativa della XIV legislatura, sono stati approvati vari provvedimenti d’interesse per la materia del trattamento dei dati personali.

Si segnalano i più rilevanti, relativi anche ai primi mesi del 2003:

a) il decreto legislativo 9 aprile 2003, n. 70, recante “Attuazione della dire t t i va 2000/31/CE re l a t i va a taluni aspetti giuridici dei servizi della società dell’ i n f o rmazione nel merc a t o i n t e rn o, con part i c o l a re riferimento al commercio elettro n i c o”. Il decreto, diretto a pro m u ove re la libera circolazione dei servizi della società dell’informazione, fra i quali il comm e rcio elettronico, rinvia espressamente alla legge n. 675/1996 e al d.lg. n. 171/1998 per le questioni re l a t i ve al diritto alla riserva t ezza e al trattamento dei dati personali nel sett o re delle telecomunicazioni. Il testo contiene peraltro specifiche cautele in merito alle comunicazioni elettroniche non sollecitate (art. 9); b) la legge 24 aprile 2003, n. 88, di conversione del d.l. 24 febbraio 2003, n. 28, recante “Disposizioni urgenti per contrastare i fenomeni di violenza in occasione di competizioni sportive”. Le novità emerse anche a seguito della conversione del decreto prevedono che con uno o più decreti del Ministro dell’interno, di concerto con il Ministro per i beni e le attività culturali e con il Ministro per l’innovazione e le tecnologie, sentito il Garante, siano stabilite modalità per l’attuazione delle disposizioni riguardanti la disciplina dell’ingresso agli impianti sportivi mediante varchi dotati di metal detector, finalizzati all’individuazione di strumenti di offesa e presidiati da personale incaricato previa verifica elettronica della regolarità del titolo di accesso. Con decreto del Ministro dell’interno, di concerto con il Ministro per i beni e le attività culturali e con il Ministro per l’innovazione e le tecnologie, sentito il Garante, saranno inoltre stabilite modalità per attuare le disposizioni concernenti la dotazione dei medesimi impianti sportivi di strumenti che consentano la registrazione televisiva delle aree riservate al pubblico, sia all’interno dell’impianto, sia nelle sue immediate vicinanze; c) la legge 14 febbraio 2003, n. 30, recante “Delega al Governo in materia di occupazione e mercato del lavoro” in base alla quale dovrebbe essere ridefinito il regime del trattamento dei dati relativi all’incontro tra domanda e offerta di lavoro, nel rispetto della legge 31 dicembre 1996, n. 675, al fine di:

– evitare oneri aggiuntivi e ingiustificati rispetto alle esigenze di monitoraggio statistico; – prevenire forme di esclusione sociale e vigilanza sugli operatori, con previsione (art. 1, comma 2, lett. g)) del divieto assoluto per gli operatori privati e pubblici di qualsivoglia indagine o comunque trattamento di dati ovvero di preselezione dei lavoratori, anche con il loro consenso, in base all’affiliazione sindacale o politica, al credo religioso, al sesso, all’orientamento sessuale, allo stato matrimoniale, o di famiglia, o di gravidanza, nonché ad eventuali controversie con i precedenti datori di lavoro.

– In base alla l. n. 30/2003 è inoltre espressamente vietato raccogliere, memorizzare o diffondere informazioni sui lavoratori che non siano strettamente attinenti alle loro attitudini professionali e al loro inserimento lavorativo. Tale delega dovrà essere armonizzata con quella relativa al testo unico in materia di trattamento dei dati personali; Altre attività normative d) la legge 5 febbraio 2003, n. 17, recante “Nuove norme per l’esercizio del diritto di voto da parte degli elettori affetti da gravi infermità” che, modificando l’articolo 55 del testo unico di cui al decreto del Presidente della Repubblica n. 361 del 1957, nonché l’articolo 41 del testo unico di cui al decreto del Presidente della Repubblica n. 570 del 1960, ha aggiunto il seguente comma: “L’annotazione del diritto al voto assistito, di cui al secondo comma, è inserita, su richiesta dell’interessato, corredata della relativa documenta – zione, a cura del Comune di iscrizione elettorale, mediante apposizione di un corrispondente simbolo o codice, nella tessera elettorale personale, nel rispetto delle disposizioni vigenti in materia di riservatezza personale ed in particolare della legge 31 dicembre 1996, n. 675, e successive modificazioni”; e) la legge 3 febbraio 2003, n. 14, recante “Disposizioni per l’adempimento di obblighi deri – vanti dall’appartenenza dell’Italia alle Comunità europee. Legge comunitaria 2002”, cui si è fatto cenno, che proroga al 30 giugno 2003 il termine previsto dalla legge n. 127 del 2001 per l’adozione del testo unico in materia di protezione dei dati personali; f ) la legge 16 gennaio 2003, n. 3, recante “Disposizioni ordinamentali in materia di pubblica amministrazione”, collegato alla finanziaria 2002. Il testo normativo prevede alcuni interventi in materia di innovazione tecnologica nella pubblica amministrazione, da attuare con uno o più regolamenti governativi (art. 27), con riguardo, in particolare, alla diffusione della carta nazionale dei servizi e all’accesso telematico agli atti della pubblica amministrazione. In proposito va segnalato che il testo in esame non reca più il riferimento alla diffusione della carta d’identità elettronica, a seguito di un emendamento parlamentare soppressivo il cui proponente ha precisato che una materia come quella della carta d’identità elettronica, investendo il controllo sui dati e richiedendo adeguate garanzie per la riservatezza delle persone, non può essere affidata a regolamenti adottati sulla base di una delega affidata al Governo; g) il decreto-legge 9 settembre 2002 n. 195, conve rtito dalla legge 9 ottobre 2002, n. 222, con il quale il Governo ha ampliato gli interventi di legalizzazione del lavo ro irre g o l a re di cui alla predetta legge n. 189/2002, estendendo, com’è noto, le misure già pre v i s t e per colf e badanti nel campo del lavo ro subordinato nell’ i m p resa. Nel corso dei lavo r i per la conversione del prov vedimento d’urgenza, l’ Autorità ha segnalato al Governo (ai sensi dell’ a rt. 31, comma 1, lett. m ) l. 675/1996) l’ o p p o rtunità di interventi emendativi a due disposizioni di part i c o l a re interesse in materia di rilevazione di impronte digitali.

Il decreto-legge pre ve d e va, nella sua stesura originaria, che ai trattamenti dei dati personali degli extracomunitari acquisiti attraverso i rilievi dattiloscopici si applicasse il p a rt i c o l a re regime normativo previsto per i trattamenti effettuati nell’ambito del C e n t ro elaborazione dati del Di p a rtimento della pubblica sicurezza (art. 2, comma 6, d.l. n. 195/2002 e art. 4, comma 1, lett. a ), l. n. 675/1996). Inoltre, ha introdotto l’obbligo di sottoporre a rilievi dattiloscopici anche i cittadini italiani al momento del rilascio della carta d’identità elettronica, integrando, di fatto, la disciplina prevista per il documento d’identità dall’articolo 36 del d.P.R. 28 dicembre 2000, n. 445, recante il testo unico in materia di documentazione amministrativa (art. 2, comma 7, d.l. n.

195/2002). Tale ultima disposizione è stata adottata in “attuazione” dell’ o dine del giorno citato alla successiva lettera i ) a proposito della legge n. 189/2002. I chiarimenti forniti dall’ Ufficio del Garante hanno consentito di ricondurre in parte le due previsioni nel quadro dei principi previsti dalla legge n. 675 del 1996. Da un lato, il vigente comma 6 dell’art. 2 del decreto-legge contiene un rinvio più corretto ai principi appli cabili in materia di trattamenti effettuati da organismi di polizia (art. 4, comma 2, l.

n. 675/1996); ciò, non necessariamente, però, per le specifiche finalità di sicurez z a pubblica o pre venzione e accertamento di reati cui è preposto il C.e.d. del Di p a rtimento della pubblica sicurezza, in quanto la raccolta delle impronte digitali degli extracomunitari non è di per sé sempre effettuata per finalità di sicurezza pubblica, ma principalmente per fini di identificazione delle persone. Dall’altro, la legge di conversione ha in ogni caso integrato il comma 7 del medesimo articolo 2 del decreto-legge prevedendo che la pur disposta sottoposizione a rilievi dattiloscopici di tutti i cittadini italiani avvenga secondo modalità che rispettino i principi in materia di dati personali in tema di utilizzazione, conservazione e accesso ai dati, modalità da stabilirsi con regolamento governativo. A tale scopo, nel corso dei lavori di conversione del decreto-legge il Governo, accogliendo un ordine del giorno della Camera, si è impegnato a riferire al Parlamento sui criteri che intenderebbe seguire per l’attuazione delle due disposizioni, per quanto riguarda, in particolare, le modalità di raccolta e di gestione delle impronte digitali. L’Autorità, nel quadro delle più ampie indicazioni fornite, ha comunque confermato la propria disponibilità a cooperare per l’individuazione di tali modalità tecniche, nell’ambito dei più ampi interventi in ordine alla predisposizione e diffusione della carta d’identità elettronica e della carta nazionale dei servizi, per i quali sono avviati i necessari contatti con il Ministero dell’interno e con il Ministero dell’innovazione e delle tecnologie; h) la legge 1 agosto 2002, n. 166, recante “Disposizioni in materia di infrastrutture e tra – sporti” il cui art. 41 (Riassetto delle telecomunicazioni) attribuisce al Governo una delega per l’attuazione delle recenti direttive comunitarie in materia di comunicazioni elettroniche (direttive del Parlamento e del Consiglio nn. 2002/19/CE, 2002/20/CE, 2002/21/CE e 2002/22/CE del 7 marzo 2002), ivi comprese quelle approvate entro il termine di esercizio della delega, riguardanti, fra l’altro, i diritti degli utenti e la sicurezza dei dati personali. In tale quadro è compresa anche la già citata direttiva n. 2002/58/CE del 12 luglio 2002 in materia di tutela della vita privata nel settore delle comunicazioni elettroniche, alla quale, peraltro, fa riferimento anche l’art. 26 della l. 3 febbraio 2003, n. 14 (legge comunitaria 2003) e, implicitamente, la legge n. 127/2001. Tale direttiva sostituisce la direttiva n. 97/66/CE e comprende alcuni aspetti di particolare importanza per la protezione dei dati personali che necessitano di una piena attuazione nel nostro ordinamento, quali, fra l’altro, le modalità di inserimento degli abbonati negli elenchi telefonici, la conservazione dei dati di traffico, la localizzazione degli utenti e l’invio di comunicazioni indesiderate attraverso la posta elettronica o altri mezzi elettronici (c.d.

spamming); i) la legge 30 luglio 2002, n. 189, di riforma della normativa in materia di immigrazione ed asilo, che contiene disposizioni in base alle quali ogni straniero che richiede il permesso di soggiorno o lo rinnovi è sottoposto a rilievi fotodattiloscopici (artt. 5 e 7). Nel corso dei lavori il Governo ha accolto l’ordine del giorno già indicato alla lettera g) in base al quale si è impegnato ad adottare le misure necessarie perché nella carta d’identità elettronica siano inserite le impronte digitali dei cittadini italiani e gli altri dati biometrici.

Sull’argomento della raccolta delle impronte digitali il Garante ha inoltrato in data 27 giugno 2002 ai Presidenti delle Camere e ad alcune commissioni parlamentari una nota con la quale, nel richiamare il quadro di garanzie previsto a livello internazionale, ha segnalato la necessità del rispetto, in tale delicata materia, dei principi in mate- ria di protezione dei dati personali, specie per quanto attiene alla raccolta, alla conservazione e alla successiva utilizzazione di tali dati. La legge n. 189 prevede, l’adozione di regolamenti attuativi anche per gli aspetti di interconnessione fra diversi archivi esistenti, in relazione ai quali il Garante non mancherà di fornire le indicazioni di competenza in occasione del rilascio del previsto parere (art. 34, comma 2, l. n. 189/2002 e art. 31, comma 2, l. n. 675/1996); l) il decreto legge 20 giugno 2002, n. 121, convertito dalla legge 1 agosto 2002, n. 168, recante alcune disposizioni urgenti in materia di sicurezza della circolazione stradale, il quale, fra l’altro, innova la disciplina dei controlli “a distanza” delle violazioni concernenti i limiti di velocità, prevedendo, a determinate condizioni, l’uso di strumenti di rilevazione (del tipo autovelox e simili) anche senza la presenza della pattuglia (art. 4).

La disposizione fa salva l’applicazione delle cautele in materia di riservatezza e a tale riguardo l’Autorità ha collaborato con il Ministero dell’interno per la predisposizione di una circolare applicativa della materia per quanto riguarda gli aspetti relativi alla protezione dei dati personali; m) la legge 1 marzo 2002, n. 39 (Disposizioni per l’adempimento di obblighi derivanti dal – l’appartenenza dell’Italia alle Comunità europee – Legge comunitaria 2001), che prevede l’attuazione di quattro direttive comunitarie di possibile rilievo per la protezione dei dati personali: la direttiva sul commercio elettronico, la direttiva sulla moneta elettronica, quella sul divieto di discriminazione per motivi di razza o etnia e la direttiva sull’assicurazione obbligatoria in materia di responsabilità civile da circolazione di autoveicoli. Il testo approvato, inoltre, contiene disposizioni in materia di televendite e di trasmissioni televisive, che prevedono anche particolari forme di tutela per i minori.

Oltre ai provvedimenti normativi approvati decritti al paragrafo precedente, sono stati seguiti i lavori parlamentari relativi ad altre iniziative legislative riconducibili alla tematica della protezione dei dati personali. Tra i progetti di legge più importanti vanno ricordati:

a) il disegno di legge di semplificazione del 2001 (AS 776-B-BIS). Nel corso dell’esame presso la Commissione affari costituzionali della Camera il Governo ha presentato un emendamento che inserisce un articolo volto a promuovere il processo di informatizzazione giudiziaria. Esso prevede, in particolare, l’accesso – riservato a chi vi abbia interesse – ai dati identificativi delle questioni pendenti innanzi alla magistratura amministrativa e contabile mediante pubblicazione sui siti web delle autorità emananti, nonché la pubblicazione nei medesimi siti delle relative decisioni giudiziarie.

Al riguardo l’Autorità ha fornito alla Commissione elementi utili di valutazione al fine di rendere pienamente compatibile tale processo con i principi in tema di protezione dei dati personali nel settore dell’informatica giuridica, in relazione anche alle specifiche cautele che potranno essere previste nel menzionato testo unico in attuazione di uno specifico criterio di delega della legge n. 127/2001. La Commissione ha tenuto conto con un emendamento degli elementi forniti dal Garante; b) una proposta di legge in materia di accesso delle forze di polizia ai dati detenuti da vettori aerei e navali (AC 2630). Nell’ambito dei lavori presso la Commissione affari costituzionali della Camera si è tenuta, in data 14 gennaio 2003, l’audizione del Presidente del Garante, prof. Stefano Rodotà, il quale ha rappresentato l’esigenza che il progetto normativo rispetti i principi in materia di protezione dei dati personali applicabili ai trattamenti effettuati per finalità di polizia (art. 4, l. n. 675/1996). In particolare l’Autorità, richiamando quanto già osservato dal Garante in un provvedimento adottato nel 1999 in relazione ad una segnalazione presentata su tale problematica dalla compagnia aerea Alitalia, si è soffermata sull’esigenza che le richieste di informazioni siano il più possibile circostanziate, selettive e finalizzate unicamente al perseguimento di gravi reati di terrorismo o di criminalità organizzata e che i dati acquisiti, ove non di specifico interesse per le indagini, siano appena possibile cancellati; c) il disegno di legge recante modifiche ed integrazioni alla legge 7 agosto 1990, n. 241 (AS 1281) il cui articolo 13 modifica l’art. 25 della legge n. 241/1990 prevedendo che il Garante debba essere “sentito” dalla Commissione per l’accesso in sede di decisione su provvedimenti di diniego di accesso adottati da amministrazioni statali per motivi inerenti ai dati personali di terzi. Nel corso dei lavori, la Commissione ha approvato un emendamento del Governo in base al quale il Garante, a sua volta, dovrebbe richiedere il parere, non vincolante, della predetta Commissione qualora un procedimento relativo al trattamento di dati personali da parte di soggetti pubblici interessi l’accesso a documenti amministrativi; d) il disegno di legge recante “Norme in materia di pluralismo informatico e sulla adozione e diffusione del software libero nella pubblica amministrazione” (AS 1188), in discus- R e l a z i o n e 2 0 0 2 9 Iniziative legislative sione presso la Commissione affari costituzionali del Senato; e) il disegno di legge delega al Governo in materia di protezione giuridica delle invenzioni biotecnologiche, approvato dalla Camera il 26 settembre 2002 e dal Senato, con modificazioni, il 2 aprile 2003.

Sono stati, infine, seguiti i lavori relativi ad alcune indagini conoscitive riguardanti tematiche d’interesse, fra le quali ricordiamo:

– l’indagine sulle potenzialità e le pro s p e t t i ve di Eu ropol, presso il Comitato di cont rollo sull’attuazione dell’ Ac c o rdo di Schengen, sull’attività di Eu ropol e in materia di immigrazione, nell’ambito della quale il 9 ottobre 2002 si è tenuta un’audizione del d r. Gi ovanni Bu t t a relli, segretario generale dell’ Autorità, nella qualità di Pre s i d e n t e d e l l’ Autorità comune di controllo Schengen; – l’indagine conoscitiva sul funzionamento e sulle modalità di gestione dell’anagrafe tributaria, presso la competente Commissione bicamerale, nell’ambito della quale si è tenuta, in data 6 novembre 2002, l’audizione del Presidente del Garante, prof. Stefano Rodotà e del Vicepresidente prof. Giuseppe Santaniello.

L’articolo 31, comma 2, della legge n. 675/1996, prevede che il Presidente del Consiglio dei ministri e ciascun ministro debbano consultare il Garante all’atto della predisposizione delle norme regolamentari e degli atti amministrativi suscettibili di incidere in materia di protezione di dati personali. Norme speciali prevedono poi specificamente altri pareri.

In relazione a tale competenza, nel corso dell’anno il Garante ha espresso alcuni pareri in importanti materie, fra i quali si segnalano, in particolare, quelli riguardanti:

– il testo unico delle disposizioni legislative e regolamentari in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti (d.P.R. 14 novembre 2002, n. 313 – in suppl. G.U. n. 36 del 13 febbraio 2003). Oggetto del testo unico sono le norme che disciplinano l’iscrizione, l’eliminazione, la trasmissione e conservazione dei dati del casellario giudiziale, del casellario dei carichi pendenti, dell’anagrafe delle sanzioni amministrative dipendenti da reato, dell’anagrafe dei carichi pendenti degli illeciti amministrativi dipendenti da reato e quelle che riguardano i relativi servizi certificativi, le competenze degli uffici coinvolti e le loro procedure.

L’approvazione del testo unico ha comportato l’abrogazione di 19 testi, dei quali 14 di rango primario e 5 di rango secondario. Fulcro delle innovazioni proposte è il sistema informativo automatizzato, che è posto al centro di tutte le attività degli uffici.

L’aver disciplinato procedure e organizzazione con norme di rango secondario consentirà un rapido adeguamento alle esigenze poste dal continuo sviluppo tecnologico, favorito, ancor più, dalla scelta di rimettere a decreti dirigenziali le modalità tecniche operative del funzionamento del sistema; – il decreto direttoriale 31 maggio 2002 dell’Amministrazione autonoma dei monopoli di Stato, recante “Norme disciplinanti l’accettazione telefonica e telematica delle scommesse sportive, in attuazione del D.M. 15 febbraio 2001, n. 156”; – alcuni decreti dirigenziali di attuazione del predetto testo unico in materia di casellario giudiziale (parere del 31 marzo 2003); – lo schema di regolamento recante modifiche alle disposizioni del testo unico in materia di documentazione amministrativa concernenti le firme elettroniche (parere del 17 settembre 2002); – lo schema di regolamento recante il regolamento di attuazione della legge n. 459/2001 sull’esercizio di voto dei cittadini italiani residenti all’estero (parere del 27 settembre 2002); – lo schema di regolamento di attuazione dell’articolo 4, comma 8, del d.lg. 25 settembre 1997, n. 374, in materia di estensione delle disposizioni antiriciclaggio ad attività non finanziarie particolarmente suscettibili di utilizzazione a fini di riciclaggio (parere del 12 marzo 2003); – lo schema di regolamento recante disciplina delle modalità di istituzione e tenuta presso la Presidenza del Consiglio dei ministri della banca dati informatica dei compo- L’attività consultiva del Garante sugli atti del Governo nenti degli organi di amministrazione attiva, consultiva e di controllo dello stato e degli enti pubblici a carattere nazionale e delle relative modalità di nomina (parere del 9 aprile 2003); – lo schema di d.P.R. recante il regolamento integrativo della disciplina e dell’accesso al servizio di informatica giuridica del Centro elettronico di documentazione (CED) della Corte Suprema di cassazione. Al riguardo l’Autorità ha anche richiamato l’esigenza di inserire nel testo unico previsto dalla legge n. 127 alcune disposizioni concernenti note questioni pendenti sull’informatica giuridica (in particolare, relativamente all’indicazione dei nomi delle parti e alla pubblicità in rete delle sentenze), trattandosi di aspetti oggetto delle leggi-delega nn. 676/1996 e 127/2001, la prima delle quali reca un espresso riconoscimento della rilevanza dell’informatica giuridica e dell’esigenza di norme che ne favoriscano lo sviluppo in armonia con le garanzie in materia di protezione dei dati (art. 1, comma 1, lett. l), l. n. 676/1996) (parere del 29 aprile 2003); – schema di decreto recante “Identificazione dei tipi di dati personali e delle operazioni ese – guibili in relazione a rilevanti finalità di interesse pubblico perseguite dall’amministrazione della giustizia”(parere del 29 aprile 2003).

A fronte dei pareri espressi sopra menzionati deve segnalarsi che -anche se in misura decisamente ridotta rispetto al passato- continuano a registrarsi casi di mancata consultazione del Garante.

In proposito, vanno menzionati, in particolare i seguenti provvedimenti:

– decreto del Ministro della salute del 7 agosto 2002 (in G.U. 24 ottobre 2002, n. 250) recante norme procedurali per l’effettuazione dei controlli anti-doping e per la tutela della salute, adottato ai sensi dell’art. 3, comma 1, della legge 14 dicembre 2000, n. 376; – decreto del Ministro della lavoro e delle politiche sociali del 27 settembre 2002 (in G.U. 21 marzo 2003, n. 16) recante il regolamento di esecuzione delle disposizioni di legge in materia di riordinamento dei compiti e della gestione del Casellario centrale infortuni dell’INAIL.

Il Garante non ha espresso pareri per altri provvedimenti come quelli dell’Agenzia delle entrate specie in materia di trasmissione di atti per via telematica. Fra questi ultimi, ricordiamo in particolare:

– provvedimento del 30 maggio 2002 (in G.U. 12 giugno 2002, n. 136), relativo alle modalità di trasmissione per via telematica e di conservazione dei dati relativi alle forniture di documenti fiscali (art. 3, d.P.R. 5 ottobre 2001, n. 44); – provvedimento del 19 giugno 2002 (G.U. 19 giugno 2002, n. 149), relativo alle modalità della trasmissione telematica all’anagrafe tributaria da parte dei soggetti gestori di servizi di pubblica utilità di dati e notizie riguardanti i contratti di somministrazione dei servizi telefonici; – provvedimento del 30 luglio 2002 (G.U. 12 agosto 2002, n. 188), concernente le modifiche al decreto del Ministro delle finanze 13 dicembre 2000, in materia di obbligo di comunicazione all’anagrafe tributaria da parte dei rappresentanti fiscali di imprese di assicurazione dei dati relativi ai contratti di assicurazione; – provvedimento del 18 luglio 2002 (in G.U. 25 luglio 2002, n. 173), relativo alla definizione delle specifiche tecniche dei dati per la comunicazione telematica di ammissione o diniego del credito d’imposta; – provvedimenti del 26 settembre 2002 (in G.U. 4 ottobre 2002 n. 233) e del 27 dicembre 2002 (in G.U. 10 gennaio 2003, n. 7), concernenti l’approvazione delle specifiche tecniche per la trasmissione telematica dei dati relativi alle comunicazioni in materia di interessi, premi ed altri frutti delle obbligazioni e dei dati da utilizzare per le dichiarazioni di inizio attività, variazione dati o cessazione attività; – provvedimento del 2 gennaio 2003 (in G.U. 11 gennaio 2003, n. 8), concernente l’approvazione del modello di dichiarazione riservata delle attività emerse ai sensi del decreto-legge n. 282 del 2003.

Il 2002 è stato caratterizzato, ancora una volta, dalla mancata o incompleta attuazione, da parte di diverse amministrazioni pubbliche, delle disposizioni di cui al d.lg. 135/1999, che disciplinano il trattamento dei dati sensibili.

In particolare, non risulta ancora attuata presso vari soggetti pubblici la previsione che impone alle amministrazioni pubbliche di identificare e rendere pubblici, secondo i rispettivi ordinamenti, i tipi di dati e di operazioni eseguibili, in relazione alle rilevanti finalità di interesse pubblico dei trattamenti di competenza individuati legislativamente o con provvedimento del Garante.

Il quadro di diffusa disapplicazione di quanto previsto dal citato decreto legislativo è risultato, anche da uno specifico ciclo di ispezioni a campione disposto dal Garante nel corso dell’anno passato.

Tale verifica, unitamente alla valutazione del contenuto dei numerosi quesiti pervenuti, conferma la percezione che in diversi uffici pubblici non sia ancora maturato il richiesto grado di sensibilità sulle regole introdotte dalla legge n. 675/1996 e sugli effetti che le stesse comportano sul modo di amministrare.

Anche dai numerosi quesiti pervenuti da amministrazioni locali e centrali emerge la conferma che il livello di idonea applicazione della legge n. 675/1996 negli uffici pubblici non è ancora soddisfacente.

Sebbene siano trascorsi sei anni dall’entrata in vigore di tale legge, permangono ingiustificate incertezze e lacune, solo in parte derivanti dai tempi obiettivamente necessari per far maturare un ottimale approccio culturale ai principi di garanzia fissati dalla legge, e in larga parte determinati, invece, dalla tendenza ad esaurire l’impegno nell’attuazione – spesso tardiva, inesatta o incompleta – della legge n. 675/1996 assolvendo in modo riduttivo i soli adempimenti di ordine formale.

A tutt’oggi manca inoltre, come si è evidenziato anche nelle precedenti relazioni, una visione di insieme delle problematiche connesse alla protezione dei dati personali. Continua ad essere spesso privilegiato un approccio meramente formale che rende di fatto fini a se stessi e inutilmente burocratici gli adempimenti posti a tutela dei diritti delle persone e della sicurezza delle informazioni, senza alcun concreto beneficio per i diritti della personalità degli interessati.

È sicuramente necessario, quindi, un miglioramento dei rapporti fra amministrazione e cittadino sul piano della tutela dei diritti della personalità.

Pubblica amministrazione Profili generali La consapevolezza di tale stato di cose ha tra l’altro indotto l’Autorità ad intensificare la collaborazione già avviata con gli enti rappresentativi delle autonomie locali e con le regioni. A queste si sono affiancati, su loro specifica iniziativa, contatti e collaborazioni con alcune amministrazioni centrali, le quali hanno al momento portato a pochi risultati concreti.

Tali questioni sono state peraltro sollevate anche in ambito parlamentare dall’interrogazione a risposta scritta presentata dall’On. Del Mastro Delle Vedove, con la quale sono stati richiesti al Governo chiarimenti sulle eventuali iniziative assunte in merito.

R e l a z i o n e 2 0 0 2 1 5 Come si è accennato nel paragrafo precedente, l’ Autorità ha continuato a focalizzare l’ a t t e nzione in part i c o l a re sull’adeguamento degli ordinamenti da parte dei soggetti pubblici alle disposizioni del d.lg. n. 135/1999 per trattare lecitamente dati sensibili e informazioni di tipo giud i z i a r i o.

Come è noto, l’ a rt. 5 di tale decreto, modificando l’ a rt. 22, comma 3, della legge n. 675/1996 ha stabilito che laddove la legge o, in via transitoria, il Garante, abbiano individuato le rileva n t i finalità d’ i n t e resse pubblico perseguite con un determinato trattamento, i soggetti pubblici possono utilizzare i dati dopo aver previamente individuato e reso noti, “secondo i rispettivi ord i n am e n t i”, i tipi di dati e di operazioni eseguibili.

Anche nel corso dell’anno 2002, gli atti adottati in tal senso dalle amministrazioni sono risultati, purt roppo, in numero esiguo e non privi di vizi di fondo legati ad una ricognizione solo formale dell’esistente, tanto da giustificare nuovamente la considerazione, già espressa lo scorso anno, che varie disposizioni del d.lg. n. 135/99 siano rimaste sostanzialmente inapplicate e che alcuni trattamenti effettuati in ambito pubblico proseguano nell’ i n o s s e rvanza delle garanzie per il cittadino.

Ol t re a ciò, l’adozione, da parte di alcuni enti, degli atti diretti a re n d e re noti i tipi di dati e di operazioni effettuabili non è avvenuta consultando pre ve n t i vamente il Garante, come dov u t o per legge, il che ha determinato ulteriori ripercussioni sulla loro va l i d i t à .

Terminata la peraltro assai lunga fase di primo “a v v i o” dell’adeguamento degli ordinamenti ai sensi dell’ a rt. 5, comma 4, del d.lg. n. 135/1999, tale stato di cose, verificato anche a seguito di una serie di ispezioni effettuate presso alcune amministrazioni estratte a campione, resta di gravità tale da esporre il nostro Paese anche a rischi di gravi violazioni della disciplina comunitaria.

Ciò ha indotto il Garante a segnalare nuovamente al Governo, in data 17 gennaio 2002, ai sensi d e l l’ a rt. 31, comma 1, lett. m ), della legge n. 675/1996, la necessità di adottare ogni opport u n a i n i z i a t i va affinché il trattamento dei dati sensibili e giudiziari da parte dei diversi soggetti pubblici si conformi al più presto alle disposizioni vigenti. Con la medesima segnalazione, sono state p e r a l t ro enucleate in chiave alcune linee-guida alle quali le pubbliche amministrazioni devo n o uniformarsi nella predisposizione degli atti (in B o l l e t t i n o n. 24, p. 40).

Con tale prov vedimento il Garante, nel ribadire l’obbligo di pro c e d e re alla rilevazione in questione attraverso atti di natura re g o l a m e n t a re anziché attraverso altri atti amministrativi, ha ricordato che le norme generali introdotte dal d.lg. n. 135/1999 non devono essere riprodotte nei singoli atti, apparendo pacifico che al trattamento dei dati in questione si applichino comunque le medesime disposizioni generali fissate nel decreto in tema, in part i c o l a re, di essenzialità, pert inenza, modalità di conservazione dei dati, ecc. (artt. 1-5). Piuttosto, si è osservato, risulta necessario collegare alle rilevanti finalità perseguite dal trattamento già individuate dal decreto o dal Informazioni sensibili e altri dati particolari Garante, i tipi di dati sensibili trattati e i tipi di operazioni su di essi eseguite. Ciò che occorre , in altre parole, è che la pubblica amministrazione chiarisca ai cittadini, in un quadro di piena tras p a renza, quali categorie di informazioni vengono utilizzate in relazione alle singole finalità e renda note le sostanziali forme della loro utilizzazione, evitando peraltro la pedissequa, quanto inutile, menzione di tutte le operazioni che compongono l’ampia definizione legislativa di “t r a tt a m e n t o” (art. 1, l. n. 675/1996).

Re l a t i vamente alla forma che tali prov vedimenti promossi dalle amministrazioni pubbliche d e vono assumere, il Garante ha ribadito, come si è detto, quanto affermato in altre circ o s t a n ze e cioè che il delicato profilo in questione, che incide in modo significativo sui diritti della personalità, deve essere esaminato attraverso atti di natura re g o l a m e n t a re anziché mediante atti amministrativi interni. Ciò anche perché la forma re g o l a m e n t a re, in ragione del part i c o l a re e più adeguato procedimento di formazione (interno ed esterno ai soggetti pubblici) assicura all’ a t t o – re g olamento una maggiore “a u t o re vo l ez z a” e stabilità.

Il Garante, fermo restando il diritto dei cittadini di far va l e re i propri diritti nelle competenti sedi, anche in relazione agli eventuali danni subiti, si è quindi nuovamente riservato, in pre s e n z a di accertate violazioni della disciplina in materia, di adottare specifici prov vedimenti di blocco o divieto del trattamento.

Dalle verifiche ispettive svolte dall’ Autorità sono inoltre risultate ulteriori violazioni di legge, quali la mancata designazione dei soggetti incaricati del trattamento, ov ve ro un’adozione di m i s u re minime di sicurezza non sempre rispondente al dettato normativo.

Proprio in ragione delle difficoltà appena ricordate, e consapevole del part i c o l a re impegno che tale disciplina integrativa di dati sensibili può comport a re, l’ Autorità ha intrapreso anche sotto questo profilo forme di collaborazione con gli organismi rappresentativi degli enti locali, cui si accennerà nel paragrafo dedicato a questo tema (par. 12).

In materia sanitaria l’individuazione dei tipi di dati e di operazioni presenta profili specifici; l’ a rt. 2, comma 1, d.lg. n. 282/1999, ave va infatti affidato tale compito ad un decreto del Mi n i s t ro della sanità (da adottarsi sentiti la Conferenza permanente per i rapporti tra lo St a t o , le regioni e le province autonome di Trento e Bolzano ed il Garante), che avrebbe dovuto perm e t t e re una disciplina più uniforme del settore anche per quanto riguarda l’individuazione delle modalità semplificate per le informative di cui all’ a rt. 10 della l. n. 675/1999 e per la pre s t azione del consenso nei confronti degli organismi sanitari pubblici, convenzionati o accre d i t a t i dal Se rvizio sanitario nazionale.

Un apposito gruppo di lavo ro, cui ha partecipato anche questa Autorità, ha svolto un intenso l a vo roterminando, sostanzialmente, l’opera intrapresa. La disciplina integrativa in questa materia è assai attesa.

Oltre a privare i cittadini di importanti garanzie a tutela dei propri diritti fondamentali, il mancato completamento della disciplina costringe vari organismi sanitari a sollecitare più volte il consenso a milioni di cittadini, o ad ometterne la richiesta agli interessati, sebbene tale adempimento potrebbe essere estremamente semplificato proprio con le procedure che il medesimo decreto dovrebbe introdurre.

Fra i pochi tentativi di dare esecuzione alle disposizioni introdotte dal d.lg. n. 135/1999, deve segnalarsi l’adozione del decreto del Mi n i s t e ro della difesa del 10 ottobre 2002, che presenta però u n’individuazione non ancora idonea di dati e di operazioni, effettuata peraltro utilizzando una fonte non re g o l a m e n t a re e senza consultare pre ve n t i vamente il Garante. Op p o rtuni contatti sono stati intrapresi con i relativi uffici per adeguare il decre t o.

Con riferimento alla materia dei dati sanitari va anche segnalato il rinnovo da parte del Garante dell’autorizzazione generale n. 2/2002 re l a t i va al trattamento dei dati idonei a rive l a re lo stato di salute e la vita sessuale (che trova parziale applicazioneanche in ambito pubblico), con poche modifiche sostanziali rispetto a quella adottata in pre c e d e n z a .

Per quanto concerne, invece, i dati a carattere giudiziario, il loro trattamento resta al momento regolato principalmente dall’ a rt. 24 della l. n. 675/1996, il quale non pre vede una disciplina differenziata fra soggetti pubblici e privati e stabilisce che il trattamento medesimo possa aver luogo solo se autorizzato da un’ e s p ressa norma di legge o da un prov vedimento del Garante dal quale risultino le rilevanti finalità d’ i n t e resse pubblico perseguite dal trattamento, i tipi di dati trattati e le precise operazioni autorizzate.

L’ a rt. 5 del d.lg. n. 135/1999 (come modificato dall’ a rt. 15 del d.lg. n. 281/1999) ha pre v isto, anche per tali dati, la possibilità per le amministrazioni pubbliche di specificare i tipi di informazioni utilizzabili e di operazioni eseguibili in relazione alle finalità di rilevante interesse pubblico ivi indicate. Tali rilevazioni hanno però incontrato problemi analoghi a quelli appena ricordati a proposito dei dati sensibili. Anche in questo caso necessita, pertanto, una rapida emanazione di idonei regolamenti attuativi da parte di tutte le amministrazioni intere s s a t e .

Il Garante ha peraltro autorizzato detti trattamenti, come già in passato con l’ a u t o r i z z a z i o n e n. 7 (rinnovata con scadenza al 30 giugno 2003) rilasciata a favo re di soggetti privati e anche pubblici, in relazione ad alcune ulteriori rilevanti finalità di interesse pubblico.

Con riferimento alla pratica applicazione dei principi in materia di trattamenti di dati sensibili in ambito pubblico, merita di essere da ultimo citata la richiesta presentata al Garante da p a rte di una comunità montana volta ad ottenere una “a u t o r i z z a z i o n e” al trattamento di dati sensibili in occasione della realizzazione di un censimento della popolazione finalizzato alla re d azione di un piano di pro t ezione civile.

In tale occasione, l’Ufficio ha avuto modo di precisare (risposta a quesito del 20 gennaio 2003) che le informazioni attinenti a persone non autosufficienti rilevabili in tale occasione, in quanto di carattere sensibile, possono essere già trattate in quanto collegate alle rilevanti finalità di interesse pubblico in materia di “protezione civile”, alle quali può appunto ricondursi il trattamento in questione e che sono individuate sia dal d.lg. n. 135/1999, sia dal Provvedimento n. 1/P/2000 del Garante (in G.U. 2 febbraio 2000, n. 26). L’Ufficio ha peraltro richiamato l’ente al rispetto del principio di pertinenza ex art. 9, legge n. 675/1996, in virtù del quale negli atti delle pubbliche amministrazioni devono essere riportati solo i dati indispensabili al raggiungimento delle finalità istituzionali.

Come già evidenziato nelle precedenti relazioni, la tutela della riservatezza dei dati personali va armonizzata con le esigenze di trasparenza dell’azione amministrativa, di cui ha tenuto conto all’art. 43, comma 2, legge n. 675/1999.

Nel rinviare al successivo paragrafo una sintetica disamina di alcuni provvedimenti sul diritto d’accesso, si intende qui dar conto succintamente di alcuni chiarimenti dell’Autorità che, nel decorso anno, hanno contribuito, in diversi casi, ad offrire una chiave di lettura nel delicato bilanciamento fra esigenze di trasparenza e tutela della riservatezza.

Uno degli elementi che merita evidenziare in questa sede -e che viene a volte sottovalutatoè l’incidenza che un diverso diritto di accesso, quello introdotto dall’art. 13 della legge n. 675, ha avuto in termini di maggiore trasparenza dell’attività della p. a.

In varie occasioni, il Garante ha messo in evidenza le differenze fra i due diritti di accesso, quello previsto dal d.lg. n. 267/2000 e dalla legge n. 241 del 1990 e quello introdotto dal citato art. 13, precisando che quest’ultimo consente all’interessato di accedere solo alle informazioni che lo riguardano e che tale accesso di regola non avviene attraverso le forme previste per le prime (visione e copia). Nonostante tale più specifica area di informazioni conoscibili, l’esercizio di questo diritto da parte degli interessati ha contribuito anch’esso ad una maggiore “apertura” e trasparenza della pubblica amministrazione: si pensi, tra l’altro, agli effetti che ha avuto nei riguardi della conoscenza dei dati personali riferiti a persone decedute, nei cui confronti tale diritto può essere esercitato da chiunque vi abbia interesse (Provv. 22 gennaio 2003).

Nel 2002, le esigenze di trasparenza delle attività pubbliche sono venute nuovamente in evidenza in diverse situazioni, anche in riferimento alla conoscibilità di una testata giornalistica dei dati detenuti dall’INPS relativi alle contribuzioni aggiuntive versate da organizzazioni sindacali a favore di rappresentanti collocati in aspettativa non retribuita.

Al riguardo è stato preliminarmente rilevato che è prassi costante dell’Ufficio non fornire prescrizioni analitiche in caso di richieste di parere formulate da soggetti pubblici circa l’accoglibilità o meno di singole richieste di accesso a documenti. Ciò in ragione del fatto che la decisione su tali richieste pertiene alla valutazione discrezionale del soggetto pubblico, sulla base di una compiuta valutazione dello specifico quadro normativo applicabile all’ente e con possibilità di impugnazione giurisdizionale della decisione medesima.

Nel caso sottoposto è stato tuttavia brevemente osservato che l’ente previdenziale, nel valutare la richiesta della testata giornalistica, tenuto conto dell’orientamento giurisprudenziale e dell’eventuale regolamento adottato per l’applicazione della legge n. 241/1990, non sembrava incontrare ostacoli nel consentire l’accesso a dati di vario genere che ricostruissero chiaramente l’entità e le caratteristiche del fenomeno della contribuzione aggiuntiva (ammontari minimi, Trasparenza dell’attività amministrativa massimi e medi di contribuzione; numero complessivo di interessati suddivisi per oo.ss. interessate; durata media della contribuzione; ecc.). È stato inoltre precisato che per la conoscibilità di informazioni più dettagliate, l’ente previdenziale poteva basarsi anche sulla natura pubblica o privata dei fondi utilizzati per le contribuzioni aggiuntive anche al fine di comunicare i nomi dei beneficiari, tenendo altresì conto dell’art. 6 del codice di deontologia per l’attività giornalistica che si riferisce al diritto di cronaca in riferimento a “persone note o che esercitano funzioni pubbliche” (Provv. 23 agosto 2002).

Il tema è stato anche affrontato, sotto ulteriori profili, con la pronuncia con la quale sono stati forniti ulteriori chiarimenti in merito alla diffusione delle immagini delle sedute comunali da parte di una televisione locale. Rispondendo al quesito di un Comune, l’Autorità ha affermato che una simile eventualità deve ritenersi in generale configurabile -anche al di fuori dell’ambito locale o nel caso in cui ad esse si aggiungano le opinioni e i commenti del giornalista- sulla base di quanto disposto dall’art. 25 della legge 675/1996 e dal codice di deontologia relativo al trattamento dei dati personali nell’esercizio dell’attività giornalistica. Ciò purché i presenti siano stati debitamente informati dell’esistenza delle telecamere e della successiva diffusione delle immagini. In ogni caso, devono essere adottate le necessarie cautele per prevenire l’indebita divulgazione di dati sensibili, quali quelli relativi alle condizioni di salute (Newsletter 11-13 marzo 2002, in www.garanteprivacy.it).

Sempre nell’ambito dell’esigenza di trasparenza delle attività pubbliche è venuta in evidenza la delicata problematica relativa alla possibilità da parte di un comune di mettere a disposizione di varie organizzazioni sindacali e uffici giudiziari l’intera graduatoria riguardante il sostegno alle locazioni di immobili per inquilini soggetti a procedure esecutive di sfratto ed aventi nel nucleo familiare ultrasessantacinquenni o handicappati gravi.

Al riguardo si è rilevato che la selezione, e l’inserimento in graduatoria, degli inquilini beneficiari del sostegno avviene sulla base di informazioni riguardanti lo stato di salute (disabilità grave) o l’età (oltre i sessantacinque anni) di almeno uno dei componenti il nucleo familiare.

Non è sembrato poi agevole estrapolare dalla graduatoria i dati sensibili relativi ai portatori di handicap da quelli relativi agli ultrasessantacinquenni in buone condizioni di salute.

In tal senso l’ Autorità ha ravvisato nella diffusione dell’intera graduatoria un contrasto con la normativa sulla pro t ezione dei dati personali, che vieta ai soggetti pubblici la diffusione dei dati idonei a rileva re lo stato di salute (art. 23, comma 4, l. n. 675/1996; art. 4, comma 4, d.lg. n. 135/1999). Lo stesso art. 13 del d.lg. n. 135/1999, che delimita il trattamento effettuato per fini di trasparenza, dei dati sensibili necessari per il riconoscimento di agevolazioni, abilitazioni e benefici di altro tipo, conferma il predetto divieto di diffusione dei dati idonei a rileva re lo stato di salute (art. 4, comma 4 d.lg. cit.: Prov v. 13 marzo 2 0 0 3 ) .

L’ Autorità è stata nuovamente interpellata di frequente per chiarire alcuni aspetti del rapp o rto tra la normativa sul diritto di accesso ai documenti amministrativi e la legge n. 675/1996.

Molti interventi dell’Autorità hanno ricalcato quanto più volte ribadito circa la vigenza delle disposizioni in materia di trasparenza dell’attività amministrativa e la necessità che una compiuta valutazione dell’istanza di accesso a documenti amministrativi venga effettuata dall’amministrazione che dispone di tutti gli elementi utili ad effettuare il contemperamento fra i diversi diritti in gioco.

Fra le varie questioni segnalate degne di particolare menzione sono quelle incentrate sulla legittimità della richiesta di accedere alla documentazione riguardante l’attribuzione ai dipendenti di taluni trattamenti retributivi accessori.

Alcune di queste richieste risultano rivolte ai sensi della legge n. 241/1990 e sono generalmente presentate da persone interessate a conoscere per motivi diversi le posizioni retributive di alcuni colleghi; altre, prima facie non risolvibili applicando i soli principi in materia di trasparenza amministrativa, sono rivolte dalle oo.ss. all’insieme delle retribuzioni percepite dai lavoratori e, in alcuni casi, appaiono fondarsi su quanto previsto dai relativi contratti collettivi nazionali di lavoro.

In materia di dati sensibili, l’entrata in vigore del d.lg. n. 135/1999 sembra aver risolto dubbi residui circa l’applicabilità del diritto di accesso ai documenti anche nei confronti delle informazioni più delicate. L’ a rt. 16 di tale decreto ha infatti dichiarato “di rilevante intere s s e p u b b l i c o” anche i trattamenti di dati sensibili “necessari per far va l e re il diritto alla difesa in sede a m m i n i s t ra t i va o giudiziaria” (comma 1, lett. b )), e quelli “effettuati in conformità alle leggi e ai regolamenti per l’applicazione della disciplina sull’accesso ai documenti amministra t i v i” (comma 1, lett. c )) .

Nel caso dei dati sensibili, ovviamente, le valutazioni sul diritto di accesso devono essere effettuate con maggiore attenzione. In particolare, una fattispecie specifica si rinviene con riferimento ai dati sulla salute e sulla vita sessuale per i quali lo stesso d.lg. n. 135 prevede che consente l’accesso solo “se il diritto da far valere o difendere & è di rango almeno pari a quello dell’interessato” (art. 16, comma 2).

Il tema, affrontato anche in due recenti decisioni del Consiglio di Stato (Sez. VI, n. 1882/2001 e n. 2542/2002), si è posto soprattutto con riferimento alle cartelle cliniche, che -oltre a riport a re dati sensibili- contengono anche informazioni re l a t i ve a varie patologie, le quali talvolta possono e s s e re riferite anche a persone diverse dall’ i n t e ressato (ad es. il caso delle anamnesi familiari).

R e l a z i o n e 2 0 0 2 2 1 Accesso ai documenti amministrativi In effetti, re l a t i vamente alla gestione di tali atti e documenti, il Garante negli ultimi tempi è stato destinatario di numerose richieste di chiarimenti circa la possibilità per le stru t t u re o s p e d a l i e re di consentirne l’accesso -in copia (integrale o in estratto) o in visione- sulla base delle istanze formulate ai sensi della legge n. 241/1990 o degli artt. 391 q u a t e r e 391 n o n i e s c. p.

Su tale tematica e, in particolare su quali siano i diritti da considerarsi di “rango pari” a quello dell’interessato, già nel passato l’Autorità aveva constatato (v. autorizzazione n. 6/2002, punto 1, lett. a)), che essi devono appartenere alla categoria dei diritti della personalità o degli altri diritti fondamentali ed inviolabili.

In materia di trasparenza amministrativa, l’Autorità ha poi ripetutamente evidenziato la piena vigenza delle disposizioni precedenti all’entrata in vigore della legge n. 675/1996, in quanto espressamente fatte salve dal suo art. 43, comma 2.

Tale vigenza è stata successivamente confermata, con specifico riferimento ai dati sensibili, dal d.lg. 11 maggio 1999, n. 135, il quale, al già menzionato all’art. 16, ha dichiarato di “rilevante interesse pubblico”, fra gli altri, i trattamenti di dati sensibili “necessari per far valere il diritto di difesa in sede amministrativa o giudiziaria” (comma 1, lett. b)), e quelli “effettuati in conformità alle leggi e ai regolamenti per l’applicazione della disciplina sull’accesso ai documenti amministrativi” (comma 1, lett. c)).

Il secondo comma del medesimo articolo 16 ha tuttavia introdotto, seppure con una formula suscettibile di ingenerare qualche fraintendimento, un’ulteriore limitazione laddove i dati oggetto di trattamento riguardino lo stato di salute o la vita sessuale. In tali ipotesi, infatti, viene precisato che “il trattamento è consentito se il diritto da far valere o difendere & è di rango almeno pari a quello dell’interessato” (art. 16, comma 2). In proposito l’Autorità ha ultimato l’istruttoria di un provvedimento volto ad individuare talune ipotesi in base alle quali il diritto da far valere o difendere si configura di rango pari a quello dell’interessato, anche in relazione ai primi casi affrontati dalla giurisprudenza.

Come già accennato, l’Autorità ha confermato il proprio positivo orientamento sulla questione relativa alla compatibilità tra la normativa sul trattamento dei dati personali e il diritto di accesso riconosciuto ai consiglieri comunali e provinciali agli atti e ai documenti delle rispettive amministrazioni locali (art. 43 d.lg. n. 267/2000, corrispondente all’art. 31, commi 5, 6 e 6 bis, l. n. 142/1990).

Una delle richieste presentate risultava di particolare interesse riguardando la possibilità per un assessore comunale di conoscere i nomi dei dipendenti comunali iscritti al sindacato (Provv.

17 febbraio 2003).

L’Autorità ha rilevato che la disciplina sull’ordinamento degli enti locali, mentre riconosce ai consiglieri comunali il diritto di ottenere dagli uffici del comune, comprese aziende ed enti collegati, ogni informazione utile all’espletamento del loro mandato, nel rispetto del segreto d’ufficio, non prevede analogo diritto per gli assessori in quanto tali. Le norme dispongono, invece, che il sindaco e i singoli assessori per gli specifici settori ad essi delegati, debbano solo sovrintendere al funzionamento degli uffici e dei servizi e non con atti di diretta gestione, ma con direttive generali. L’ordinamento degli enti locali, infatti, prevede che si applichino le norme nella distinzione tra le funzioni di indirizzo e controllo politico-amministrativo, che spettano agli organi di governo dell’ente, e quelle di attuazione e gestione amministrativa, che spettano ai dirigenti.

Pertanto, solo nel caso in cui la richiesta di dati relativi al personale dipendente, anche di natura sensibile, è effettivamente indispensabile all’assessore per espletare la funzione di controllo politico-amministrativo sull’andamento dell’ufficio del personale, l’acquisizione dei dati può risultare conforme alle norme rilevanti in tema di protezione dei dati. Se invece sono proprio le ricordate finalità di rilevante interesse pubblico a mancare, la comunicazione di questi dati non è legittima e l’accesso da parte dell’assessore non è quindi consentito.

In tema di trasparenza sugli emolumenti pubblici, il Garante ha poi ricordato che nessuna disposizione della legge sulla tutela della riservatezza impone una segretezza al riguardo. La specifica disciplina in materia di pubblicità delle situazioni patrimoniali (leggi nn. 441/1982, 412/1991 e 127/1997) è ispirata a criteri di trasparenza. Ciò è stato evidenziato in più occasioni anche attraverso l’adozione di provvedimenti, pareri e comunicati stampa dell’Autorità dell’ultimo quinquennio, relativi ad amministrazioni statali e regionali, istituti ed enti pubblici, altri enti locali, società a capitale pubblico, aziende autonome e speciali, concessionari di servizi pubblici, dirigenti, equiparati e altri manager pubblici (Comunicato 21 gennaio 2003).

L’Autorità è intervenuta, inoltre, in numerosi altri casi nei quali si richiedeva di conoscere il rapporto tra la normativa sul diritto di accesso ai documenti amministrativi e le disposizioni che tutelano il diritto alla riservatezza dei dati personali. Si segnalano in proposito le seguenti pronunce:

– parere circa la possibilità per una persona, invalida civile, di accedere alle convenzioni tra province e aziende private, al fine di verificare il rispetto delle norme sull’assunzione delle c.d. “categorie protette” (Provv. 4 aprile 2003); – parere sulla pubblicabilità nell’albo pretorio di un comune di un provvedimento con il quale si dispone l’assegnazione di un dipendente ad un altro ufficio (Provv. 13 gennaio 2003); – parere in ordine alla possibilità di esporre nella bacheca di un ufficio pubblico i dati giornalieri relativi alla timbratura elettronica dell’entrata e dell’uscita del personale dipendente (Provv. 13 gennaio 2003); – parere riguardante la possibilità per un comune di rilasciare ad un ufficio pubblico un elenco nominativo, completo di indirizzo, dei cittadini nati negli anni 1984-85, al fine di consentire all’ente stesso lo svolgimento di propri servizi istituzionali (Provv. 13 gennaio 2003); – parere circa la possibilità per il concessionario per la riscossione dei tributi di procedere ad una serie di controlli per accertare redditi o cespiti mobiliari o immobiliari da sottoporre a procedura esecutiva per il recupero delle somme non riscosse (Provv. 13 marzo 2003).

È stata confermata, anche nell’anno in esame, la tendenza già sottolineata nelle precedenti relazioni ad un crescente sviluppo di banche dati di grandi dimensioni, le quali -nonostante i vantaggi che esse possono comportare per l’attività amministrativa- presentano maggiori rischi nei confronti dei diritti fondamentali delle persone, specie quando risultano prive dei necessari presupposti normativi e avviate in forme non accordate fra loro.

Nel quadro delle prime iniziative in tema di e-government, su invito del Dipartimento per l’innovazione e le tecnologie, l’Ufficio del Garante, come anticipato nella precedente Relazione annuale, ha collaborato – per gli aspetti di propria competenza – alla redazione di un bando per progetti di e-government presentati nel corso del 2002 ed ha assicurato la propria disponibilità per la loro valutazione sotto il profilo del rispetto della normativa in materia di protezione dei dati personali.

Sicuramente fra le banche dati di grandi dimensioni che più hanno catalizzato l’attenzione dell’Autorità anche nel corso del 2002 figura la raccolta sistematica delle dichiarazioni di appartenenza linguistica di tutti i cittadini nella provincia di Bolzano, prevista dall’art. 18 del d.P.R. n. 752/1976.

Secondo tale disposizione, ogni cittadino di età superiore ai quattordici anni residente in quella provincia alla data del censimento generale della popolazione, è tenuto a rendere una dichiarazione individuale di appartenenza ad uno dei tre gruppi linguistici italiano, tedesco o ladino. Tale dichiarazione, sottoscritta dal dichiarante, viene ritirata dai rilevatori in busta chiusa e così conservata, a scelta del dichiarante, presso il commissariato del Governo o il comune di residenza.

Di questa disposizione si è già fatto cenno nella Relazione per l’anno 2001, laddove è stata evidenziata anche la valutazione non positiva del Garante nei confronti della parziale modifica legislativa intervenuta (d.lg. 18 gennaio 2002, n. 11) che, trasferendo la conservazione delle schede dai tribunali ai comuni o al commissariato del Governo, ha dato luogo ad un sistema nel quale già la scelta stessa del luogo di custodia si presta ad una possibile individuazione dell’origine etnica o delle convinzioni degli interessati, favorita anche da alcuni inviti apparsi su organi di stampa volti ad incentivare la scelta di depositare le schede presso i comuni. A seguito dell’interessamento alla vicenda da parte degli organi comunitari la materia è sotto esame ai fini delle possibili, nuove modifiche normative anche per assicurare conformità al quadro internazione e comunitario.

Per altro verso con riferimento al 14° censimento generale della popolazione, è stato rilevato che sarebbero stati trasferiti in Romania e in Croazia, per essere successivamente trattati, i dati raccolti in occasione di tale censimento. In considerazione del fatto che non è ancora Banche dati di rilevanti dimensioni stato accertato il livello di protezione dei dati personali assicurato in questi due Paesi, il Garante è intervenuto nella vicenda e nel dicembre 2002, ha chiesto all’Istat informazioni riguardo agli adempimenti previsti dalla legge 675/1996 per il trasferimento dei dati all’estero, al fondamento giuridico delle operazioni di trattamento ivi avvenute, nonché ai rapporti intercorrenti tra l’Istituto e i soggetti operanti in tali Paesi. Il procedimento di controllo è in procinto di essere completato.

In aggiunta ai numerosi pareri forniti all’Istat allo scopo di mantenere alto il livello di tutela della riservatezza dei cittadini nell’ambito del censimento, l’Autorità ha avviato un ciclo di ispezioni e controlli, tuttora in corso di completamento, volti a verificare infine il puntuale rispetto delle indicazioni fornite.

Sempre in tema di grandi banche di dati, nel 2002 è stata promulgata la legge 30 luglio 2002, n. 189 in materia di immigrazione ed asilo, con la quale si è inteso disciplinare l’emersione del lavoro irregolare di persone extracomunitarie ai fini della legalizzazione della loro posizione.

La procedura disposta dal Ministero dell’interno ha previsto la presentazione da parte degli interessati di una dichiarazione in busta chiusa a Poste S.p.A., la quale ha avuto anche il compito di effettuare una scansione informatica delle istanze pervenute.

L’Autorità ha esaminato la circolare emanata dal Ministero dell’interno contenente disposizioni organizzative per l’attuazione di tale legge ed ha segnalato la necessità di una maggiore attenzione ai profili legati alla riservatezza delle persone coinvolte. In particolare, è stata sottolineata l’importanza di approntare idonee misure a protezione dei dati personali specie di quelli di carattere sensibile (in alcuni casi, infatti, gli interessati erano tenuti a presentare una certificazione sanitaria relativa alle persone accudite dai cittadini extracomunitari indicati per la procedura di emersione). Tali dati, secondo quanto precisato dall’Autorità, devono essere conservati nel rispetto delle disposizioni in materia di sicurezza e conservati per un periodo prestabilito.

L’Autorità ha poi chiesto chiarimenti in merito al registro informatizzato di coloro che hanno presentato l’istanza di regolarizzazione previsto dalla legge n. 189/2002, che dovrebbe peraltro contenere esclusivamente dati di carattere anagrafico. Oltre ad evidenziare la necessità di fornire adeguata informativa agli interessati in merito al trattamento dei dati raccolti, sono state esaminate le modalità di lavoro dei rappresentanti dei diversi enti coinvolti, segnalando l’opportunità di una chiara definizione della funzionalità del c.d. “sportello unico per l’immigrazione”, con una precisa suddivisione delle abilitazioni all’accesso ai dati tra gli incaricati in base alle diverse attribuzioni previste dalla legge.

A seguito di tali richieste il Ministero si è attivato designando Poste S.p.A. ed i prefetti in sede responsabili per le parti di competenza, affidando loro anche il compito di individuare i rispettivi incaricati dei trattamenti.

Con particolare riferimento, poi, ai dati sensibili contenuti nelle certificazioni sanitarie da allegare alle istanze di regolarizzazione, è stato precisato che, nel dare piena attuazione alle dis- posizioni previste dal d.P.R. n. 318/1999, tali dati saranno conservati solo in forma cartacea al fine di poterli gestire separatamente. Per quanto riguarda, invece, l’operatività del c.d. sportello unico, è stato chiarito dallo stesso Ministero che ognuno degli enti coinvolti fornisce i servizi di propria competenza, senza alcuna comunicazione di dati fra amministrazioni e nel rispetto delle proprie competenze istituzionali.

L’Autorità continua a seguire con particolare attenzione e in contatto con il Ministero dell’interno e le altre amministrazioni interessate, le questioni concernenti la carta di identità elettronica.

Le varie questioni via via esaminate sono state riassunte anche in occasione di iniziative pubbliche cui ha preso parte l’Autorità.

Il Prof. Gaetano Rasi, componente dell’Autorità, in un seminario organizzato nell’ambito del COM-PA, ha ad esempio richiamato l’attenzione sulla necessità di selezionare in una prospettiva di proporzionalità la tipologia dei dati da inserire nei documenti elettronici, i soggetti che possono eventualmente accedere alle varie categorie di dati e le garanzie per gli interessati (v. Newsletter del 16/22 settembre 2002). Nel corso di un analogo seminario svoltosi anch’esso al COM-PA, il Segretario generale dell’Autorità ha in particolare evidenziato i rischi e le varie problematiche pratiche derivanti dall’inserimento nella carta d’identità elettronica delle impronte digitali (v. comunicato stampa 18 settembre 2002), tenuto anche conto della remota, ma pur sempre configurabilità di una riproduzione illecita di tali impronte e di una loro ipotetica utilizzazione illecita, a detrimento anche dell’attività investigativa che si basa molto su questi elementi di prova.

Se l’apparente accantonamento del progetto di un’apposita tessera sanitaria unica ha segnato una positiva pausa di riflessione sul fronte della proliferazione delle carte “pubbliche” contenenti dati sulla salute, non si può manifestare pari ottimismo sul fronte “privato”, dove prosegue la moltiplicazione di “carte” dedicate a particolari categorie di pazienti o a determinate patologie. Una tale proliferazione rende ovviamente più difficoltoso un quadro in cui si possa tenere adeguatamente conto dei profili attinenti alla riservatezza ed alla dignità della persona.

I progetti della carta d’identità elettronica e della carta nazionale dei servizi, congiuntamente alla firma digitale, sono attualmente individuati nelle politiche di e-government quali strumenti attraverso i quali i cittadini potranno utilmente avvalersi della rete per usufruire di nuovi servizi erogati per via telematica dalle amministrazioni pubbliche. Tali tematiche, tra l’altro, rientrano tra i progetti di emissione di una carta nazionale dei servizi, introdotta nell’ordinamento dall’articolo 8 del decreto legislativo 23 febbraio 2002 n. 10, in attuazione della direttiva 1999/93/CE in materia di firme elettroniche.

In questa prospettiva il Garante si accinge ad esprimere il parere richiesto da ultimo su uno schema di provvedimento attuativo volto a facilitare l’introduzione della carta e, in questa sede, si riserva di formulare sull’ultima versione disponibile dello schema alcune doverose riflessione sugli usi non proporzionati dei dati personali che potrebbero essere ipotizzati a vario Carta d’identità elettronica, carta nazionale dei servizi e tessera elettorale scopo, anche a fini di contenimento della spesa sanitaria. Ciò in utile e proficua cooperazione con gli uffici del Ministro per l’innovazione e le tecnologie, ma ponendo in chiara luce gli obiettivi limiti che la disciplina internazionale e comunitaria pone al riguardo.

L’istituzione della carta d’identità elettronica e la connessa ipotesi di sostanziale trasformazione del codice fiscale in un identificativo generale, pone delicati profili di compatibilità con la disciplina prevista dalla direttiva 95/46/CE, nella parte in cui questa dispone che gli Stati membri determinino in base a quali garanzie e condizioni un numero nazionale di identificazione o qualsiasi altro mezzo identificativo di portata generale può essere oggetto di trattamento.

Come evidenziato dal presidente del Garante (nell’ambito della audizione della Commissione parlamentare di vigilanza sull’anagrafe tributaria del 6 novembre 2002) si impone la necessità di specificare, attraverso uno o più atti normativi, le condizioni per cui un tale sistema identificativo generale potrà essere utilizzato per il trattamento delle informazioni.

Identica importanza andrà attribuita alla salvaguardia del principio di finalità, da ravvisarsi in una corrispondenza tra il fine per il quale si ricorre all’identificativo generale e il tipo dei dati utilizzati; nonché alla garanzia della riservatezza e segretezza nelle modalità di utilizzazione, trasmissione e accesso ai dati che tale identificativo generale consentirà.

Appare evidente come, nell’ambito dei progetti della carta d’identità elettronica e della carta nazionale dei servizi, particolare delicatezza viene ad assumere la definizione -sulla base ed in conseguenza di una totale partecipazione degli enti locali al processo di aggiornamento dell’Indice nazionale delle anagrafi- di un sistema integrato delle anagrafi di tutti i comuni italiani che, oltre ad assicurare, attraverso l’utilizzo di una chiave di ricerca univoca individuata nel codice fiscale, la piena circolarità dell’informazione anagrafica detenuta dall’ente locale e le relative variazioni, può consentire la verifica e l’allineamento delle informazioni delle anagrafi comunali con il contenuto dell’anagrafe tributaria.

La stessa commissione parlamentare di vigilanza sopra richiamata, nella relazione conclusiva del 12 dicembre 2002, ha ritenuto che “nel processo in corso di utilizzo dello strumento informativo per la semplificazione del rapporto tra cittadino e “pubbliche amministrazioni” sarà altresì compito della Commissione – intendendosi recepire in tal senso anche le indicazioni formulate dall’Autorità garante per la privacy e nel quadro di una partecipazione attiva secondo lo spirito della legge n. 675 del 1996 con riguardo alla tutela della dignità e libertà delle persone coinvolte nel trattamento dei dati personali – dotarsi di un nuovo habitus nell’esercizio delle proprie funzioni istituzionali, vigilando anche affinché, ove presenti implicazioni di materia tributaria, sia l’istituzione dei documenti elettronici (con particolare riferimento alla carta d’identità elettronica), sia l’interconnessione tra le varie istituzioni per lo scambio e la verifica delle informazioni elettroniche, non comportino il rischio di menomare i principi di riservatezza dei dati personali, con evidente, particolare riguardo ai dati sensibili, ed intervenendo nella valutazione delle finalità sottese alla loro accessibilità ed utilizzazione.”.

Una recente novità in materia di utilizzo della carta nazionale dei servizi è stata introdotta dall’art. 52 della legge 27 dicembre 2002, n. 289. Tale disposizione prevede che, al fine di potenziare il processo di attivazione del monitoraggio delle prescrizioni mediche, farmaceuti- che, specialistiche e ospedaliere, di contenere la spesa sanitaria, nonché di accelerare l’informatizzazione del sistema sanitario e dei relativi rapporti con i cittadini e le pubbliche amministrazioni e gli incaricati dei pubblici servizi, il Ministro per l’innovazione e le tecnologie (di concerto con il Ministro dell’economia e delle finanze, il Ministro della salute, il Ministro dell’interno, e sentita la Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano), stabilisce le modalità per l’assorbimento della tessera recante il codice fiscale nella carta nazionale dei servizi e per la progressiva utilizzazione della carta medesima ai fini sopra descritti.

In materia di tessera elettorale, nonostante i solleciti formulati dall’Autorità per un complessivo riesame della materia, continua a rimanere in vigore la normativa concernente la tessera elettorale cartacea, sulla quale il Garante ha nel passato espresso un giudizio assai critico in ragione della conoscibilità dei dati relativi al comportamento elettorale degli interessati che può realizzarsi attraverso il suo uso.

Le dichiarazioni rese nel maggio 2002 dai Ministri dell’interno e per l’innovazione e le tecnologie, i quali hanno definito lo strumento in questione ormai obsoleto e ribadito la necessità di una sollecita introduzione del supporto informatico, fanno sperare che tale questione possa essere risolta in tempi brevi tenendo conto anche delle considerazioni a suo tempo formulate dal Garante.

In occasione della predisposizione da parte del Mi n i s t e ro dell’interno di taluni emendamenti al testo dello schema di prov vedimento legislativo recante ” Nu ove norme per l’ e s e rcizio del diritto di voto da parte degli elettori affetti da gra ve inferm i t à ” ( v. legge 5 febbraio 2003, n. 17), il Garante ha inoltre espresso il richiesto pare re (5 febbraio 2003) fornendo indicazioni per evit a re l’annotazione di dati relativi allo stato di salute nel documento di identità. Tale misura non appariva giustificata rispetto ai concorrenti principi generali in materia di tutela della riservatezza, tra i quali si colloca quello della pertinenza e non eccedenza dei trattamenti di dati personali rispetto alle finalità perseguite (art. 9, c. 1, lett. d), l. n. 675/1996). Tenendo conto del predetto parere dell’Autorità, la legge n. 17/2003, modificando l’art. 55 del testo unico di cui al d.P.R. n. 361 del 1957, e l’art. 41 del testo unico di cui al d.P.R. n. 570 del 1960, ha aggiunto il seguente comma:

“L’annotazione del diritto al voto assistito, di cui al secondo comma, è inserita, su richiesta dell’interessato, corredata della relativa documentazione, a cura del Comune di iscrizione elettorale, mediante apposizione di un corrispondente simbolo o codice, nella tessera elettorale personale, nel rispetto delle disposizioni vigenti in materia di riservatezza personale ed in particolare della legge 31 dicembre 1996, n. 675, e suc – cessive modificazioni”.

Sono rimaste numerose le richieste di chiarimenti rivolte all’ Autorità da enti locali e privati cittadini in ordine al trattamento di dati contenuti in atti anagrafici, dello stato civile e nelle liste elettorali.

Con riferimento alle liste anagrafiche ed elettorali re l a t i ve a cittadini italiani residenti all’ es t e ro, nell’ambito della collaborazione con il Mi n i s t ro per gli italiani nel mondo, l’ Au t o r i t à ha reso il proprio pare re (17 settembre 2002) su uno schema di decreto del Presidente della Repubblica recante il regolamento di attuazione della legge n. 459 del 27 dicembre 2001 ( “No rme per l’ e s e rcizio di voto dei cittadini italiani residenti all’ e s t e ro”), ponendo in evidenza d i versi profili critici.

In primo luogo, è stata evidenziata l’esigenza di ve r i f i c a re l’ e f f e t t i va necessità di indicare nel tagliando elettorale (che deve essere inviato all’ufficio consolare competente unitamente alla scheda elettorale sulla quale il cittadino ha espresso la propria pre f e renza) dati che consentano di risalire direttamente ed immediatamente all’identità dell’ e l e t t o re. A tal fine è stato suggerito di apporre sul tagliando solo un numero o un codice corrispondente alla posizione del singolo, al fine di garantire meglio la segre t ezza del vo t o.

In relazione, poi, alla previsione di re a l i z z a re un “elenco aggiornato” dei cittadini italiani residenti all’ e s t e ro finalizzato alla predisposizione delle liste elettorali, è stata sottolineata la necessità che la legge specifichi quali dati debbano confluirvi, considerato anche che gli a rchivi già esistenti contengono informazioni non necessarie all’ e s e rcizio del diritto di vo t o (ad esempio, le anagrafi degli italiani residenti all’ e s t e ro riportano l’indicazione dell’anno di espatrio e la motivazione di iscrizione all’AIRE, mentre gli schedari consolari “anche degli atti o fatti che producono o possono pro d u r re la perdita della cittadinanza o dei diritti civili & non – ché di ogni altro elemento utile ai fini della tutela degli interessi del connazionale”). Ciò anche al fine di garantire che il nuovo trattamento rispetti i princìpi di pertinenza e non eccedenza p revisti dall’ a rt. 9 della legge n. 675/1996.

Con il medesimo pare re è stato inoltre rilevato che la previsione di una rete telematica di scambio di informazioni anagrafiche ed elettorali tra uffici consolari, Mi n i s t e ro degli affari esteri, Mi n i s t e ro dell’interno e comuni, non essendo stata prevista dalla legge n. 459/2001 e neanche dalla successiva legge n. 104 del 27 maggio 2002, non poteva essere introdotta da un “d e c reto di attuazione”, come nel caso di specie.

Sul tema il Garante è intervenuto anche per soddisfare due ulteriori richieste di chiarimenti.

Nel primo caso (20 marzo 2003) un soggetto privato (un patronato che svolge attività a favo re dei connazionali residenti in un paese comunitario) ave va chiesto all’ a m b a s c i a t a italiana gli elenchi degli iscritti all’anagrafe consolare, al fine di inviare loro una nota esplica- Documentazione anagrafica e materia elettorale t i va sulle nuove norme. Nel secondo caso (14 gennaio 2003), un comune formulava un quesito in merito alla possibilità di rilasciare ad un “Centro pari opportunità” alcuni dati personali della popolazione femminile re s i d e n t e .

In entrambe le ipotesi è stata esclusa la possibilità di mettere a disposizione i dati personali posseduti ai soggetti privati richiedenti. Tuttavia, nel primo caso, è stato osservato che resta comunque salva la possibilità per la stessa ambasciata italiana, in considerazione dei fini di “pubblica utilità” dell’iniziativa e delle funzioni istituzionali che le sono attribuite, di assumere il patrocinio del progetto e, con atto convenzionale, di affidare al patronato i compiti connessi alla realizzazione dell’iniziativa. Facendo ciò, l’ambasciata avrebbe potuto eventualmente designare formalmente il patronato quale responsabile del trattamento ai sensi dell’art. 8 della legge n. 675/1996 impartendogli per iscritto le necessarie indicazioni per procedere al trattamento dei dati nel rispetto della normativa in vigore. Altrimenti, l’ambasciata avrebbe potuto preferibilmente curare direttamente l’iniziativa ipotizzata dal patronato.

Per quanto attiene agli interventi relativi all’ u t i l i z zo dei dati nell’ambito delle norme r i g u a rdanti gli atti anagrafici, sono state fornite indicazioni ad un comune (13 gennaio 2003) in ordine alla possibilità di rilasciare all’ ACI un elenco nominativo, completo di indirizzo, dei cittadini, al fine di consentire allo stesso ente automobilistico “una gestione più corretta dei p ropri servizi istituzionali”. In tal caso è stato precisato che il rilascio degli elenchi degli iscritti a l l’anagrafe della popolazione residente è previsto unicamente nei confronti di pubbliche amministrazioni che ne facciano richiesta per motivi di pubblica utilità. Data la natura pubblica dell’ ACI, l’ente locale deve va l u t a re l’esistenza delle ragioni di pubblica utilità, ragioni che, ad un primo esame, sono sembrate ricorre re .

In un altro caso (28 gennaio 2003) l’ Autorità, interessata da un Comune in ordine alla possibilità di fornire ad un privato un estratto delle liste elettorali in forma aggregata, ha rilevato che, dato anche il regime di pubblicità di tali liste, la questione pare va riguard a re non tanto la liceità della trasmissione di quei dati quanto, piuttosto, l’effettuazione – ad esclusivo vantaggio del soggetto privato – di un’attività non prevista dall’ o rd i n a m e n t o.

Un’ u l t e r i o re questione sottoposta all’ Autorità da un comune ha riguardato la possibilità di o t t e n e re dalla locale azienda energetica una verifica dei nominativi elencati in un tabulato re l a t i vo a persone che ave vano eletto domicilio presso il palazzo civico, al fine di aggiornare i registri anagrafici.

Tale attività è stata considerata (28 gennaio 2003) lecita essendo assistita dalla pre v i s i o n e di cui all’ a rt. 4 della legge n. 1228/1954, la quale, ai commi 2 e 3, pre vede che l’ Uf f i c i a l e d’anagrafe possa ord i n a re “gli accertamenti necessari ad appura re la verità dei fatti denunciati dagli interessati, relativi alle loro posizioni anagra f i c h e”, potendo interpellare, per lo stesso fine, anche “enti, amministrazioni ed uffici pubblici e priva t i”.

Un tema delicato è stato affrontato con un intervento (7 nove m b re 2002) sollecitato da una segnalazione, nei confronti di una pubblica amministrazione per segnalare l’ i n o p p o rt unità di indicare lo stato di ve d ovanza nella corrispondenza inviata dallo stesso ente pubblico ad una cittadina. Sul punto la medesima amministrazione ha assicurato che si era trattato di un mero erro re materiale e di aver predisposto idonee misure atte ad evitare il ripetersi di tali i n c resciosi episodi.

Con un pare re reso il 5 febbraio 2003, il Garante è tornato nuovamente sul tema del diritto di accesso alla documentazione re l a t i va alle consultazioni elettorali per il rinnovo di un consiglio comunale. Nel caso in esame il diritto ve n i va esercitato da un elettore che ave va instaurato un procedimento giurisdizionale dinanzi al tribunale volto a conoscere gli atti re l ativi alla presentazione delle liste dei candidati elettore al quale è stato riconosciuto il diritto di accesso.

Un altro settore d’indagine oggetto di attenzione nel corso del 2002 è stato quello concernente la tutela della riserva t ezza in ambito scolastico, che coinvolge spesso persone minori di età.

Tra le questioni sottoposte all’attenzione dell’Autorità si ritiene opportuno citare il caso di un istituto scolastico parificato, che ha formulato un quesito in merito alla possibilità di ottenere dal comune l’elenco nominativo, completo di indirizzo, dei minori residenti, al fine di promuovere alcune offerte scolastiche.

In tale occasione, è stato rilevato (16 gennaio 2003) che, ferma restando la disciplina dettata per la pubblicità delle liste elettorali contenuta nell’ a rt. 51 del d.P.R. 20 marzo 1967, n. 223 (secondo cui i soggetti pubblici e privati possono ottenere copia delle liste elettorali tenute dal Comune), il rilascio degli elenchi degli iscritti all’anagrafe della popolazione re s idente è consentito, per motivi di pubblica utilità, solamente nei confronti delle pubbliche amministrazioni che ne facciano motivata richiesta e non anche verso soggetti privati, tra i quali dove va ricomprendersi l’istituto scolastico parificato.

In un altro caso è stato fornito un riscontro ad un quesito (28 ottobre 2002) in merito alla possibilità per un istituto scolastico di comunicare alle famiglie i nominativi degli alunni iscritti ad un corso di disassuefazione dal fumo.

Al riguardo, è stato preliminarmente rilevato che tali tipi di informazioni, in determinate circostanze e condizioni, potrebbero risultare idonei a rivelare lo stato di salute dei soggetti interessati.

Nel caso specifico, è stato rilevato che la procedura seguita dall’istituto scolastico poteva essere effettuata in maniera più rispettosa della riservatezza degli alunni. In particolare, qualora i corsi in questione fossero stati tenuti al di fuori del normale orario scolastico, con conseguente necessità di indirizzare alle famiglie una richiesta di autorizzazione alla loro frequentazione, sarebbe stato opportuno riportare nella richiesta di autorizzazione non la specifica menzione dell’oggetto del corso, bensì la sua generica finalità (ad esempio, corso finalizzato “all’educazione alla salute e alla prevenzione”). Di tale comunicazione, in ogni caso si sarebbe dovuta dare informazione preventiva agli interessati in modo da consentire loro di tutelare la riservatezza e l’anonimato così come disposto anche dalle specifiche norme di settore Un altro aspetto interessante è stato affrontato in occasione della risposta ad un quesito concernente la possibilità di considerare i c.d. “debiti formativi” degli alunni quali dati personali “s e n s i b i l i”, nonché re l a t i vamente alla liceità della pubblicazione di tali informazioni n e l l’albo degli istituti scolastici.

Istruzione In proposito è stato rilevato (20 dicembre 2002) che tale genere di informazioni, senz’altro considerabili quali dati personali, non sono da ricondursi a quelli di natura sensibile. Al riguardo è stato altresì precisato che, se pur la normativa sulla riservatezza non vieta la comunicazione dei risultati degli scrutini, il punteggio attribuito quale “credito scolastico” a ciascun alunno deve essere “pubblicato sull’albo dell’Istituto, unitamente ai voti conseguiti in sede di scru – tinio finale e trascritto sulla pagella scolastica”, mentre l’indicazione dell’eventuale promozione con “debito formativo” va indicata solo su questo ultimo documento (art. 14, comma 5, d.m.

n. 90/2001, ribadito anche dal d.m. n. 56/2002).

Un’ulteriore questione affrontata ha riguardato la segnalazione di un cittadino che lamentava la diffusione, da parte di alcuni insegnanti, di informazioni relative alla salute della propria figlia.

Il lungo tempo trascorso e l’assenza di elementi probatori, tenuto anche conto della parziale discordanza delle versioni dei fatti riferite dalle parti, ha impedito, nel caso di specie, di assumere puntuali prov vedimenti. L’ Autorità ha tuttavia richiamato l’ Istituto a conform a re in futuro i trattamenti di dati personali svolti alle norme e ai principi introdotti dalla n o r m a t i va sulla riserva t ezza (ribaditi, con specifico riferimento all’ambito scolastico, dal d . P.R. n. 249/1998 il quale, all’ a rt. 2 comma 2, pre vede che la comunità scolastica tuteli “i l diritto dello studente alla riserva t e z z a” ) .

Un delicato problema è stato affrontato in occasione dell’esame di un quesito in merito alla legittimità della trasmissione effettuata da una direzione didattica di una nota – ritenuta riservata – ad una persona non direttamente coinvolta in una procedura di conciliazione obbligatoria.

In tal caso è stata rilevata (20 gennaio 2003) l’illiceità di tale comunicazione di dati personali poiché era stata effettuata in mancanza di una specifica norma di legge o di regolamento che, ai sensi dell’art. 27 della legge n. 675/1996, legittimasse il soggetto pubblico a comunicare i dati personali a soggetti privati.

Il trattamento dei dati personali connesso alla gestione e alla riscossione del canone di abbonamento al servizio radiotelevisivo è stato oggetto di esame da parte del Garante già nel corso dei precedenti anni (cfr. Relazioni 2000 e 2001, rispettivamente pp. 21 e 28). Al termine di una complessa istruttoria avviata nel febbraio 2001 e sollecitata anche da alcuni organi di informazione e associazioni di consumatori, il Garante, con prov vedimenti del 5 d i c e m b re 2001 e del 30 gennaio 2002, è intervenuto nei confronti della Rai e dell’ A g e n z i a delle entrate stabilendo che in assenza di specifiche disposizioni normative a riguardo, non si possono raccogliere e trattare dati personali mediante accordi -con rivenditori di appare cchi televisivi e noleggiatori di videocassette- che pre vedano rimborsi spese e premi per la cessione di dati.

L’ Autorità ha rilevato che, se per re n d e re più efficace la lotta all’ e vasione del canone si riterrà necessaria la collaborazione dei rivenditori, questa dovrà essere prevista da una specifica normativa conforme anche alla legge n. 675, sulla base di scelte riservate al Pa r l a m e n t o e al Gove r n o.

La mancanza di una normativa ad hoc, a pare re del Garante, non può essere superata dal consenso degli acquirenti, dal momento che la legge n. 675/1996 esclude che i soggetti pubblici possano supplire con tale espediente -estraneo al contesto dei trattamenti di dati in ambito pubblico- alla mancanza di fondamenti normativi. La natura pubblica del trattamento di dati effettuato, in qualità di responsabile del trattamento, dalla Rai era, del re s t o , stata già riconosciuta in un prov vedimento del Garante del luglio 2000: in quanto, appunto, “re s p o n s a b i l e” del trattamento dei dati contenuti nell’ a rchivio informatico degli abbonati, la Rai collabora con l’amministrazione finanziaria nello svolgimento dei compiti relativi alla gestione e alla riscossione dei canoni, e non può quindi essere considerata alla stregua di un soggetto privato che decide autonomamente in materia, dovendo in realtà attenersi alle prescrizioni normative e alle istruzioni impartite dall’amministrazione finanziaria.

Alla società deve applicarsi quindi il regime previsto per le amministrazioni pubbliche le quali possono effettuare solo i trattamenti di dati connessi all’ e s e rcizio delle proprie funzioni istituzionali, nei limiti stabiliti dalle previsioni di legge o di regolamento e senza richiedere il consenso degli intere s s a t i .

In base a tali considerazioni, il Garante ha stabilito che il part i c o l a re tipo di trattamento di dati personali svolto nel caso di specie dalla Rai per conto dell’amministrazione finanziaria non sia consentito e che pertanto cessino le specifiche operazioni di raccolta in corso dei dati relativi ai clienti di imprese e società di rivendita, fabbricazione e importazione di apparecchi televisivi e di vendita o noleggio di videocassette.

Canone radiotelevisivo Av verso i prov vedimenti del Garante, sia la società concessionaria, sia l’Agenzia delle entrate hanno instaurato diverse controversie giudiziarie dinanzi al Tribunale di Roma e al Tribunale amministrativo regionale per il Lazio (con connesse istanze cautelari), che sono in corso di svolgimento nelle diverse fasi con la partecipazione, in alcune, di associazioni di utenti e consumatori.

Con l’ i n t roduzione del Sistema di accesso e interscambio anagrafico (SAIA), è stato sviluppato lo scambio telematico di dati e informazioni re l a t i ve alle variazioni anagrafiche tra i comuni e tra questi e gli altri enti pubblici, al fine della eliminazione del rilascio di certificazioni anagrafiche e per il migliore espletamento dei compiti di vigilanza attribuiti al Mi n i s t e ro dell’interno.

Il fulcro del SAIA è costituito dall’Indice nazionale delle anagrafi (INA), istituito con il d.l. 27 d i c e m b re 2000, n. 392, conve rtito in legge 28 febbraio 2001, n. 26. L’indice contiene nome, cognome, codice fiscale e ultima residenza delle persone iscritte in anagrafe, consentendo l’individuazione del comune al quale richiedere i dati di interesse istituzionale.

La rilevante incidenza di quest’ultima innovazione sull’ o rdinamento anagrafico, e l’ampia individuazione dei soggetti legittimati ad accedere all’ Indice, ave vano originato l’esigenza, espre s s amente contenuta nella previsione legislativa, che ai fini dell’adozione del decreto del Mi n i s t ro dell’interno per la gestione dell’INA, fosse sentito il Garante per la pro t ezione dei dati personali.

Con il decreto del Mi n i s t e ro dell’interno 23 aprile 2002, n. 513, è stato costituito il Centro nazionale per i servizi demografici presso il Di p a rtimento per gli affari interni e territoriali, competente, fra l’ a l t ro, in ordine alle funzioni connesse alla gestione dei processi di autenticazione e c o n valida dei dati anagrafici, alla gestione, all’aggiornamento e alla consultazione dell’In d i c e nazionale delle anagrafi, alla gestione del Centro servizi anagrafi del Sistema di accesso e interscambio anagrafico. Su questi temi, in relazione anche agli obblighi di consultazione previsti dall’ a rt. 31, comma 2, della legge n. 675/1996 è necessario che prosegua una stretta cooperazione con il Mi n i s t e ro dell’ i n t e r n o.

Anche con specifico riguardo agli enti locali è stato affrontato con il citato prov vedimento del 17 gennaio 2002 (in B o l l e t t i n o n. 24, p. 40) il delicato problema della mancata adozione dei re g olamenti previsti dal d.lg. n. 135/1999 in materia di utilizzo di dati sensibili.

La perc ezione di una diffusa mancata applicazione della normativa in materia in ambito locale ha indotto l’ Autorità, come si è già avuto modo di ricord a re, a disporre un ciclo di ispezioni pre s s o alcuni comuni estratti a sort e .

L’esito di tali accertamenti (effettuati in diverse parti del territorio nazionale e su enti di d i versa dimensione) ha confermato le impressioni iniziali. A parte un caso di assoluta mancanza di ogni atto o procedura connessa alla normativa sulla riserva t ezza, la maggior part e degli enti ha mostrato un’applicazione non completamente corretta dei precetti della legge n. 675/1996 e del d.lg. n. 135/1999.

Sebbene siano risultate generalmente applicate le misure di sicurezza stabilite dal Enti Locali d . P.R. n. 318/1999, nessun Comune fra quelli ispezionati ha adottato ancora gli idonei atti regolamentari previsti dal citato d.lg. n. 135.

Tale stato di cose ha indotto l’ Autorità anche ad intensificare i propri sforzi nella già avviata collaborazione con l’ANCI (Associazione Nazionale Comuni Italiani) e l’ U PI (Unione delle Province Italiane) al fine di re d i g e re uno schema di regolamento da mettere poi a disposizione degli enti locali tramite i rispettivi siti we b i s t i t u z i o n a l i .

È proseguita nel corso dell’anno anche la collaborazione con le Regioni riunite nell’ a m b i t o della Se g reteria della Conferenza dei Presidenti; in tal caso più che alla predisposizione di uno schema di regolamento (anche in considerazione del precedente della Regione Toscana), l’ Au t o r i t à intende fornire, ove richiesta, assistenza per l’adozione di schemi regolamentari.

Tra gli altri atti adottati nel corso dell’anno, si cita, anche una risposta a quesito del Comune di Milano in merito ai soggetti legittimati a richiedere i certificati di destinazione urbanistica utilizzati negli atti tra vivi aventi ad oggetto il trasferimento, la costituzione o lo scioglimento di diritti reali re l a t i vamente a terreni (6 febbraio 2003).

Un altro aspetto è stato affrontato in occasione dell’esame della richiesta di pare re del Comune di Vicenza re l a t i va alla possibilità di comunicare ad un assessore comunale che ne ave va fatto richiesta, i nomi dei dipendenti comunali iscritti al sindacato con l’indicazione della re l a t i va sigla sindacale. L’ Autorità ha rilevato che, se non è indispensabile per una precisa finalità di intere s s e pubblico, l’ a s s e s s o re comunale non può conoscere i nomi dei dipendenti comunali iscritti al sind a c a t o. L’iscrizione ad una determinata sigla sindacale, infatti, costituisce un dato di natura sensibile, sottoposto a specifica tutela.

Nel caso in esame, come già accennato, è stato precisato che la disciplina sull’ o rdinamento degli enti locali, mentre riconosce ai consiglieri comunali il diritto di ottenere dagli uffici del Comune, c o m p rese aziende ed enti collegati, ogni informazione utile all’espletamento del loro mandato, nel rispetto del segreto d’ufficio, non pre vede analogo diritto per gli assessori in quanto tali. Le norme dispongono, invece, che il sindaco e i singoli assessori per gli specifici settori ad essi delegati, debbano solo sov r i n t e n d e re al funzionamento degli uffici e dei servizi e non con atti di dire t t a gestione, ma con dire t t i ve generali. Pe rtanto, solo nel caso in cui la richiesta di dati relativi al personale dipendente, anche di natura sensibile, sia effettivamente indispensabile all’ a s s e s s o re per e s p l e t a re la funzione di controllo politico-amministrativo sull’andamento dell’ufficio del personale, l’acquisizione dei dati potrebbe risultare configurabile.

Un profilo estremamente delicato è infine stato affrontato in sede di decisione su un ricorso p resentato all’ Autorità da un dipendente comunale in relazione al trattamento di alcuni dati personali contenuti in certificati formati ed esibiti in giudizio dal Comune presso il quale il ricorre n t e p resta servizio, nell’ambito di una causa civile che ve d e va coinvolti l’ente stesso e il coniuge del r i c o r rente. Nel dichiarare infondato il ricorso, l’ Autorità ha rilevato che la formazione e l’ e s i b i z i o n e dei certificati comport a vano un trattamento di dati personali lecito e finalizzato al legittimo esercizio del diritto di difesa dell’ente nel quadro delle re l a t i ve finalità istituzionali, rispetto a pro f i l i per i quali il ricorrente non ave va fornito idonei elementi di valutazione tali da porre in dubbio che l’attività difensiva fosse svolta in contrasto con la legge n. 675/1996 Alcuni trattamenti svolti in ambito pubblico sono temporaneamente sottratti all’ambito applicativo di alcune disposizioni in materia di protezione dei dati personali. Ci si riferisce, in particolare, ai trattamenti effettuati per ragioni di giustizia, per finalità di prevenzione e repressione dei reati, a quelli relativi a dati memorizzati o destinati a confluire nel Centro elaborazione dati del Dipartimento della pubblica sicurezza, nonché ai trattamenti effettuati dai servizi di informazione e di sicurezza (art. 4, l. n. 675/1996).

In relazione invece alle disposizioni della legge n. 675 già applicabili, in part i c o l a re quelle attinenti ai requisiti di liceità e alla sicurezza dei trattamenti di dati personali, gli uffici giudiziari o di polizia devono, in part i c o l a re, rispettare anch’essi il principio di “p rop o rzionalità” nel trattamento dei dati (in base al quale, fra l’ a l t ro, si possono trattare solo i dati “p e rtinenti & e non eccedenti” rispetto alle finalità istituzionali, secondo quanto pre v isto dall’ a rt. 9, l. n. 675/1996) e adottare le cautele necessarie a garantire la sicurezza dei dati trattati (art. 15, commi 1 e 2, l. n. 675/1996 e d.P.R. n. 318/1999 sulle misure minime di s i c u rez z a ) .

Come anticipato nella prima parte della presente Relazione, nell’ambito della ridefinizione in termini più ampi del contesto della delega, la previsione dell’emanazione entro il 30 giugno 2003 di un testo unico delle disposizioni normative in materia di protezione dei dati personali renderà possibile introdurre integrazioni e modifiche di coordinamento o finalizzate alla migliore attuazione della disciplina vigente, anche in settori, come quelli relativi alle attività giudiziarie e di polizia, nei quali è particolarmente avvertita l’esigenza di completare il percorso previsto dalla leggi delega che si sono succedute dal 1996 ad oggi.

Nelle more dell’armonizzazione del quadro normativo, il Garante, per i trattamenti in questione, ha ribadito e sviluppato anche nel corso del 2002 alcuni principi normativi, in parte già applicati in precedenti provvedimenti, tra i quali quello, richiamato, di “pertinenza e non eccedenza” del trattamento rispetto alle finalità istituzionali.

Attività giudiziarie e di polizia Profili generali Come già riportato nella Relazione per il 2001, il Garante, in sede di decisione su un ricorso (Prov v. 27 marzo 2002, in B o l l e t t i n o n. 26, p. 3), ha affermato che il trattamento di dati svolto da un professionista sanitario che agisce in qualità di collaboratore del consulente tecnico d’ufficio nominato dal giudice è svolto “per ragioni di giustizia, nell’ambito di uffici g i u d i z i a r i” ( a rt. 4, comma 1, lett. d ), l. n. 675/1996). In tal caso, non può trova re quindi, applicazione il procedimento re l a t i vo al ricorso all’ Autorità regolato dall’ a rt. 29 della legge n. 675/1996.

Nell’ambito delle diverse iniziative dell’Autorità sul tema dei trattamenti di dati personali a fini di giustizia sono da ricordare, inoltre:

– il parere espresso dall’Autorità, ai sensi dell’art. 31, c. 2, della l. n. 675/1996, sullo schema di regolamento recante il testo unico delle disposizioni legislative e regolamentari in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti (d.P.R. 14 novembre 2002, in suppl. G.U.

n. 36 del 13 febbraio 2003); – il parere del 28 maggio 2002 con il quale è stato precisato che configura un trattamento di dati a fini personali (art. 3 l. 675/1996) la comunicazione -effettuata da parte dell’ex coniuge- di dati personali anche sensibili riferiti alla controparte, ad uffici o organi giudiziari, per esigenze di difesa di propri diritti. Sul punto sono stati ricordati i principi contenuti nell’autorizzazione generale n. 2/2002 relativa al trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale svolto per far valere o difendere un diritto in sede giudiziaria, sempre che il diritto sia di rango pari a quello dell’interessato e i dati siano trattati esclusivamente per tale finalità; – il parere dell’11 marzo 2003 in merito alla possibilità per la Camera arbitrale presso l’Autorità per la vigilanza sui lavori pubblici di rilasciare a privati, per motivi di studio o per la pubblicazione su riviste giuridiche, copia dei lodi pronunciati dai collegi arbitrali costituiti presso la Camera arbitrale prima che intervenga il decreto del tribunale che ne dispone l’esecutività.

Trattamento di dati nell’ambito dell’attività giudiziaria Anche nel corso dell’anno preso in considerazione sono pervenute numerose segnalazioni da parte dei cittadini, volte a denunciare modalità non corrette o inidonee di notificazione di atti giudiziari ed amministrativi.

L’Ufficio, nelle more dell’auspicata modifica normativa, ha ricordato in diverse occasioni le specifiche indicazioni già fornite sull’argomento (Provv. 22 ottobre 1998 e del 26 ottobre 1999). È stato così ribadito che la legge n. 675/1996 non ha abrogato le disposizioni vigenti in materia di notificazioni di atti e, tra esse, quelle che consentono, in caso d’impossibilità di notifica a mani proprie dell’interessato, di rilasciare una copia leggibile di atti -o di un loro estratto- a terzi non interessati alla vicenda giudiziaria (portieri di stabili, capi di uffici e di aziende, comandanti di corpo militare, ecc.).

Le richieste di tutela formulate da numerosi cittadini evidenziano la necessità di operare un’armonizzazione della complessiva disciplina sulle notificazioni di atti con la normativa in materia di protezione dei dati personali, al fine di garantire in modo effettivo la dignità e la riservatezza di ciascun individuo e, al contempo, di prevenire incidenze negative sull’amministrazione della giustizia e sullo svolgimento di altre funzioni pubbliche.

Relativamente alle accennate modifiche normative, è all’esame della Commissione giustizia del Senato il disegno di legge AS 556 volto a modificare le norme in materia, il quale prevede, tra l’altro, che nel caso in cui la notificazione non possa essere eseguita nelle mani del destinatario, la consegna o il deposito della copia dell’atto da notificare avvengano da parte delle persone incaricate della notificazione in busta sigillata.

Un’ulteriore proposta di legge (AC 2229), riguardante “Modifiche urgenti al codice di proce – dura civile”, è stata presentata in data 25 gennaio 2002 ed è stata, di recente, oggetto di relazione (26 marzo 2003).

Nelle more dell’esame di tali norme, l’Autorità ha richiamato gli enti interessati al rispetto della disciplina vigente, laddove essa consente già modalità più aderenti alla normativa sulla riservatezza.

In particolare, in materia di notificazioni di atti tributari (cartelle esattoriali, avvisi di mora, di accertamento, ecc), il Garante ha ritenuto possibile già oggi utilizzare il sistema della notificazione per posta, salvi i divieti espressi di legge o i casi in cui la notificazione deve essere eseguita personalmente (art. 149 c.p.c. e art. 1, l. 890/1982). Un maggiore utilizzo di tale modalità è auspicabile, secondo l’Autorità, in considerazione del limitato numero di indicazioni riportate nella parte esterna della busta, anche in relazione a quanto disposto dalla legge 146/1998 che prescrive l’impiego del plico sigillato per la notifica mezzo posta quale ordina- ria forma di comunicazione degli atti dell’amministrazione finanziaria.

Notificazione di atti e comunicazioni Ancora nell’ambito delle prestazioni di natura tributaria, l’Ufficio si è espresso nel senso che non configura una violazione della riservatezza l’indicazione di dati relativi al coniuge negli avvisi di accertamento delle dichiarazioni dei redditi effettuate congiuntamente, poiché tale sorta di dichiarazione rappresenta una facoltà dei contribuenti con i connessi benefici ed oneri.

Anche nel 2002 ha assunto rilievo il profilo dei controlli sui trattamenti effettuati nell’ambito dell’attività di polizia, in particolare dal Centro elaborazione dati del Dipartimento della pubblica sicurezza.

Continuano a pervenire all’Autorità segnalazioni -a volte presentate direttamente al Garante o, più correttamente, a seguito di istanze di accesso rivolte al Dipartimento della pubblica sicurezza ai sensi della speciale normativa in materia di dati trattati per finalità di polizia (art. 10, l. n. 121/1981, modificato dall’art. 42 l. n. 675/1996)- con le quali gli interessati lamentano la presenza nel C.e.d. di dati inesatti, incompleti ovvero non aggiornati, per lo più in riferimento a provvedimenti giudiziari o amministrativi inter venuti e non registrati.

In occasione di una segnalazione avente ad oggetto trattamenti operati da uffici dell’Arma dei carabinieri e della Polizia di Stato, come già anticipato nella Relazione del 2001, il Garante ha nuovamente affermato che i trattamenti effettuati da organi o uffici di polizia concernenti dati memorizzati nel predetto C.e.d. ovvero trattati per finalità di prevenzione, accertamento o repressione dei reati devono essere effettuati anch’essi nel rispetto di alcuni importanti principi previsti dalla legge n. 675 e in particolare della disciplina contenuta nell’art.

9 della medesima legge, sotto il profilo della liceità, correttezza, esattezza e aggiornamento, della pertinenza, della completezza e della non eccedenza rispetto alle finalità istituzionali e, infine, della conservazione per il solo periodo di tempo necessario al raggiungimento degli scopi (Provv. 17 gennaio 2002).

L’Autorità ha, poi, richiamato l’attenzione degli uffici di polizia sulla necessità di verificare periodicamente la rispondenza dei dati trattati ai descritti requisiti apportandovi, ove necessario, le modifiche o integrazioni richieste, ovvero cancellando i dati detenuti, specie in ragione dei diversi esiti processuali delle vicende eventualmente documentate dagli interessati.

Resta avvertita l’esigenza di integrazioni normative che agevolino il rispetto dei principi sopra descritti, prevenendo ancor più effetti pregiudizievoli per i diritti dei cittadini e tenendo conto della specificità dell’ attività investigativa.

In tal senso, il testo unico atteso entro il 30 giugno 2003 rappresenta una preziosa occasione per alcuni mirati interventi come, ad esempio, una più coerente disciplina dei flussi di informazioni fra i vari uffici competenti -dall’ufficio giudiziario all’ufficio di polizia che ha attivato il procedimento e tra uffici di polizia- in modo tale da consentire che i dati possano essere completi in ogni sede interessata. Allo stato, mancano, infatti, dispositivi che assicurino organicamente e sistematicamente un effettivo aggiornamento dei dati, soprattutto quando la vicenda giudiziaria si concluda con un provvedimento favorevole nei confronti del cittadino.Attività di polizia La temporanea, parziale applicazione dei principi previsti dalla legge n. 675 ai trattamenti appena descritti e la delicatezza della materia impongono all’Autorità una specifica attenzione nell’individuazione delle situazioni che effettivamente ricadono sotto tale disciplina.

Al riguardo, in occasione dello svolgimento dei campionati del mondo di calcio nella scorsa estate, l’Autorità è ad esempio intervenuta nei confronti del Ministero dell’interno in occasione della raccolta dei dati degli acquirenti dei biglietti degli incontri effettuata nell’ambito di una collaborazione internazionale di polizia per corrispondere a precise richieste delle autorità coreane e giapponesi, chiarendo che tale iniziativa comprendeva anche aspetti non direttamente finalizzati all’espletamento di attività di sicurezza pubblica o di prevenzione di reati, per i quali dovevano essere rispettati i principi della legge n. 675 (informativa all’interessato; notifica del trattamento al Garante, ecc.).

Il Garante, quale Autorità di controllo sulla sezione nazionale del Sistema informativo Schengen (N.SIS), ha ricevuto anche nel corso dell’anno numerose richieste di verifica dell’eventuale registrazione, nei predetti archivi, di dati personali dei soggetti interessati e della liceità dei relativi trattamenti ai sensi della Convenzione di applicazione dell’Accordo di Schengen e dell’articolo 11 della legge 30 settembre 1993, n. 388, di ratifica del predetto Accordo.

Si tratta, in gran parte, di istanze che attengono al diniego del rilascio di visti, per lo più espresso a causa di segnalazioni a fini della non ammissione nei Paesi Schengen di persone nei cui confronti sono stati emessi provvedimenti amministrativi sfavorevoli in materia di ingresso e soggiorno (espulsione, respingimento alla frontiera).

In non pochi casi è stato necessario acquisire il parere delle omologhe autorità di controllo degli altri Paesi aderenti all’Accordo di Schengen in base alla procedura di consultazione prevista dall’art. 114, comma 2, della Convenzione, trattandosi di segnalazioni inserite nel SIS da organi di quei Paesi. La collaborazione è stata sempre proficua.

In altri casi gli interessati hanno lamentato la circostanza di essere vittime di usurpazione d’identità o segnalato casi di omonimia. In talune circostanze è stato possibile attivare una procedura di comparazione degli elementi identificativi della persona oggetto di usurpazione d’identità con quelli, anche dattiloscopici, della persona effettivamente segnalata nel S.I.S. al fine di accertare l’estraneità ai fatti del richiedente l’accesso.

Si è nuovamente riscontrato un notevole afflusso di richieste di verifica o di controllo, anche in relazione alla procedura di regolarizzazione di cittadini extracomunitari introdotta dalla legge n. 189/2002.

Nei mesi precedenti il completamento di tale procedura si è registrato un sensibile incremento delle richieste, soprattutto provenienti da Paesi dell’est europeo (e in particolare dalla Romania), per lo più effettuate in assenza di specifici provvedimenti pregiudizievoli per gli interessati.

Anche in considerazione di tale “emergenza” il Garante, a seguito di una specifica richiesta di chiarimenti da parte di una cancelleria consolare, ha chiarito l’esatto ambito delle competenze spettanti in tale materia al Garante, quale autorità nazionale di controllo, e fornito alcune indicazioni circa le modalità di inoltro delle istanze utili a renderne più agevole e più spedita la trattazione.

In particolare, il Garante ha precisato che gli interessati possono rivolgere a questa Autorità Sistema di informazione Schengen una richiesta di verifica dei dati che li riguardano inseriti nel S.I.S., come pure possono richiedere la rettifica o la cancellazione dei medesimi dati. Il Garante, invece, non ha alcun compito istituzionale, diretto o indiretto, in materia di adozione, concessione o revoca dei provvedimenti amministrativi presupposto delle segnalazioni nel S.I.S. ai sensi degli articoli 94-100 della predetta Convenzione (espulsioni, respingimenti alla frontiera, ecc.), né poteri di controllo sulla legittimità degli stessi. Per tali provvedimenti, quindi, gli interessati possono rivolgersi ai competenti organi o uffici del Ministero dell’interno.

Nell’occasione il Garante ha richiamato l’attenzione dei competenti uffici del Ministero degli affari esteri sull’opportunità di sensibilizzare -in ordine alle indicazioni suesposte- gli uffici consolari di altri Paesi che potrebbero risultare particolarmente interessati dalle richieste in esame.

A seguito di una cooperazione proficua con l’Ufficio SIRENE e con il Servizio immigrazione e polizia di frontiera del Dipartimento della pubblica sicurezza, si sono notevolmente snellite le procedure per le verifiche richieste. Va dato atto della disponibilità di tali uffici per un più accurato e tempestivo aggiornamento dei dati.

Da ultimo, anche in relazione a tale materia, l’adozione del testo unico potrebbe essere l’occasione per rimeditare la scelta operata dal legislatore nel 1993 di prevedere l’accesso “indiretto” presso questa Autorità (che il più delle volte si risolve in un inutile appesantimento della procedura), allineando così la normativa a quella di altri Paesi dell’ambito Schengen che hanno già optato per l’accesso “diretto” presso le autorità di polizia.

L’assetto normativo delineato dal legislatore delegato nel 1999 per la disciplina del trattamento dei dati idonei a rivelare lo stato di salute da parte degli organismi sanitari pubblici, nonché degli organismi sanitari e degli esercenti le professioni sanitarie operanti in regime di convenzione o di accreditamento con il Servizio sanitario nazionale, non ha ancora trovato integrale definizione in ragione della mancata adozione del regolamento del Ministro della salute con il quale dovevano essere previste modalità semplificate per le informative di cui all’art. 10 della l. n. 675/1996 e per la prestazione del consenso (art. 2, comma 1, d.lg. 30 luglio 1999, n. 282).

Tale ritardo determina difficoltà nell’applicazione della normativa -soprattutto da parte degli organismi sanitari pubblici- anche in ragione del fatto che al suddetto regolamento è stato affidato il compito di provvedere alla ricognizione di tutti i trattamenti dei dati sulla salute effettuati nell’ambito del Servizio sanitario nazionale e, quindi, alla specificazione dei tipi di dati trattabili e di operazioni eseguibili in relazione alle finalità perseguite (artt. 22, comma 3-bis e 23, comma 1-ter, l. n. 675/1996).

Con riferimento alle modalità di applicazione dell’ a rt. 23 della legge n. 675/1996, in d i verse occasioni l’ Autorità ha segnalato a titolari del trattamento la necessità di conformare le comunicazioni dei dati personali relativi allo stato di salute degli interessati al principio di cui al comma 2 del medesimo articolo, secondo cui “i dati personali idonei a rive l a re lo stato di salute possono essere resi noti all’ i n t e ressato solo per il tramite di un medico designato dall’ i n t e ressato o dal titolare” (v. da ultimo Prov v. t i 19 e 27 febbraio 2002, in B o l l e t t i n o n. 25, p. 10 e 12; Prov v. 20 marzo 2002, in B o l l e t t i n o, n. 26, p. 5 e 7).

Il Garante ha poi nuovamente affrontato la questione del trattamento dei dati personali di natura sensibile dei portatori di handicap intervenendo in merito alla divulgazione su un sito Internet dei nominativi di alcuni alunni con l’indicazione della relativa patologia sofferta. In tal caso è stato disposto il blocco del trattamento dei dati idonei a rivelare lo stato di salute degli interessati e l’accertamento ispettivo presso il titolare del trattamento (Provv. 10 aprile 2002).

In un caso in cui si ipotizzava una diffusione di dati inerenti alla salute, l’Autorità ha applicato la prevista sanzione amministrativa nei confronti di una Asl che non aveva risposto alla richiesta di informazioni volta a verificare che la stessa non avesse -come segnalato- invitato ad una visita per l’accertamento dell’invalidità una persona con foglio privo di busta dal quale si evidenziava il motivo della convocazione. L’Autorità ha contestato alla Asl la violazione delle disposizioni della legge 675/1996 riguardanti la mancata risposta alla richiesta di informazioni o esibizioni di documenti (art. 39, comma 1).

S a n i t à Trattamento di dati idonei a rivelare lo stato di salute Nell’ambito delle diverse iniziative dell’Autorità sul tema dei trattamenti di dati sanitari sono inoltre da ricordare:

– le indicazioni fornite in merito alle modalità di spedizione di alcuni prodotti per l’incontinenza.

È stato precisato che la menzione del contenuto della spedizione sulla parte esterna del pacco postale è idonea a rivelare a terzi -in talune circostanze- le condizioni di salute del destinatario del prodotto. A seguito dell’intervento dell’Autorità, la società mittente si è impegnata a variare gli impianti di stampa, al fine di eliminare dal nastro adesivo l’indicazione della natura del contenuto del pacco postale (22 agosto 2002 e 28 ottobre 2002); – le indicazioni fornite ad alcuni datori di lavoro circa la possibilità di prevedere l’inserimento nei giustificativi di assenza per malattia non solo della prognosi, ma anche della diagnosi della patologia sofferta dal lavoratore. In merito, è stato rilevato che, dal momento che non esiste più l’obbligo dell’invio al datore di lavoro della diagnosi della malattia del lavoratore, il medico che effettua la visita di controllo deve fornire al datore di lavoro solo certificati dai quali risulti la sussistenza e la durata dello stato di incapacità del lavoratore, senza alcuna indicazione diagnostica. La diagnosi non va quindi indicata neanche nei certificati medici che il dipendente deve inviare al datore di lavoro per documentare l’assenza per malattia; – le indicazioni fornite ad una amministrazione pubblica in merito alla legittimità della trasmissione al Ministero dell’economia e delle finanze dei verbali relativi agli invalidi civili iscritti nelle liste speciali di collocamento obbligatorio. È stato precisato che la comunicazione potrebbe essere giustificata solo qualora detti verbali si riferiscano a soggetti assunti al lavoro ai sensi della legge n. 482/1968 che abbiano omesso di presentare la dichiarazione di responsabilità relativa alla sussistenza dei requisiti previsti per tale assunzione. Solo in tal caso, infatti, è previsto uno specifico potere di accertamento in capo al Ministero (Provv. 16 ottobre 2002); – il parere in merito alla legittimità della richiesta effettuata da una Asl ai medici curanti di inviare trimestralmente i diari clinici tenuti presso il domicilio dei pazienti beneficiari del servizio di assistenza domiciliare programmata. In tal caso, dopo aver ricostruito il quadro normativo di riferimento, è stata ritenuta illegittima la richiesta della Asl di una comunicazione sistematica di tali dati sensibili. Per lo svolgimento del controllo dell’erogazione dei servizi di assistenza domiciliare è sufficiente che l’azienda sanitaria richieda la trasmissione dei soli fogli firmati dai medici in occasione delle visite domiciliari, senza alcuna indicazione della patologia riscontrata (5 febbraio 2003); – la nota del 31 maggio 2002 con la quale non è stata rinvenuta la base giuridica affinché una struttura ospedaliera possa trasmettere ad un Vicariato, al fine di consentire ai parroci di assistere spiritualmente i parrocchiani malati, l’elenco dei degenti ricoverati presso la stessa struttura; – la nota del 13 febbraio 2002 con la quale, su segnalazione di un medico, è stato esaminato il decreto del Ministero della sanità del 11 febbraio 1997, il quale prevede, fra l’altro, che ai fini dell’importazione in Italia di un farmaco, autorizzato in un paese estero, ma non ammesso alla commercializzazione nel territorio nazionale, il sanitario richiedente comunichi al Ministero (Ufficio di sanità marittima ed aerea) e all’Ufficio doganale i dati identificativi del paziente. In tal caso si è rilevato che tale decreto, precedente all’entrata in vigore della legge n. 675/1996, non dispone della necessaria forza giuridica richiesta dall’art. 22, commi 3 e 3-bis della legge. È stata, pertanto, segnalata la questione al Mi n i s t e ro della salute (Di rezione generale della programmazione sanitaria- Gruppo di lavo ro per la stesura del regolamento di cui all’ a rt. 23, comma 1-b i s, l. n. 675/1996), affinché ne tenga conto nella redazione dell’emanando re g o l a m e n t o ministeriale. In part i c o l a re, è stato ricordato che le operazioni su tali categorie di informazioni devono essere effettuate nel rispetto dei princìpi di cui agli artt. 3 e 4 del d.lg.

n. 135/1999, fra i quali assume un rilievo precipuo la verifica dell’essenzialità e della indispensabilità dei dati rispetto al perseguimento delle finalità indicate dalle legge; – la decisione, nell’ambito di un ricorso, con la quale l’Autorità, accogliendo il ricorso di un paziente che segnalava un riscontro inadeguato da parte dell’azienda ospedaliera cui si era rivolto per ottenere la comunicazione in forma intelligibile dei dati personali contenuti nella sua cartella clinica, ha stabilito che se la cartella clinica è illeggibile per la grafia di chi l’ha redatta, deve essere trascritta in modo che le informazioni in essa contenute risultino chiare per il malato (Provv. 30 settembre 2002).

Prosegue intensa nelle sedi comunitarie e internazionali, nonché in occasione di incontri e seminari, la rilevazione comparata di elementi utili per il rilascio della nuova autorizzazione del Garante in materia di dati genetici.

In base alle disposizioni contenute nella disciplina legislativa delegata del 1999 (art. 17, comma 5, d.lg. 11 maggio 1999, n. 135, come integrato e modificato dall’art. 16 del d.lg. 30 luglio 1999, n. 281), il trattamento di dati genetici da parte di chiunque, può svolgersi solo in conformità alle prescrizioni e garanzie previste dal Garante con un’apposita e specifica autorizzazione.

L’Autorità ha a suo tempo avviato la complessa procedura prevista per l’emanazione della suddetta autorizzazione (“sentito il Ministro della sanità che acquisisce, a tal fine, il parere del Consiglio superiore di sanità”). Nel frattempo, alla luce degli approfondimenti necessari, particolarmente complessi, e di indicazioni e suggerimenti ricevuti dagli esperti -nelle more di un approfondimento della materia- è stata transitoriamente prorogata la disciplina già contenuta nell’autorizzazione n. 2/2000 per il trattamento dei dati idonei a rivelare lo stato di salute (punto 2, lett. b) ), e riprodotta nell’autorizzazione n. 2/2002.

Allo stato, ferme restando alcune esclusioni soggettive e limitazioni nelle finalità, il trattamento dei dati genetici resta consentito, sulla base del consenso scritto dell’interessato (ai sensi degli artt. 22 e 23, l. n. 675/1996), “limitatamente alle informazioni e alle operazioni indispen – sabili per tutelare l’incolumità fisica e la salute dell’interessato, di un terzo o della collettività”. Si rende invece necessaria un’apposita autorizzazione del Garante nel caso in cui manchi il consenso dell’interessato e il trattamento sia finalizzato a tutelare l’incolumità fisica e la salute di un terzo o della collettività. L’inosservanza delle prescrizioni impartite dal Garante attraverso lo strumento autorizzatorio è punita con sanzione penale (art. 37, l. n. 675/1996).

In questo quadro, l’Autorità ha avviato nel corso dei precedenti anni (cfr. Relazioni 2000 e 2001, rispettivamente pp. 32 e 42), avvalendosi dei poteri conferitigli dal legislatore (art. 32, comma 1, l. n. 675/1996), attività di monitoraggio e controllo di progetti di ricerca genetica sulle popolazioni della regione dell’Ogliastra, in Sardegna, e del Cilento.

Nel corso del 2002 un’analoga iniziativa di controllo ha riguardato un comune della provincia di Bergamo. Anche in questo caso la stampa ha dato notizia dell’imminente avvio di ricerche genetiche nella zona ed il Garante ha avviato accertamenti presso il Sindaco del comune coinvolto. Dalle risposte pervenute è emerso che, allo stato, l’iniziativa non è stata ancora avviata e che ulteriori elementi saranno forniti all’Autorità dal responsabile del progetto Informazioni genetiche 21 Nell’ambito delle iniziative del Garante sul tema dei trattamenti di dati genetici, nei giorni 21-22 marzo 2002 si è tenuta presso la sede dell’Autorità e con il patrocinio della stessa, la Conferenza internazionale sulle “Implicazioni giuridiche e psicosociali della genetica umana”.

Tale Conferenza, organizzata dal Consiglio nazionale delle ricerche in collaborazione con l’Einstein Institute for Science, Health & the Courts (EINSHAC, istituzione americana che pone al centro della propria attenzione l’impatto delle nuove tecnologie e delle scoperte scientifiche nel contesto giudiziario), si è rivelata un’importante occasione di confronto fra ricercatori, genetisti, medici e psicologi che operano nel campo della consulenza genetica e magistrati impegnati nel settore.

In tale occasione sono state affrontate anche delicate questioni relative all’impatto delle applicazioni genetiche nei procedimenti giudiziari, con riferimento alla possibilità di armonizzare in un’ottica internazionale le norme e le procedure per l’uso di test genetici nei procedimenti civili e penali e nella pratica medica. Sono stati inoltre rilevati grandi rischi, primo fra tutti quello di innescare pericolosi meccanismi sociali come l’”eugenetica di mercato e la concorrenza genetica” o di sottovalutare le insidie derivanti dalla commercializzazione dei dati genetici, considerandoli come una vera e propria merce.

Il Gruppo europeo sull’etica nelle scienze e nelle nuove tecnologie ha pubblicato il 24 febbraio 2003 una dichiarazione nella quale segnala all’opinione pubblica ed a tutti i soggetti con responsabilità politiche i problemi legati alla pubblicità dei test genetici via Internet. Il documento evidenzia che la commercializzazione di massa dei test genetici pone molti e gravi problemi etici, sociali, giuridici e tende a trasformare uno strumento eminentemente diagnostico in una merce alla stregua di ogni altra, creando una domanda che può avere conseguenze potenzialmente laceranti per il tessuto sociale ed i rapporti interpersonali. In molti casi non ci sono sufficienti garanzie nella raccolta dei dati genetici inviati per i test e possono essere messe a rischio sia la salute delle persone sia la riservatezza dei dati sanitari.

Il predetto Gruppo -che ha il compito di offrire consulenza e indicazioni alla Commissione UE sugli aspetti etici dell’attività scientifica e delle nuove tecnologie, anche in rapporto a iniziative di legge- sottolinea che le informazioni fornite nei messaggi pubblicitari sono spesso fuorvianti e imprecise e che i test genetici possono avere conseguenze negative se non vengono accompagnati da un’adeguata consulenza.

Si stanno moltiplicando, infatti, le offerte via Internet di test genetici relativi soprattutto all’accertamento di paternità, ma anche alla predisposizione a diverse malattie (cardiache, diabete, ecc.). La pubblicità diventa sempre più aggressiva e capillare, anche in Europa: in alcuni Paesi compare, ad esempio, in popolari catene di negozi, nelle stazioni di servizio, negli autogrill lungo le autostrade, in televisione.

L’ Autorità si è pronunciata in più di un’occasione sul tema della pro t ezione dei dati personali nel settore del lavo ro, nel quale parte della disciplina integrativa è stata demandata a l l’ a u t o regolamentazione dei datori di lavo ro e degli altri soggetti coinvolti (si fa riferimento al codice di deontologia re l a t i vo ai trattamenti di dati personali necessari per finalità pre v idenziali o per la gestione del rapporto di lavo ro, previsto dall’ a rt. 20, comma 1, lett. b ) d e l d.lg. n. 467/2001).

Tra gli ambiti più problematici affrontati occorre evidenziare il tema del controllo a distanza dei lavoratori effettuato con strumenti informatici e telematici, con part i c o l a re riferimento al controllo delle navigazioni in In t e rn e t e del traffico di posta elettronica sul luogo di lavo ro, rispetto ai quali è in corso un vivace dibattito anche a livello internazionale.

La complessa tematica è stata affrontata dal Gruppo di lavo ro istituito in applicazione dell’ a rticolo 29 della dire t t i va 95/46/CE, il quale ha adottato il 29 maggio 2002 un import a n t e documento di lavo ro riguardante la vigilanza sulle comunicazioni elettroniche sul posto di l a vo ro. Ne l l’atto è stata esamina la questione dei controlli e della vigilanza sulle comunicazioni elettroniche effettuate sul posto di lavo ro, con part i c o l a re riferimento al controllo da p a rte del datore di lavo ro della posta elettronica e dell’impiego di In t e rn e t. In relazione alla g i u r i s p rudenza della Corte europea dei diritti umani riguardante l’ a rticolo 8 della C o n venzione per la pro t ezione dei diritti umani e delle libertà fondamentali, nonché di altri p e rtinenti testi di diritto internazionale e delle disposizioni della dire t t i va 95/46/CE, il documento offre precisi indirizzi interpretativi ed esempi concreti su ciò che può costituire attività legittima di controllo e circa i limiti giuridicamente configurabili di vigilanza sui dipendenti esercitata dal datore di lavo ro.

Un’altra tematica di part i c o l a re interesse, per la quale sono stati presentati numero s i ricorsi e quesiti, concerne l’accesso ai dati personali trattati dal datore di lavo ro nel corso dello s volgimento del rapporto (Prov v. 31 gennaio 2002, in B o l l e t t i n o n. 24, p. 9).

Con part i c o l a re riferimento al diritto di accesso del lavo r a t o re ai dati che lo riguardano, il Garante ha più volte precisato che esso non deve essere confuso con il diverso diritto di accesso agli atti e ai documenti amministrativi e, stante la distinzione tra tali diritti (ai sensi, r i s p e t t i vamente, dell’ a rt. 13 della legge n. 675/1996 e dell’ a rt. 22 della legge n. 241/1990), è stato ribadito che è possibile pre s e n t a re un’ampia richiesta di accesso al complesso dei dati, ivi compresi quelli riportati all’interno di valutazioni (Prov v. t i 10 gennaio 2002, in B o l l e t t i n o n. 24, p. 6 e 36).

Ne l l’ e s a m i n a re il diverso caso in cui un lavo r a t o re ha chiesto di accedere ai dati va l u t a t i v i di altri colleghi contenuti in documenti amministrativi detenuti dal datore di lavoro , Rapporto di lavoro Tutela dei dati personali dei lavoratori l’ Autorità ha ribadito che le disposizioni in materia di accesso ai documenti amministrativi r a p p resentano un’idonea fonte normativa, ai fini dell’applicazione dell’ a rt. 27, comma 3, della legge n. 675/1996 e che spetta all’amministrazione destinataria della richiesta va l u t a re la sussistenza dell’ i n t e resse giuridicamente rilevante e delle altre condizioni per accedere ai documenti amministrativi (Prov v. 28 ottobre 2002).

Con specifico riferimento al caso in cui l’ e ventuale diniego dell’accesso trovi fondamento nei regolamenti di attuazione della legge n. 241/1990, il Garante ha poi ricordato (15 aprile 2003) che il Consiglio di Stato ha ritenuto illegittima la disposizione re g o l a m e n t a re di un comune che sottraeva all’accesso, per motivi di riserva t ezza dei terzi, la documentazione re l at i va al trattamento economico individuale del personale, precisando che l’ a m m i n i s t r a z i o n e può semmai adottare la specifica cautela di limitare l’accesso del richiedente alla semplice visione degli atti, come pre vede l’ a rt. 24, lett. d ), della legge n. 241/1990 (Consiglio di St a t o , s ez. V, 10 febbraio 2000, n. 737).

Ne l l’ambito del procedimento contenzioso previsto dall’ a rt. 29 della l. n. 675/1996, l’ Autorità ha accolto il ricorso di un dipendente di un istituto di ricerca, con riferimento sia alle informazioni allo stesso re l a t i ve contenute nel fascicolo personale detenuto presso gli uffici amministrativi dell’ente, sia ai dati personali comunque conservati in forma automatizzata nella memoria dei computer utilizzati dall’ i n t e ressato medesimo presso le stru t t u re di r i c e rca dell’istituto (Prov v. 23 aprile 2002).

L’ Autorità si è poi espressa sulla conoscibilità dei dati personali del lavo r a t o re nell’ a mbito di una procedura di conciliazione obbligatoria, già prevista dagli artt. 69 e 69-bis del d.lg. n. 29/1993. In part i c o l a re, è stato ritenuto dall’ Autorità che fosse stata illecitamente effettuata la comunicazione a persone non direttamente coinvolte dell’istanza di attiva z i o n e della procedura da parte del lavo r a t o re ; ciò in quanto non è stata individuata alcuna disposizione legislativa o regolamentare che potesse giustificare una tale comunicazione, ai sensi dell’art.

27, comma 3, della legge n. 675/1996 (Provv. 20 gennaio 2003).

In relazione ai dati contenuti nei fascicoli personali, sono poi pervenute al Garante numerose segnalazioni con le quali gli interessati sollevano questioni su alcune modalità con cui vengono gestiti i fascicoli del personale di Fo rze armate e di polizia, con specifico riferimento ai dati sulla salute. Da tali segnalazioni l’ Autorità è venuta a conoscenza, in part i c o l a re, della p rocedura secondo la quale alcune amministrazioni esigere b b e ro dai dipendenti di allegare alle richieste di assenza al lavo ro, per motivi di salute, certificati medici attestanti, oltre la prognosi, anche la diagnosi. Tale documentazione ve r rebbe poi conservata nel fascicolo personale del dipendente.

La procedura trove rebbe solo in alcuni casi uno specifico fondamento normativo e ve rrebbe giustificata dall’esigenza dell’amministrazione di conoscere l’insorgenza nei pro p r i dipendenti di quelle patologie che possono incidere sull’idoneità al servizio o, comunque, sull’ u t i l i z zo o porto di armi. Sul punto l’ Autorità ha promosso preliminarmente un tavolo di l a vo ro con le amministrazioni interessate, al fine appro f o n d i re la tematica e fornire all’ e s i t o le necessarie indicazioni volte a re n d e re il trattamento di tali informazioni pienamente conforme alla normativa sui dati personali.

In conformità a precedenti pronunce, l’ Autorità ha altresì posto nuovamente in evidenza il principio in base al quale il diritto tutelato dall’ a rt. 13, comma 1, l. n. 675/1996, permette a l l’ i n t e ressato di accedere ai dati personali che lo riguardano comunque trattati dal titolare del trattamento; ai sensi del citato art. 13, infatti, è possibile pro p o r re un’istanza volta ad a ve re contezza anche del complesso (o, come nel caso di specie, di una part i c o l a re tipologia di dati relativi a prestazioni lavo r a t i ve: entrata e uscita in ufficio, registrazioni riguardanti le a s s e n ze e le care n ze orarie, durata delle prestazioni lavo r a t i ve rese in un determinato periodo) dei dati personali del richiedente (Prov v. 29 gennaio 2003).

Con altra pronuncia si è, inoltre, nuovamente sottolineato che, sempre nell’ e s e rcizio del diritto di accesso a dati personali, il dipendente può chiedere di conoscere la logica, le finalità e le modalità del trattamento anche quando questo è re l a t i vo alla gestione del rapport o di lavo ro e riguardi dati comunicati ad altri organi ed uffici con corrispondenza riserva t a (Prov v. 29 gennaio 2003).

In una risposta (9 aprile 2002) al quesito di una commissione provinciale per le politiche del lavo ro, circa il trattamento dei dati relativi a persone disabili iscritte negli elenchi per il collocamento obbligatorio, l’ Ufficio ha precisato che la trasmissione dei dati in questione alle associazioni rappre s e n t a t i ve di tali categorie, senza il pre ve n t i vo consenso degli interessati, è consentita solo in presenza di una norma di legge o di regolamento che autorizzi espre s s amente tale comunicazione (art. 27, comma 3, legge n. 675/1996). Nel caso specifico è stato r i c o rdato che l’ a rt. 3 del d.P.R. n. 442/2000 consente ai competenti uffici provinciali del l a vo ro di comunicare solo ad alcuni soggetti (datori di lavo ro, enti pubblici economici interessati all’assunzione, società di mediazione autorizzate, enti previdenziali, centri di formazione professionale ed altre pubbliche amministrazioni) i dati personali relativi alle persone p resenti nelle banche dati, con l’esclusione di quelli sensibili di cui agli articoli 22 e 24 della legge n. 675/1996, al fine di pro m u ove re l’occupazione, favo r i re l’inserimento al lavo ro e l’accesso ad attività di orientamento e formazione professionale. Potendo ve n i re in rilievo dati di c a r a t t e re sensibile, si imponeva il rispetto dell’ a rt. 22, commi 3 e 3-bis della legge 675/1996, nonché di quanto ribadito dagli art. 3 e 4 del d.lg. n. 135/1999 che consentono tale genere di trattamenti solo qualora gli stessi siano indispensabili all’espletamento delle funzioni istituzionali proprie dell’amministrazione titolare e non perché esso possa risultare utile all’ eventuale destinatario dei dati. È, invece, da escludersi la possibilità che un componente della commissione provinciale, venuto in possesso di tali informazioni in ragione del proprio ufficio, potesse legittimamente diffondere tali dati ad altri soggetti, anche per ragioni attinenti al rispetto del segreto d’ u f f i c i o.

In relazione al quesito formulato da un curatore fallimentare a proposito delle modalità di accesso ai dati contenuti nelle cartelle sanitarie degli ex dipendenti di una società fallita, è stato r i c o rdato che, ai fini dell’ e s e rcizio del diritto di accesso ai dati personali che lo riguardano, l’ e x dipendente avrebbe potuto pre s e n t a re, nei confronti della società ove pre s t a va servizio, o per il tramite dei competenti organi del re l a t i vo fallimento, una richiesta per accedere in tutto o in p a rte ai dati riferiti alla propria persona (in tale ipotesi, è opportuno tenere conto delle disposizioni in materia di fallimento per quanto riguarda i poteri e gli obblighi dei diversi organi della p rocedura in tema di custodia e di apposizione e rimozione dei sigilli sui beni del fallito e quindi sugli eventuali supporti che possono contenere dati personali, anche dei dipendenti).

Si è, inoltre, ribadito anche in questo caso che la comunicazione all’interessato dei dati idonei a rivelare lo stato di salute contenuti nella “cartella sanitaria” può avvenire “solo per il tramite di un medico designato dall’interessato o dal titolare” (art. 23 della legge n. 675/1996).

Pertanto, la comunicazione può essere effettuata, oltre che attraverso il medico dell’ex datore di lavoro, mediante trasmissione ad un medico di fiducia indicato dall’ex dipendente, il quale, ad esempio, potrebbe a tale scopo designare il medico competente in materia di igiene e sicurezza dei lavoratori presso il nuovo datore di lavoro (29 luglio 2002).

In un caso delicato un’insegnante elementare ha segnalato al Garante di non aver avuto idoneo riscontro ad una richiesta rivolta al competente prov veditorato agli studi, con la quale c h i e d e va la cancellazione o la trasformazione in forma anonima della dicitura “p o rt a t o re di h a n d i c a p” che compariva accanto al proprio nome, in un elenco di lavoratori trasferiti pre s s o a l t re sedi. La questione, affrontata nell’ambito di un ricorso, evidenziava, inoltre, come la diffusione del dato sanitario, avvenuta in violazione della legge n. 675/1996, avesse determinato nei confronti dell’insegnante una situazione di grave disagio a livello personale e di re l a z i o n e con gli altri colleghi.

L’ Autorità, accogliendo il ricorso, ha precisato che la divulgazione del dato sanitario dell’insegnante era illecita perché avvenuta in violazione della legge che vieta la diffusione di dati idonei a rive l a re lo stato di salute delle persone. È stato perciò vietato al Mi n i s t e ro di diff o n d e re ulteriormente, anche presso altri uffici, accanto al nome dell’insegnante, la formula “p o rt a t o re di handicap”, imponendo all’amministrazione la sostituzione con diciture generiche o codici numerici. Non è stata, invece, ritenuta idonea la soluzione di sostituire la dicitura con l’apposizione del riferimento normativo (legge 104/92). Ciò perché il riferimento ad una legge che tutela specificamente le persone handicappate finirebbe, anche se in via mediata, per rive l a re comunque informazioni sulle condizioni di salute degli interessati (Prov v. 27 febbraio 2002).

In un altro caso, riguardante l’accesso da parte dei dipendenti alle graduatorie re l a t i ve a l l’ammissione ad alcuni corsi finalizzati all’ a vanzamento di carriera, è stato confermato che, in base alla legge n. 675/1996, la presa di conoscenza delle graduatorie da parte dei lavo r atori avrebbe configurato un’ipotesi di comunicazione da parte del datore di lavo ro dei dati relativi anche ad altri lavoratori, e che tale operazione sarebbe stata ammissibile qualora gli i n t e ressati vi ave s s e ro acconsentito, o in presenza di uno degli altri presupposti equipollenti p revisti dalla predetta legge.

Nel caso di specie, la part i c o l a re procedura selettiva seguita è risultata essere specificamente p revista da alcuni accordi tra il datore di lavo ro e le organizzazioni sindacali, attuativi di disposizioni del contratto collettivo nazionale di lavo ro del settore. Tali accordi ave vano previsto l’ o bbligo di formulare una graduatoria per l’ammissione ai corsi di formazione, che, come tale, deve e s s e re resa nota ai partecipanti alla procedura. Oc c o r re infatti permettere ai non ammessi, ave n t i comunque titolo per effetto delle obbligazioni assunte dal datore di lavo ro in sede di contrattazione con le organizzazioni sindacali, una verifica della legittimità della stessa graduatoria e della c o r re t t ezza delle operazioni seguite (ciò anche alla luce del principio di buona fede nell’ a d e mpimento delle obbligazioni più volte ribadito dalla giurisprudenza di legittimità in materia di c o p e rtura di qualifica superiore mediante selezioni o concorsi interni del personale).

In tale ipotesi, la comunicazione dei dati personali riportati nella graduatoria è stata quindi giudicata ammissibile in base alla legge n. 675/1996, in quanto necessaria per l’ e s ecuzione di obblighi di natura contrattuale assunti dal datore di lavo ro nei confronti dei lavoratori interessati (nella specie gli accordi sindacali attuativi del CCNL di settore: 5 agosto 2 0 0 2 ) .

Un altro caso esaminato ha riguardato una segnalazione re l a t i va alle modalità di corresponsione dello stipendio, da parte di un’azienda, ad un dipendente che non intendeva indic a re il proprio numero di conto corrente ai fini del bonifico. Come modalità alternativa di versamento dello stipendio, l’azienda ave va inizialmente previsto che il dipendente pre s e ntasse presso la banca indicata per il pagamento alcuni documenti, tra i quali la busta paga, il che era stato giudicato dal dipendente lesivo del proprio diritto alla riserva t ezza.

L’azienda ha infine convenuto sulla possibilità che il dipendente riscuota il proprio stipendio presentando presso la banca un documento di riconoscimento ed il telegramma inviato dalla società contenente l’ i m p o rto del bonifico emesso a favo re dell’ i n t e re s s a t o. Il Garante ha comunque richiamato l’attenzione sulla necessità di limitare la conoscenza dei dati personali dei dipendenti da parte dell’azienda ai soli dati strettamente necessari, ad esempio, ai fini della loro esatta identificazione, della verifica del titolo a riscuotere il bonifico emesso a loro favo re e dell’ e ventuale adempimento da parte dell’istituto di credito ad altri obblighi di legge (ad esempio, re l a t i vamente alla normativa antiriciclaggio). L’esibizione allo s p o rtello bancario di documenti ulteriori rispetto a quello di riconoscimento, come la “busta p a g a”, senza l’adozione di opportuni accorgimenti per non permettere la visione di alcune p a rti non essenziali rispetto alle predette finalità, non può ritenersi giustificata, alla luce del principio di pro p o rzionalità, considerato anche che tale documentazione può contenere indicazioni da cui è desumibile l’ a p p a rtenenza sindacale del dipendente o informazioni sul suo stato di salute (5 febbraio 2003).

Ne l l’ambito delle diverse iniziative dell’ Autorità sul tema dei trattamenti di dati personali n e l l’ambito del rapporto di lavo ro sono da ricord a re inoltre :

– l’ i n i z i a t i va volta ad acquisire informazioni, in riferimento a notizie apparse sulla stampa, re l a t i ve alla richiesta di alcuni dati personali di iscritti e di specifiche attività sindacali, che sarebbe stata rivolta dalle forze di polizia ad organismi sindacali nella zona di Be n e vento (8 agosto 2002); – l’attività di accertamento per va l u t a re se siano state violate le disposizioni legislative che tutelano la riserva t ezza e la dignità umana riguardo al caso, riportato dalla stampa, di un marittimo affetto da sindrome da Hi v licenziato dall’azienda per la quale lavor a va (7 febbraio 2003); – la decisione con la quale il Garante, nell’ a c c o g l i e re il ricorso di un laureato insoddisfatto dell’operato della ditta alla quale ave va chiesto invano l’aggiornamento dei dati relativi al titolo di studio appena conseguito e l’attestazione che la variazione fosse stata p o rtata a conoscenza di tutti coloro ai quali i dati erano stati comunicati, ha stabilito che le aziende private e le pubbliche amministrazioni devono aggiornare i pro p r i a rchivi con le qualifiche professionali ed i titoli di studio acquisiti dai lavoratori. Ta l e operazione deve essere tempestiva ed effettuata in ogni altro pertinente data base d e ll’azienda (Prov v. 6 settembre 2002); – la decisione, adottata anche in questo caso nell’ambito di un ricorso, con la quale si è stabilito che sul cedolino dello stipendio non deve essere riportata la dicitura “pignoramento”, che deve essere sostituita da altre formule (ad es. “altre trattenute”) o da codici identificativi che rendano ugualmente comprensibile la voce, ma non consentano a terzi di ve n i re immediatamente a conoscenza di delicati aspetti relativi alla sfera p r i vata del lavo r a t o re. Con la medesima pronuncia è stato inoltre evidenziato che sul cedolino vanno riportate solo le notizie indispensabili a documentare al dipendente le d i verse voci re l a t i ve alle competenze e alle trattenute per consentire una verifica agevo l e d e l l’esatta corresponsione della retribuzione. Oc c o r re, quindi, omettere, ad esempio, la specifica causale del pignoramento oppure, come in altri casi, l’indicazione del sindacato al quale il lavo r a t o re iscritto versa la ritenuta sindacale. Il cedolino dello stipendio, infatti, può essere esibito sia in circ o s t a n ze nelle quali interessa appurare solo il live l l o stipendiale, sia in altri casi nei quali è necessario siano specificate le causali delle va r i e voci, per identificare la porzione di retribuzione “disponibile” (ad es. in caso di richiesta di un finanziamento, “cessioni del quinto”) (Prov v. 19 febbraio 2002); – il pare re circa la possibilità per una persona, invalida civile, di conoscere il numero dei posti di lavo ro e delle mansioni disponibili per i lavoratori disabili presso i singoli datori di lavo ro, nonché, limitatamente ai datori di lavo ro privati, il numero delle convenzioni in corso stipulate con le province ai fini dell’inserimento occupazionale dei disabili e del numero delle unità lavo r a t i ve coinvolte (4 aprile 2003).

R e l a z i o n e 2 0 0 2 5 7 Altro profilo che assume particolare importanza nel settore del lavoro è quello del c.d. controllo a distanza dei lavoratori, connesso alla più ampia tematica della videosorveglianza.

In materia trova da tempo applicazione l’art. 4 della legge n. 300/1970 che, nel vietare “il controllo a distanza dell’attività dei lavoratori” (anche come mera possibilità di controllo ad insaputa del prestatore), disciplina distintamente le due ipotesi dell’impianto di apparecchiature finalizzate al controllo a distanza (primo comma) e di apparecchiature per fini produttivi, ma tali comunque da presentare la possibilità di fornire anche il controllo a distanza del dipendente (secondo comma).

Il Garante è intervenuto sul tema del controllo a distanza dei lavoratori in particolare in un caso concernente il Consiglio nazionale delle ricerche (CNR). Un lavoratore aveva segnalato all’Autorità l’esistenza, presso la sede dell’istituto, di un sistema di video sorveglianza dotato di una telecamera a circuito chiuso, idonea a sorvegliare l’attività dei lavoratori. A seguito della richiesta di chiarimenti, il CNR ha confermato la presenza di una telecamera con ampio angolo visuale, in grado di riprendere il passaggio delle persone che entrano nel relativo campo visivo ma non rivolta al controllo dell’attività dei dipendenti.

Le immagini, raccolte per motivi di sicurezza, non erano oggetto di registrazione e venivano trasmesse ad un monitor collocato nel posto di guardia. Sebbene si trattasse di una telecamera ben visibile, la sua presenza non era stata segnalata in alcun modo; all’Istituto è stata pertanto contestata la violazione della normativa sulla protezione dei dati personali per non aver preventivamente informato il pubblico e i lavoratori, attraverso cartelli o avvisi, della presenza della telecamera e per non aver inserito nelle notificazioni presentate al Garante la video sorveglianza e la video registrazione, quali modalità di trattamento dei dati (Provv. 1 ottobre 2002).

Su tale aspetto, e in generale sul problema delle procedure di informazione e di controllo a distanza del personale, l’Autorità è stata inoltre impegnata attivamente nel dibattito in ambito comunitario tra i rappresentanti delle autorità garanti dei Paesi membri dell’Unione europea, costituito ai sensi dell’art. 29 della direttiva 95/46/CE, che si è concluso con l’approvazione del già richiamato documento adottato il 29 maggio 2002 riguardante la vigilanza sulle comunicazioni elettroniche sul posto di lavoro. In tale documento è stata esamina la questione dei controlli e della vigilanza sulle comunicazioni elettroniche effettuate dal posto di lavoro, con particolare riferimento al controllo da parte del datore di lavoro della posta elettronica e dell’impiego di Internet fatto dai dipendenti.

Controllo a distanza dei lavoratori Il Garante, già negli anni precedenti, ha avviato forme di collaborazione con enti, organismi ed associazioni del settore, per assicurare un più ampio rispetto della legge n. 675/1996 e un’omogeneità dei comportamenti degli operatori coinvolti. Ciò anche in vista dell’adozione del codice di deontologia e di buona condotta per i trattamenti di dati personali per finalità previdenziali o per la gestione del rapporto di lavoro che, secondo quanto previsto dall’art. 20, comma 2 del d.lg. n. 467/2001, prevederà anche specifiche modalità per l’informativa all’interessato e per l’eventuale prestazione del consenso relativamente alla pubblicazione di annunci per finalità di occupazione e alla ricezione di curricula contenenti dati personali anche sensibili.

Già in passato questa Autorità aveva indicato alcuni criteri per la corretta applicazione della legge n. 675/1996 in relazione al trattamento di dati personali raccolti tramite coupon o mediante la diversa tipologia di richiesta dei dati rappresentata da annunci ed offerte di lavoro pubblicati su quotidiani e periodici con i quali viene sollecitato l’invio di curricula (v. Provv.

13 gennaio 2000, in Bollettino n. 11-12/2000, p. 39 e ss.).

In tale circostanza il Garante aveva riscontrato la mancanza delle necessarie idonee informative ai sensi dell’art. 10 l. n. 675/1996 e, conseguentemente, accertato l’invalidità del consenso al trattamento dei dati che si chiedeva di esprimere unitamente all’invio dei curricula (consenso che, secondo quanto precisato nel ricordato provvedimento, è peraltro superfluo ove i dati da inserire nel curriculum non abbiano natura sensibile o non siano comunicati a terzi).

Nel corso di un successivo monitoraggio effettuato su vari annunci più recenti pubblicati su quotidiani e periodici, concernenti offerte di lavoro curate da società di ricerca e selezione del personale, si è nuovamente constatato che, in diversi casi, era presente solo una sintetica richiesta ai candidati interessati di inviare i curricula e, contestualmente, di “autorizzare il trattamento dei dati personali ai sensi della legge n. 675/1996”, peraltro priva delle informazioni prescritte dal predetto art. 10.

Oltre a quanto emerso dal menzionato monitoraggio, sono pervenute a questa Autorità segnalazioni, anche telefoniche, con le quali è stata lamentata l’assenza negli annunci di idonee indicazioni sulle modalità di trattamento dei dati contenuti nei curricula e circa i tempi della loro conservazione; sono state espresse preoccupazioni anche in ordine alla possibile divulgazione a terzi dei dati e al loro eventuale utilizzo per scopi ulteriori rispetto alla sola selezione del personale (ad esempio, per promuovere corsi di formazione a pagamento).

L’Autorità ha pertanto effettuato un’ulteriore verifica su un campione significativo di annunci pubblicati in alcuni quotidiani su iniziativa di società di selezione o di ricerca del personale, di società di lavoro temporaneo e di altri soggetti intermediari che offrono analoghi servizi.

Con un nuovo provvedimento a carattere generale, ha poi segnalato alle società rispetto alle quali sono state accertate le violazioni menzionate, nonché agli organismi pubblici e pri- Annunci di lavoro, riforma del collocamento e del sistema informativo in materia di lavoro vati rappresentativi dei settori interessati, la necessità di conformare la raccolta ed il successivo trattamento dei dati personali alle disposizioni contenute nella l. 675/1996, indicando contestualmente alcune soluzioni operative volte a favorire l’attuazione in concreto dei principi di lealtà e correttezza nel trattamento dei dati personali, sin dal momento di pubblicazione degli annunci di lavoro (Provv. 10 gennaio 2002, in Bollettino n. 24, p. 22).

Gli annunci di lavoro per i quali è stata contestata la violazione della legge n. 675/1996 non recavano, anzitutto, un’idonea informativa: oltre a non essere spesso indicata l’identità del titolare del trattamento, mancavano informazioni sulle modalità con le quali vengono utilizzati i dati e gli eventuali scopi ulteriori per i quali vengono raccolti. Non veniva inoltre chiarito se il conferimento dei dati era obbligatorio o facoltativo, né era specificato se i dati venivano divulgati o meno a terzi (non era quindi indicata nemmeno l’eventuale società per conto della quale venive svolta la selezione o la ricerca del personale). Mancavano poi indicazioni sui diritti di accesso ai dati o relativi al loro aggiornamento, rettifica, cancellazione e opposizione al loro successivo utilizzo per altri scopi, così come non era indicata la persona cui rivolgersi per esercitare tali diritti.

Gli annunci, nella maggioranza dei casi esaminati, contenevano solo un mero invito nei confronti dei candidati interessati a rilasciare, nel curriculum o nei documenti che intendevano inviare, un consenso generico al trattamento dei dati personali, oltretutto con formule improprie (come “autorizzazione ai sensi della legge n. 675/1996”). Consenso che, peraltro, non è affatto necessario se le società trattano dati personali comuni e non li mettono a disposizione di terzi (per scopi diversi dall’esecuzione di obblighi contrattuali) e che è, invece, obbligatorio se nei curricula sono contenute informazioni sensibili (ad esempio, relative all’appartenenza a particolari categorie protette).

Queste prassi non sono risultate conformi alla legge n. 675/1996. I principi di lealtà e correttezza del trattamento impongono che i candidati siano chiaramente informati, al momento della pubblicazione degli annunci, sulle modalità e sull’uso che viene fatto dei dati personali richiesti. Le società devono, in sostanza, consentire una scelta libera e consapevole da parte dei candidati e acquisire, quando necessario, un consenso specifico.

Per quanto riguarda i curricula inviati spontaneamente da soggetti in cerca di lavoro, il problema dell’informativa potrà essere risolto adeguatamente anche attraverso le disposizioni del codice di deontologia relativo alla gestione del rapporto di lavoro. Il Garante ha invitato nel frattempo le società a fornire l’informativa e a richiedere l’eventuale consenso in caso di successivo utilizzo dei dati contenuti nei curricula ricevuti. L’Autorità ha, infine, indicato alle categorie interessate un possibile schema di informativa (riproducibile nell’annuncio di lavoro, con l’indicazione anche di formule-tipo).

Con riferimento, invece, alla diversa ipotesi in cui i curricula siano inviati spontaneamente dagli interessati, i destinatari degli stessi, trovandosi di regola nell’impossibilità di fornire in via preventiva l’informativa, sono tenuti ad adempiere comunque, senza ritardo, a tale obbligo in caso di successivo trattamento dei dati (sul punto meritano di essere tenute presenti anche le osservazioni già formulate nel Provv. 28 dicembre 1998, in Bollettino n. 6, p. 119).

Nella precedente relazione annuale l’Autorità ha rilevato la confusa e carente tutela dei dati personali nei sistemi informativi in materia di lavoro, dovuta anche ad un quadro normativo stratificato e disomogeneo.

L’adozione di una disciplina più organica degli aspetti relativi ai flussi di dati nell’ambito del Sistema informativo lavoro ed una revisione delle modalità di redazione delle schede anagrafiche e professionali dei lavoratori era già prevista dal d.lg. n. 19 dicembre 2002, n. 297, recante disposizioni modificative e correttive del d. lg. 21 aprile 2000, n. 181. In virtù di tale decreto i Ministri del lavoro e delle politiche sociali e per l’innovazione e le tecnologie dovevano definire le modalità di trasferimento dei dati da parte dei servizi competenti, dei datori di lavoro e delle imprese fornitrici di lavoro temporaneo, nonché il modello di comunicazione, il formato di trasmissione ed il sistema di classificazione dei dati contenuti nella scheda anagrafica e nella scheda professionale dei lavoratori.

La promulgazione della l. 14 febbraio 2003, n. 30, recante “Delega al Governo in materia di occupazione e mercato del lavoro”, ha previsto la riforma della materia mediante la realizzazione di un sistema di strumenti intesi a garantire trasparenza ed efficienza al mercato del lavoro e a migliorare le capacità di inserimento professionale dei disoccupati e di quanti sono in cerca di una prima occupazione, nel rispetto delle competenze affidate alle regioni in materia di tutela e sicurezza del lavoro dalla legge costituzionale 18 ottobre 2001, n. 3, con particolare riferimento al sistema del collocamento, pubblico e privato. La nuova disciplina legislativa del 2003 prevede il mantenimento da parte dello Stato delle competenze in materia di conduzione coordinata ed integrata del sistema informativo lavoro e la ridefinizione del regime del trattamento dei dati relativi all’incontro tra domanda e offerta di lavoro, nel rispetto della l. n. 675/1996. Ciò anche al fine di favorire le esigenze di monitoraggio statistico, di prevenire forme di esclusione sociale e vigilanza sugli operatori, con previsione del divieto assoluto per gli operatori privati e pubblici di qualsivoglia indagine o comunque trattamento di dati ovvero di preselezione dei lavoratori, anche con il loro consenso, in base all’affiliazione sindacale o politica, al credo religioso, al sesso, all’orientamento sessuale, allo stato matrimoniale, o di famiglia, o di gravidanza, nonché ad eventuali controversie con i precedenti datori di lavoro.

Viene inoltre vietata la raccolta, la memorizzazione o la diffusione di informazioni sui lavoratori che non siano strettamente attinenti alle loro attitudini professionali e al loro inserimento lavorativo.

Il 1° ottobre 2002 è stato pubblicato in Gazzetta Ufficiale, a cura del Garante, il Codice di deontologia e buona condotta per i trattamenti dei dati personali a scopi statistici e di ricerca scientifica effettuati nell’ambito del Sistema statistico nazionale (SISTAN) (Deliberazione n. 13 del 31 luglio 2002).

Tale codice, previsto all’art. 10 del d.lg. 30 luglio 1999, n. 281, seguito dal Garante durante tutto l’iter preparatorio, è stato il frutto del lavoro che ha coinvolto numerosi soggetti pubblici e privati, tra cui rappresentanti dell’Istituto nazionale di statistica (Istat), dell’Istituto di studi ed analisi economica (ISAE), dell’Istituto per lo sviluppo della formazione professionale dei lavoratori (ISFOL) e della Presidenza del Consiglio dei ministri.

Le norme contenute nel codice, la cui osservanza costituisce condizione di liceità del trattamento dei dati, si applicano ai trattamenti effettuati da enti ed uffici statistica che, in relazione al loro ambito istituzionale, fanno parte o partecipano al SISTAN al fine di attuare il programma statistico nazionale.

Fra le caratteristiche più importanti del codice, si segnalano le forme di tutela introdotte per assicurare l’anonimato del cittadino, definendo i criteri per la valutazione del rischio di identificazione con l’associazione dei nominativi alle informazioni raccolte e attribuendo precise garanzie per il trattamento dei dati sensibili. I soggetti privati che partecipano al SISTAN e raccolgono tale categoria di dati devono farlo in forma anonima salvo casi di necessaria identificazione, anche temporanea, degli interessati, in cui sarà imprescindibile acquisire il consenso degli interessati e l’autorizzazione preventiva del Garante. Ulteriori disposizioni regolano l’informativa degli interessati, cui dovranno essere dettagliatamente resi noti gli scopi della ricerca, nonché la comunicazione e la diffusione dei dati, che a soggetti non facenti parte del SISTAN potranno pervenire, di regola, solo in forma aggregata. Inoltre, sono previste specifiche regole di condotta e misure di sicurezza soprattutto in relazione alla conservazione dei dati identificativi.

Un ruolo di controllo sulla corretta applicazione del codice è demandato anche alla Commissione per la garanzia dell’informazione statistica, istituita presso la presidenza del Consiglio, che provvederà a segnalare al Garante gli eventuali casi di inosservanza delle norme.

È, inoltre, di prossima adozione il codice deontologico che dovrà fornire indicazioni di dettaglio per la ricerca statistica effettuata da istituti universitari, enti di ricerca ed altri organismi non appartenenti al SISTAN.

Rinviando al paragrafo 9 “Banche dati di rilevanti dimensioni e censimento della popolazione” per le attività connesse al censimento della popolazione, devono qui evidenziarsi talune I o S t a t o d i a t t u a z i o n e d e l l a l e g g e n . 6 7 5 / 1 9 9 6 6 2 Statistica e ricerca scientifica Il codice deontologico per il trattamento dei dati a scopi statistici e di ricerca scientifica problematiche emerse in sede locale a seguito della decisione di alcuni comuni di promuovere delle indagini conoscitive tra la popolazione.

Tali indagini, nei casi segnalati, benché fossero state definite come corollari del censimento della popolazione, ave vano più i requisiti di sondaggi presso la popolazione che di vera e propria ricerca statistica e risultavano integralmente sottoposte alla disciplina della legge n. 675/1996 e del d.lg. n. 135/1999. È questo il caso, in part i c o l a re, della rileva z i o n e p rogettata in un comune dove si intendeva svo l g e re un’indagine conoscitiva per conoscere le esigenze dei cittadini e coinvolgerli in una maggiore partecipazione alla vita politica e a m m i n i s t r a t i va del Pa e s e .

Esaminando il progetto, è stato rilevato, tra l’altro, che con la rilevazione si intendevano perseguire diverse finalità non chiaramente illustrate al cittadino. Inoltre, molti dei quesiti posti apparivano estremamente dettagliati e, in alcuni casi, relativi anche ad informazioni di carattere sensibile. La nota esplicativa poi non evidenziava il carattere obbligatorio o facoltativo del conferimento di tali dati, cosa questa particolarmente importante, anche in relazione a talune finalità di carattere amministrativo che si intendeva perseguire con la progettata rilevazione (10 gennaio 2003).

Un altro comune ha avviato invece un sondaggio sulla condizione socio-economica degli utenti del servizio di assistenza domiciliare. Questa rilevazione, pur apparentemente non in grado di consentire l’individuazione delle persone coinvolte, in effetti -attraverso le modalità di consegna del questionario ed alcune informazioni ivi contenute- ha mostrato di poter consentire di risalire agli interessati. Anche in questo caso, la mancanza di chiarezza circa le finalità dell’indagine hanno reso difficile una valutazione in merito alla pertinenza e non eccedenza dei dati raccolti; in ogni caso, un’informativa carente e la mancata specificazione dell’obbligatorietà o facoltatività del conferimento dei dati, hanno indotto l’Ufficio a richiamare l’attenzione dell’ente sulla necessità di un attento rispetto della normativa vigente (25 ottobre 2002).

All’inizio del 2002, il settore delle associazioni è stato interessato da alcune importanti novità sul piano normativo, di cui si è già dato anticipatamente conto anche nella Relazione 2001 (p. 54).

Ci si riferisce alle modifiche normative introdotte dall’art. 8 del d.lg. n. 467/2001 -che ha novellato, in relazione al trattamento dei dati sensibili, l’art. 22 della legge n. 675/1996, da un lato introducendovi, ex novo, il comma 1-ter e, dall’altro, modificandone il comma 4- e che sono state oggetto di attenzione da parte del Garante in alcune delle autorizzazioni generali per il trattamento dei dati sensibili, ed in particolare nell’autorizzazione n. 3/2002.

Sulla base di tali novità, il trattamento di informazioni riguardanti l’adesione di associazioni od organizzazioni a carattere sindacale ad altre associazioni, organizzazioni o confederazioni a carattere sindacale o di categoria non è più soggetto alla specifica disciplina indicata in materia di dati sensibili (consenso scritto dell’interessato e all’autorizzazione del Garante).

È stata, inoltre, introdotta una semplificazione riguardo all’attività di associazioni, od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale, i quali non devono più raccogliere necessariamente il consenso degli aderenti (o dei soggetti che, in relazione alle finalità statutarie perseguite, hanno contatti regolari con l’ente), per il trattamento dei loro dati sensibili, sempre che i dati non siano divulgati a terzi e l’associazione abbia adottato idonee misure per la tutela di tali dati (misure che, in sede di prima applicazione del d.lg. n. 467/2001, dovevano essere predisposte entro lo scorso 30 giugno).

Anche in questo caso, il d.lg. n. 467/2001 ha incoraggiato forme di maggiore responsabilizzazione dei soggetti che gestiscono i dati. Nel trattamento di eventuali dati sensibili di propri aderenti o sostenitori, gli enti no profit devono comunque rispettare le indicazioni fornite dal Garante con la citata autorizzazione generale n. 3/2002 circa i limiti e le modalità di trattamento, conservazione e comunicazione dei dati medesimi.

Tali aspetti sono stati confermati nelle risposte che l’Autorità ha fornito a diverse richieste di autorizzazione al trattamento di dati sensibili inviate da organismi associativi. In taluni casi, i richiedenti sono stati invitati a verificare se i trattamenti effettuati non rientrassero tra quelli già autorizzati dal Garante in via generale o, altrimenti, ad indicare le circostanze del tutto particolari o le situazioni eccezionali in base alle quali si sarebbe resa eventualmente necessaria un autorizzazione specifica. Associazioni, movimenti politici e part i t i Trattamento dei dati e realtà associative Nell’ambito delle diverse iniziative dell’Autorità sul tema dei trattamenti di dati personali nell’ambito delle realtà associative sono da ricordare inoltre:

– il parere reso ad un’arciconfraternita in merito alla possibilità di affiggere al proprio albo la notizia dei provvedimenti adottati nei confronti degli iscritti. In tal caso è stato rilevato che, stante la natura privata dell’ente, il trattamento dei dati personali degli iscritti doveva avvenire nel rispetto degli artt. 10, 11 e 20 della legge n. 675/1996 e, quindi, previo consenso degli iscritti. Allo scopo è stato ribadito che è sufficiente una formula concisa ma puntuale, da riportarsi nel modulo di adesione, che autorizzi l’arciconfraternita al trattamento dei dati nella misura necessaria per il perseguimento degli scopi statutari, sempre che tutte le operazioni di trattamento dei dati personali degli iscritti siano previste nello stesso statuto e che lo stesso sia stato previamente portato a conoscenza degli interessati. Con un consenso espresso nei termini sopra descritti può essere autorizzata anche l’eventuale pubblicazione sull’albo dell’ente. Ovviamente, nel caso in cui i dati soggetti a pubblicazione avessero riguardato anche informazioni di natura sensibile, fatto salvo il divieto di diffusione di dati sulla salute, occorre rispettare quanto previsto dall’autorizzazione generale del Garante n. 3 del 2002 (13 gennaio 2003); – i diversi interventi seguiti alle segnalazioni inviate da parte di un gruppo cittadini disabili, i quali hanno lamentato di essere stati contattati dal segretario locale dell’AISTOM, una delle associazioni che riunisce i pazienti stomizzati, con l’invito a scrivere all’associazione stessa al fine di richiedere un’assemblea straordinaria per il rinnovo delle cariche sociali, utilizzando così dati personali per fini non previsti dallo statuto; – decisione, nell’ambito di un ricorso, con la quale, a fronte di richieste rivolte nei confronti dell’Associazione italiana per la ricerca sul cancro da una persona destinataria di una pubblicazione promozionale re l a t i va ad una manifestazione pro m o s s a dall’Associazione medesima, l’Autorità, preso atto delle attestazioni dell’associazione di non detenere dati relativi alla persona interessata nell’archivio soci, ha dichiarato non luogo a provvedere ai sensi dell’art. 20, comma 2, del d.P.R. n. 501/1998 (Provv. 24 gennaio 2002, in Bollettino n. 24, p. 31).

Continuano a pervenire numerose segnalazioni di cittadini che, mutando il proprio orientamento religioso, hanno chiesto di modificare i dati personali contenuti nei registri dei battezzati e conservati presso gli archivi parrocchiali, motivando tale esigenza con le proprie convinzioni ateistiche.

Il Garante, già in passato (cfr. Provv. 19 settembre 1999, in Bollettino n. 9, p. 54), aveva evidenziato l’impossibilità di cancellare il nominativo dal registro dei battezzati, essendo l’annotazione relativa ad un fatto realmente avvenuto e in ragione del fatto che la cancellazione ai sensi dell’art. 13 della legge n. 675 può essere richiesta solo quando i dati sono trattati in violazione di legge oppure quando la loro conservazione non è necessaria agli scopi per i quali i dati sono stati raccolti e utilizzati. Nella medesima occasione l’Autorità aveva però precisato che l’interessato può però chiedere l’aggiornamento, la rettificazione ed eventualmente l’integrazione nell’ipotesi in cui si tratti di dati inesatti o incompleti; questa soluzione è stata confermata anche dalla giurisprudenza di merito (cfr. Trib. Padova, sez. ci n. 3531/99 RG del 26 maggio 2000).

Tali orientamenti sono stati ribaditi in occasione di alcune istanze esaminate nel corso del 2002, nell’ambito di decisioni riguardanti taluni ricorsi.

In due casi analoghi l’interessato aveva presentato ricorso all’Autorità dopo aver richiesto senza esito, alla parrocchia dove era stato battezzato, l’annotazione, accanto al proprio nome, di una postilla che specificasse la volontà di non voler essere più considerato membro della chiesa cattolica.

Il Garante ha ritenuto legittima “in entrambi i casi” l’aspirazione del ricorrente a veder correttamente rappresentata la propria immagine in relazione alle attuali convinzioni religiose: si trattava, infatti, di un’istanza volta ad aggiornare ed integrare i dati personali con specifico riferimento al “dato sensibile” relativo all’appartenenza religiosa, che può essere soddisfatta attraverso una semplice annotazione a margine del dato da rettificarsi.

Con la decisione sui ricorsi il Garante ha quindi invitato i parroci ad aggiornare il registro dei battezzati nel senso richiesto (Provv. 18 luglio e 30 settembre 2002).

In un’analoga vicenda il Garante ha parimenti accolto il ricorso dell’ i n t e ressato ed ha o rdinato al parroco -che non ave va prov veduto ritenendo di non essere autorizzato dalla n o r m a t i va canonica- di apporre l’annotazione sul re g i s t ro parrocchiale dei battesimi (Prov v.

10 ottobre 2002).

Confessioni religiose Infine, in un altro caso, riconoscendo il diritto dell’interessato a veder correttamente rappresentata la propria immagine in relazione alle proprie convinzioni originarie o sopravvenute, (mediante annotazione a margine del dato da rettificarsi ferma restando la documentazione del fatto storico dell’avvenuto battesimo), il Garante ha precisato che la sola, eventuale conservazione dell’istanza presentata dal ricorrente in allegato al registro dei battesimi non è sufficiente a far risultare in modo in equivoco e permanente, dal registro stesso, la volontà dell’interessato di non appartenere più alla Chiesa cattolica (Provv. 19 marzo 2003).

Diversi profili di protezione dei dati personali in ambito condominiale, approfonditi nel corso degli anni precedenti, sono stati ripresi nel corso dell’anno per rispondere al sempre rilevante numero di segnalazioni e quesiti pervenuti all’Autorità, che confermano la diffusa sensibilità dei cittadini circa i temi della tutela della riservatezza nella sfera condominiale.

Tra i filoni tematici che hanno visto maggiormente impegnato il Garante, si segnala, anzitutto, quello concernente la divulgazione dei dati personali all’interno del condominio, in relazione al quale l’Autorità ha nuovamente ribadito i limiti e le cautele da adottare nel mettere a disposizione dei condomini le reciproche informazioni di carattere personale, e segnatamente, i nominativi e i dati contenuti in bilanci e prospetti contabili.

Analogamente, sono stati posti numerosi quesiti tanto dagli interessati, quanto da amministratori di condominio, sul tema della diffusione di dati personali riguardanti eventuali situazioni di morosità di singoli condomini, allo scopo di appurare se le modalità di volta in volta in concreto utilizzate, in quanto potenzialmente idonee a rendere tali informazioni accessibili ad un numero indeterminato di soggetti esterni al condomino, fossero compatibili, ed in quali limiti, con le disposizioni contenute nella legge n. 675/1996. Su tale argomento, l’Autorità ha confermato la posizione già assunta nei provvedimenti e nelle decisioni adottate nel corso degli anni precedenti.

Altre richieste di parere o chiarimenti pervenute all’Autorità, hanno messo in luce interessanti profili tematici scaturenti dall’applicazione della legge n. 675/1996 in ambito condominiale, consentendo un approfondimento ulteriore di questioni già parzialmente esaminate negli scorsi anni.

Si segnala, al riguardo, un parere rilasciato all’inizio del 2003, con il quale l’Ufficio del Garante ha ritenuto ammissibile, per il condomino, la conoscenza dei dati disponibili presso l’amministratore relativi agli indirizzi degli altri condomini, considerati, alla stessa stregua dei nominativi, elementi essenziali per la regolare convocazione delle assemblee e per la comunicazione dei relativi avvisi, anche tenuto conto che si tratta di informazioni desumibili dai documenti o dagli atti notarili eventualmente esibiti dagli interessati o, comunque, acquisiti dal condominio.

Inoltre, ad integrazione di quanto già sostenuto in precedenti decisioni dell’Autorità in materia di divulgazione degli estremi identificativi delle utenze telefoniche, si è precisato che l’amministratore può comunicare il numero di telefono di un condomino, ad altro condomino che lo richieda, oltre che previa acquisizione del consenso dell’interessato, anche quando tale possibilità sia prevista nel regolamento condominiale, oppure nei casi particolari di necessità ed urgenza (es. per prevenire o limitare danni agli immobili in condominio).

Condomini e multiproprietà Nello stesso parere (premessa, sulla base degli orientamenti giurisprudenziali e dottrinali in materia, l’applicabilità dei principi enunciati in materia di condominio anche nei confronti della gestione di edifici in multiproprietà a scopo residenziale), si è ritenuto che la normativa sulla riservatezza non impedisca l’accesso, da parte del proprietario di immobile in multiproprietà, ai dati disponibili presso l’amministratore riguardanti i nominativi e gli indirizzi di altri comproprietari (anche con residenza o domicilio diverso dall’immobile in multiproprietà), per le medesime finalità già delineate in ambito condominiale.

Il Garante si è occupato nuovamente dell’impatto della legge n. 675/1996 sull’attività svolta dai liberi professionisti, anche per quanto riguarda il regime di pubblicità degli albi professionali e degli atti connessi allo “status” d’iscritto all’albo.

La legge n. 675 non ha modificato la disciplina legislativa relativa agli albi professionali, che per loro natura sono destinati ad un regime di pubblicità, anche in funzione della tutela dei diritti di coloro che a vario titolo hanno rapporti con gli iscritti all’albo.

Le norme che regolano i vari albi permettono ai diversi ordini professionali, secondo le diverse modalità previste nei singoli casi, di comunicare e diffondere a soggetti pubblici e privati i dati personali contenuti nei rispettivi albi, compresi quelli relativi a provvedimenti di sospensione o interruzione dell’esercizio della professione.

L’Autorità, nel decidere su un ricorso presentato da un avvocato che lamentava, in particolare, che il numero della rivista trimestrale nel quale era inserito il provvedimento interdittivo adottato nei suoi confronti, fosse giunto agli iscritti quando il periodo di sospensione dall’attività si era esaurito e l’interessato aveva già ripreso ad esercitare, ha affermato che la notizia dell’esistenza di una grave sanzione disciplinare applicata da un ordine professionale non è “segreta” e il cittadino può conoscerla. È stato così chiarito che l’inserimento nella rivista del Consiglio dell’ordine della notizia dell’esistenza di un provvedimento di sospensione o di radiazione dall’esercizio professionale non viola i diritti dell’avvocato interessato, purché i dati siano esatti e completi (Provv. 25 settembre 2002).

Analoga indicazione è stata fornita all’Ordine degli psicologi del Lazio, ritenendo legittima la pubblicazione sul notiziario dell’Ordine dell’elenco nominativo degli iscritti morosi. Ciò in quanto la specifica normativa contenuta nella l. n. 56/1989 disciplina il regime di pubblicità in materia. La lecita divulgabilità delle informazioni relative ai suddetti provvedimenti disciplinari tramite riviste, notiziari o altre pubblicazioni curate dal Consiglio dell’Ordine deve comunque garantire il diritto dell’interessato ad un’informazione corretta e completa anche in relazione al verificarsi di eventuali sviluppi favorevoli per quest’ultimo emergenti anche a seguito di contestazione (Provv. 10 dicembre 2002).

Merita infine di essere ricordato, con part i c o l a re riferimento ai cd. “dati sensibili”, che il Garante ha reiterato l’autorizzazione n. 4/2002 in tema di trattamento di tali categorie di dati da parte dei liberi professionisti. Tale prov vedimento tiene conto delle modifiche alla legge n. 675/1996 nel frattempo intervenute ad opera del d.lg. n. 467/2001, nonché, in materia di esercizio della professione di avvocato, da parte del d.lg. n. 96/2001.

Attività forense, investigazione privata e liberi pro f e s s i o n i s t i Liberi professionisti e albi professionali La legge n. 675 ha inciso in modo particolare sulle attività di raccolta di informazioni svolte da investigatori privati, su incarico di terzi, al fine di raccogliere materiale probatorio da utilizzare per eventuali azioni legali o direttamente nell’ambito di procedimenti giudiziari e anche disciplinari.

La legge, che riconosce sotto diversi aspetti la liceità di queste forme di trattamento, collegate ad esigenze di tutela di diritti, ha rinviato al codice di deontologia per l’investigazione privata la disciplina in dettaglio del trattamento di dati sensibili nello svolgimento di indagini difensive o, comunque, in connessione alla difesa giudiziaria. In tale sede saranno individuati, tra l’altro, tempi ragionevoli di conservazione dei dati, la raccolta di determinati dati sensibili e i diversi doveri dei soggetti che a vario titolo collaborano al trattamento dei dati per le predette finalità. I lavori di tale codice, promossi dal Garante con provvedimento del 10 febbraio 2000, sono in fase di conclusione.

Il Garante ha altresì rilasciato l’autorizzazione generale n. 6/2002, relativa al trattamento di dati sensibili da parte degli investigatori privati, nella quale, tra i diversi aspetti disciplinati, si è richiamata l’esigenza che il trattamento dei dati raccolti sia strettamente indispensabile per eseguire specifici incarichi conferiti e che, una volta conclusa l’attività investigativa, il trattamento debba cessare in ogni sua forma (fatta salva, ovviamente, l’immediata comunicazione dei risultati al difensore o al soggetto che ha conferito l’incarico). Le prescrizioni di tale autorizzazione potranno essere in seguito integrate dal menzionato codice di deontologia.

Le questioni connesse alla raccolta dei dati per l’esercizio del diritto di difesa sono state ripetutamente affrontate -soprattutto in sede di risoluzione di ricorsi proposti ai sensi dell’art. 29 della legge n. 675/1996- specie in relazione a fattispecie afferenti l’attività svolta da agenzie investigative private.

In uno di questi casi il Garante ha rilevato la liceità del trattamento operato dal titolare per acquisire materiale probatorio relativa ad un procedimento di separazione personale (Provv. 28 febbraio 2002).

Con tre distinti provvedimenti, fondati su analoghe motivazioni (Provv. 19 febbraio 2002, in Bollettino n. 25, p. 17) concernenti l’asserita violazione di un patto di non concorrenza, il Garante, riconosciuto che il riferimento normativo (art. 10, comma 4, l. 675/1996) alla “sede giudiziaria” presso la quale far valere un diritto è tale da ricomprendere anche il procedimento arbitrale rituale (instaurato dalla società titolare nei confronti dell’interessato e nell’ambito del quale i dati raccolti erano stati depositati), ha invece rilevato che alcuni dati personali erano stati acquisiti direttamente presso l’interessato, mediante indebito ascolto, registrazione o intercettazione effettuati a cura di un istituto investigativo, appurando che tali modalità di raccolta violavano anche l’obbligo di informare l’interessato. Obbligo, quest’ultimo, che opera quando i dati sono acquisiti direttamente dalla persona fisica che li fornisce, come prescritto dall’art. 10, comma 1, legge n. 675/1996. Ciò in armonia con le disposizioni della successiva legge n. 397/2000 sulle indagini difensive, la quale, in riferimento all’investigazione privata collegata alla difesa penale, prevede l’obbligo dell’investigatore di avvertire le persone con cui si instaura il colloquio (art. 391-bis c.p.p., introdotto dall’art. 11 della legge n. 397/2000).

In considerazione della rilevata illiceità il Garante ha disposto sia nei confronti della agenzia investigativa, sia della società committente, il divieto di ogni ulteriore trattamento dei dati raccolti. Raccolta di dati per finalità di difesa Una comunicazione di reato è stata inviata alla competente autorità giudiziaria.

Il Tribunale di Bergamo, confermando l’intero impianto decisorio del Garante nell’ambito del procedimento di opposizione ai sopra citati provvedimenti adottati il 19 febbraio 2002, ha confermato l’illegittimità del trattamento dei dati personali contenuti nel rapporto investigativo in quanto acquisiti presso l’interessato (con mezzi tecnici di intercettazione a distanza e con mezzi di registrazione) senza la prevista obbligatoria informativa.

Il settore in esame è stato al centro, anche nel 2002, dell’attenzione di consumatori e delle relative associazioni, nonché di imprenditori e professionisti, che spesso si sono rivolti all’Autorità per far chiarire delicati aspetti relativi alla raccolta, al trattamento e alla comunicazione dei dati che li riguardano, alla luce di un quadro normativo, quale quello bancario e finanziario, particolarmente complesso ed in fase di continua evoluzione, anche per le novità ed i servizi resi possibili dal rapido avanzarsi delle nuove tecnologie (cfr. Relazione 2001, p. 60).

Risulta anzitutto confermato il dato del progressivo aumento delle segnalazioni e delle istanze presentate da clienti degli istituti di credito avverso le violazioni delle norme poste a tutela della riservatezza nei rapporti bancari c.d. on-line, relativamente alla divulgazione a persone estranee di informazioni su proprie operazioni, conti od investimenti.

In proposito, è stato assunto un primo provvedimento in relazione al caso verificatosi nell’e- banking, riguardante il cliente di una banca on-line che, attraverso Internet, ha consultato non solo i dati del suo conto corrente, ma anche quelli di altri clienti della banca. L’interessato ha presentato ricorso al Garante che ha poi, nell’ambito di un distinto procedimento, svolto un accertamento sul sistema informatico della banca allo scopo di verificare i sistemi di sicurezza adottati dall’istituto di credito e il loro grado di affidabilità riguardo alla tutela della riservatezza dei dati personali della clientela (Provv. 11 novembre 2002). È imminente l’adozione del provvedimento conclusivo del secondo procedimento.

Nel settore del credito si registra un aumento di reclami anche in riferimento a temi più tradizionali, quali quelli del rispetto del c.d. segreto bancario, dell’accesso da parte di eredi ai dati relativi a rapporti bancari e finanziari di defunti e della richiesta o dell’acquisizione di documenti di riconoscimento e di altre informazioni da parte delle banche, in correlazione alla presentazione di assegni per il pagamento, al cambio di valuta o all’esecuzione di altre operazioni.

In un caso il Garante è intervenuto ricordando che il diritto di accesso ai dati personali di un defunto può essere esercitato da chiunque vi abbia interesse (art. 13, l. n. 675/1996). Nel caso specifico della richiesta di accesso avanzata dall’erede, è stato riconosciuto il diritto ad ottenere tutte le informazioni di carattere personale relative al defunto, detenute da un istituto di credito, con particolare riferimento ai movimenti bancari compiuti dai cointestatari su alcuni depositi del parente deceduto, estinti dopo la sua morte (Provv. 3 aprile 2002) Settore del credito, finanziario ed assicurativo Istituti di credito Nell’ambito delle diverse iniziative dell’Autorità sul tema dei trattamenti di dati nel settore del credito sono da ricordare inoltre:

– la decisione, adottata nell’ambito di un ricorso, con la quale l’Autorità ha censurato il comportamento di una banca che inviava materiale pubblicitario nonostante la volontà contraria del cliente. Nel caso in esame era emerso che il cliente, al momento della sottoscrizione dei modelli di informativa e consenso, aveva manifestato la propria contrarietà all’utilizzo dei dati personali per fini di informazione commerciale, ricerche di mercato ed offerte di prodotti o servizi, ed aveva poi ribadito tale richiesta. Il comportamento della banca, che non avrebbe dovuto inviare materiale promozionale, è risultato illegittimo e l’Autorità ha disposto che copia degli atti fosse inviata all’autorità giudiziaria per valutare se l’istituto di credito fosse incorso nel reato di trattamento illecito di dati personali (art. 35 legge n. 675/1996), punito con la reclusione fino ad un massimo di tre anni (Provv. 17 aprile 2002); – la decisione con la quale l’Autorità, accogliendo il ricorso di un cittadino, ha statuito che alcune informazioni -contenute nella segnalazione di blocco della sua carta di credito trasmessa dalla banca ad una società- venissero rettificate, come richiesto, perché basate su motivazioni (morosità e rifiuto di riconsegnare la carta) non rispondenti al vero. Dopo l’invito del Garante ad aderire alle istanze del cliente, la banca aveva trasmesso a quest’ultimo la documentazione richiesta, ma aveva affermato di non poter rettificare i dati riferiti al blocco della carta di credito, in quanto tali annotazioni presupponevano una diversa valutazione di situazioni di fatto che erano oggetto di contenzioso presso l’autorità giudiziaria. Sosteneva anche che il ricorso dovesse essere dichiarato inammissibile proprio con riguardo ai procedimenti giudiziari pendenti. Nel decidere sul ricorso il Garante ha respinto tale l’eccezione di inammissibilità proposta dalla banca in quanto i procedimenti pendenti presso il giudice ordinario riguardavano una domanda su profili diversi (in particolare una controversia per risarcimento danni) e non vertevano, quindi, sul medesimo oggetto del ricorso avviato innanzi all’Autorità; – la decisione sul ricorso di un cliente di una banca che si è opposto al trattamento dei propri dati personali nella parte riguardante l’eventuale ed ulteriore comunicazione illecita al coniuge ed utilizzate nel procedimento di separazione giudiziale. Con riferimento all’attuale utilizzo delle informazioni acquisite illecitamente dal coniuge del ricorrente nel procedimento di separazione giudiziale, è stato disposto l’invio della decisione del Garante al tribunale, per le valutazioni di competenza (Provv. 17 settembre 2002).

In merito, poi, alla questione relativa alla richiesta di documenti di riconoscimento da parte di banche, sono stati avviati, nel corso di quest’anno, accertamenti per specifici casi. In considerazione del rilevante numero di segnalazioni giunte all’Autorità su tale argomento, nei prossimi mesi l’Autorità intende completare una valutazione più approfondita per fornire precise indicazioni sulla corretta applicazione della legge n. 675/1996.

Ulteriore fonte di intensa attività è risultato l’esame delle numerose richieste di esonero dall’obbligo di informativa agli interessati in materia di cartolarizzazione dei crediti, formulate con riferimento al provvedimento di carattere generale adottato il 4 aprile 2001, che ha autorizzato le società che svolgono tali operazioni ad effettuare l’informativa in forma semplificata, attraverso le modalità alternative della sua pubblicazione in G.U. ed in alcuni giornali nazionali e, ove previsto, locali.

Sono, inoltre, pervenute di recente alcune segnalazioni nelle quali clienti di una banca hanno lamentato di essere venuti a conoscenza solo attraverso i mezzi di informazione che le agenzie presso le quali sono titolari di un rapporto di conto corrente bancario sono state cedute ad un’altra banca. Le suddette segnalazioni, che riguardano il tema re l a t i vo alla cessione a banche di ra p p o rti giuridici individuali in blocco (ai sensi dell’ a rt. 58 del decreto legisl a t i vo n. 385/1993), saranno esaminate in relazione ai diversi profili di p r i va c y che possono e m e r g e re in collegamento a questa tipologia di operazioni finanziarie.

In relazione alla semplificazione degli adempimenti nel settore bancario e finanziario, va da ultimo sottolineata l’ i m p o rtanza delle recenti modifiche introdotte dal decreto legislativo n. 467/2001, soprattutto per ciò che attiene alla previsione di nuovi casi che rendono superfluo il consenso anche per operazioni di comunicazione di dati personali strumentali all’ e s ecuzione di obblighi contrattuali. Ciò dov rebbe comport a re la risoluzione dell’annoso pro b l e m a della mancata restituzione da parte di diversi clienti dei moduli che gli istituti di credito avevano inviato anche alla clientela acquisita prima dell’entrata in vigore della legge n. 675/1996, allo scopo di legittimare ordinarie attività connesse all’esecuzione di servizi bancari o comunque di prestazioni contrattuali, per le quali risulti indispensabile comunicare i dati ad altre banche, istituti finanziari o società che collaborano con i medesimi istituti.

I rilevanti riflessi delle recenti modifiche sui settori in esame, anche per quanto riguarda la modulistica distribuita dagli operatori, potranno essere meglio valutati anche sulla base della complessiva attività cui dovrà attendere il Garante nei prossimi mesi, con riferimento non solo ai nuovi presupposti equipollenti al consenso ed all’attuazione del principio del cd. bilanciamento di interessi, ma anche all’individuazione di accorgimenti specifici per i trattamenti di dati particolari e all’esercizio dei poteri di verifica preliminare di determinate utilizzazioni delle informazioni.

In relazione al settore del credito e della finanza, meritano un cenno a parte le questioni relative alla tutela dei dati personali nell’ambito delle attività di intermediazione finanziaria, incentrate, per diversi aspetti, sulla raccolta, sul trattamento e sullo scambio di informazioni relative sia agli investitori, sia alle società che operano nei mercati finanziari. Tali attività stanno infatti subendo, nel corso di questi ultimi anni, una significativa trasformazione a causa della rapida diffusione anche in Italia delle reti telematiche e delle tecnologie della comunicazione e dell’informazione.

Sotto questo profilo, emerge evidente la preoccupazione dei clienti degli operatori e intermediari finanziari (banche, SIM, ecc.) per i delicati problemi della sicurezza e della riservatezza dei dati trasmessi, registrati o memorizzati elettronicamente, derivanti da servizi che permettono ai clienti di acquisire informazioni o effettuare investimenti tramite Internet (il c.d. tra – ding on-line).

Oltre al descritto caso, nel paragrafo precedente, relativo al c.d. e-banking, il Garante ha esaminato una questione riguardante l’accesso del cliente di una banca ai dati contenuti nelle registrazioni delle telefonate, con le quali l’interessato aveva ordinato l’acquisto o la vendita di titoli e pacchetti azionari (Provv. 19 giugno 2002).

Nel caso sottoposto all’Autorità, il cliente aveva chiesto all’istituto di credito di accedere al contenuto delle registrazioni, laddove ancora conservate, di alcune telefonate effettuate nel corso del 1999, senza, tuttavia, ricevere da questa riscontro alla propria richiesta.

L’istituto bancario, su invito formulato dal Garante, ha fornito le informazioni richieste, dichiarando, però, che le registrazioni magnetiche degli ordini e delle autorizzazioni erano conservate, come previsto dalla vigente normativa, per almeno due anni. Pertanto, ogni registrazione attinente al periodo indicato dall’interessato non era più conservata presso l’istituto di credito, il quale aveva detenuto i dati per il solo periodo temporale previsto e non era più in possesso di tali informazioni.

Un argomento rilevante per il numero di casi segnalati al Garante riguarda il comportamento di promotori o intermediari finanziari per ciò che attiene al trattamento e alla divulgazione dei dati della clientela nell’ambito di servizi di distribuzione di prodotti finanziari bancari o assicurativi.

L’Ufficio del Garante terminerà prossimamente l’esame dei casi rappresentati da alcuni investitori i quali hanno segnalato di non aver ricevuto informazioni o di non aver autorizzato la cessione dei dati che li riguardano a consulenti di fiducia o collaboratori delle banche o delle società di intermediazione mobiliare cui si erano rivolti per i propri investimenti (ad esempio, nuovi promotori in sostituzione dei precedenti).

Intermediazione finanziaria Va anche ricordato il parere rilasciato dal Garante in merito ad un quesito riguardante alcune proposte di modifiche regolamentari che la società di gestione della Borsa ha introdotto, sulla base delle determinazioni della Commissione di vigilanza, per assicurare una maggiore diffusione di informazioni concernenti operazioni mobiliari compiute da manager di società quotate, relative alle medesime società o a loro controllate. Il Garante ha evidenziato che la comunicazione di informazioni relative al controvalore e alle date degli scambi azionari e finanziari operati dagli amministratori, direttori generali o sindaci delle predette società non contrasta, in termini generali, con i principi stabiliti dalla legge n. 675, mentre spetta alla Consob verificare la loro conformità alla normativa italiana e comunitaria del settore e valutarne l’idoneità ad assicurare la trasparenza del mercato, l’ordinato svolgimento delle negoziazioni e la tutela degli investitori.

Le disposizioni sottoposte al vaglio del Garante prevedevano l’obbligo per le società quotate di comunicare periodicamente o, a seconda della rilevanza, tempestivamente le operazioni finanziarie eseguite da soggetti che, per i loro incarichi societari, hanno accesso a particolari informazioni (dette privilegiate o “price sensitive”), oppure effettuate da loro stretti familiari o per il tramite di fiduciari od interposte persone. Ogni società è tenuta, in proposito, ad adottare un codice di comportamento che identifichi le cosiddette “persone rilevanti” al proprio interno (coloro che le amministrano, dirigono o vigilano) e che richieda loro di comunicare le informazioni relative a tali operazioni, in modo da permettere alle società di divulgarle al pubblico dei risparmiatori attraverso gli strumenti informatici messi a disposizione dalla Borsa.

Le informazioni oggetto di diffusione si riferiscono nominativamente agli amministratori, ai direttori generali, ai sindaci, etc., e non agli eventuali terzi attraverso i quali vengono effettuate le operazioni (che non vengono identificati e che non hanno alcun diretto obbligo informativo nei confronti delle società emittenti). I trattamenti di dati personali che ne deriverebbero -ha chiarito il Garante- sono apparsi, quindi, conformi al principio di pertinenza e non eccedenza dei dati (art. 9 legge n. 675/1996), essendo riferiti soltanto ai dati anagrafici delle “persone rilevanti”, nonché alla data, alla tipologia ed al controvalore delle operazioni mobiliari (Provv. 5 giugno 2002).

L’ Autorità ha, inoltre, affrontato il delicato problema del ruolo che verranno a svolgere i codici di comportamento nei confronti degli esponenti delle società emittenti, avendo osservato che, qualora le regole di comportamento concretamente adottate non siano lasciate alla spontanea adesione ed osservanza da parte dei destinatari, ma siano per loro nella sostanza cogenti, in quanto rientranti nei più generali doveri, responsabilità ed impegni assunti nei rispettivi rapporti societari, i dati delle “persone rilevanti” potrebbero essere acquisiti e diffusi senza raccogliere il loro consenso, poiché questi trattamenti rientrerebbero tra quelli necessari per l’adempimento di obblighi informativi divenuti giuridicamente vincolanti anche per gli interessati (legge n. 675/1996).

R e l a z i o n e 2 0 0 2 7 7 Nel 2002 si è registrato un ulteriore, significativo incremento di ricorsi, segnalazioni e reclami presentati da cittadini, imprese ed associazioni di consumatori, nei confronti di banche e società finanziarie, nonché delle c.d. “centrali rischi” private, ossia delle società che gestiscono sistemi informativi di rilevazione dei rischi creditizi, di cui nel corso di questi ultimi anni il Garante si è più volte occupato, come evidenziato nelle precedenti relazioni.

Al riguardo, l’Autorità è fra l’altro intervenuta (Provv. 6 giugno 2002) nell’ambito di un procedimento ai sensi dell’art. 29 della l. n. 675/1996, decidendo sul ricorso di un interessato che lamentava l’inerzia della società alla quale si era rivolto chiedendo di cancellare e di non diffondere ulteriormente, senza il proprio consenso, alcune informazioni che lo riguardavano, relative ad operazioni di finanziamento personale detenute nella banca dati della centrale rischi. Veniva infatti ritenuto dal ricorrente che la diffusione di queste informazioni fosse la causa del rifiuto, senza motivazione, della concessione di altri piccoli prestiti o fidi da parte di alcuni istituti bancari. Con la decisione l’Autorità ha affermato che la centrale rischi privata che conserva e diffonde nel circuito bancario e finanziario informazioni relative a prestiti richiesti e non concessi, oppure oggetto di rinuncia da parte dello stesso richiedente, agisce in violazione delle disposizioni in materia di protezione dei dati personali.

In considerazione della rilevanza assunta da tale tematica, il Garante aveva ritenuto necessario, alla fine del 2001 (Relazione 2001 p. 67), avviare un’indagine approfondita anche attraverso richieste di informazioni ed incontri con gli operatori del settore e con le relative associazioni di categoria, così da poter fornire alcune indicazioni e chiarimenti per una corretta applicazione delle norme sulla tutela dei dati personali da parte dei soggetti che gestiscono le centrali rischi, eliminando larga parte del contenzioso esistente con gli interessati.

A conclusione della suddetta indagine il Garante ha adottato un provvedimento di carattere generale (Provv. 31 luglio 2002) che riassume l’orientamento già espresso in materia nei numerosi provvedimenti emessi da questa Autorità, ed individua alcune condizioni per la raccolta, la conservazione e l’uso delle informazioni presenti nei sistemi informativi di rilevazione dei rischi creditizi, anche in vista del codice deontologico la cui sottoscrizione è stata promossa dal Garante con deliberazione del 10 aprile 2002.

Le finanziarie e le banche si rivolgono alle “centrali rischi” per valutare le richieste di finanziamento presentate dai clienti, soprattutto nel settore del credito al consumo e alle famiglie (relativi ai beni di largo consumo, come, ad esempio, elettrodomestici, telefoni cellulari, computer, automobili, etc.), obbligandosi, anche sulla base di regolamenti consortili ed accordi associativi, a comunicare, con sistematicità, i dati relativi a coloro che li richiedono.

Centrali rischi e società finanziarie Le “centrali rischi” private possono essere connotate come banche dati “negative” (che registrano solo dati personali relativi a morosità, segnalazioni di sofferenze o esistenza di azioni legali, procedure concorsuali o cessioni del credito a terzi), mentre la maggior parte delle “centrali rischi” operanti in Italia gestiscono banche dati di tipo positivo/negativo, cioè raccolgono informazioni sul rapporto di finanziamento a partire dalla richiesta dell’interessato, indipendentemente dall’esistenza di inadempimenti.

A differenza del servizio di centralizzazione dei rischi della Banca d’Italia o dell’archivio di recente istituzione a cura del medesimo Istituto relativo alla rilevazione dei rischi di importo contenuto, nel nostro ordinamento manca una specifica normativa di riferimento che disciplini le attività svolte dai soggetti privati che gestiscono i descritti sistemi informativi.

Al fine di giustificare la comunicazione dei dati relativi al finanziamento da parte dell’istituto bancario o finanziario alle “centrali rischi” private, e la successiva utilizzazione degli stessi dati da parte di queste ultime, gli operatori del settore hanno inserito nella modulistica contrattuale clausole di informativa agli interessati e di richiesta del consenso al trattamento di dati personali. Tuttavia, la questione relativa alla liceità delle prassi contrattuali finora seguite dagli operatori, non è stata affrontata nel predetto provvedimento del 31 luglio 2002, meritando un approfondimento in altra sede, alla luce del quadro normativo introdotto, mentre l’indagine era in corso, dal d.lg. n. 467/2001.

Nel provvedimento generale sono stati invece esaminati diversi profili relativi alle attività di raccolta, conservazione e trattamento di dati personali presenti nei circuiti privati di rilevazione dei rischi creditizi.

In particolare gli operatori sono stati richiamati a fornire ai clienti indicazioni precise sugli estremi identificativi delle “centrali rischi” alle quali i dati vengono trasmessi, nonché sugli scopi e sulle modalità di raccolta, registrazione e circolazione dei dati, in modo da garantire piena comprensione da parte degli interessati di questi diversi aspetti.

È stato poi ricordato che i dati così raccolti possono essere trattati solo in stretta relazione con l’istruttoria di una richiesta di finanziamento e che, pertanto, è illecita l’utilizzazione da parte di banche e finanziarie delle informazioni presenti nelle “centrali rischi” per scopi ulteriori o comunque estranei all’attività di rilascio o gestione dei finanziamenti, ad esempio, per scopi collegati ad attività di marketing.

L’Autorità ha, altresì, ribadito l’esigenza di assicurare riscontro immediato e completo alle richieste di accesso, rettifica e cancellazione dei dati da parte degli interessati, in modo da garantire un maggiore rispetto dei relativi diritti, tenuto conto che alcuni comportamenti “scorretti” espongono sia le “centrali rischi”, sia le banche e le finanziarie a responsabilità civile, anche sul piano dei danni non patrimoniali. Al riguardo è stata considerata opportuna la prassi, seguita da alcuni operatori, di sospendere la visualizzazione dei dati per il periodo necessario ad effettuare le verifiche con l’istituto bancario o finanziario al fine di fornire riscontro alle richieste degli interessati.

Riguardo ai problemi, più sentiti dai consumatori, della registrazione e della comunicazione dei dati relativi alle morosità nei pagamenti, il Garante ha chiesto di uniformare i criteri seguiti nei vari circuiti informativi per la segnalazione dei ritardi di pagamento delle rate sca- dute, tenendo conto della reale gravità degli inadempimenti, in modo tale da non arrecare pregiudizi ingiustificati ai diritti degli interessati.

Le attuali modalità di gestione dei sistemi privati di rilevazione dei rischi creditizi, infatti, non sempre permettono di distinguere adeguatamente tra eventi da considerare fisiologici in un rapporto destinato a svolgersi nel tempo (ma che non incidono sull’affidabilità e solvibilità della clientela) e situazioni più critiche relative a inadempienze gravi e reiterate.

Per ciò che attiene, poi, alla segnalazione delle c.d. morosità alle “centrali rischi”, l’Autorità ha segnalato di effettuarle solo in caso di mancato pagamento di somme consistenti, di più rate o di gravi ritardi (specialmente quando si tratta di finanziamenti di basso importo con rate di modesta entità) e a prevedere soglie temporali minime o di più rate cumulate (ad esempio per ritardi di almeno quattro mesi o di quattro rate, secondo la prassi già seguita da alcuni operatori), in modo da evitare che la comunicazione di mancati pagamenti avvenga quando ciò sia causato da anomalie o disguidi postali e bancari, non sempre imputabili agli interessati.

È stato, inoltre, segnalato alle banche ed alle società finanziarie, prima di effettuare la segnalazione della morosità alla centrale rischi, di dare, comunque, un preavviso agli interessati affinché possano eventualmente intervenire.

Particolare attenzione è stata rivolta alla necessità di riconsiderare la congruità del tempo di conservazione delle informazioni di carattere negativo relative ai rapporti di finanziamento. In molti casi sottoposti all’attenzione del Garante tale termine è risultato eccedente rispetto alla finalità perseguita. L’obiettivo è, in sostanza, quello di evitare che l’ingiustificata presenza nelle banche dati delle “centrali rischi” di un’ampia quantità di dati non sempre o non più significativi (lievi morosità successivamente sanate, brevi ritardi nei pagamenti poi regolarmente effettuati ecc.) possa determinare effetti pregiudizievoli per gli interessati, anche in relazione alla possibilità di avere poi accesso a nuovi crediti.

L’Autorità non ha ritenuto poi giustificata la conservazione da parte delle “centrali rischi” dei dati di coloro ai quali non è stato concesso un finanziamento o che vi hanno rinunciato, in considerazione del fatto che il rapporto di finanziamento non si è instaurato o si è comunque interrotto ad uno stadio che non legittima una successiva utilizzazione dei dati, (spesso, peraltro, il rifiuto di concedere finanziamenti deriva da valutazioni discrezionali di banche e finanziarie o da politiche contrattuali piuttosto che dall’inaffidabilità del cliente).

Terminato il periodo necessario per l’istruttoria delle richieste di finanziamento (che può avere, comunque, una durata massima di sei mesi), i dati relativi alla richiesta non accolta o oggetto di rinuncia devono essere cancellati dalla “centrale rischi” entro un mese anziché essere conservati, come avveniva in alcuni casi, per un anno.

Sempre in merito ai tempi di conservazione, è stato, infine, rilevato che è sproporzionata la scelta, già in uso, di conservare per cinque anni tutti i dati acquisiti, anche nel caso in cui la sofferenza sia venuta meno o il finanziamento sia stato estinto, poiché deve essere garantita la piena tutela del cosiddetto “diritto all’oblio” degli interessati, anche in considerazione delle evoluzioni della recente normativa italiana, in tema di correttezza nei pagamenti e nell’adem- pimento delle obbligazioni pecuniarie (relative, oltre alle esperienze applicative della “centrale rischi” della Banca d’Italia, ai registri informatici dei protesti cambiari ed all’archivio informatico degli assegni e delle carte di pagamento).

Il provvedimento adottato prevede, pertanto, che i dati relativi agli eventuali ritardi nei pagamenti, poi completamente sanati, devono essere cancellati entro un anno dalla data della loro regolarizzazione o comunque dalla data di estinzione del rapporto di finanziamento.

In applicazione, poi, del principio di proporzionalità rispetto alle finalità della raccolta e dell’ulteriore trattamento dei dati, ed in relazione alle conseguenze pregiudizievoli per gli interessati, il provvedimento segnala, anche, la necessità di ridurre in ogni caso i tempi di conservazione dei dati relativi ad inadempimenti o “sofferenze” ancora pendenti o solo parzialmente estinti, ritenendo congrua la loro conservazione per la durata del rapporto di finanziamento e, comunque, non oltre tre anni dalla data dell’ultimo aggiornamento in centrale rischi.

Il provvedimento è stato comunicato ai soggetti che gestiscono sistemi informativi di rilevazione dei rischi creditizi e alle società, banche o istituti finanziari che aderiscono ai relativi circuiti, ai quali è stato chiesto di fornire, entro il termine indicato (15 dicembre 2002) notizie sulle prime misure adottate per tutelare i consumatori in relazione anche al codice deontologico in fase di elaborazione.

Successivamente, sono stati avviati prontamente gli ulteriori lavori preparatori per il codice di deontologia in materia, considerato dall’Autorità prioritario nell’ambito del programma di lavoro per il 2003, con l’obiettivo di giungere ad uno schema consolidato di codice entro il mese di maggio del 2003.

Le novità introdotte dalla normativa in materia di conservazione nel tempo dei dati sui protesti (legge n. 235/2000) tengono in qualche modo conto, con soluzioni specifiche, dei diritti delle persone protestate. Accanto, infatti, alla disposizione secondo la quale ogni protesto deve essere conservato per cinque anni nel registro informatico dal momento della sua iscrizione, sono stati disciplinati casi per i quali è invece prevista la cancellazione: si tratta di quelli in cui gli interessati hanno adempiuto ai propri obblighi o sono stati riabilitati, in base alle modalità stabilite dalla legge, o iscritti per errore nel registro.

La predetta legge del 2000 ha fissato le modalità di tenuta del registro informatico con l’obiettivo di assicurare un’informazione completa e tempestiva su tutto il territorio nazionale anche, ed in particolare, per quanto riguarda la durata temporale per la messa a disposizione delle informazioni al pubblico.

Il Garante, accogliendo il ricorso di un cittadino che lamentava di non aver avuto positivo riscontro alla richiesta di cancellazione di dati personali relativamente a un protesto, rivolta ad una società alla quale aveva chiesto un finanziamento, ha statuito che quando è stata sanata tempestivamente la posizione debitoria o è stata dimostrata l’illegittimità o l’erroneità del provvedimento, i dati devono essere cancellati dal registro informatico dei protesti e si deve essere considerati a tutti gli effetti come mai iscritti. Analoga procedura deve essere adottata per i soggetti riabilitati.

Nel caso esaminato, a causa della perdurante iscrizione in un archivio “parallelo”, era stato negato al ricorrente il finanziamento. Il protesto, elevato per il mancato pagamento di alcuni effetti cambiari, pur non risultando da visura effettuata presso la camera di commercio, era annotato in un’altra banca dati privata consultata dalla finanziaria.

È stato, pertanto, stabilito che i dati relativi al protesto devono essere cancellati non solo dal registro istituito dalla legge, ma da ogni banca dati parallela, anche privata, consultabile da terzi e in primo luogo dalle società che erogano finanziamenti.

Il ricorso esaminato si inserisce in questo contesto normativo che non può essere eluso immagazzinando i dati in altri archivi. Contesto che è anzi rafforzato dalla legge n. 675/1996, la quale dispone la cancellazione di informazioni, anche esatte, per le quali non è più giustificata la conservazione rispetto alle finalità perseguite. L’interessato ha potuto quindi beneficiare della cancellazione dei dati conservati presso la finanziaria. Una volta riabilitato, infatti, i dati erano stati cancellati dal bollettino dei protesti, ma erano ancora conservati da banche dati private.

Banche dati che, peraltro, non avevano neanche indicato, come prescritto, a quale data fossero aggiornate le informazioni in loro possesso (Provv. 7 febbraio 2002).

Registro dei protesti La novità più rilevante nel settore assicurativo, per i suoi effetti in materia di protezione dei dati personali, è costituita dalla recente adozione da parte dell’ISVAP del provvedimento di attuazione della disciplina delle procedure e delle modalità di funzionamento, nonché delle modalità e dei limiti di accesso alle informazioni raccolte dalla banca dati dei sinistri relativi all’assicurazione obbligatoria della responsabilità civile per i veicoli a motore immatricolati in Italia (Provv. n. 2179 del 10/3/2003, pubblicato sulla G.U. n. 63 del 17 marzo 2003).

Come ricordato nella relazione dello scorso anno (p. 64), in tale banca dati sono inseriti mensilmente, dalle imprese di assicurazioni, i dati relativi a ciascun sinistro avvenuto del quale le stesse ricevono denuncia o richiesta di risarcimento.

In considerazione dei rilevanti effetti che essa produce nella sfera privata e personale di ogni cittadino, la messa in opera della banca dati sinistri ha reso necessaria un’intensa attività di cooperazione istituzionale tra l’ISVAP ed il Garante, per individuare garanzie e soluzioni funzionali, organizzative, procedurali e tecniche idonee per contemperare l’esigenza di assicurare l’efficacia del sistema informativo in relazione al contrasto delle frodi assicurative con la necessità di mantenere un elevato livello di tutela dei diritti fondamentali delle persone coinvolte nei sinistri e le cui informazioni sono registrate in banca dati.

Grazie al positivo rapporto tra le due autorità sono state individuate e stabilite alcune importanti garanzie circa le informazioni che possono essere registrate nella banca dati e i soggetti che possono accedervi. Sono stati, inoltre, definiti alcuni principi relativi ai tempi di conservazione e visibilità dei dati, nonché i limiti, i presupposti e le forme per la consultazione dei dati stessi (con particolare attenzione a quelli sensibili). Sono state altresì disciplinate le attività di verifica da parte dell’ISVAP sulle imprese in relazione al rispetto delle prescrizioni impartite nel provvedimento, le misure di sicurezza e le modalità per assicurare il diritto di accesso agli interessati.

È stato infine stabilito che l’ISVAP chieda il parere del Garante anche per le convenzioni che dovranno determinare le modalità tecniche di accesso alla banca dati da parte di organi giudiziari e forze di polizia per le finalità di giustizia penale.

Nel corso dell’anno sono stati evidenziati all’Autorità, anche da parte dell’ANIA, altri problemi riguardanti l’applicazione della disciplina sulla protezione dei dati personali nell’ambito del settore assicurativo, anche alla luce delle modifiche introdotte dal d.lg. n. 467/2001 e in prospettiva dell’elaborazione del testo unico.

Raccolte di dati in ambito assicurativo e banca dati Isvap In particolare, è emersa l’esigenza già sottolineata (v. Relazione 2001, p. 64), di predisporre per le assicurazioni un modello semplificato per l’informativa agli interessati e per la raccolta del consenso, che tenga conto della molteplicità di trattamenti di dati personali, anche sanitari, posti in essere da società assicurative e da altre categorie di soggetti (agenti, periti legali, autofficine; società di servizi postali, informatici) partecipanti alla c.d. “catena” assicurativa.

L’esame complessivo del settore rende peraltro opportuno tener conto dello sviluppo di una realtà in continua crescita, relativa alle reti di distribuzione di servizi e prodotti assicurativi integrati a quelli bancari e finanziari, anche attraverso modalità di offerta fuori sede e uso di tecniche di comunicazione a distanza (in relazione ai quali dovrà essere recepita a breve in Italia la specifica direttiva 2002/65/CE del 23 settembre 2002 sulla commercializzazione a distanza dei servizi finanziari).

L’aspetto più problematico delle attività assicurative è collegato, comunque, al trattamento di dati sensibili, al quale il Garante ha sempre dedicato particolare attenzione, anche attraverso le autorizzazioni generali rinnovate il 31 gennaio 2002 (in particolare per le assicurazioni v.

autorizzazioni nn. 2/2002, par. 1.2, lett. e), e 5/2002, capo I).

Nel corso dell’anno sono poi pervenute al Garante alcune segnalazioni nelle quali si lamenta che le compagnie di assicurazioni, per procedere al risarcimento di danni o al rimborso di spese mediche, chiedono copia delle cartelle cliniche degli assicurati. Al riguardo è stato evidenziato che le autorizzazioni generali in tema di trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale e di trattamento dei dati sensibili da parte di diverse categorie di titolari, sono state rilasciate anche nei confronti delle società di assicurazioni per il trattamento dei soli dati ed operazioni realmente indispensabili per fornire specifici beni, prestazioni o servizi richiesti dall’interessato (cfr. paragrafo 1), punto 1.1, lett. e), autorizzazione n.

2/2002, e capo I, punto 1), lett. a) e punto 3), autorizzazione n. 5/2002).

Alla luce di tale previsione, l’Autorità ha ritenuto, in passato, che possono risultare giustificati alcuni trattamenti di dati relativi alla salute degli assicurati effettuati da società di assicurazione al fine della gestione e dell’esecuzione di polizze infortuni e malattie. Tra questi trattamenti può rientrare anche la raccolta di dati contenuti nelle cartelle cliniche degli assicurati, quando tali dati sono effettivamente indispensabili in tutto o in parte per fornire le specifiche prestazioni richieste dagli interessati con questa tipologia di contratti (es. attività di accertamento dei sinistri denunciati e di rimborso delle spese mediche sostenute dall’assicurato).

Questo tema sarà, tuttavia, oggetto di un necessario ulteriore approfondimento da parte dell’Autorità al fine di fornire alcune indicazioni più specifiche su presupposti, finalità e modalità della raccolta e del trattamento dei dati sanitari contenuti nelle cartelle cliniche, ed in altri documenti e certificazioni, richieste da compagnie di assicurazioni per il risarcimento di sinistri o il rimborso di spese mediche, ed evitare l’impropria richiesta a tappeto di dati e documenti esuberanti rispetto alle finalità da perseguire.

Nell’ambito del settore delle assicurazioni, rimangono sul tappeto altri problemi interpretativi legati all’accesso, da parte di clienti o di terzi danneggiati, a perizie medico-legali predisposte dai medici di fiducia delle compagnie assicurative, in relazione a richieste di risarcimento dei danni ed alla liquidazione dei sinistri (sia per le assicurazioni auto, sia per le polizze sanitarie).

Il delicato rapporto tra la protezione dei dati personali e le finalità assicurative delle imprese è stato infine oggetto di una raccomandazione del Consiglio d’Europa approvata il 18 settembre 2002 sulla protezione dei dati personali raccolti e trattati per scopi assicurativi. È un documento al quale gli esperti del Consiglio hanno lavorato per quasi 12 anni, a partire dal novembre 1990, e che rappresenta un importante contributo in un settore di grande complessità che tocca direttamente gli interessi della quasi totalità dei cittadini. La Raccomandazione si fonda sui principi fissati dalla Convenzione n. 108/1981 del Consiglio d’Europa, relativa alla protezione delle persone fisiche rispetto al trattamento di dati personali, ma tiene conto anche degli sviluppi nel frattempo intercorsi ed, in particolare, dei principi sanciti dalla direttiva europea in materia di protezione dei dati personali (95/46/CE). La Raccomandazione non riguarda i trattamenti effettuati per scopi di previdenza sociale, oggetto di una specifica raccomandazione che il Consiglio d’Europa aveva elaborato nel 1986 (Raccomandazione R(86) 1); tuttavia, lascia gli Stati membri liberi di decidere se estendere l’applicazione dei principi di questa più recente raccomandazione anche a tali trattamenti.

I principi contenuti nella Raccomandazione non hanno un carattere direttamente vincolante, ma, potrebbero essere oggetto di opportuna considerazione per le future iniziative del legislatore e del Garante, come già avvenuto per le altre Raccomandazioni del Consiglio d’Europa.

Ne l l’ultimo anno di attività sono stati presentati solo alcuni ricorsi in relazione allo specifico trattamento dei dati personali nel settore assicurativo; si è quindi confermata quella tendenza ad un diverso atteggiamento da parte dei destinatari di tali richieste, con riguardo alle istanze a vanzate dall’ i n t e ressato ai sensi dell’ a rt. 13 l. n. 675/1996, volte a conoscere le informazioni a c a r a t t e re personale contenute nei documenti redatti dal medico fiduciario delle società a s s i c u r a t i ve a seguito di un sinistro (cd. perizie medico-legali). A tale diverso atteggiamento sembrano aver contribuito anche gli approfondimenti che l’ Autorità ha sviluppato e sta sviluppando sulla definizione di “dato personale” e la Raccomandazione sui dati valutativi dei dipendenti predisposta del Gruppo dei Garanti europei il 22 marzo 2001.

Nelle cd. perizie medico-legali predisposte dal medico fiduciario delle diverse compagnie di assicurazioni, compaiono accanto ai dati personali più “c o m u n i” quali quelli anagrafici, altri dati personali inerenti allo stato di salute e a lesioni riportate che figurano all’interno di va l u t azioni e giudizi formulati più spesso da un professionista che ha visitato l’ i n t e ressato o che ha esaminato la re l a t i va documentazione. La posizione espressa dall’ Autorità in diverse occasioni riconosce all’ i n t e ressato il diritto di accedere anche a questo genere di dati personali che lo r i g u a rdano, benché contenuti anche all’interno di valutazioni espresse dal medico autore della perizia o dalla società di assicurazione. Al termine di questa prima fase di applicazione dei principi in materia, nella quale non sono mancati fisiologici contrasti anche nella sede giudiziaria o rdinaria investita con alcune opposizioni a decisioni del Garante, l’ Autorità è impegnata nell’ a p p ro f o n d i re gli sviluppi che questa esperienza può ave re sul piano normativo, per individuare ad esempio eventuali soglie temporali per l’accesso o chiarire il rapporto tra dati di origine va l ut a t i va e diritto alla correzione, all’aggiornamento o all’ i n t e g r a z i o n e .

Accade ancora, tuttavia, che il soggetto coinvolto in un sinistro, o comunque interessato ad un risarcimento di danni fisici, adisce l’ Autorità per poter accedere ai dati personali che lo r i g u a rdano contenuti nella perizia medico-legale redatta dal medico fiduciario della società di assicurazione cui è stata richiesta la liquidazione del danno. Se nel corso del precedente anno le modalità di presentazione e il contenuto delle richieste avanzate al titolare del trattamento e del ricorso successivamente presentato all’ Autorità potevano risentire di una conoscenza ancora s u p e rficiale dei contenuti della legge, tali problematiche sono nettamente diminuite nel corso del 2002.

La visita eseguita dal medico delle società ha, fra i propri scopi, anche quello di ve r i f i c a re l’ e ff e t t i vo nesso di causalità fra il sinistro e le conseguenze riportate, specie a fini risarcitori. Ne l documento è a volte indicata anche la “s t r a t e g i a” che la società dov rebbe seguire per contrastare un eventuale intento fraudolento dell’ i n t e ressato, evidenziandosi anche eventuali suggerimenti sulla condotta processuale da privilegiare, che quest’ultimo non ha il diritto di conoscere ai sensi della legge n. 675/1996, fatto salvo quanto previsto dalla legge 5 marzo 2001, n. 57 sull’ a c c e s s o agli atti a conclusione dei procedimenti di valutazione, constatazione e liquidazione dei danni.

Perizie medico-legali Sembra in ogni caso consolidato, al contempo, l’orientamento fondato sull’art. 14, comma 1, lett. e), della legge 675/1996 che consente ai titolari di trattamento di poter in casi particolari differire temporaneamente l’accesso ai dati contenuti nelle perizie, limitatamente al periodo in cui potrebbe derivare, negli stessi, un effettivo pregiudizio per lo svolgimento delle indagini difensive o per far valere o difendere un diritto in sede giudiziaria. L’Autorità si è nuovamente espressa sull’argomento chiarendo che è, tuttavia, necessario dimostrare in concreto e realmente l’effettiva esistenza del pregiudizio, con una valutazione da condurre caso per caso (Provv. 19 giugno 2002, in Bollettino n. 29; Provv. ti 16 ottobre 2002 e 11 dicembre 2002).

Nell’accogliere il ricorso di una persona che aveva segnalato di non aver ricevuto riscontro ad una richiesta di accesso ai propri dati personali, tra i quali vi erano anche dati sanitari contenuti in una perizia redatta dal medico di una società di assicurazioni, il Garante ha ribadito il principio in base al quale le informazioni sulle condizioni di salute contenute in una perizia medica devono essere comunicate, all’interessato che lo richieda, tramite un medico.

La società assicuratrice, chiamata dal Garante a fornire chiarimenti, aveva affermato di voler aderire alle richieste del ricorrente, mettendo a disposizione per la consultazione tutta la documentazione (composta dagli esiti di una visita medica e da un successivo certificato redatto da un medico supervisore), depositata presso il proprio centro liquidazione sinistri, situato in un’altra città.

Entrambe le modalità di adempimento sono state ritenute dal Garante non aderenti alla normativa vigente.

Secondo il principio generale previsto (in part i c o l a re, l’ a rt. 23, comma 2, della l. n. 675/1996), l’ i n t e ressato può accedere ai dati sanitari che lo riguardano solo per il tramite di un medico, designato dall’ i n t e ressato oppure dalla società che tratta i dati. Altre modalità, quali la semplice messa a disposizione di materiale non selezionato, peraltro presso gli uffici della società che ha raccolto ed utilizzato i dati, siti in altra città, non sono conformi alle norme.

Per i dati personali “comuni”, invece, resta ferma la procedura secondo cui il titolare del trattamento deve confermare l’esistenza dei dati richiesti e comunicarli all’interessato, senza ritardo, in forma intelligibile, estrapolandoli, se necessario dai documenti dove sono contenuti.

Solo nel caso in cui l’estrazione risulti particolarmente difficoltosa, la documentazione può essere esibita, o se ne può consegnare una copia (Provv. 19 febbraio 2002).

In un altro caso, è stata contestata una sanzione amministrativa ad una società di assicurazioni per aver violato le disposizioni in tema di comunicazioni di dati sullo stato di salute.

L’assicurazione è stata “multata” per aver consegnato direttamente ad un suo assistito, che ne aveva fatto richiesta, copia di una perizia medica senza rispettare la disposizione che prevede la comunicazione di dati sanitari solo tramite il medico di fiducia dell’interessato o designato da chi detiene ed usa i dati, cioè da quello che la legge chiama “il titolare del trattamento” (Provv. 15 novembre 2002).

Particolarmente delicata continua a rivelarsi l’opera del Garante volta a perseguire un giusto equilibrio tra il diritto/dovere dei mezzi di comunicazione di informare la collettività su fatti di rilevanza pubblica e il diritto alla riservatezza delle persone coinvolte.

Anche nel 2002 sono state numerose le segnalazioni relative a possibili violazioni delle norme dettate dalla legge 31 dicembre 1996, n. 675 e dal codice deontologico relativo al trattamento dei dati personali nell’esercizio dell’attività giornalistica (provvedimento del 29 luglio 1998, in G.U. n. 179 del 3 agosto 1998) con riferimento ai trattamenti svolti nell’esercizio della professione giornalistica o, più in generale, del diritto di libera manifestazione del pensiero.

Occorre, d’altra parte, evidenziare anche un’accresciuta attenzione su tali temi da parte degli operatori dell’informazione. Conferma di ciò è anche l’aumento dei casi in cui sono gli stessi organi di informazione e -in particolare- i singoli cronisti ad interpellare il Garante, ponendo quesiti o chiedendo chiarimenti in ordine al corretto utilizzo delle informazioni nel quadro delle vigenti norme in materia di protezione dei dati.

Nel fornire risposte alle segnalazioni dei cittadini e alle richieste di parere provenienti dai diversi interessati, il Garante ha così cercato di contribuire a specificare e integrare alcuni parametri -talvolta di incerti confini- posti dalla legge 31 dicembre 1996, n. 675 e dal predetto codice deontologico a garanzia del lecito e corretto trattamento dei dati.

Ci si riferisce in part i c o l a re al principio di essenzialità dell’informazione a cui il giornalista -e chiunque tratta dati per scopi affini- deve attenersi nel raccogliere e diffondere dati personali relativi ad episodi di cronaca di pubblico rilievo (artt. 12, lett. e ), 20, lett. d ) e 25, l. n. 675/1996; artt. 5 e 6 del codice). Ci si riferisce, inoltre, ai limiti particolari dettati con r i g u a rdo ai trattamenti concernenti soggetti “d e b o l i”, meritevoli di speciale pro t ezione (ad esempio i minori – cfr. art. 7 del codice) ov ve ro relativi a determinate categorie di dati (ad esempio, quelli idonei a rive l a re lo stato di salute -cfr. a rt. 10 del codice- o attinenti alla sfera sessuale -cfr. art. 11 del codice- o, ancora relativi a persone coinvolte in vicende giudiziariec f r. art. 12 del codice).

Attività giornalistiche e mezzi di informazione Attività giornalistica e rispetto dei principi della legge n. 675/1996 Limitare le intrusioni nella vita privata dei minori è certamente un’esigenza molto sentita dalla collettività. Costante è l’attenzione del Garante nei riguardi dei trattamenti dei dati relativi ai minori, sempre più spesso esposti a rischi legati alla diffusione non controllata delle informazioni che li riguardano nell’ambito dell’attività giornalistica.

Il codice deontologico prevede com’è noto speciali garanzie a tutela dei minori (art. 7) richiamando anche i principi contenuti nella Carta di Treviso. Tali garanzie si traducono in particolare nel divieto di diffondere dati idonei ad identificare anche indirettamente minori coinvolti in episodi di cronaca (e non solo in reati). Ciò in ragione del fatto che la diffusione delle informazioni che li riguardano può segnare profondamente il loro sviluppo e provocare danni ben più ingenti di quelli che possono essere prodotti in una persona matura.

Tale particolare disciplina è stata oggetto di richiamo con riguardo al trattamento di dati effettuati nel corso di due puntate della trasmissione “Al posto tuo” (curata dalla RAI) nella quale è stato intervistato un minore di 11 anni. In tale circostanza, oltre ad informazioni di carattere personale del bambino, sono emersi episodi della vita familiare e sono state divulgate delicate informazioni non note al minore.

Il Garante, ribadendo la ferma esigenza di evitare intrusioni nella vita privata dei minori ed inutili spettacolarizzazioni di vicende familiari, ha segnalato alla RAI di non mandare più in onda le due puntate e di evitare in futuro il ripetersi di tali episodi. Il trattamento effettuato nella citata trasmissione è stato ritenuto in contrasto con la disciplina sulla privacy, con il codice deontologico dei giornalisti e con lo stesso codice di autoregolamentazione su tv e minori, la cui nuova versione è stata proprio di recente sottoscritta (29 novembre 2002).

Nella sua decisione, l’Autorità ha ricordato che la normativa da ultimo citata prevede che la protezione della vita privata e della personalità del minore è da considerarsi primaria rispetto al diritto-dovere del giornalista di informare su fatti di interesse pubblico. Le interviste televisive -quali quelle cui è stato sottoposto il protagonista della trasmissione citata- possono porre il minore in una condizione che non gli consente di determinare appieno gli effetti dei propri comportamenti, sia in ragione dell’età, sia del particolare contesto dello studio televisivo. Il fatto, poi, che la partecipazione del minore a trasmissioni televisive come quella citata sia avvenuta con il consenso dei genitori non bastava a giustificare l’intervista del giornalista, il quale aveva comunque il dovere di valutarne i possibili effetti pregiudizievoli sullo sviluppo della personalità del minore.

Il Garante ha evidenziato come tali principi trovino conferma nella Carta di Treviso, la quale stabilisce che “il bambino non va intervistato o impegnato in trasmissioni televisive o radiofoniche che possano ledere la sua dignità, né turbato nella sua privacy o coinvolto in una Tutela dei minori pubblicità che possa ledere l’armonico sviluppo della sua personalità e ciò, a prescindere dall’eventuale consenso dei genitori” (Provv. 11 dicembre 2002).

La tutela accordata ai minori non viene necessariamente meno in caso di morte di questi ultimi. È quanto ha affermato, ancora, l’Autorità occupandosi della denunciata violazione delle norme in materia di tutela della riservatezza con riferimento alla pubblicazione, sulla copertina di una rivista, delle fotografie che ritraggono il viso dei bambini deceduti nel crollo della scuola di S. Giuliano, a seguito del sisma che il 31 ottobre 2002 ha colpito l’omonima località. Fotografie, queste, acquisite dal settimanale senza il consenso dei genitori, riproducendo immagini apposte, ancora precariamente, nei luoghi in cui i bambini erano stati tumulati.

Al riguardo il Garante ha precisato come la raccolta delle fotografie sia avvenuta in violazione dei principi di liceità e correttezza e di compatibilità degli scopi perseguiti (art. 9, legge n. 675/1996). La loro esposizione in un luogo, pure aperto al pubblico, era infatti finalizzata unicamente al ricordo, alla memoria e alla pietà dei defunti; tale circostanza non rendeva, perciò stessa, legittima la riproduzione in loco delle immagini dei bambini e l’ulteriore sfruttamento delle stesse per finalità di informazione al pubblico. Ciò, anche in considerazione del legittimo interesse al decoro e al riserbo personale delle famiglie interessate dalle dolorose perdite.

Alla luce di tali considerazioni, il Garante ha disposto che le fotografie venissero eliminate dagli archivi redazionali (Provv. 19 dicembre 2002).

Anche nell’odierno periodo di riferimento sono state esaminate numerose segnalazioni relative a presunte violazioni della normativa in materia di protezione dei dati nell’ambito delle “cronache giudiziarie”.

L’art. 25 della legge n. 675/1996 ed il menzionato codice deontologico prevedono la possibilità di trattare dati personali relativi ai procedimenti penali e ai provvedimenti giudiziari di cui all’art. 686, commi 1, lett. a) e d), 2 e 3, c.p.p., senza il consenso dell’interessato e senza una preventiva autorizzazione del Garante, subordinando, però, ciascun trattamento al rispetto dei diversi limiti previsti dallo stesso codice deontologico, tra i quali, in particolare, quello dell’essenzialità dell’informazione (cfr. art. 12 del codice).

Alla luce dei predetti principi, l’Autorità ha più volte ricordato agli organi di informazione come la giusta esigenza di informare l’opinione pubblica su vicende giudiziarie non debba entrare in conflitto con il rispetto della vita privata delle persone.

Tale assunto è stato ribadito di recente, nell’esaminare le segnalazioni relative ad una possibile violazione della privacy con riguardo alla pubblicazione, da parte di alcuni giornali, dei nomi delle persone coinvolte nell’inchiesta su un giro di prostituzione nella Capitale. In tale circostanza il Garante ha richiamato l’attenzione degli organi di informazione sulla necessità di non diffondere informazioni non indispensabili, specie se legate ad aspetti particolarmente riservati come la vita sessuale delle persone e attinenti, quindi, alla loro sfera più strettamente privata. Ciò anche allo scopo di evitare ingiustificate spettacolarizzazioni o eventuali strumentalizzazioni di scelte personali. Tali norme -come ha chiarito l’Autorità- devono trovare applicazione anche quando, come nel caso oggetto dell’inchiesta suindicata, si tratti di persone che rivestono posizioni di particolare rilevanza sociale o pubblica (artt. 5, 6 e 11 del codice deontologico).

Con riferimento all’episodio di cronaca segnalato il Garante ha precisato, altresì, che il rispetto della dignità personale e l’obbligo di trattare i dati in conformità al canone dell’essenzialità dell’informazione devono valere sia per i clienti, beneficiari dell’ipotizzato giro di prostituzione, sia per le ragazze alle quali gli stessi si sarebbero rivolti. Ciò, tanto più in considerazione del fatto che i dati e le fotografie diffusi potrebbero comunque riguardare anche persone totalmente estranee alla vicenda (Comunicato 10 ottobre 2002).

In generale, numerose sono state le segnalazioni riguardanti la diffusione, da parte degli organi di stampa, dei dati di persone sottoposte ad indagini, imputate o condannate nell’ambito di un procedimento penale.

Al riguardo, il Garante ha ribadito che la possibilità di diffondere tale tipo di informazione non è preclusa, anche in mancanza del consenso dell’interessato, purché avvenga nel rispetto Cronache giudiziarie dei limiti previsti per l’esercizio del diritto di cronaca, tra i quali quello dell’essenzialità dell’informazione riguardo a fatti di interesse pubblico (art. 25 l. n. 675/1996 e 12 del codice deontologico), oltre che in osservanza delle disposizioni che prevedono specifici limiti alla pubblicità degli atti del procedimento e eventualmente anche del loro contenuto.

L’Autorità ha altresì ricordato che le disposizioni in materia di tutela della riservatezza qui richiamate, d’altra parte, non possono essere utilmente invocate rispetto alla diffusione di informazioni puramente denigratorie o diffamatorie (profili su cui spesso si concentrano le segnalazioni degli interessati) per le quali, invece, il codice civile e il codice penale prevedono altre forme di tutela da esercitare nei confronti dell’Autorità giudiziaria.

Diverse sono state anche le segnalazioni con le quali è stata lamentata l’illecita acquisizione di dati personali da parte degli organi di informazione e il fenomeno delle cosiddette “fughe di notizie”. In relazione a tale profilo, va ricordato che assurgono a parametro di valutazione del trattamento, oltre ai principi della legge n. 675/1996, le norme a garanzia del segreto sugli atti d’ufficio e sull’attività di indagine o che prevedono un regime di tendenziale pubblicità degli atti processuali, delle udienze e dei provvedimenti del giudice.

Nell’esaminare alcuni casi di diffusione, da parte degli organi di stampa, dei dati relativi a persone vittime di furto a domicilio, l’Autorità ha constatato che, fermo restando l’interesse pubblico alla conoscenza di tali fenomeni delittuosi, l’identificazione delle relative vittime può porsi in vari casi in contrasto con il principio di essenzialità dell’informazione sopra richiamato, nonché con quello di pertinenza e non eccedenza dei dati diffusi rispetto alle finalità del trattamento (art. 9, comma 1, lett. d). Con riferimento a tale fattispecie, l’indicazione delle sole iniziali e l’omissione dell’indirizzo non sottraggono comunque valore all’efficacia informativa della notizia (Provv. 11 luglio 2002).

A circa quattro anni dalle direttive impartite in materia dal Ministero dell’interno, il Garante ha nuovamente esaminato la tematica in relazione ad alcuni casi recenti in cui sono state nuovamente diffuse immagini e fotografie di persone sottoposte a misure restrittive della libertà personale (presentate con ferri o manette ai polsi) o foto segnaletiche di persone interessate ad indagini, in violazione di specifici divieti di legge previsti anche a tutela della dignità degli interessati (codice di procedura penale, ordinamento penitenziario e legge sul diritto d’autore) e ribaditi dal codice deontologico per l’attività giornalistica.

Con un provvedimento del 19 marzo 2003 l’Autorità ha ribadito le regole che presiedono ad una corretta informazione in materia, nel rispetto dei diritti e della dignità degli interessati e tenendo conto delle finalità di accertamento, prevenzione e repressione dei reati.

È stato così ricordato il principio che non è consentito pubblicare su giornali o trasmettere in tv immagini di persone arrestate in manette. La diffusione delle foto segnaletiche è vietata, anche nell’ambito di conferenze stampa, a meno che ricorrano fini di giustizia e di polizia o motivi di interesse pubblico che ne rendano necessaria la diffusione (circostanze che sono state ritenute esistenti per le immagini relative ad appartenenti a formazioni terroristiche, diffuse a seguito del grave episodio accaduto il 2 marzo 2003 sul treno Roma-Firenze).

L’intervento dell’Autorità ha disposto il divieto dell’ulteriore diffusione delle immagini, pubblicate in sei casi, nonché la trasmissione di copia del provvedimento (oltre che alle testate giornalistiche e radiotelevisive interessate e all’Ordine dei giornalisti), ai vertici delle forze dell’ordine, al Dipartimento dell’amministrazione penitenziaria e all’autorità giudiziaria che procedeva in un caso, per le opportune valutazioni di competenza, anche di ordine disciplinare.

Foto segnaletiche o di persone arrestate Sulla base di una segnalazione, l’Autorità ha avviato accertamenti in relazione alla vicenda riguardante il servizio televisivo diffuso dalla trasmissione Striscia la notizia il 9 gennaio 2003.

Come si è potuto evincere dallo stesso servizio, i responsabili della trasmissione avrebbero utilizzato telecamere nascoste per smascherare una possibile truffa ai propri danni, messa in atto da presunti giornalisti. Questi ultimi, infatti, si spacciavano per operatori appartenenti alla redazione di Striscia la notizia al fine ottenere denaro dai sindaci di due comuni interessati a fare pubblicità su alcune vicende accadute nelle loro amministrazioni, in cambio della realizzazione di un servizio televisivo sull’argomento. Il filmato relativo agli incontri tra i diversi protagonisti della vicenda e la registrazione delle conversazioni tra i medesimi sono stati quindi oggetto della puntata televisiva sopra citata.

Gli accertamenti avviati presso l’emittente televisiva e i sindaci interessati avevano lo scopo di valutare il rispetto, da parte dei medesimi, dei principi di finalità, liceità e correttezza nella raccolta delle informazioni, anche alla luce del fatto che il materiale raccolto attraverso le telecamere sarebbe stato utilizzato dai predetti responsabili, in prima battuta, per realizzare uno scoop televisivo. Il procedimento di controllo avviato è pressoché ultimato.

I o S t a t o d i a t t u a z i o n e d e l l a l e g g e n . 6 7 5 / 1 9 9 6 9 4 Diffusione di informazioni raccolte mediante l’uso di telecamere nascoste Particolare attenzione continua ad essere rivolta dal Garante alle segnalazioni concernenti la diffusione, da parte degli organi di informazione, dei dati idonei a rivelare lo stato di salute.

Ciò, alla luce degli articoli 5 e 10 del citato codice deontologico, i quali prevedono specifiche garanzie affinché l’eventuale trattamento di tali delicatissime informazioni avvenga nel rispetto della dignità e del diritto alla riservatezza dell’interessato.

In un caso è stato ad esempio avviato un accertamento per verificare quanto segnalato dalla dipendente di un comune circa la diffusione -da parte dell’assessore al personale, nel corso di un’intervista televisiva- di alcuni dati idonei ad identificarla, nonché informazioni relative alle sue condizioni di salute, ivi compresa la circostanza che la stessa avesse subito un aborto.

In altra occasione è stata ritenuta illecita la condotta tenuta da taluni organi di informazione, attraverso la quale è stata resa identificabile una ragazza sospettata di aver contratto la variante umana della malattia di Creutzfeldt-Jakob (encefalopatia spongiforme bovina – BSE) in ragione della dovizia di particolari forniti da giornali e mass-media, contrariamente al principio di essenzialità dell’informazione.

L’indubbio interesse generale della vicenda (la presenza della malattia nel nostro Paese), non rendeva necessario né il riferimento alla specifica persona, né la pubblicazione di informazioni dettagliate relative ai congiunti dell’interessata e ad altre persone estranee ai fatti. Per tali ragioni l’Autorità ha ravvisato in tale condotta una grave violazione della dignità delle persona e degli altri principi dettati dal codice deontologico dei giornalisti (Provv. 7 febbraio 2002, in Bollettino n. 25, p. 8).

A proposito dell’essenzialità dell’informazione e del rispetto della dignità della persona, l’Autorità è intervenuta in relazione alla pubblicazione, su un quotidiano, della notizia di una condanna per ingiuria nei confronti di un uomo. In particolare, il giornale aveva riportato il nome della donna vittima dell’ingiuria e il contenuto della frase ingiuriosa (nella quale si faceva riferimento ad una grave malattia della quale sarebbe stata affetta la donna e ad un presunto contagio dell’uomo). Il contenuto della frase avrebbe dovuto al contrario indurre l’autore dell’articolo e il direttore responsabile del quotidiano ad operare un rigoroso vaglio dei limiti posti al diritto di cronaca, in ragione della necessità di salvaguardare la dignità della donna (Provv. 14 febbraio 2002, in Bollettino n. 25, p. 6).

Analoghe cautele sono state indicate dal Garante anche in relazione ad una vicenda che ha riguardato un docente universitario con riferimento ad alcuni incontri di carattere sessuale avuti con talune studentesse. Gli organi di informazione, anche in questo caso, hanno dato ampio risalto a tali accadimenti, giungendo a pubblicare, insieme ad altre informazioni, anche fotogrammi delle videoregistrazioni dei predetti incontri.

Dignità della persona e dati idonei a rivelare lo stato di salute Fermo restando il rilievo pubblico assunto dalla vicenda -connesso, peraltro, al fatto che sull’accaduto sono state avviate indagini da parte dell’autorità giudiziaria- l’Autorità ha segnalato agli organi di informazione che il rispetto della riservatezza e della dignità delle studentesse potenzialmente identificabili, e i profili controversi della vicenda, avrebbero dovuto indurre a non pubblicare le foto in questione. L’Autorità ha quindi evidenziato, anche in questo caso, la necessità che il trattamento dei dati personali a fini giornalistici avvenga nei limiti dell’essenzialità dell’informazione e, soprattutto, nel rigoroso rispetto della dignità e del decoro delle persone (Provv. 19 febbraio 2002, in Bollettino n. 25, p. 3).

Ingente è stato, nel periodo di riferimento, il numero di segnalazioni con cui è stata denunciata la difficoltà, per gli interessati, di accedere ai dati personali trattati dagli organi di informazione e di ottenere, ad esempio, copia della registrazione di un programma televisivo al quale gli interessati stessi avevano preso parte o nel quale, comunque, erano state trattate informazioni ad essi relative.

Nel rispondere a tali istanze il Garante ha riaffermato il principio in base al quale i diritti di cui all’art. 13 della legge n. 675/1996 possono essere fatti valere anche nei confronti degli editori e dei direttori responsabili delle testate giornalistiche, relativamente ai trattamenti di dati personali da loro effettuati (Provv.ti 25 settembre e 8 novembre 2002). Fatte salve le norme sul segreto professionale dei giornalisti per quanto concerne la fonte della notizia, l’interessato può rivolgersi a tali soggetti per ottenere conferma dell’esistenza del trattamento ed avere comunicazione in forma intelligibile dei dati trattati (anche mediante la trasmissione di un duplicato della registrazione che li contiene). Inoltre può chiederne la cancellazione, la trasformazione in forma anonima o il blocco, nel caso in cui i dati medesimi siano trattati in violazione di legge, ovvero non sia necessaria la conservazione in relazione agli scopi per i quali sono stati raccolti o successivamente trattati. Anche nell’ipotesi in cui i dati siano stati raccolti e utilizzati in conformità alla legge, l’interessato ha comunque diritto di opporsi, per motivi legittimi, al loro trattamento.

Esercizio dei diritti nei confronti degli organi di informazione Negli ultimi anni, gli organismi pubblici e privati in Europa hanno fatto sempre maggior ricorso a sistemi di acquisizione di immagini. Tale circostanza ha suscitato un acceso dibattito tanto a livello comunitario, quanto a quello dei singoli Stati membri, al fine di identificare presupposti e restrizioni applicabili all’installazione di attrezzature di videosorveglianza, nonché le necessarie garanzie per le persone interessate.

Dall’esperienza acquisita negli ultimi anni, anche a seguito del recepimento, a livello nazionale, della direttiva n. 95/46/CE, si constata un’enorme proliferazione di sistemi a circuito chiuso, videocamere e altri strumenti più sofisticati utilizzati nei settori più diversi.

Inoltre, lo sviluppo delle tecnologie disponibili, digitalizzazione e miniaturizzazione, aumentano notevolmente le possibilità offerte dai dispositivi di registrazione di immagini e suoni, anche in relazione con la loro utilizzazione in intranet e Internet.

Il Garante ha continuato ad occuparsi delle tematiche relative alla videosorveglianza, confermando l’ampia diffusione del fenomeno e una costante crescita di attenzione al problema da parte di molti cittadini.

Com’è stato più volte rilevato, la normativa italiana, seguendo l’indirizzo europeo in materia, considera come “dato personale” qualunque informazione che permetta l’identificazione, anche in via indiretta, di un individuo, compresi i suoni e le immagini.

L’Autorità ha proseguito nella fattiva collaborazione con amministrazioni pubbliche, specie locali, in particolare attraverso la tecnica dell’interpello preventivo con riferimento a programmate iniziative di controllo del territorio da realizzare attraverso l’impiego di dispositivi elettronici.

Da un’analisi effettuata, diverse sono le finalità che si intendono raggiungere in tale ambito con l’utilizzo dei predetti strumenti: a) prevenzione di reati, illeciti amministrativi e rilevazione di infrazioni del codice della strada; b) sicurezza pubblica (es. protezione civile); c) controllo degli accessi a zone a traffico limitato; d) monitoraggio del traffico; e) tutela del patrimonio artistico (es. atti di vandalismo); f ) tutela del patrimonio dell’ente (immobili, parco auto, ecc.); g) controllo degli accessi agli edifici pubblici; h) controllo di zone utilizzate come discariche abusive; i) controllo delle disposizioni in tema di smaltimento dei rifiuti (ad es. abbandono di sacchetti fuori degli appositi contenitori o in orari e giorni diversi da quelli prestabiliti).

Non tutte queste finalità risultano compatibili con i princìpi sanciti dalla legge n. 675. In ragione di ciò agli enti richiedenti è stata più volte segnalata la necessità del rispetto di quanto sintetizzato nel primo “decalogo” adottato dall’Autorità nel 2000 e sono state fornite, volta per volta, puntuali indicazioni.

Tali indicazioni, nel frattempo arricchite da varie specificazioni concernenti casi particolari o derivanti dal confronto a livello comunitario o internazionale, conservano validità ma hanno però natura “transitoria”, in attesa di quanto disporrà il previsto testo unico e il codice deontologico previsto dal d.lg. n. 467/2001.

Sorveglianza e sistemi biometrici Videosorveglianza Tra i casi più significativi relativi all’utilizzo di strumenti di rilevazione di immagini in ambito pubblico, è stata esaminata la segnalazione di una compagnia di trasporto comunale i cui addetti sarebbero stati dotati di “scanner” per l’acquisizione ottica dei documenti delle persone sprovviste di titolo di viaggio e di fotocamere digitali con le quali riprendere i medesimi soggetti privi anche di documento di identità. Al riguardo l’Autorità ha rilevato (20 novembre 2002) la non proporzionalità dello strumento utilizzato (ed anche la sua dubbia utilità con riguardo alle fotografie di persone sconosciute).

In un altro caso è stato avviato un accertamento in relazione alla notizia apparsa su un quotidiano locale circa l’avvenuta installazione da parte di un comune di alcuni sistemi video per il monitoraggio del flusso veicolare, le cui immagini erano accessibili a chiunque e in tempo reale attraverso il collegamento al sito web del comune stesso.

Sempre in tema di accertamenti e controlli volti alla verifica dell’osservanza, da parte di operatori pubblici e privati, delle disposizioni in materia di trattamento di dati personali nell’effettuazione di trattamenti a mezzo di impianti di videosorveglianza, vanno segnalate anche in questa sede le sanzioni amministrative, per un importo complessivo di ¤ 18.564,00, applicate al Consiglio nazionale delle ricerche ed al Comune di Bari. In particolare, come già accennato, l’ente di ricerca aveva istallato presso la propria sede una telecamera a circuito chiuso, con ampio angolo visuale, senza aver fornito alcuna informativa alle persone riprese.

Relativamente al Comune di Bari, su segnalazione di un abitante erano state invece richieste informazioni in merito all’istallazione di telecamere nelle auto della polizia municipale finalizzate al controllo delle infrazioni; a tale richiesta di informazioni, però, il comune non ha fornito riscontro entro i termini previsti, costringendo l’Autorità ad applicare la prevista sanzione amministrativa (Provv. 5 novembre 2002).

L’Autorità ha anche contestato ad un supermercato in Roma la mancanza di un’idonea informativa alla clientela, prescritta dall’articolo 10 della legge 675/1996, circa la presenza di un sistema di videosorveglianza, istallato per motivi di sicurezza, attivo nell’arco delle ventiquattro ore. L’Autorità, avendo accertato che la capacità delle telecamere consentiva la piena riconoscibilità delle persone inquadrate e che nel fabbricato non erano presenti cartelli e avvisi circa la loro presenza e dei diritti attribuiti dalla legge ai soggetti ripresi, ha sanzionato l’ipermercato, per il solo aspetto relativo all’informativa, con una somma di ¤ 3.098,74. (Provv. 2 aprile 2002).

Va anche ricordato che il Garante ha fornito chiarimenti in relazione alla notizia diffusa dai media secondo cui alcune telecamere erano state istallate in un istituto di credito in maniera tale da riprendere esclusivamente i piedi dei rapinatori a causa della normativa sulla privacy. In proposito, è stato precisato che nessuna norma della legge n. 675 vieta di installare telecamere che non siano in grado di individuare il volto di una persona presente nella filiale di una banca.

La normativa vigente non ostacola l’installazione di telecamere a fini di sicurezza, come dimostra anche il cospicuo numero di sistemi di videosorveglianza in uso presso banche, esercizi commerciali, enti pubblici, aziende, semplici privati e come emerge dalle diverse pronunce con le quali l’Autorità ha indicato i criteri per contemperare il diritto alla riservatezza delle persone con le esigenze di sicurezza della collettività (Comunicato 27 dicembre 2002).

In un altro caso, concernente l’installazione di un sistema di video controllo all’interno dei mezzi di trasporto urbano di una società di autoservizi al fine di verificare e prevenire atti di vandalismo e furti di carburante, è stata sottolineata la necessità di rispettare il principio di proporzionalità fra i mezzi impiegati e i fini perseguiti. È stato escluso, peraltro, che l’installazione di detti impianti potesse essere direttamente rivolta a scopi più generali (di competenza di autorità o organismi pubblici), come quelli di assicurare una maggiore sicurezza ai passeggeri o contenere il fenomeno della criminalità.

Sulla base, poi, della segnalazione di un cittadino che denunciava la presenza di un impianto di videoregistrazione nei locali di un cinema, sono state avviate nei confronti del titolare le procedure per l’applicazione della sanzione amministrativa relativamente all’assenza di informativa agli interessati: in particolare, anche se nel caso concreto l’esercente aveva informato oralmente l’interessato della presenza di telecamere, mancava tuttavia un’informativa rivolta alla generalità degli avventori del locale. È parso inoltre necessario richiamare l’attenzione dell’esercente sulla necessità, ai fini del rispetto della legge n. 675/1996, di prestare puntuale osservanza sotto diversi profili alle indicazioni già fornite dal Garante con il citato “decalogo” del 2000.

Infine, una banca ha posto alcuni quesiti re l a t i vamente alla gestione degli impianti di videos o rveglianza all’interno e all’esterno dei propri locali. La banca ha evidenziato l’asserita esigenza da un lato di conserva re le registrazioni per un periodo piuttosto lungo (40/50 giorni), e di perm e t t e re agli incaricati del trattamento (nonché ai direttori delle filiali) di accedervi al fine di ve r i f i c a re eventuali movimenti b a n c o m a t anomali lamentati dai clienti, dall’ a l t ro di ampliare l’angolo visuale delle riprese per inquadrare anche la zona re l a t i va alla postazione di lavo ro antistante alla cassa, con possibilità, quindi, di ripre n d e re gli impiegati bancari addetti allo sportello, in relazione alla verifica di eventuali anomalie nella fase di chiusura di cassa.

Al riguardo, il Garante ha ritenuto che tali modalità di trattamento e tempi di conservazione dei dati fossero sproporzionati in relazione alla finalità perseguita. L’installazione di telecamere che riprendevano la zona adiacente agli sportelli bancomat, e la conservazione delle relative immagini per un ristretto periodo di tempo (alcuni giorni o, al massimo, una settimana) potevano essere giustificate in base allo scopo di prevenire e perseguire eventuali illeciti (ad esempio, rapine o furti di denaro). Come emerge anche dal citato decalogo, l’ulteriore conservazione delle immagini e la loro successiva consultazione da parte di incaricati del trattamento nominati dalla banca, sarebbero risultati ammissibili solo in relazione ad illeciti che verificatisi o ad indagini dell’autorità giudiziaria o di polizia, ma non anche automaticamente, in relazione alle sole esigenze di accertamento di eventuali segnalazioni di clienti di movimenti bancomat anomali, prodromiche all’eventuale attivazione di azioni legali o giudiziarie.

Circa la possibilità di ampliare l’angolo visuale delle riprese all’interno dei locali della banca, l’Autorità ha confermato che l’art. 4 della legge n. 300/1970, fatto espressamente salvo dalla legge n. 675/1996, consente l’installazione di impianti e apparecchiature di controllo a distanza richieste da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, previo accordo con le rappresentanze sindacali aziendali. In ogni caso, l’allargamento dell’angolo visuale delle riprese delle immagini avrebbe dovuto essere limitato e rendere del tutto occasionale la registrazione di immagini dell’addetto allo sportello. Si è poi indicato che ulteriori aspetti (ad esempio, relativi all’informativa ai dipendenti interessati, alle modalità di accesso ai dati, agli incaricati del loro trattamento e ai tempi di conservazione) potevano essere in parte disciplinati direttamente nell’accordo con le organizzazioni sindacali.

Numerose sono state infine le istanze presentate da singoli cittadini circa l’utilizzazione di detti sistemi a fini esclusivamente personali (ad esempio, installazione a fini di sicurezza di videocamere nei condomini o in spazi antistanti le porte delle proprie abitazioni private). In linea con quanto già indicato con il citato decalogo in materia di videosorveglianza, è stato più volte precisato che tali trattamenti possono essere considerati in alcuni casi come effettuati a fini esclusivamente personali, e quindi sottratti all’ambito di integrale applicazione della legge n. 675/1996 (ad eccezione delle disposizioni in materia di sicurezza dei dati). Si è ricordato comunque che è necessario che le riprese siano strettamente limitate allo spazio antistante tali accessi, senza forme di videosorveglianza su aree circostanti e senza limitazioni delle libertà altrui, che possono comportare anche un’eventuale responsabilità penale per il reato di interferenze illecite nella vita privata altrui. Occorre inoltre che le informazioni raccolte non siano in alcun modo comunicate o diffuse. Altrimenti si rientra nell’ambito di applicazione generale della legge 675/1996 e devono, quindi, essere rispettate tutte le indicazioni analiticamente stabilite nel citato decalogo.

L’ Autorità ha seguito con attenzione i lavori parlamentari della legge 30 luglio 2002, n. 189, di riforma della normativa in materia di immigrazione ed asilo, che contiene disposizioni in base alle quali ogni straniero che richieda il permesso di soggiorno o lo rinnovi è sottoposto a rilievi fotodattiloscopici (artt. 5 e 7).

Sull’argomento della raccolta delle impronte digitali il Garante ha inoltrato in data 27 giugno 2002 ai Presidenti delle Camere e agli organismi parlamentari più direttamente interessati una nota con la quale, nel richiamare il quadro di garanzie previsto a livello internazionale, ha segnalato la necessità del rispetto, in tale delicata materia, dei principi in materia di protezione dei dati personali, specie per quanto attiene alla raccolta, alla conservazione e alla successiva utilizzazione di tali dati. In materia di immigrazione e di asilo ha poi curato collegialmente, per i profili di sua competenza, un primo esame delle previsioni sulla raccolta delle impronte digitali.

Queste ultime, al pari di altri dati biometrici, comportano infatti un “trattamento” di dati personali soggetto alle disposizioni comunitarie e nazionali in materia e, in specie, alla legge 31 dicembre 1996, n. 675.

Come ogni altro trattamento di dati, quello concernente le impronte digitali presuppone anch’esso un rapporto di proporzionalità rispetto alle finalità perseguite, finalità che nelle norme in fase di approvazione sembravano essere quelle di identificazione degli interessati.

La valutazione da effettuare al riguardo richiedeva a sua volta una previa considerazione di vari aspetti che, allo stato, non emergevano dalle disposizioni in fase di approvazione, nelle quali non comparivano indicazioni su diversi aspetti applicativi.

Ci si riferisce, in particolare, alle modalità di utilizzazione e di conservazione dei dati, alla specificazione delle finalità, alla durata del trattamento anche in relazione ad eventi di vario tipo che possono riguardare gli interessati, alle persone che soggiornano nel Paese solo per brevi periodi, ai soggetti aventi eventuali accesso alle informazioni raccolte, alle regole di sicurezza per assicurare l’integrità delle informazioni e per prevenire ipotetici accessi o usi abusivi.

Questi profili richiedono un attento esame in quanto, a differenza di altri dati biometrici quale ad esempio l’iride, le impronte digitali costituiscono anche (oltre che uno strumento per l’identificazione), una traccia del passaggio di un soggetto in determinati luoghi. Ciò richiede particolari cautele per garantirne la genuinità, l’inalterabilità e le gravi conseguenze per gli interessati in caso di eventuale “furto d’identità”. Rilevazioni biometriche Nella Relazione 2001 il presidente del Garante sottolineava che “se questo tipo di furto si con – creta, come nella maggior parte dei casi, nell’utilizzazione abusiva di una carta di credito o di uno dei tanti codici d’identificazione personale, le conseguenze possono essere assai sgradevoli, le dimen – sioni del fenomeno possono avere contraccolpi negativi sulla diffusione del commercio elettronico, ma esiste tuttavia rimedio, che consiste nel cambiare il numero della carta di credito o il codice d’i – dentificazione. Non è così, invece, quando ci si appropria di un dato identificativo personale per – manente e non modificabile, qual è ad esempio l’impronta digitale. In questo caso, il “furto” pro – durrebbe effetti pesantemente negativi per l’interessato, che verrebbe escluso da tutti i circuiti che condizionano l’accesso a quel particolare sistema di identificazione. Vi sono dunque ragioni assai concrete che impongono di valutare con estremo rigore la legittimità dell’utilizzazione dei dati bio – metrici e, in ogni caso, di prevedere per le loro raccolte severe misure di sicurezza”.

Non a caso in vari Paesi la raccolta generalizzata delle impronte non è ammessa, oppure è prevista in termini selettivi o è basata su specifiche garanzie che prevengono, ad esempio, la costituzione di banche dati centralizzate (peraltro di difficile gestione, anche per l’inadeguatezza di software in grado di gestire sistemi di riconoscimento di milioni di impronte) e si basano soltanto sul raffronto immediato tra un’impronta rilevata all’atto di un controllo e quella riprodotta su un supporto identificativo della persona.

Andrebbe quindi prevenuto il rischio che le nuove disposizioni in materia, riferite ai richiedenti il permesso di soggiorno o a tutti i cittadini, non rechino esplicite garanzie analoghe a quelle che il citato regolamento comunitario prevede pure per i richiedenti asilo e in relazione alle persone che effettuano un ingresso irregolare alle frontiere.

Su c c e s s i vamente – come riportato più ampiamente in altra parte della relazione (par. 2, lett. g ) – nel corso dei lavori di conversione del decreto-legge 9 settembre 2002, n. 195, con il quale il Governo ha ampliato gli interventi di legalizzazione del lavo ro irre g o l a re di cui alla p redetta legge n. 189/2002, l’ Autorità ha segnalato al Governo l’ o p p o rtunità di interve n t i emendativi a due disposizioni di part i c o l a re interesse sempre in materia di rilevazione di i m p ronte digitali. I chiarimenti forniti dall’ufficio del Garante hanno consentito di ricond u r re in parte le due previsioni nel quadro dei principi previsti dalla legge n. 675 del 1996.

L’ Autorità, nell’ambito delle più ampie indicazioni fornite, ha comunque confermato la disponibilità a cooperare per l’individuazione delle modalità tecniche per la raccolta e la gestione delle impronte digitali, in attuazione delle due disposizioni normative approva t e .

La protezione dei dati personali acquisiti e utilizzati dai soggetti operanti a vario titolo nel settore del direct marketing (in attività di invio di materiale pubblicitario, ricerche di mercato, comunicazione commerciale interattiva e vendita diretta) ha rappresentato, anche nel 2002 e nei primi mesi del 2003, una tematica di notevole rilievo per il Garante.

Nel più ampio contesto dell’attività di autoregolamentazione promossa dall’Autorità dovrà essere profuso il massimo impegno nello svolgimento dei lavori finalizzati all’adozione del codice di condotta previsto per questo settore.

Diversi principi di tutela dei dati personali in tale ambito, già approfonditi nel corso degli anni precedenti, sono stati ripresi nel periodo di riferimento per fronteggiare il cospicuo numero di istanze e quesiti pervenuti all’Autorità, i quali dimostrano la particolare sensibilità degli utenti e dei consumatori italiani rispetto alle intrusioni nella vita privata derivanti dall’adozione di nuovi strumenti e strategie per commercializzare prodotti o servizi, nonché di tecniche e metodologie di comunicazione più aggressive.

Numerose segnalazioni hanno riguardato ad esempio il problema della raccolta e del trattamento dei dati personali nell’ambito della distribuzione nei supermercati di carte per promuovere operazioni a premi nell’ambito dei propri programmi di fidelizzazione della clientela.

Al riguardo, il Garante ha svolto presso le società accertamenti tesi a ricostruire le modalità dei trattamenti effettuati, in modo da verificarne la conformità alla legge n. 675/1996. In particolare sono state acquisite notizie sulla tipologia e sull’essenzialità dei dati richiesti per l’iscrizione ai programmi e raccolti successivamente in relazione allo stesso servizio o ad altri attivati dagli utenti, nonché sull’ambito soggettivo di divulgazione dei dati stessi.

L’ Autorità ha poi svolto alcune verifiche preliminari circa la raccolta presso le stazioni ferroviarie italiane di dati di alcuni passeggeri in partenza, effettuata da una società incaricata di una ricerca di mercato per conto della società ferroviaria.

Dalle verifiche è emerso che i dati identificativi dei passeggeri dei treni erano stati acquisiti ai fini dell’esecuzione e della verifica delle interviste telefoniche necessarie per l’elaborazione della ricerca di mercato commissionata, e venivano cancellati dopo una settimana dalla loro raccolta, con conseguente utilizzazione delle restanti informazioni acquisite e loro comunicazione alla società ferroviaria in forma anonima ed aggregata. Marketing Marketing e diritti dell’interessato Il Garante si è pertanto limitato a richiamare l’attenzione delle società coinvolte nell’iniziativa sulla necessità, ai fini del rispetto della legge n. 675/1996, di riformulare i modelli di informativa agli interessati e di richiesta del loro consenso, se ancora utilizzati in futuro, in modo da far chiarezza sulla circostanza che il personale incaricato della raccolta dei dati presso i passeggeri non fa parte di quello ferroviario, ma pertiene unicamente alla società incaricata della ricerca, fornendo così agli interessati un’univoca prospettazione della possibilità di una parziale compilazione del modulo, con l’indicazione delle informazioni (es. recapito telefonico e firma) che è necessario rilasciare affinché il modulo stesso venga preso in considerazione per la successiva intervista telefonica (ed, infine, da precisare che i dati identificativi dei passeggeri intervistati venivano eliminati dopo una settimana dalla loro acquisizione).

A fronte dell’attenzione dimostrata da utenti e consumatori per l’uso dei dati personali nell’ambito di operazioni commerciali e pubblicitarie, e dei diversi interventi che, al riguardo, questa Autorità ha effettuato in questi anni, occorre re g i s t r a re un incremento dei casi di richieste p re ve n t i ve di pare re e informazioni da parte delle società e degli operatori di d i rect mark e t i n g.

All’interno di questa casistica, il Garante si è espresso in merito ad una richiesta di parere relativa alla possibilità, da parte di alcune società appartenenti allo stesso gruppo societario, di scambiarsi alcuni dati non sensibili dei rispettivi clienti, al fine di promuovere e sviluppare nuove iniziative di carattere commerciale. In tale occasione, l’Autorità ha constatato la necessità di verificare l’esistenza del preventivo consenso dei clienti alla circolazione e al trattamento dei dati, all’interno del gruppo, per finalità di marketing. Al riguardo, è stata inoltre evidenziata la necessità per il futuro di evitare, nella richiesta del consenso, il ricorso a complicati rinvii a precedenti lettere o paragrafi del modulo di informativa. Sulla base di tali presupposti, il Garante ha accolto favorevolmente la soluzione prevista di limitare, comunque, i flussi dei dati nell’ambito del gruppo attraverso l’individuazione di alcune strutture “responsabili” del loro trattamento.

In un altro caso, l’Ufficio del Garante si è pronunciato favorevolmente in merito ad una richiesta di parere sulla possibilità per una società italiana di avvalersi della collaborazione di altre imprese, aventi sede in Paesi dell’Ue, per consulenze relative al sistema informativo di marketing del gruppo d’appartenenza. Ancora una volta, il Garante ha ricordato la necessità della corretta attuazione della normativa della legge 675/1996, con particolare riferimento all’eventuale designazione di società di consulenza europee come “responsabili del trattamento”, nonché all’esigenza del rispetto delle disposizioni sulla protezione dei dati personali in vigore nei loro rispettivi Paesi, ai sensi della direttiva comunitaria vigente in materia.

Il settore della comunicazione telematica è caratterizzato da uno sviluppo continuo, che favorisce la nascita di nuovi servizi e tecnologie, con il conseguente incremento del numero degli utenti dei servizi di comunicazione accessibili al pubblico, sia con riferimento al settore della telefonia, sia con riguardo al mondo della rete Internet.

Di questo inarrestabile sviluppo, che determina una crescita esponenziale del numero di dati personali trasmessi e scambiati, tiene conto anche la recente direttiva 2002/58/CE del Parlamento europeo e del Consiglio, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (G.U.C.E., n. L 201 del 31 luglio 2002), che ha modificato la direttiva 97/66/CE.

Innumerevoli segnalazioni e richieste di parere sono pervenute all’Autorità, sia da parte di singoli interessati, che chiedono tutela in relazione all’uso fatto dai fornitori di servizi di telecomunicazione dei propri dati personali, sia in via preventiva da parte degli operatori del settore.

Questi ultimi sempre più spesso chiedono chiarimenti in merito alla corretta applicazione della normativa sulla protezione dei dati personali prima di procedere al trattamento dei dati medesimi, ad esempio in occasione dell’offerta di nuovi servizi ai loro clienti.

Ciò a testimonianza, da un lato, della maggiore importanza attribuita dagli utenti alle problematiche legate all’utilizzo dei dati personali nell’ambito delle reti telematiche e, dall’altro, dell’accresciuta consapevolezza degli stessi fornitori di servizi riguardo alla centralità di tali problematiche.

L’adozione di adeguate misure a tutela della vita privata è considerata sempre più frequentemente non soltanto come un obbligo di legge, ma anche e soprattutto, come uno strumento per istaurare un durevole rapporto di fiducia con i propri clienti ed utenti.

Tali preventive richieste degli operatori, peraltro, consentono all’Autorità di intervenire prima che possano verificarsi eventuali lesioni, nonché di incidere sul trattamento di dati riguardanti un numero maggiore di interessati, in quanto le relative decisioni riguardano anche i soggetti che non si sono ancora rivolti al Garante.

Sempre più frequenti sono stati, pertanto, gli incontri con numerosi operatori, anche in vista della prossima adozione del codice deontologico sui trattamenti di dati personali effettuati dai fornitori di servizi di comunicazione e informazione, previsto dal d.lg. 467/2001. A tal fine, l’Autorità ha dato avvio all’istruttoria relativa all’individuazione dei principali elementi da inserire nel suddetto codice.

Tra i problemi affrontati si evidenzia anche quello relativo alla “carrier preselection”, ossia il sistema mediante il quale l’abbonato può instradare il proprio traffico telefonico verso un operatore preselezionato.

Telefonia e reti di comunicazione Profili generali In base a quanto previsto dalla direttiva 2002/58/CE, infatti, “i dati relativi al traffico pos – sono tra l’altro consistere in dati che si riferiscono all’instradamento, alla durata, al tempo o al volume di una comunicazione, al protocollo usato, all’ubicazione dell’apparecchio terminale di chi invia o riceve, alla rete sulla quale la comunicazione si origina o termina, all’inizio, alla fine o alla durata di un collegamento”.

Fatturazione dettagliata Anche nel corso dell’anno 2002 questa Autorità si è trovata più volte a dover affrontare le problematiche sottese alla tutela della riservatezza -in particolare degli utenti, diversi dall’abbonato, che effettuano chiamate dal terminale di quest’ultimo- nell’ambito delle fatturazioni inviate agli abbonati.

Tali profili sono già stati analizzati nelle precedenti relazioni annuali successive all’emanazione del d.lg. 13 maggio 1998, n. 171 alle quali pertanto si rinvia soprattutto con riferimento all’oscuramento delle ultime tre cifre dei numeri telefonici chiamati.

Il persistere di alcuni nodi problematici nell’applicazione della disciplina, evidenziati anche dal gran numero di segnalazioni e reclami pervenuti all’Autorità, nonché le novità normative sopravvenute, hanno reso necessario un nuovo intervento del Garante sull’argomento.

In particolare, dalla maggior parte degli abbonati è stato segnalato che l’oscuramento delle ultime tre cifre nelle fatture non consente loro di controllare l’esattezza degli addebiti, soprattutto all’interno del medesimo distretto telefonico, nel quale i numeri degli abbonati differiscono solo per le ultime cifre.

Per tali motivi, è in corso di adozione un prov vedimento di carattere generale che tiene conto, in part i c o l a re, della possibilità che le chiamate effettuate da qualsiasi terminale ve ngano pagate con modalità alternative alla fatturazione, anche in grado di mantenere l’ a n o n imato del chiamante, ad esempio, attraverso l’uso di carte prepagate (cfr. art. 5, comma 1, d.lg. n. 171/1998).

Con riferimento a tali profili, va rilevato che la maggior parte dei fornitori di servizi telefonici ha fatto perve n i re a questa Autorità, entro la prevista scadenza del 30 giugno 2002 ( c f r. art. 5, comma 1-b i s, del citato decreto, introdotto dal d.lg. n. 467/2001), la documentazione -di cui è stato completato il vaglio- re l a t i va all’ e f f e t t i va predisposizione delle suindicate modalità alternative .

Al riguardo, il Garante ha ribadito l’importanza -per la tutela della sfera privata degli utenti chiamanti, diversi dall’abbonato- dell’effettiva operatività di tali servizi, in quanto gli stessi consentono all’utente di addebitare sulle schede di pagamento o prepagate il costo delle chiamate effettuate, in modo tale che le stesse non compaiano nella fatturazione inviata agli abbonati.

Inoltre, fermi restando gli specifici obblighi a garanzia degli interessati, già segnalati ai fornitori dei servizi telefonici nel provvedimento del 5 ottobre 1998 (in Bollettino n. 6, p. 101), Accesso ai dati di traffico telefonico e altre questioni il Garante ha sottolineato nuovamente la piena applicabilità dell’ a rt. 13 della legge n. 675/1996 alle informazioni incluse nella fatturazione, trattandosi, come già chiarito, di dati personali (art .1, comma 1, lett. c ) legge citata).

Questa Autorità si è pronunciata in tal senso anche in occasione di un nuovo ricorso relativo ad una richiesta di accesso ai propri dati personali concernenti il traffico in uscita, rivolta da un interessato ad un noto operatore telefonico (Decisione del 30 settembre 2002).

Chiamate in entrata e chiamate di disturbo In relazione alle chiamate in entrata l’ Autorità è in procinto di adottare un prov ve d i m e n t o generale che tiene conto di diverse previsioni normative che richiedono una lettura congiunta.

Da un lato, infatti, occorre considerare la previsione dell’ a rt. 14, comma 1, lett. e – b i s ), l. n. 675/1996 (anch’essa introdotta dal richiamato d.lg. n. 467/2001), che limita l’ a c c e s s o ai dati identificativi delle chiamate in entrata ai soli casi in cui dal mancato accesso può deriva re un pregiudizio allo svolgimento delle investigazioni difensive di cui alla legge n.

3 9 7 / 2 0 0 0 . Dall’altro lato, non si può prescindere dalla possibilità riconosciuta all’abbonato di ottenere dall’operatore, con la procedura prevista dall’art. 7, comma 1, d.lg. n. 171/1998, la selezione dei dati relativi alle chiamate ricevute, qualora le stesse siano di disturbo.

Il Garante è infine impegnato nell’esame delle questioni attinenti alla tematica relativa all’identificazione della linea chiamante, di cui all’art. 6, d.lg. n. 171/1998, anche in relazione al servizio in tal senso offerto da alcuni fornitori telefonici. Al fine della predisposizione di un provvedimento in materia, sono in fase di completamento, tra l’altro, consultazioni con i principali fornitori telefonici, volte ad approfondire lo stato di attuazione della normativa in argomento.

Elenco telefonico generale L’Autorità ha continuato ad esaminare le problematiche connesse all’inserimento dei dati personali nell’ambito degli elenchi telefonici. Tali attività hanno condotto all’adozione della delibera del 23 maggio 2002, nella quale sono stati chiariti tutti gli aspetti più rilevanti in relazione alla prossima realizzazione dell’elenco telefonico generale, che conterrà i dati degli abbonati ai servizi degli operatori di telefonia fissa e mobile.

La formazione di tale elenco era stata già prevista dal d.P.R. 11 gennaio 2001, n. 77, sulla cui predisposizione, realizzata senza la necessaria, preventiva consultazione del Garante, ci si è soffermati nella relazione dello scorso anno (v. Relazione 2001, p. 85). Tale decreto, all’art. 20, subordina in ogni caso, la disciplina relativa ai servizi elenchi abbonati alla normativa generale sulla riservatezza ed a quella dettata con specifico riguardo ai trattamenti realizzati nell’ambito delle telecomunicazioni (in particolare, al d.lg. 3 maggio 1998, n. 171).

Nella citata deliberazione del 23 maggio 2002 il Garante ha individuato le modalità e le forme con cui devono essere realizzati i trattamenti connessi alla predisposizione dell’ e l e n c o telefonico generale. Ciò, con part i c o l a re riguardo alla possibilità, per gli abbonati, di limit a re i dati inseriti negli elenchi a quelli necessari per la loro identificazione, nonché alla possibilità, per gli stessi, di chiedere gratuitamente di non essere inclusi negli elenchi, di otten e re che il proprio indirizzo sia in parte omesso e, qualora ciò sia fattibile dal punto di vista linguistico, di non essere contraddistinto da riferimenti che rivelino il sesso (cfr. art. 9 del d.lg. n. 171/1998).

Queste garanzie sono state rafforzate dalla richiamata direttiva 2002/58/CE, in particolare per ciò che concerne gli obblighi di informativa dei fornitori di servizi nei confronti degli abbonati, nonché la possibilità per gli stessi abbonati di decidere se i loro dati personali -e, in caso positivo, quali- debbano essere “riportati in un elenco pubblico, sempreché tali dati siano pertinenti per gli scopi dell’elenco dichiarati dal suo fornitore”. È inoltre previsto che agli abbonati debba essere garantita la possibilità di “verificare, rettificare o ritirare tali dati” (cfr. art. 12 della direttiva 2002/58/CE).

L’esame di tali problematiche è avvenuto nel quadro di una proficua collaborazione tra il Garante e l’Autorità per le garanzie nelle comunicazioni, le quali, nell’ambito delle rispettive competenze, hanno individuato -anche in un comunicato congiunto del 13 giugno 2002- le garanzie da adottare per inserire le informazioni personali nel suddetto elenco generale che interessa milioni di cittadini italiani.

D’intesa tra le due Autorità, è stato in particolare stabilito che gli abbonati hanno il diritto di essere preventivamente informati sull’utilizzo e le finalità degli elenchi, di scegliere se essere inseriti o meno nell’elenco e quali dati devono essere presenti nello stesso. Ai medesimi abbonati è stato altresì riconosciuto il diritto di esprimere un consenso specifico e differenziato per l’eventuale utilizzo dei dati inseriti nell’elenco per scopi pubblicitari. Consenso, questo, che sarà evidenziato nell’elenco attraverso l’apposizione di uno specifico simbolo.

A tal riguardo, si fa presente che sono all’esame del Garante le prime bozze di moduli redatti dai fornitori di servizi telefonici volte a fornire agli abbonati l’informativa di cui sopra.

L’Autorità, nel valutare i moduli predisposti, ha sottolineato la necessità di evitare il rischio che gli abbonati siano indotti a sottoscrivere, in modo inconsapevole, le formule di consenso presenti negli stessi, specie se tale consenso è richiesto per scopi pubblicitari (comunicato 25 gennaio 2003).

Se m p re nell’ambito delle pro c e d u re per la realizzazione del suddetto elenco telefonico generale, il Garante, in cooperazione con l’ Autorità per le garanzie nelle comunicazioni, ha p reso parte a una serie di incontri e riunioni con i fornitori di servizi di telefonia fissa e mobile, volti alla definizione degli accord i – q u a d ro previsti dalle decisioni adottate in materia ( c f r. il citato prov vedimento del Garante del 23 maggio 2002 nonché le delibere d e l l’ AGCOM nn. 36/02/CONS, 180/02/CONS).

Il tema degli elenchi è in conclusione seguito con particolare attenzione dall’Autorità, anche in ragione dei delicati effetti che si determinano nei confronti di milioni di persone interessate.

In merito all’attivazione di contratti e servizi di telefonia mobile e fissa, senza il preventivo consenso degli interessati, il Garante ha continuato a ricevere numerose segnalazioni ed ha avviato un’indagine conoscitiva (Provv. 10 gennaio 2002, in Bollettino n. 24, p. 3) presso i fornitori di servizi di telecomunicazione, nonché presso taluni esercizi commerciali abilitati all’attivazione dei contratti telefonici (v. anche Relazione 2001, p. 84).

Sulla base delle informazioni acquisite, il Garante ha concluso l’esame e sta per emanare un provvedimento generale diretto, oltre che a risolvere i singoli casi segnalati, anche a formulare indicazioni generali sulla materia.

L’ Autorità, nel ribadire la necessità che l’attivazione di qualunque contratto o servizio telefonico sia preceduta da un’idonea informativa all’abbonato sul trattamento dei dati personali che verrà effettuato (ex art. 10, legge n. 675/1996), ha ricordato anche che, per la realizzazione di alcuni trattamenti, è necessario richiedere il consenso agli interessati, specificamente ed in forma differenziata, specie in relazione all’attivazione di servizi aggiuntivi rispetto a quello principale oggetto del contratto.

Servizi non richiesti e consenso dell’interessato Hanno formato oggetto di esame anche numerose istanze e segnalazioni di abbonati, utenti e associazioni di consumatori, relative alle possibili violazioni della normativa in materia di protezione dei dati personali in occasione della ricezione, sulle utenze di telefonia mobile, di brevi messaggi di testo di diverse tipologie (sms pubblicitari, istituzionali e anonimi).

Oltre alle suddette tipologie, si è venuti a conoscenza di altre, in fase di progettazione o di sperimentazione, riguardanti la possibilità, per talune amministrazioni pubbliche, di fornire ai cittadini -sempre attraverso sms- informazioni concernenti i servizi di pubblica utilità resi dagli stessi enti (es. informazioni sulla viabilità, sugli avvenimenti culturali in corso, sugli scioperi, sul pagamento delle imposte, sui termini di validità dei documenti).

A tutto ciò, si aggiunge, altresì, l’ormai noto sistema di utilizzo di tali mezzi di comunicazione, soprattutto da parte di soggetti privati, per l’invio di messaggi a fini di commercializzazione diretta.

La possibile utilità di nuovi servizi non deve far sottovalutare la particolare forza invasiva che caratterizza le comunicazioni realizzate attraverso l’invio di sms, che si avvalgono del numero del telefono cellulare, generalmente considerato come personale e riservato. Pertanto, si è ritenuto necessario formulare alcune prescrizioni in materia. L’Autorità è in procinto di definire a breve alcuni provvedimenti volti a segnalare misure ed accorgimenti idonei ad evitare che il trattamento di dati personali, effettuato con servizi sms, determini un’ingiustificata lesione della riservatezza dei soggetti cui i dati stessi si riferiscono.

Sms pubblicitari Il Garante ha concluso l’esame delle problematiche concernenti gli sms utilizzati per scopi di informazione commerciale o di vendita diretta, relativamente a prodotti offerti dal fornitore di servizi telefonici o da altri fornitori (al di fuori del settore delle telecomunicazioni), in riferimento ai quali l’operatore telefonico si limitava a trasmettere il contenuto del messaggio. È pertanto di prossima adozione il relativo provvedimento.

Nell’ambito dei vari profili esaminati, hanno trovato espresso richiamo le garanzie contenute nell’art. 10, comma 1 del d.lg. n. 171/1998. Tale disposizione, nel disciplinare il fenomeno delle chiamate indesiderate, ha stabilito che l’utilizzo di sistemi automatizzati di chiamata senza intervento di un operatore per scopi di invio di materiale pubblicitario o di vendita diretta, ovvero per il compimento di ricerche di mercato o di comunicazione commerciale interattiva è consentito esclusivamente “con il consenso espresso dell’abbonato”.

Comunicazioni indesiderate dirette a utenze telefoniche mobili Le garanzie ora richiamate con riferimento al fenomeno degli s m s a scopi pubblicitari, sul quale si è appuntata a più riprese l’attenzione del Garante (cfr. le decisioni del 18 luglio e del 6 settembre 2002) trovano conferma nella dire t t i va 2002/58/CE (cfr. considerando n. 40 e a rt. 13 re l a t i vo alle Comunicazioni indesiderate). Esse, inoltre, vengono ad aggiungersi a quelle previste per i casi in cui le finalità commerciali sono perseguite attraverso mezzi dive r s i da quelli appena indicati (ad esempio, quelli in cui la comunicazione è instaurata mediante l’ i n t e rvento di un operatore). In tali ipotesi, trovano applicazione le disposizioni dettate in generale per il consenso al trattamento dei dati personali e, quindi, anche alcune specifiche esenzioni da tale obbligo (cfr., in part i c o l a re, gli artt. 11 e 12 l. n. 675/1996).

In tale ambito, sono state individuate le misure che i diversi titolari devono adottare al fine di assicurare il rispetto degli obblighi posti dalla normativa sulla protezione dei dati personali, in relazione alle differenti, possibili modalità di invio dei messaggi, quali sono emerse dalle segnalazioni pervenute.

I principi qui riassunti sono stati affermati anche in occasione di un provvedimento riguardante la ricezione indesiderata sulle utenze di telefonia mobile o tramite la posta elettronica di messaggi pubblicizzanti i servizi offerti tramite le numerazioni “899”. Il fenomeno, diffusosi in Italia in modo dirompente soprattutto negli ultimi tempi, ha richiesto, da parte del Garante, indagini complesse, che hanno comportato anche frequenti contatti con altre istituzioni interessate alla vicenda (Autorità per le garanzie nelle comunicazioni; Autorità garante per la concorrenza e il mercato; Ministero delle comunicazioni; Polizia postale).

Tali indagini hanno portato ad individuare alcuni soggetti, italiani e stranieri, nei confronti dei quali -direttamente, o attraverso la collaborazione degli altri Garanti europei- sono stati avviati accertamenti ai sensi dell’art. 32, comma 1, della legge n. 675/1996.

Sms istituzionali Nel 2002 il Garante ha effettuato alcuni accertamenti con riguardo all’invio ad abbonati e/o ad altri soggetti detentori di carte telefoniche, da parte di alcuni enti pubblici, di sms contenenti informazioni di pubblica utilità, attinenti all’attività istituzionale degli enti stessi (ad esempio, comunicazione di provvedimenti di blocco del traffico adottati a tutela della salute pubblica o informazioni sugli avvenimenti culturali in corso). Ciò al fine di verificare la rispondenza di tali trattamenti alle vigenti norme in materia di protezione dei dati personali.

Pur nella consapevolezza che l’invio di tali sms può soddisfare in alcuni casi finalità di interesse collettivo, l’Autorità ha chiarito in un provvedimento di carattere generale le misure e gli accorgimenti idonei ad evitare che il connesso trattamento di dati personali determini un’ingiustificata lesione della riservatezza dei soggetti cui i dati stessi si riferiscono.

È stata distinta l’ipotesi in cui i suddetti sms siano inviati, per conto di enti pubblici, da parte di un operatore telefonico, attraverso l’utilizzo della banca dati dei propri abbonati, rispetto a quella in cui sia invece lo stesso ente pubblico ad inviarli, utilizzando una propria banca dati. A seconda che si versi in una delle suddette ipotesi -e fatte salve eventuali deroghe alla disciplina vigente in caso di messaggi che trovino fondamento in provvedimenti contingibili e urgenti adottati in conformità alle leggi- trovano quindi applicazione le diverse disposizioni concernenti le condizioni di liceità del trattamento dei dati personali (cfr., rispettivamente artt. 11 e 27 della legge). Ciò, ferma restando, in ogni caso, la necessità che gli abbonati siano informati preventivamente e adeguatamente della possibilità di ricevere, sulla propria utenza, tali messaggi (art. 10 della legge n. 675/1996).

Sms anonimi Il Garante ha concluso l’esame ed è in procinto di adottare un provvedimento che individua le garanzie necessarie volte a salvaguardare le esigenze di riservatezza degli utenti in relazione alla possibilità, offerta da talune società di telefonia mobile, di inviare (e quindi ricevere) messaggi sms anonimi, senza l’identificazione del numero del mittente. L’Autorità ha precisato che tale servizio non fa venir meno il diritto dei destinatari di siffatti messaggi di tutelarsi contro possibili pregiudizi che tale forma di comunicazione può arrecare loro e, quindi, di avvalersi degli strumenti che la legge n. 675/1996 offre a loro protezione.

Hanno formato oggetto di esame anche le numerose segnalazioni sulle possibili violazioni della normativa in materia di protezione dei dati personali con riguardo alle nuove tecnologie che consentono a chiunque, mediante l’utilizzo di telefoni mobili che abbiano determinate caratteristiche tecniche, di effettuare, registrare ed inviare fotografie e suoni, tramite Gprs, nonché filmati, attraverso il sistema Umts (Mms). Attraverso l’utilizzo di tali sistemi, è infatti possibile riprendere e far circolare immagini, raccolte in luoghi pubblici, aperti al pubblico o privati, relative ad altre persone anche a loro insaputa, con conseguente invasione dell’altrui sfera privata.

L’ Autorità è intervenuta con un prov vedimento del 12 marzo 2003, con il quale ha chiarito che anche chi scatta le fotografie o effettua riprese con il proprio telefono mobile, esclusivamente per soddisfare esigenze di carattere strettamente personale (culturali, di svago o di altro g e n e re), e beneficiando, in tal modo, dell’esenzione di cui all’ a rt. 3 della legge n. 675/1996, d e ve rispettare in ogni caso alcune disposizioni applicabili anche a tale fattispecie, in part i c o l a re r i g u a rdo alla sicurezza delle informazioni trattate (art. 15) e alla responsabilità per i danni cagionati per effetto del trattamento (art. 18).

Il Garante ha poi precisato che, allorquando si tratti di fotografie o filmati comunicati in via sistematica ad una pluralità di destinatari, oppure diffusi (ad esempio mediante pubblicazione su un sito Internet), devono ritenersi applicabili tutte le disposizioni della suddetta legge.

Un discorso diverso deve ritenersi praticabile con riferimento all’attività giornalistica. In riferimento a tale caso, il Garante ha ribadito che non sussiste alcun obbligo per il giornalista di chiedere il consenso dell’interessato, fermo restando il rispetto delle cautele e dei limiti posti dalla legge e dal pertinente codice deontologico. Resta fermo, in ogni caso, il necessario rispetto dei principi di correttezza e di tutela della dignità della persona. La concretizzazione di tali principi comporta la necessità, per chi procede al trattamento delle informazioni personali, di effettuare un attento vaglio circa la pertinenza e la non eccedenza delle informazioni raccolte e trattate, rispetto alle finalità di natura personale perseguite.

L’Autorità ha altresì ricordato che sia in caso di invio episodico, sia di diffusione sistematica di immagini, si devono comunque rispettare ulteriori obblighi previsti da altre norme civilistiche e penalistiche, nonché dalla legge n. 633/1941 sul diritto d’autore.

Messaggi multimediali (Mms) Nel corso dell’anno, in vista del recepimento della direttiva 2002/58/CE, l’Autorità ha intrapreso un primo studio relativo alla conservazione dei dati relativi alle chiamate effettuate da apparecchi mobili, con specifico riguardo ai dati personali concernenti la localizzazione degli apparecchi medesimi, anche per ciò che concerne la distinzione operata dalla direttiva 2002/58/CE tra i dati relativi al traffico e quelli relativi all’ubicazione (cfr. considerando 35, nonché art. 9 della direttiva).

Localizzazione Il 20 febbraio 2003 si è tenuta una riunione congiunta tra il collegio del Garante e quello dell’Autorità per le garanzie nelle comunicazioni, nel corso della quale sono state messe a punto alcune linee di intervento comune, anche al fine di intensificare, nell’ambito delle rispettive aree di competenza, le forme di cooperazione istituzionale già avviate in precedenza (v. comunicato stampa del 20 febbraio 2003).

Nel corso dei lavori sono state sottolineate l’importanza e la novità istituzionale rappresentate dalla proficua collaborazione già realizzatasi su questioni di interesse comune (elenchi telefonici, servizi di telecomunicazione non richiesti etc.) e la necessità di procedere a forme ancor più strette di cooperazione.

In vista di questo obiettivo le due Autorità hanno convenuto di rendere sistematico lo scambio di informazioni e di documentazione tra gli uffici, nonché di approfondire, a breve termine, un protocollo che dia attuazione alle linee generali tratteggiate nell’incontro e alle ipotesi di collaborazione proposte.

Ne l l’ambito di tale collaborazione, l’ Ufficio del Garante ha avuto modo di svo l g e re una prima valutazione, del tutto pre l i m i n a re, sulla possibile realizzazione in Italia del progetto noto come “e – n u m b e r” o ” En u m”, con riferimento ad una consultazione pubblica pro m o s s a d a l l’ Autorità per le garanzie nelle comunicazioni. Tale sistema permette di cre a re connessioni fra indirizzi In t e rn e t e numeri telefonici, al fine di re a l i z z a re un numero identificativo universale che consente di instradare il traffico verso i diversi recapiti dell’ i n t e ressato (telefono fisso, mobile, i n d i r i z zo di posta elettronica, ecc.).

Il sistema Enum, già allo studio in altri Paesi europei, ha suscitato notevoli perplessità in ordine alle possibili implicazioni che la sua introduzione potrebbe avere in relazione alla sfera di riservatezza degli interessati.

L’Autorità per le garanzie nelle comunicazioni ha così avviato una consultazione pubblica sull’introduzione del protocollo Enum rivolgendo particolare attenzione anche agli aspetti riguardanti la sicurezza e la protezione dei dati personali (v. Comunicato pubblicato nella G.U.

n. 95 del 24 aprile 2003).

Attività di cooperazione con l’Autorità per le garanzie nelle comunicazioni Gli sviluppi relativi alla protezione dei dati personali in materia di reti telematiche sono strettamente connessi alla continua evoluzione del settore, come testimoniano le diverse e sempre crescenti segnalazioni, richieste di chiarimenti e quesiti che provengono giornalmente a questa Autorità.

Nel corso del 2002, il Garante ha proseguito nell’opera di costante monitoraggio dell’evoluzione tecnica del settore, stabilendo, in particolare, forme opportune di consultazione con i diversi operatori, in modo da poter promuovere l’adozione di garanzie adeguate sia sul piano della prassi operativa, sia su quello normativo, anche provvedendo a sollecitare l’adozione delle misure necessarie alle autorità pubbliche competenti.

D’altronde, le numerose problematiche esaminate hanno confermato come un’altra caratteristica peculiare della maggior parte dei trattamenti realizzati in tale ambito sia quella di poter prescindere, in larga misura, dai confini nazionali e, quindi, dalla legislazione sulla protezione dei dati applicabile all’interno di essi.

Proprio in ragione di tali peculiarità, sono destinati a svolgere un ruolo determinante, sul piano della disciplina dei trattamenti e delle garanzie per gli interessati, i codici deontologici previsti dal d.lg. n. 467/2001, nonché l’emanando testo unico più volte richiamato.

Sono stati avviati i lavori preliminari per la redazione del codice deontologico relativo ai trattamenti di dati personali “effettuati da fornitori di servizi di comunicazione e informazione offerti per via telematica”.

In questo quadro, è utile ricordare che la direttiva 2002/58/CE (da recepirsi entro il 31 ottobre p.v.), relativa al “trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche”, nel modificare la direttiva 97/66/CE, si pone l’obiettivo di adeguare la disciplina sulla tutela dei dati personali agli sviluppi verificatisi nei mercati e nelle tecnologie dei servizi di comunicazione elettronica. Ciò, adottando un appro c c i o “tecnologicamente neutro”, mirante, cioè, a predisporre una normativa valida ed applicabile a tutte le forme di comunicazione elettronica realizzate per via telefonica, su Internet o su altri mezzi.

Nelle more dell’adozione del testo unico e del codice sopra richiamati, nonché della trasposizione in Italia della direttiva citata, l’Autorità ha comunque già fornito alcuni chiarimenti in ordine a diverse problematiche sottese alla materia.

Oltre a offrire alcune prime precisazioni in merito al possibile esercizio, sulla rete Internet, dei diritti di cui all’art. 13 della legge 675/1996, il Garante ha concluso l’esame e sta per a d o t t a re un prov vedimento di carattere generale che fornisce alcuni suggerimenti ed indicazioni agli operatori del settore ed agli utilizzatori della rete in materia di invio di posta elettronica indesiderata (c.d. “spamming”).

Trattamento di dati personali in Internet Profili generali Spamming su Internet Il Garante si è più volte occupato della problematica relativa all’invio di messaggi di posta elettronica non sollecitati di natura prevalentemente pubblicitaria.

Come già evidenziato in passato (v. Relazione 2001, p. 88), la direttiva 2002/58/CE ha recepito, quale sistema di regolamentazione del problema, il principio secondo cui l’invio di messaggi di posta elettronica di carattere pubblicitario è subordinato all’espresso consenso dell’interessato (“opt-in”).

Il Garante ha espresso un positivo avviso in ordine alla predetta opzione (v. New s l e t t e r, 12 – 18 febbraio 2001). D’altronde, come chiarito dal Garante nel corso del 2002, la legge 675/1996 (art. 11), il d.lg. 171/1998 (art. 10) ed il d.lg. 185/1999 (art. 10, comma 1) già riconducono la fattispecie in esame alla regola del consenso pre ve n t i vo ed esplicito.

In tal senso, il Garante si è espresso anche in occasione delle decisioni adottate in merito ai ricorsi presentati da alcuni utenti, ai sensi dell’ a rt. 29 della legge 675/1996 (Prov v. 25 giugno, 25 luglio e 30 settembre 2002). Ac c e rtata la fondatezza delle pretese dei ricorre n t i , l’ Autorità ha prov veduto a bloccare le banche dati delle re l a t i ve società che ave vano inviato n u m e rose e-mail pubblicitarie e promozionali senza aver acquisito, in via pre ve n t i va, il consenso informato degli interessati.

Il blocco dei trattamenti connessi alle predette banche dati si è reso necessario anche per impedire che il trattamento illecito e non corretto dei dati personali potesse estendersi ad un elevato numero di cittadini i cui indirizzi di posta elettronica erano presenti negli archivi delle società medesime.

Svariati altri provvedimenti di blocco sono stati adottati in altre successive circostanze.

In questo quadro, il Garante è altresì in procinto di adottare un provvedimento di carattere generale volto ad offrire altre indicazioni in materia.

L’Autorità ha, già più volte ricordato che nei casi di specie non può essere invocato l’art. 12, comma 1, lett. c), della legge 675/1996, il quale esonera il titolare dal richiedere il consenso dell’interessato ove i dati relativi a quest’ultimo siano provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque. Infatti, questa disposizione si riferisce esclusivamente agli elenchi o ai registri per i quali è previsto uno specifico regime giuridico di piena conoscibilità da parte di chiunque, e non è, quindi, applicabile ai casi in cui un determinato dato possa essere consultato dal pubblico per mere circostanze di fatto (ad esempio: raccolta su siti web o presso newsgroup ove erano disponibili per diverse finalità).

Comunicazioni indesiderate Quanto, poi, al consenso all’invio di messaggi pubblicitari e al connesso obbligo di informativa nei confronti dei destinatari, il Garante ha sottolineato che il consenso, oltre a dover essere manifestato liberamente e documentato per iscritto, secondo le previsioni del già citato art. 11 della legge, deve essere preventivo, esplicito ed espresso in forma differenziata rispetto alle varie categorie di prodotti offerti.

La circostanza, poi, che l’indirizzo di posta elettronica sia conoscibile di fatto, anche momentaneamente, da una pluralità di soggetti, non lo rende liberamente utilizzabile e non autorizza, comunque, l’invio di informazioni di qualunque genere, anche se non specificamente a carattere commerciale o promozionale senza un preventivo consenso.

Ed ancora, con riguardo al diritto degli interessati di richiedere la cessazione dell’invio di messaggi pubblicitari indesiderati, il Garante ha più volte sottolineato che, indipendentemente dal rapporto esistente tra i mittenti ed i destinatari dei messaggi pubblicitari, deve essere data sempre a questi ultimi la possibilità di far valere il proprio diritto di opporsi, in tutto o in parte, al trattamento dei dati medesimi ai fini di informazione commerciale. La richiesta per l’esercizio di tale diritto può essere avanzata senza formalità, ad esempio tramite posta elettronica o anche verbalmente (art. 17, comma 1, d.P.R. n. 501/1998). In ogni caso, tali diritti devono poter essere esercitati gratuitamente ed in maniera agevole.

Nel caso di esercizio dei diritti di cui al richiamato art. 13, i titolari o i responsabili dagli stessi designati, sono tenuti a fornire all’interessato una risposta completa ed esaustiva, con riferimento a tutti gli elementi richiesti.

Nomi a dominio Durante il periodo di riferimento sono inoltre pervenute a questa Autorità diverse segnalazioni in ordine alla protezione dei nomi a dominio, con specifico riguardo ai dati relativi ai soggetti che registrano siti web (“registrant”) nonché alla pubblicazione di alcuni dati personali sulla rete.

Al riguardo, il Garante ha svolto alcune indagini conoscitive in merito alle modalità ed alle regole di registrazione dei nomi a dominio in Italia, al fine di predisporre un provvedimento generale.

Come accennato nel paragrafo relativo ai profili generali, nonché nella Relazione 2001 (p.

89), è prossima l’adozione del codice sui trattamenti dei dati personali “effettuati da fornitori di servizi di comunicazione e informazione offerti per via telematica”.

Ed infatti, sulla base di quanto stabilito dal d.lg. 467/2001, il Garante ha promosso, nell’ambito di una generale attività collaborativa con i diversi operatori del settore, la sottoscrizione del predetto codice di deontologia e buona condotta, con il dichiarato scopo di fornire “i criteri per assicurare ed uniformare una più adeguata informazione e consapevolezza degli utenti delle reti di telecomunicazione gestite da soggetti pubblici e privati rispetto ai tipi di dati personali trattati e alle modalità del loro trattamento”, nell’ottica di “una più ampia trasparenza e corret – tezza nei confronti dei medesimi utenti e il pieno rispetto dei principi di cui all’articolo 9 della legge 31 dicembre 1996, n. 675”.

A tal riguardo, è utile sottolineare che, al pari di quanto previsto per i codici sui trattamenti realizzati a fini storici o statistici, tale codice assumerà il ruolo di fonte dell’ordinamento, come, d’altronde, dispone l’art. 20 del d.lg. 467 cit., il quale testualmente recita: “il rispetto delle disposizioni in essi contenute costituisce condizione essenziale per la liceità del trattamento dei dati”.

Il codice deontologico Sono pervenute, nel 2002, segnalazioni concernenti la liceità della pubblicazione -anche su siti web- di fotografie e immagini che ritraggono persone.

Sul punto merita ricordare un provvedimento del Garante nel quale, tra i vari aspetti esaminati, sono stati forniti chiarimenti in ordine agli adempimenti gravanti sui fotonegozianti e sulle società (che di regola operano sulla base di specifici accordi negoziali con i primi) i quali offrano al cliente, oltre al tradizionale servizio di sviluppo e stampa dei rullini, anche la visione delle proprie fotografie su un apposito sito web (Provv. 16 maggio 2002, in Bollettino n. 28).

In tale occasione il Garante, oltre a ribadire il principio in base al quale le fotografie possono c o n t e n e re immagini e informazioni qualificabili alla stregua di dati personali (art. 1, comma 2, lett. c), l. n. 675/1996, ha richiamato l’obbligo, per i titolari di siffatto trattamento, di fornire al cliente un’idonea informativa, anche oralmente (art. 10, comma 1, l. n. 675/1996), sin dal momento della richiesta della prestazione e, quindi, della consegna del ru l l i n o. Ciò al fine di p o r re l’ i n t e ressato in condizione di scegliere in modo consapevole la part i c o l a re modalità del s e rvizio di sviluppo desiderato e di conoscere in anticipo le modalità del peculiare trattamento.

Tale esigenza non può ritenersi sufficientemente soddisfatta -ha precisato il Garante- tramite la mera esibizione o consegna di materiale promozionale ai clienti. Né l’ i n f o r m a t i va sui dati personali può considerarsi implicita nel mero pagamento di un prez zo diverso rispetto a servizi trad i z i o n a l i .

Il Garante ha altresì richiamato l’attenzione sulla necessità che in tali casi siano adottate le specifiche misure di sicurezza volte a pre ve n i re taluni rischi, tra i quali quelli di distruzione o perdita dei dati personali trattati o di accesso non autorizzato (art. 15 l. n. 675/1996 e d.P.R. 28 luglio 1999, n. 318); obblighi che, con riferimento al peculiare trattamento in questione, assumono rilievo in relazione alle diverse fasi del processo di realizzazione del servizio, nonché ai diversi soggetti in esso coinvolti (i negozianti e gli altri addetti allo sviluppo delle fotografie; il gestore del s e rve r nel quale viene conservato il f i l e contenente le fotografie; la società titolare del sito su cui queste ultime vengono pubblicate).

Pubblicazione di fotografie sui siti web I principi sopra ricordati sono stati riaffermati dall’Autorità in risposta ai numerosi quesiti concernenti, più in generale, la possibilità di pubblicare fotografie o immagini costituenti dati personali su cataloghi, giornali, riviste o altri analoghi strumenti di diffusione, ivi compresa la rete Internet.

In varie occasioni, pertanto, l’ Autorità ha ricordato che le suddette immagini possono e s s e re trattate solo con il consenso espresso, specifico e documentato per iscritto (art.11, l.

n . 675/1996). Ciò, fatta salva l’ e ventuale sussistenza degli altri presupposti equipollenti del consenso indicati agli artt. 12 e 20 della legge citata.

Tra i casi in cui è consentito ad un soggetto privato trattare fotografie e immagini prescindendo dal consenso dell’interessato -ma non dalla previa informativa, ai sensi dell’art.10 della legge n. 675/1996- rileva, in particolare, l’ipotesi in cui la raccolta e la diffusione dei predetti dati siano necessarie per l’esecuzione degli obblighi derivanti da un contratto del quale è parte la persona ritratta (ad esempio, come nel caso evidenziato nel paragrafo precedente nel contesto di un servizio fotografico richiesto dall’interessato), ovvero per l’esecuzione di misure precontrattuali adottate su richiesta della stessa (artt. 12 lett. b), e 20 lett. a-bis), l. n. 675/1996).

Analogamente, è possibile prescindere dal consenso nel caso in cui il trattamento sia effettuato nell’esercizio del diritto di cronaca e, in generale, della libertà di manifestare il proprio pensiero (artt. 12, lett. e) 20, lett. d) e 25). In tale caso trovano applicazione le disposizioni contenute nel codice di deontologia relativo al trattamento dei dati personali nell’esercizio dell’attività giornalistica.

Il Garante ha inoltre precisato che la legge n. 675/1996 non ha inciso sulle garanzie contenute nella legge sul diritto d’autore (artt. da 87 a 97 l. 22 aprile 1941, n. 633) le quali prevedono, fra l’altro, che l’esposizione, la riproduzione e la messa in commercio del ritratto di una persona presuppongono il consenso della persona ritrattata, a meno che la riproduzione dell’immagine sia giustificata “dalla notorietà o dall’ufficio pubblico coperto, da necessità di giu – stizia o di polizia, da scopi scientifici, didattici o culturali o quando la riproduzione è collegata a fatti, avvenimenti, cerimonie di interesse pubblico o svoltisi in pubblico” e che vietano, comunque, l’esposizione o la messa in commercio qualora rechi “pregiudizio all’onore, alla reputazione od anche al decoro della persona ritrattata” (v. art.10 c.c.).

L’ Autorità ha infine ricordato che -fermo restando quanto previsto per i trattamenti effettuati n e l l’ e s e rcizio del diritto di cronaca e di libera manifestazione del pensiero (art. 25, l. n. 675/1996 citata)- le specifiche disposizioni concernenti i dati c.d. “s e n s i b i l i” (in part i c o l a re gli art t . 22 e 24 e le autorizzazioni generali per il 2002) trovano applicazione anche con riferimento alle immagini idonee a rive l a re tale tipo di informazione.

Fotografie e immagini su cataloghi pubblicitari, giornali, riviste o altri strumenti di diffusione La sicurezza costituisce una priorità nella normativa concernente la pro t ezione dei dati personali e pertanto specifiche norme si rinvengono sia in atti sopranazionali, sia nella normativa nazionale.

Im p o rtanza primaria riveste la dire t t i va 95/46/CE che, come è noto, è stata recepita in It a l i a in larga misura con la legge n. 675/1996. In part i c o l a re, l’ a rt. 15 si occupa della sicurezza dei dati, pre vedendo due livelli di misure di sicurezza: le misure idonee e le misure minime.

Le prime sono rivolte a ridurre al minimo il rischio di distruzione, di perdita accidentale dei dati, di accesso non autorizzato, di trattamento non consentito o non conforme, mentre le seconde sono quelle indicate nel regolamento emanato ai sensi dell’ a rt. 15, comma 2, della legge n. 675/1996 (d.P.R. n. 318/1999). Questo regolamento dove va essere già adeguato in passato, essendo previsto al comma 3 che l’aggiornamento avvenga con cadenza almeno biennale.

La mancata adozione delle misure adeguate espone il destinatario della norma ad una responsabilità di tipo civile ai sensi dell’ a rt. 18 della legge n. 675, mentre all’ i n o s s e rvanza delle p rescrizioni indicate nel d.P.R. n. 318/1999 sono collegate le sanzioni penali previste all’ a rt. 36 della medesima legge n. 675/1996, come modificato dal decreto legislativo n. 467/2001.

Le modifiche operate sugli aspetti sanzionatori penali per la mancata osservanza delle misure minime, entrate in vigore il 1° febbraio 2002, operano principalmente su due versanti: da un lato l’esclusione dal penale del trattamento effettuato per fini personali (art. 2, d.lg. n. 467/2001), dall’ a l t ro la rivisitazione della fattispecie criminosa (art. 14, d.lg. n. 467/2001).

In merito al primo punto l’esclusione della sanzione penale indicata all’art. 36 della legge n. 675/1996 non esonera le persone fisiche che trattano i dati per fini esclusivamente personali dall’adottare le misure di sicurezza di cui all’art. 15 comma 1, restando pertanto operanti le conseguenze civili previste al successivo articolo 18, e il conseguente obbligo al risarcimento dei danni cagionati ai sensi dell’art. 2050 del codice civile.

Con riguardo invece al secondo profilo il legislatore ha mantenuto, anche nella nuova formulazione dell’ a rt. 36, la figura del reato, seppure diversamente configurato da delitto in cont r a v venzione e punito, pertanto, con l’ a r resto o con l’ammenda.

La novità più rilevante è data tuttavia dall’ i n t roduzione di una procedura estintiva del re a t o (cd. ravvedimento operoso) espressamente mutuata dalla normativa in materia di sicurezza e igiene sul lavo ro prevista nel decreto legislativo n. 758/1994 (art. 20, d.lg. n. 467/2001).

Il tema della sicurezza ha un carattere poliedrico e si riverbera su numerosi settori di intervento della normativa sulla riserva t ezza.

Sicurezza dei dati e dei sistemi Misure di sicurezza: novità normative e casi applicativi È utile ricordare anche in questo paragrafo che nel 2002 è stato adottato il codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici e di ricerca scientifica effettuati nell’ambito del Sistema statistico nazionale (cfr. paragrafo 25), pubblicato nella Gazzetta Ufficiale n. 230 del 1 ottobre 2002. Il codice contiene specifiche indicazioni in ordine all’adozione delle misure di sicurezza. Sono previste numerose misure volte a proteggere i dati. I rilevatori devono garantire la sicurezza delle informazioni e rispettare le norme poste dal codice a tutela dei cittadini. La comunicazione dei dati tra soggetti del Sistema statistico nazionale deve avvenire nel rispetto delle misure di sicurezza previste dall’art. 15 della legge. È necessario determinare differenti livelli di accesso ai dati personali con riferimento alla natura dei dati e alle funzioni dei soggetti coinvolti nei trattamenti, nonché adottare le cautele previste dagli articoli 3 e 4 del d. lg. n. 135/1999 in riferimento ai dati sensibili.

Tra gli atti normativi del 2002 che contengono apposite previsioni in ordine alle misure di sicurezza, assume particolare rilievo la direttiva 2002/58/CE sulla tutela della vita privata nelle comunicazioni elettroniche. L’importanza di tale direttiva è evidenziata dal fatto che il legislatore, per consentire il suo recepimento con lo strumento della legge comunitaria (legge 3 febbraio 2003, n.14), ha disposto uno slittamento di sei mesi del termine entro cui adottare il previsto testo unico delle disposizioni in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali.

La direttiva prevede l’obbligo per il fornitore del servizio di predisporre appropriate misure tecniche e organizzative per salvaguardare la sicurezza dei suoi servizi congiuntamente con il fornitore della rete pubblica di comunicazione.

La nuova direttiva fa gravare in capo al fornitore del servizio l’obbligo di informare gli abbonati quando sussiste un particolare rischio di violazione della sicurezza della rete, indicando i relativi costi e rimedi o situazioni che consentano di apprendere in modo non intenzionale il contenuto delle conversazioni o delle comunicazioni.

Sullo stesso tema è intervenuta anche la risoluzione del 28 gennaio del 2002 del Consiglio dell’Ue, tesa a fornire un approccio comune e azioni specifiche nel settore della sicurezza delle reti (2002/C43/02), la quale precisa che la sicurezza delle reti e dell’informazione presuppone che sia assicurata la disponibilità di dati e servizi. Ciò impedendo interruzioni o intercettazioni abusive delle comunicazioni, confermando che i dati trasmessi, ricevuti o archiviati sono completi e invariati, assicurando la riservatezza dei dati, proteggendo i sistemi da accessi non autorizzati e software maligni e garantendo, infine, l’affidabilità dell’autenticazione.

Anche l’Organizzazione per la cooperazione e lo sviluppo economici (OCSE), nel corso del 2002, si è attivato nel settore delle misure di sicurezza tracciando alcune Linee guida approvate il 25 luglio, che prendono il posto di quelle elaborate nel 1992. Lo sviluppo esponenziale di Internet nei settori pubblico e privato ha imposto la necessità di indicare nuovi principi in materia di sicurezza dei sistemi informativi e delle reti. Esse, come espressamente raccomandato dall’OCSE, andranno riesaminate ogni cinque anni per l’esplicitato fine di promuovere una cooperazione internazionale sulle questioni connesse al sistema di sicurezza delle reti e dei sistemi informativi.

Le Linee guida si propongono di sviluppare una “cultura della sicurezza” fra i governi, le imprese e gli utenti, con l’invito a tutti gli utilizzatori di tecnologie dell’informazione a rispettare ed applicare nove principi base, fra cui la sensibilizzazione e la responsabilità in materia di sicurezza e il rispetto di valori etici e democratici, con particolare riguardo alla tutela dei dati personali.

Anche l’ Autorità, nel corso del 2002, si è pronunciata numerose volte in materia di sicurez z a , in seguito a ricorsi presentati ai sensi dell’ a rt. 29, a segnalazioni o a procedimenti ispettivi.

Con alcuni ricorsi si è lamentato che il titolare, nell’effettuare il trattamento dei dati, non avesse osservato le specifiche disposizioni previste dalla legge n. 675/1996 anche con riferimento alla mancata adozione delle misure di sicurezza. In tali circostanze il Garante ha però ribadito che il procedimento disciplinato dall’art. 29 ha caratteri peculiari in quanto il ricorso che lo introduce può essere presentato solo per la tutela di precise richieste formulate in riferimento agli specifici diritti tutelati dall’art. 13, comma 1, della medesima legge e non si può rappresentare senza un collegamento a tale articolo qualsiasi violazione della disciplina del trattamento dei dati personali, compresa la mancata adozione delle misure minime di sicurezza (2 maggio 2002 – Bollettino n. 28).

In un altro caso il Garante, dopo aver esaminato il ricorso di un cittadino, ha disposto un’ispezione del sistema informatico di una importante banca on line per verificare i sistemi di sicurezza adottati dall’istituto di credito e il loro grado di affidabilità riguardo alla tutela della riservatezza dei dati personali della clientela. La decisione è stata assunta in quanto il ricorrente, cliente della stessa banca, è riuscito attraverso Internet a consultare non solo i dati del suo conto corrente, ma anche quelli di altri clienti della banca.

Sono da ricord a re anche le segnalazioni di consumatori che lamentavano la violazione della normativa sulla p r i va c y da parte di una società che, dopo aver sviluppato fotografie, le p u b b l i c a va come ulteriore servizio su un sito we b d ove, attraverso un codice personale, erano accessibili ai clienti i quali potevano così stamparle, raccoglierle in album virtuali o spedirle via e – m a i l. Nelle segnalazioni, oltre a sottolineare la mancanza della dovuta informativa preve n t i va sul tipo di servizio che ve n i va offerto, si evidenziava la carenza dell’adozione di idonee misure di sicurezza, in quanto il codice personale fornito dalla società era collocato all’ esterno della busta che contiene le foto ritirate dal cliente, visibile anche da terzi non autorizzati a visionare il materiale fotografico.

Nella conseguente pronuncia il Garante ha disposto che la società attuasse i necessari accorgimenti volti a prevenire taluni rischi, tra i quali quelli di distruzione o perdita dei dati personali trattati o di accesso non autorizzato. Le misure da adottare assumono rilievo sia nelle diverse fasi del processo di realizzazione del servizio “photosìonline”, sia con riguardo ai diversi soggetti in esso coinvolti (i negozianti e gli altri addetti allo sviluppo delle fotografie; il gestore del server nel quale viene conservato il file contenente le fotografie; la società titolare del sito su cui queste ultime vengono pubblicate) (Provv. 16 maggio 2002, in Bollettino n. 28).

A seguito del primo recepimento in Italia -con le autorizzazioni del Garante (v. Relazione 2001, pag. 91)- delle decisioni della Commissione europea in materia di trasferimento di dati personali all’estero, e in considerazione delle modifiche apportate dal d.lg. n. 467/2001 all’articolo 28 della legge 675/1996, l’Autorità ha iniziato a svolgere un attento monitoraggio in relazione ad operazioni ed attività di esportazione di dati da parte di operatori italiani e al tipo di garanzie e strumenti adottati per tutelare i diritti degli interessati.

Nell’aprile 2002 sono state formulate nei confronti di alcune importanti società, che avevano inviato comunicazioni o notificazioni sul trasferimento di dati all’estero e, in particolare, negli Usa, richieste di informazioni circa il rispetto delle disposizioni nazionali e comunitarie sui presupposti di liceità delle operazioni di trasferimento, con particolare riguardo, da un lato, alle relative finalità e modalità, alle categorie di dati e di persone interessate, nonché agli estremi dei soggetti importatori, e, dall’altro, all’eventuale adesione di questi ultimi al Safe Harbor o all’utilizzazione di clausole contrattuali tipo.

Dagli elementi acquisiti è risultato che, nella maggior parte dei casi, i dati personali oggetto di trasferimento all’estero riguardavano dipendenti e altre società e imprese (clienti, concorrenti, fornitori, ecc.) e che i flussi di dati erano stati effettuati previa acquisizione di specifico consenso degli interessati o avvalendosi di uno degli altri presupposti di liceità previsti dal citato art. 28 (esecuzione di obblighi contrattuali, ecc.) In alcune ipotesi in cui la gestione del personale all’estero viene effettuata negli U.S.A., gli importatori dei dati (società capogruppo o comunque collegate o controllate) hanno aderito all’accordo sui principi dell’approdo sicuro, dichiarandosi disponibili a cooperare con le Autorità di vigilanza degli altri Paesi europei.

In nessuno di questi primi casi esaminati dal Garante è emerso che le società interpellate abbiano utilizzato le clausole contrattuali standard indicate dalla Commissione europea, trattandosi peraltro di strumenti introdotti solo recentemente.

Nell’ambito della stessa indagine, è stato infine evidenziato che, accanto alla proposta di una società di predisporre un apposito contratto per i propri flussi di dati all’estero da sottoporre al Garante al fine di ottenere una specifica autorizzazione, il gruppo societario di appartenenza stava sviluppando un contratto “multilaterale” per tutte le consociate da sottoporre anch’esso al parere preventivo delle Autorità Garanti europee.

Nel mese di marzo 2003 l’Autorità ha disposto un’ampia verifica preliminare, tuttora in atto, circa le modalità di applicazione da parte delle principali società industriali e di servizi delle disposizioni comunitarie e nazionali in materia di trasferimento dei dati personali all’e- I trasferimenti all’estero dei dati Paesi che offrono una protezione adeguata stero. Tale verifica è risultata necessaria al fine di valutare lo stato di attuazione delle disposizioni sui flussi di dati all’estero, prima d avviare specifici accertamenti relativi a singole società.

Oggetto dell’indagine è, in particolare, l’analisi dei presupposti, delle finalità e modalità del trasferimento di dati all’estero, anche in relazione ad operazioni effettuate da eventuali società collegate o controllate, delle categorie di dati trasferiti e delle persone interessate, degli estremi e delle attività dei soggetti importatori, nonché delle garanzie assunte per la tutela dei dati personali nei confronti di ciascuna tipologia di trasferimento. È stato inoltre richiesto di indicare in termini percentuali, l’incidenza dell’utilizzo di clausole contrattuali tipo, dell’adesione ai principi di approdo sicuro e di uno dei casi indicati dall’art. 28, comma 4, della citata legge n.

675 (consenso degli interessati, esecuzione di obblighi contrattuali, ecc.), rispetto al volume complessivo dei trasferimenti di dati all’estero.

Il Garante ha, da ultimo, dato attuazione (Deliberazione n. 6 del 30 aprile 2003) alla decisione comunitaria del 20 dicembre 2001 con cui la Commissione europea ha riconosciuto anche il Canada tra i Paesi che garantiscono nel proprio ordinamento un adeguato livello di protezione dei dati personali. (v. Relazione 2001). Tale deliberazione, al momento in cui il presente testo viene redatto, è in fase di pubblicazione nella G.U.

La Commissione europea ha riconosciuto in passato che i principi internazionali di riservatezza del Safe Harbor, pubblicati dal Dipartimento del commercio degli Stati Uniti, costituiscono un’adeguata protezione ai fini del trasferimento di dati personali dall’Unione europea verso tale Paese (decisione n. 2000/520/CE).

Il Garante, con l’autorizzazione del 10 Ottobre 2001 (pubblicata in G.U. 26 novembre 2001), ha attuato la suddetta decisione riservandosi di controllare la legittimità dei trasferimenti e di adottare i provvedimenti ad essa eventualmente conseguenti.

La stessa Commissione europea ha effettuato un primo rapporto (in data 13 febbraio 2002) sull’applicazione della decisione 2000/520/CE, corrispondendo a quanto auspicato dal Parlamento europeo che, con risoluzione del 5 luglio 2000, aveva invitato la Commissione ad assicurare uno stretto monitoraggio del funzionamento del sistema dell’approdo sicuro (v.

Relazione 2001, p. 93).

Si tratta di un rapporto provvisorio che offre, comunque, significativi spunti di riflessione ed evidenzia alcuni punti critici sulle carenze che si registrano in termini di effettiva applicazione dell’Accordo e di trasparenza in relazione alle prassi applicative ed alle decisioni adottate sulle dispute. Vari spunti di riflessione sono giunti al riguardo dal Gruppo dell’art. 29 della direttiva 95/46/CE.

In questo quadro, il Garante continua a partecipare all’attività di monitoraggio, in vista ormai della valutazione d’insieme sul funzionamento del Safe Harbor, prevista per il 2003 da parte della Commissione europea, ed è attivamente impegnato nel favorire la cooperazione al riguardo. In tal senso, va ricordata la visita negli Usa il 13 e 14 marzo 2002 di una delegazione di rappresentanti delle autorità di protezione dati europee, che ha consentito incontri con rappresentanti del Congresso, dell’amministrazione Usa, con imprese multinazionali aderenti al meccanismo del Safe Harbor e con numerose organizzazioni non governative da anni impegnate nella tutela della privacy.

Dai risultati assai proficui di tale visita è derivato un nuovo pronunciamento del Gruppo europeo in data 2 luglio 2002.

In tale documento è stata evidenziata la necessità di collaborazione di tutte le autorità competenti a dare piena esecuzione all’accordo.

In particolare, conformemente alla richiesta fatta dal Parlamento europeo nella sua risoluzione del 5 luglio 2000, si richiamano le autorità, le organizzazioni e le associazioni coinvolte a collaborare per raccogliere -in particolare attraverso le autorità nazionali per la protezione dei dati e la Commissione europea- informazioni aggiornate, con particolare attenzione:

“Safe Harbor” – ad accordi per l’aumento della trasparenza nei confronti delle organizzazioni firmatarie, in particolare se una dichiarazione di adesione non è accompagnata da adeguate politiche per la privacy; – alla possibilità di fornire meccanismi di controllo addizionali nei confronti della procedura d’adesione all’accordo, la conformità di condotta degli aderenti allo stesso con le proprie politiche di privacy e l’eventuale perdita dei benefici dell’Approdo sicuro; – alle iniziative da adottare al fine di aumentare la conoscenza dei prerequisiti per l’adesione all’Approdo sicuro, anche attraverso di documenti brevi, facilmente comprensibili e l’eventuale integrazione nel Safe Harbor Workbook; – ai provvedimenti da adottare per mettere a punto meccanismi di risoluzione delle controversie, aumentare l’uniformità e la conoscenza dei criteri salienti, aumentare la trasparenza circa l’esito delle controversie e semplificarne i meccanismi di pubblicazione; – alle eventuali difficoltà derivanti dall’esistenza di molteplici politiche di privacy dichiarate dal medesimo operatore; – ai criteri di priorità ed alle possibili ulteriori iniziative intraprese dalle competenti autorità statunitensi ed agli accordi per una rinnovata cooperazione tra il comitato europeo per la protezione dei dati, gli organi di risoluzione delle controversie e la Federal Trade Commission.

Il primo dato caratterizzante la trattazione dei ricorsi nel corso del 2002 e nei primi mesi del corrente anno è un dato statistico: l’aumento consistente di tali atti proposti ai sensi dell’art.

29 della legge n. 675. Nell’anno solare 2002 sono stati infatti esaminati dal Collegio del Garante 390 ricorsi, un numero più che doppio rispetto all’anno precedente (erano stati, infatti, 169 i ricorsi decisi nel corso del 2001). Nel periodo del 1 gennaio -15 aprile 2003 sono stati decisi 110 ricorsi.

L’ i m p ressione è che il ricorso al Garante per la tutela delle posizioni giuridiche di cui a l l’ a rt. 13, comma 1, della legge n. 675 sia uno strumento ormai entrato nella diffusa conoscenza non solo di professionisti, ma anche di un ampio numero di persone che dimostrano di saperlo utilizzare con efficacia.

Velocità della procedura, economicità dello strumento, facilità di utilizzo dello stesso giustificano il rapido diffondersi di questo meccanismo di tutela.

La ragione vera dell’affermarsi dei ricorsi consiste però, probabilmente, nell’estrema duttilità di questo strumento di tutela e nella vastità del suo campo d’azione a tutela dei diritti previsti dal citato art. 13.

L’ampia nozione di “dato personale” accolta dalla legge n. 675, oggetto in questi anni di precisazioni sempre più puntuali da parte del Garante, amplia infatti la latitudine del diritto di accesso ai dati personali previsto dal predetto art. 13 e, di conseguenza, estende l’applicabilità anche delle altre posizioni giuridiche tutelate dal medesimo articolo (diritto di integrazione e/o di correzione dei dati, opposizione al trattamento per motivi legittimi&). L’esperienza di questi mesi dimostra, anzi, come in molteplici settori della vita economica e sociale si affaccino sempre nuove situazioni rispetto alle quali i diritti tutelati dalla legge sulla protezione dei dati personali possono aprire prospettive innovative di tutela. Naturalmente ciò comporta un rilevante e continuo sforzo interpretativo da parte dell’Autorità per individuare correttamente l’ambito di applicazione della legge, difendere le legittime aspirazioni dei cittadini che se ne avvalgono, e prevenire, al tempo stesso, un uso strumentale e improprio della legge medesima.

Indubbiamente l’accesso ai dati personali ha reso più concreta quell’ a u t o d e t e r m i n a z i o n e i n f o r m a t i va del singolo individuo tante volte segnalata come uno degli obiettivi della legge n. 675. Qualche volta, però, non è mancato da parte dei ricorrenti il tentativo di passare da richieste volte ad accedere ad informazioni re l a t i ve all’ i n t e ressato medesimo (così come richiesto dalle norme citate) ad istanze riferite in realtà a terzi. Né sono mancati tentativi di u t i l i z z a re certi strumenti (cancellazione dei dati, blocco degli stessi, opposizione al trattamento) non per motivi legittimi, o come reazione a dimostrate violazioni della legge, ma come tentativi di impedire legittimi utilizzi di informazioni da parte di soggetti pubblici e p r i va t i .

La trattazione dei ricorsi Principali problemi esaminati A dimostrazione della varietà di situazioni che sono state sottoposte all’attenzione del Garante sono qui tratteggiati una serie di settori in riferimento ai quali è stata proposta una pluralità di ricorsi, rinviando l’approfondimento delle specifiche questioni alle singole parti della presente Relazione.

“Centrali rischi” private Il trattamento di dati personali (essenzialmente riferito ad operazioni di finanziamento, con particolare riguardo al credito al consumo) svolto dalle cd. “centrali rischi” ha da sempre costituito oggetto di numerose pronunce del Garante in riferimento a ricorsi proposti ai sensi dell’art.

29. Nel corso del 2002 la casistica si è moltiplicata e l’Autorità ha adottato numerose decisioni con le quali ha focalizzato l’attenzione su questi particolari tipi di trattamenti, fissando alcuni significativi principi di riferimento.

L’importanza dei diritti e degli interessi coinvolti ed il rilevante numero di ricorsi e segnalazioni pervenute ha indotto il Garante a svolgere un’approfondita istruttoria e ad adottare in data 31 luglio 2002 anche un provvedimento di carattere generale su tale tema (sul punto vedi il paragrafo 33).

Modalità del rilascio del consenso informato da parte dell’interessato, tempi di conservazione dei dati riferiti allo svolgimento dei rapporti di finanziamento negli archivi delle “centrali rischi”, posizione dei soggetti che rivestono il ruolo di garanti di finanziamenti erogati a terzi sono solo alcuni degli aspetti in ordine ai quali il Garante, nelle motivazioni delle decisioni sui ricorsi, è più volte intervenuto in riferimento ai fondamentali principi di esattezza, aggiornamento, completezza e proporzionalità nel trattamento dei dati di cui all’art. 9 della legge n. 675. Tutti principi che nel citato provvedimento del 31 luglio 2002 hanno trovato un più sistematico tracciamento.

Dati relativi allo stato di salute e dati conservati nelle perizie medico legali redatte in campo assicurativo In diverse occasioni il Garante si è pronunciato su richieste di accesso a dati di questo tipo, normalmente con riferimento a informazioni contenute in cartelle cliniche o riferite ad accertamenti diagnostici. In qualche caso (vedi ad esempio decisione del 30 settembre 2002) è stato nuovamente precisato che i dati, oltre che in modo esatto e completo, devono essere anche messi a disposizione in forma intelligibile. In tali ipotesi il titolare del trattamento deve trascrivere il contenuto dei referti diagnostici non comprensibili e rendere intelligibili i risultati di esami ed altri accertamenti eventualmente espressi attraverso codici o altri riferimenti di non immediata comprensibilità. Si tratta, anche in questo caso, di prescrizioni che mirano a rendere effettiva la piena conoscenza dei dati personali dell’interessato che, nel campo dei dati riferiti allo stato di salute, trova un’ulteriore tutela nella disposizione dell’art. 23, comma 2, della citata legge n. 675/1996 (per il quale, come si è detto, tali dati possono essere resi noti all’interessato stesso solo per il tramite di un medico).

Fra i dati relativi allo stato di salute rientrano anche quelli contenuti nelle perizie medico legali redatte in ambito assicurativo. È questo un tema sempre vivo e per alcuni aspetti controverso, anche se i principi più volte fissati al riguardo dal Garante (vedi Relazioni degli anni precedenti) sembrano ora meglio conosciuti dagli interessati e dagli operatori del settore. Ciò sia in riferimento alla possibilità di esercitare al riguardo il diritto di accesso previsto dall’art.

13 della legge n. 675, sia in ordine alla possibilità per i titolari del trattamento di eccepire, in caso di pregiudizio, il differimento del diritto stesso ai sensi dell’art. 14, comma 1, lettera e), della legge n. 675.

Trattamento di dati da parte di operatori telefonici e problematiche re l a t i ve ai trattamenti in re t e È il settore che ha registrato nel corso del 2002 il più alto numero di ricorsi pervenuti, a dimostrazione di una sensibilità diffusa fra gli interessati, ma anche della necessità di un chiarimento da parte dell’Autorità in ordine al quadro normativo di riferimento.

Si inseriscono in quest’ambito i molti provvedimenti di accoglimento di ricorsi proposti con riguardo all’invio di messaggi di posta elettronica aventi contenuto promozionale e pubblicitario, senza che risultasse acquisito il previo consenso dell’interessato od operante uno dei presupposti del trattamento di cui all’art. 12 della legge n. 675/1996, all’art. 10 del d.lg. 13 maggio 1998 n. 171 (in materia di tutela della vita privata nel settore delle telecomunicazioni) all’art. 10 del d.lg. 22 maggio 1999, n. 185 in materia di contratti a distanza.

Con tali provvedimenti il Garante ha in particolare ribadito l’illiceità della raccolta (a volte effettuata anche con l’ausilio di particolari software) di indirizzi di posta elettronica reperiti in rete in assenza dei requisiti di legge sopra citati.

Ugualmente illecito è risultato poi il trattamento svolto anche da singoli utenti della rete che inviano a terzi messaggi e-mail contenenti l’invito ad inserirsi in un meccanismo per l’invio sistematico di messaggi di posta elettronica al fine di conseguire benefici economici.

In tale ipotesi (il caso più diffuso ha riguardato l’invio di e-mail collegate al sistema “Mlm”) il trattamento ricade nell’ambito di applicazione della legge n. 675. Infatti lo stesso attiva, per sua natura, una comunicazione sistematica di dati personali a scopo di possibile lucro e, pur vedendo coinvolte persone fisiche, anziché imprese, non può essere qualificato alla stregua di un trattamento a “fini esclusivamente personali” ai sensi dell’art. 3 della legge n. 675/1996 (vedi, fra gli altri, provvedimento del 21 novembre 2002).

Per quanto concerne poi il trattamento di dati svolto da società telefoniche, vanno segnalati alcuni ricorsi che hanno portato all’attenzione dell’Autorità illeciti trattamenti di dati svolti da rivenditori autorizzati attraverso l’attivazione di schede telefoniche o di altri servizi, associati al nome di interessati ignari ed estranei al reale utilizzo del servizio in questione o, addirittura, defunti. Sul grave fenomeno è stata richiamata l’attenzione dei gestori dei servizi e si è proceduto anche ad ulteriori accertamenti attraverso interventi ispettivi e successive denunce di reato all’autorità giudiziaria.

Alcuni ricorsi hanno riguardato poi il problema del diritto di accesso ai dati personali relativi al traffico telefonico “in entrata”. Al riguardo il Garante ha richiamato il disposto dell’art.

14, comma 1, lettera e) bis, della legge n. 675, che esclude l’esercizio del diritto di accesso a tali particolari tipi di dati “salvo che possa derivarne pregiudizio per lo svolgimento delle investi – gazioni difensive di cui alla legge 7 dicembre 2000 n. 397”. Nell’esame delle singole fattispecie (vedi ad esempio provvedimento del 16 ottobre 2002) l’Autorità ha verificato in concreto l’effettiva esistenza degli specifici presupposti richiesti dalla norma citata, per consentire, in via di eccezione, l’accesso da parte dell’interessato. Nei casi finora esaminati tali presupposti non ricorrevano e pertanto le richieste di accesso a tali dati sono state rigettate.

Dati relativi ai dipendenti Si tratta di una problematica ricorrente in quanto logicamente connessa allo svo l g i m e n t o del rapporto di lavo ro, spesso propedeutica o contestuale alla proposizione di ulteriori istanze dinanzi al giudice ord i n a r i o. I casi sottoposti all’esame del Garante hanno generalmente r i g u a rdato problemi relativi al completo accesso dell’ i n t e ressato ai dati personali relativi alla p ropria esperienza professionale, anche con riguardo alla eventuale formulazione di schede di valutazione, note caratteristiche, ecc. In due significativi prov vedimenti del 30 settembre 2002 è stata sottolineata la possibilità di accedere altresì a informazioni personali conserva t e in documenti sottratti al diritto di accesso agli atti e documenti amministrativi tutelato dalla legge n. 241/1990 (nel caso di specie si trattava di procedimenti di tipo disciplinare), rimarcando l’autonoma disciplina che regola diversamente il diritto di accesso ai dati personali dell’ i n t e ressato rispetto al diritto tutelato dalla citata legge n. 241.

Trattamenti svolti da pubbliche amministrazioni Sono numerosi i casi di richieste rivolte ai sensi dell’art. 13 nei confronti di pubbliche amministrazioni. Quasi sempre gli interessati chiedono di accedere a complessi più o meno ampi di dati, spesso accompagnando tale richiesta con ulteriori istanze volte ad ottenere l’integrazione o l’aggiornamento dei dati o ad opporsi all’ulteriore utilizzo dei dati stessi sulla base di asserite violazioni di legge compiute dal titolare del trattamento (vedi ad esempio provvedimento del 25 novembre 2002 relativo ad istanze formulate nei confronti dell’INPS).

Un caso significativo ha riguardato una richiesta di aggiornamento dei dati personali di un interessato proposta ai sensi dell’art. 13 nei confronti dell’Automobile Club d’Italia in qualità di conservatore del Pubblico registro automobilistico (PRA). In tale occasione il Garante ha ritenuto infondato il ricorso (vedi provvedimento dell’8 novembre 2002), in quanto l’operazione di trattamento richiesta risulta specificamente disciplinata da apposita disposizione normativa non abrogata dalla legge n. 675. Tale disposizione subordina la modifica dei dati personali in questione (nel caso di specie il cambio del nome dell’interessato) ad una specifica procedura (che prevede altresì il versamento di somme a titolo di imposte e diritti di segreteria) la quale non può essere aggirata invocando in altra sede, ovvero sul piano del trattamento dei dati, la gratuità di alcuni diritti previsti dall’art. 13 della legge n. 675/1996.

Con tre provvedimenti adottati in data 30 dicembre 2002 e 9 gennaio 2003 il Garante ha poi esaminato, in relazione ad altrettante istanze di opposizione al trattamento, il sistema di videosorveglianza recentemente attivato nel centro storico della città di Brescia. Al riguardo, dai pochi atti acquisiti, non risultava accertato che i trattamenti in questione eccedessero i limiti richiamati dal provvedimento di carattere generale in materia di videosorveglianza del 29 novembre 2000. L’Autorità ha pertanto deciso di verificare nell’ambito di un autonomo procedimento l’idoneità e la completezza dell’informativa rilasciata ai sensi dell’art. 10 e le più specifiche modalità di funzionamento del sistema di videosorveglianza in questione, con particolare riguardo al rispetto del principio di proporzionalità e alla non eccedenza dei tempi di conservazione dei dati personali raccolti.

In altro ambito, con provvedimento del 6 settembre 2002, il Garante ha poi ritenuto infondata la richiesta degli interessati volta ad ottenere la cancellazione totale dai registri immobiliari di iscrizioni ipotecarie a suo tempo apposte. Al riguardo, l’Autorità ha confermato la legittimità dei trattamenti svolti da un ufficio provinciale dell’Agenzia del territorio che aveva negato la cancellazione dei dati richiesti dagli interessati ai sensi dell’art. 13 della legge n. 675 rilevando, nel caso di specie, le specifiche disposizioni del codice civile che regolano le modalità di tenuta dei registri immobiliari e le formalità per la cancellazione delle ipoteche.

Trattamenti svolti in ambito bancario È un settore dove la legge sulla protezione dei dati personali ha trovato ampia applicazione.

Nel periodo più recente l’Autorità ha avuto modo di affrontare, decidendo su alcuni ricorsi profili specifici di particolare rilievo. Con la decisione del 3 aprile 2002 è stato affermato il diritto di un erede testamentario ad accedere ad informazioni relative ai rapporti bancari precedentemente intrattenuti dal defunto, anche con riferimento ad alcuni dati, sempre relativi a rapporti bancari, riferiti a terzi. Ciò in quanto, nel caso di specie, alcune informazioni relative ai contestatari che avevano effettuato operazioni rilevanti nel comune rapporto erano indispensabili per rendere intelligibili i dati del richiedente.

In un altro caso, deciso in data 8 novembre 2002, è stato accolto un ricorso in riferimento alla richiesta di rettifica dei dati personali dell’interessato comunicati da un istituto di credito ad una società di emissione di carte di credito. Ciò in relazione ad una complessa controversia in atto fra l’interessato e la banca, vicenda che non legittimava, però, quest’ultima a comunicare a terzi la posizione dell’interessato indicando lo stesso come “insolvente” senza dare correttamente conto del contenzioso in essere.

Trattamenti svolti da professionisti e da investigatori privati I trattamenti svolti da avvocati nell’esercizio del mandato difensivo o da investigatori privati sono stati al centro di alcune significative pronunce che hanno messo in luce il complesso rapporto fra legittimo esercizio del diritto di difesa e tutela della riservatezza. Vanno in particolare ricordate due pronunce (entrambe del 17 settembre 2002) che hanno in parte accolto due ricorsi con i quali gli interessati avevano chiesto di conoscere l’origine dei dati personali R e l a z i o n e 2 0 0 2 1 3 9 che li riguardano, oggetto di trattamento da parte dei legali di controparte nell’ambito dei complessi contenziosi in essere. In entrambe le situazioni (diverse fra loro) non sono stati rappresentati elementi idonei volti a far ritenere che dalla rivelazione dell’origine dei dati potesse derivarne un concreto pregiudizio per l’esercizio di un diritto in sede giudiziaria. Per quanto concerne gli investigatori privati, gli spazi per l’esercizio della relativa attività e i limiti che la stessa incontra sono stati precisati in alcuni provvedimenti (vedi, ad esempio, quello del 30 settembre 2002) che hanno ribadito le specifiche prescrizioni fissate al riguardo dall’autorizzazione generale n. 6/2000.

Trattamenti in ambito giornalistico La diffusa sensibilità degli interessati fatti oggetto di cronache giornalistiche ha portato all’attenzione dell’Autorità diverse vicende nelle quali, attraverso gli strumenti di tutela propri della legge n. 675, gli stessi hanno proposto istanze volte a conoscere l’origine dei dati che li riguardano, ad opporsi al loro ulteriore trattamento e, più in generale, a denunciare l’asserita violazione dei limiti posti al diritto di cronaca in relazione alla tutela della riservatezza personale (limiti enunciati nell’art. 25 della legge n. 675 e specificati nel relativo codice deontologico pubblicato sulla Gazzetta Ufficiale del 3 agosto 1998). Come in passato, le vicende portate all’attenzione dell’Autorità hanno riguardato sia trattamenti svolti a mezzo di pubblicazioni a stampa, sia trasmissioni radio-televisive.

Quanto agli specifici diritti fatti valere si segnala in particolare la pronuncia dell’11 luglio 2002 con la quale il Garante -nell’accogliere parzialmente un ricorso proposto nei confronti di alcune testate giornalistiche in relazione ad alcuni articoli di cronaca che fornivano numerosi dettagli sugli interessati- ha messo in luce il mancato rispetto dei principi dell’essenzialità rispetto a fatti di interesse pubblico, con particolare riferimento alla pubblicazione delle generalità complete dei ricorrenti e del loro domicilio che, nel caso di specie, non erano indispensabili ai fini dell’intelligibilità e dell’efficacia informativa della notizia.

Significativa è stata anche la decisione del 19 dicembre 2002 con la quale il Garante, accogliendo un ricorso proposto in via d’urgenza da un’associazione costituita per tutelare i diritti delle vittime del terremoto verificatosi il 31 ottobre 2002 a San Giuliano di Puglia, ha riconosciuto l’illiceità dell’acquisizione e della successiva pubblicazione delle immagini dei bambini deceduti nel crollo della scuola del paese, immagini che risultavano raccolte, senza il consenso dei genitori, presso le tombe ove le quali le famiglie le avevano esposte, tra l’altro in modo ancora provvisorio.

Con decisione del 31 luglio 2002 è stato poi precisato che anche il trattamento di dati personali svolto tramite un sito Internet rientra nella sfera di applicazione della legge n. 675/1996 e ricade nella fattispecie disciplinata dall’art. 25, comma 4 bis, della medesima legge.

Messi a fuoco negli anni scorsi i principali problemi interpretativi connessi alle disposizioni procedurali in materia di ricorsi di cui al d.P.R. n. 501/1998, sono emersi nel periodo più recente profili nuovi e specifici sui quali il Garante nel corso del 2002 ha preso posizione con interventi significativi.

Con decisione del 4 luglio 2002 l’Autorità ha dichiarato inammissibile un ricorso munito di sottoscrizione non autenticata apposta da una persona che risultava iscritta nel registro speciale dei laureati in giurisprudenza che svolgono pratica nei termini previsti dal r.d.l. n. 1578 del 1933.

Al riguardo è stata sottolineata la necessità, ai sensi dell’art. 18, comma 1, del citato d.P.R.

n. 501/1998, che il ricorso rechi la sottoscrizione del ricorrente o del procuratore speciale autenticata nelle forma di legge o che, ai sensi del comma 2 del medesimo articolo, la sottoscrizione sia apposta presso l’Ufficio “da un procuratore speciale iscritto all’albo degli avvocati e al quale la procura sia stata conferita ai sensi dell’art. 83 del codice di procedura civile”.

Con la decisione adottata il 22 ottobre 2002 è stato poi ricordato che, ai sensi dell’art. 17 del d.P.R. n. 501/1998 la persona che agisce su incarico dell’interessato -in sede di esercizio dei diritti di cui all’art. 13 della legge n. 675- deve esibire o allegare copia della procura o della delega recante sottoscrizione autenticata nelle forme di legge.

Nel caso di specie non risultava che, all’epoca della proposizione dell’istanza ex art. 13, tali atti fossero stati allegati, né, pur in presenza di specifica istanza del resistente, tale delega o procura anteriore all’istanza medesima era stata prodotta in atti con il ricorso o durante il procedimento.

Anche nel corso del 2002 è stato molto contenuto il numero delle decisioni dell’Autorità che sono state oggetto di opposizione in tribunale secondo la procedura delineata dai commi 6 e 7 dell’art. 29 della legge n. 675. In proposito va ricordata la sentenza n. 7341/2002 della prima sezione civile della Corte di cassazione. Con tale pronuncia la Suprema Corte -sciogliendo autorevolmente un dubbio che aveva dato luogo a contrastanti decisioni a livello di merito- ha precisato che “il ricorso al giudice ordinario in opposizione al provvedimento del Garante non può essere inteso che come primo rimedio giurisdizionale a disposizione del soggetto che si pretende leso dall’atto del Garante”. Pertanto l’Autorità può partecipare al giudizio di impugnativa di un proprio atto quale che sia stato il procedimento che lo ha preceduto per far valere davanti al giudice lo stesso interesse pubblico a tutela del quale l’Autorità agisce.

Coerentemente con questa impostazione l’Autorità si è costituita in giudizio a difesa dei provvedimenti oggetto di opposizione in tribunale mirando sempre alla corretta interpretazione della legge sulla protezione dei dati personali e sottolineando altresì la valenza generale di molti dei problemi oggetto dei giudizi in questione.

R e l a z i o n e 2 0 0 2 1 4 1 Profili procedurali, impugnazione dei provvedimenti dell’Autorità Vanno altresì rimarcate due decisioni, adottate a seguito di opposizioni in tribunale, con le quali sono stati confermati precedenti provvedimenti del Garante adottati in relazione a ricorsi proposti ai sensi dell’art. 29 della legge n. 675/1996.

In particolare con decreto del 2 luglio 2002 il Tribunale di Bologna -in relazione alla richiesta di accesso al complesso dei dati personali proposta da un dipendente nei confronti del proprio datore di lavoro- ha confermato la precedente decisione del Garante specificando che i dati devono essere messi a disposizione in modo completo e intelligibile mediante estrapolazione degli stessi dai supporti sia cartacei sia informatizzati nei quali gli stessi sono conservati, “o mediante consegna di copia integrale dei dati stessi”. Nella stessa decisione il tribunale ha poi concluso nel senso che anche i giudizi valutativi riferiti ai dipendenti costituiscono dati personali agli stessi riferiti.

Con decisione del 31 luglio 2002 il Tribunale di Bergamo ha invece confermato tre decisioni del Garante del 19 febbraio 2002 che avevano affrontato ambiti e limiti dell’attività svolta dagli investigatori privati (sul punto v. Relazione 2001, pp. 58 e 101 e il paragrafo 30 della presente Relazione).

Tra i compiti del Garante previsti dall’art. 31 della legge 31 dicembre 1996, n. 675, vi è anche quello di controllare se i trattamenti sono effettuati nel rispetto delle norme di legge e di regolamento e in conformità alla notificazione.

A questa attività provvede in particolare il Dipartimento vigilanza e controllo il cui personale riveste, nell’esercizio dei poteri di accertamento previsti dalla legge, la qualifica di ufficiale/ agente di polizia giudiziaria.

Le attività ispettive sono costituite da accertamenti effettuati, direttamente dall’Ufficio ovvero, su suo incarico da altri organi dello Stato, nei luoghi dove si svolgono i trattamenti utilizzando i poteri previsti dall’art. 32 della legge 31 dicembre 1996, n. 675.

La scelta dello strumento potestativo da utilizzare per l’esercizio dell’attività di controllo, continua ad essere informata a principi di proporzionalità, adeguatezza e gradualità, tenendo presente, di volta in volta, il contesto operativo di riferimento (rischio di dispersione o alterazione degli elementi di prova) ed il profilo soggettivo del controllato in termini di collaboratività.

I controlli possono essere pertanto effettuati mediante: richieste, anche in loco, di informazioni ed esibizioni di documenti; accessi alle banche di dati o altre ispezioni e verifiche nei luoghi ove si svolge il trattamento o nei quali occorre effettuare rilevazioni comunque utili al medesimo controllo.

Le richieste di informazioni in loco vengono effettuate sulla base del disposto dell’art. 32, comma 1, della legge, hanno natura collaborativa e si svolgono con la presenza di funzionari nei luoghi dove si svolge il trattamento per procedere, di concerto con il titolare o il responsabile, all’acquisizione diretta di informazioni e di documenti. Si tratta di una procedura utilizzata sia quando sono necessarie descrizioni analitiche alle quali titolare e responsabile potrebbero avere difficoltà a rispondere in modo esaustivo, sia quando è necessario effettuare controlli incrociati rispetto a trattamenti di dati personali cui siano interessati più titolari.

Considerata la natura “collaborativa” di queste attività esse vengono di regola effettuate mediante preavviso. Attività ispettive e applicazione di sanzioni amministrative Tipologia degli accertamenti ispettivi e criteri adottati Gli accessi alle banche dati sono effettuati in base ai poteri dell’art. 32, comma 2, della legge. La norma fa riferimento anche ad “altre ispezioni e verifiche nei luoghi ove si svolge il trat – tamento o nei quali occorre effettuare rilevazioni comunque utili al medesimo controllo”. I funzionari incaricati possono pertanto procedere a rilievi e ad operazioni tecniche e possono estrarre copia di ogni atto, dato e documento, anche a campione e su supporto informatico o per via telematica. Questi tipi di controlli sono di regola disposti quando, per acquisire gli elementi necessari per la compiuta definizione del contesto, non è ritenuto opportuno procedere alla richiesta di informazioni o di esibizione di documenti, ovvero nei casi in cui non sono pervenute le informazioni o i documenti richiesti o, se pervenuti, sono ritenuti incompleti o non veritieri. A differenza del potere di cui al comma 1 dell’art. 32 della legge, quella prevista dal comma 2 del medesimo articolo è una potestà di tipo marcatamente inquisitoria ed “i soggetti interessati agli accertamenti sono tenuti a farli eseguire” (art. 32, comma 4 della legge 31 dicembre 1996, n. 675). L’ a c c e rtamento, come previsto dall’ a rt. 15, comma 5 del d.P.R. 31 marzo 1998, n. 501, è eseguito anche in caso di rifiuto e le spese in tal caso occorrenti sono poste a carico del titolare. Durante l’ a c c e rtamento il titolare o il responsabile possono farsi assistere da persone di loro fiducia. De l l’accesso è redatto sommario processo verbale nel quale sono annotate anche le eventuali dichiarazioni dei pre s e n t i .

L’esercizio del potere di accesso di cui all’art. 32, comma 2, è subordinato dalla legge alla previa autorizzazione del presidente del tribunale territorialmente competente (art. 32, comma 3, della legge), ma è esercitato anche in assenza di tale autorizzazione, qualora sia acquisito il preventivo assenso scritto e informato dei titolari o dei responsabili dei trattamenti (art. 15, comma 1, d.P.R. n. 501/1998).

Le ispezioni sono collegate a procedimenti amministrativi di controllo al termine dei quali l’Autorità:

– segnala, ai titolari o responsabili del trattamento dei dati, le modificazioni necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti; – contesta le sanzioni amministrative eventualmente rilevate; – invia, nei casi più gravi previsti dalla legge, una comunicazione di notizia di reato all’autorità giudiziaria per l’accertamento delle violazioni costituenti reato.

Nello svolgimento dell’attività ispettiva il Garante può avvalersi, ove necessario, della collaborazione di altri organi dello Stato e di fatto già da tempo si sono avute molteplici occasioni di collaborazione con le forze di polizia ed in particolare con la Guardia di finanza, (in ragione delle peculiari competenze nel campo delle attività di controllo in campo amministrativo proprie del Corpo) e con la con la Polizia postale e delle comunicazioni, (per quanto riguarda attività in ambito telematico).

Nell’ottica del potenziamento dell’attività di vigilanza e controllo pertanto, il 26 ottobre 2002 il Garante e la Guardia di finanza hanno siglato un protocollo d’intesa attraverso il quale è stata potenziata l’attività di collaborazione tra le due istituzioni.

Il protocollo prevede che la Guardia di finanza collabori alle attività ispettive del Garante in particolare attraverso:

– il reperimento di dati e informazioni sui soggetti da controllare; – la partecipazione di proprio personale agli accessi alle banche dati, ispezioni, verifiche e alle altre rilevazioni nei luoghi ove si svolge il trattamento; – l’assistenza nei rapporti con l’autorità giudiziaria; – lo sviluppo di attività delegate o sub-delegate per l’accertamento delle violazioni di natura penale e amministrativa; – l’esecuzione di indagini conoscitive sullo stato di attuazione della legge in determinati settori.

Il reparto competente a ricevere le richieste di collaborazione è il Comando unità speciali con sede a Roma il quale, in ragione della natura della richiesta, può procedere direttamente o interessare i reparti del Corpo territorialmente competenti.

Successivamente al perfezionamento del protocollo di intesa, nel mese di gennaio del 2003, è stata effettuata un’intensa attività di formazione del personale del Corpo destinato a svolgere in via continuativa l’attività di collaborazione (venti unità circa tra ufficiali, ispettori e sovrintendenti).

La formazione ha riguardato tutti i principali campi di applicazione della legge ed è stata concepita per consentire, sin da subito, nonostante l’elevato grado di tecnicismo che caratterizza la materia della tutela dei dati personali, il più efficace impiego delle risorse nelle attività ispettive ed agevolare le sinergie informative tra il Garante ed il Corpo.

La collaborazione con la Guardia di finanza si è dimostrata immediatamente proficua sia nella fase preparatoria degli interventi più delicati, grazie alle capacità investigative proprie del Corpo, sia nella fase esecutiva con l’esecuzione, pure in un arco limitato di tempo, di 8 interventi di cui 4 in collaborazione.

La collaborazione con organi dello Stato. Il protocollo d’intesa con la Guardia di finanza Proficua è stata anche la collaborazione avviata con la Polizia postale, per quanto riguarda gli accertamenti effettuati nei confronti di titolari di trattamenti di dati personali che utilizzano Internet come dimostra la prima operazione, effettuata nel mese di luglio del 2002, in cui si è proceduto alla notifica di provvedimenti di blocco del trattamento dei dati personali contenuti nei data-base di sette società responsabili di “spamming” (pratica di inviare via e-mail informazioni pubblicitarie e commerciali indesiderate utilizzando indirizzi di posta elettronica senza il consenso degli interessati).

Assai significative sono risultate anche le collaborazioni e i flussi informativi ricevuti dall’Arma dei carabinieri.

La collaborazione con le forze di polizia, che sarà ulteriormente intensificata nel prossimo anno, ha così costituito un importante elemento di rafforzamento dell’efficacia dell’azione di tutela dei diritti dei cittadini che passa anche attraverso una più intensa attività di vigilanza e controllo.

L’attività ispettiva effettuata nel periodo di riferimento è stata pari a 40 controlli effettuati nei confronti di soggetti pubblici (9) e privati (31) ed è stata effettuata con i poteri previsti dall’art.

32, comma 2, in 5 casi e con quelli di cui al 32, comma 1, nei restanti 35 casi.

Le ispezioni hanno riguardato:

– il riscontro di segnalazioni pervenute all’Ufficio (17 controlli); – autonomi accertamenti a seguito di ricorsi presentati al Garante sulla base dell’art. 29 della legge (12 controlli); – il riscontro dell’avvenuto adempimento di deliberazioni del Garante in seguito a ricorsi ex art. 29 della legge (1 controllo); – l’esecuzione di due indagini conoscitive, per verificare lo stato di attuazione della legge, con riferimento all’utilizzazione di impianti di video sorveglianza (5 controlli) e ai trattamenti di dati personali sensibili da parte dei comuni (5 controlli). Per quanto riguarda i controlli effettuati nell’ambito di queste indagini i soggetti controllati sono stati individuati tramite segnalazioni ricevute dall’Ufficio oppure, come nel caso dei comuni, con metodo casuale, attraverso un sorteggio che ha tenuto conto della collocazione geografica (comuni del centro-nord e comuni del centro-sud) e del numero di abitanti (fino a 20.000 abitanti, fino a 200.000, sopra i 200.000).

Il complesso di attività sopra descritto ha comportato l’avvio di diversi procedimenti amministrativi di controllo, alcuni dei quali ancora in corso, nei confronti dei soggetti ispezionati, con l’applicazione di numerose sanzioni amministrative, di due provvedimenti di blocco del trattamento di dati personali, nonché, in cinque casi, l’invio di segnalazioni all’autorità giudiziaria per le valutazioni in ordine alla sussistenza di violazioni costituenti reato relativamente alle ipotesi previste dall’art. 35, trattamento illecito di dati personali, dall’art. 36, omessa adozione di misure di sicurezza e dall’art. 37, inosservanza dei provvedimenti del Garante.

Tra le attività più significative realizzate si evidenzia quella che ha consentito di accertare l’illecito trattamento di dati personali effettuato da una società concessionaria del marchio relativo ai servizi di una “veggente” che adottava il sistema dell’acquisizione di dati personali attraverso la pubblicazione di coupon, privi di qualsiasi informativa e di richiesta di consenso, su giornali a grande diffusione.

L’ingente quantità di dati personali illegittimamente acquisita era stata poi oggetto di cessione all’estero nei confronti di società operanti anche al di fuori dell’Unione europea. Al riguardo il Garante oltre a disporre il blocco dei trattamenti dei dati illecitamente acquisiti, ha trasmesso copia del provvedimento anche all’omologa autorità australiana e tedesca, oltre che alla Federal trade commission degli Stati Uniti, per le iniziative di competenza nei confronti delle società cessionarie.

La programmazione delle ispezioni e i risultati Nella precedente Relazione erano state evidenziate, per quanto attiene alla potestà sanzionatoria del Garante, le principali modifiche apportate all’impianto della normativa sulla protezione dei dati personali dal decreto legislativo del 28 dicembre 2001, n. 467 (v. Relazione 2001, p. 107).

L’attività operativa effettuata in materia di sanzioni amministrative nel corso del 2002 è stata caratterizzata da un utilizzo di tale strumento più incisivo ed esteso.

Le attività di controllo e le indagini conoscitive effettuate d’ufficio, le segnalazioni inviate dagli interessati, i riscontri effettuati nell’ambito delle procedure attinenti ai ricorsi ex art. 29 della legge, hanno portato all’applicazione di alcune decine di sanzioni amministrative (per le quali per completezza si rimanda al prospetto analitico contenuto nel paragrafo “Dati statistici” della presente Relazione) nei confronti di altrettanti titolari del trattamento.

Esaminando nel dettaglio gli articoli di legge assistiti dalla previsione di una sanzione amministrativa -e per i quali è stata predisposta la preliminare contestazione- il più ricorrente è stato sicuramente quello che riguarda l’obbligo di fornire le preventive, necessarie, idonee informazioni all’interessato (art. 10, l. n. 675/1996) in ordine al quale sono stati emessi e notificate ventotto contestazioni a seguito di procedimenti di controllo avviati nei confronti di titolari del trattamento a seguito sia di segnalazioni inviate da interessati, sia all’esito di attività ispettive o indagini conoscitive promosse d’ufficio dal Garante.

A seguire, l’inadempimento a richieste di informazioni formulate dall’Ufficio (art. 32, comma 1, della medesima legge) è stato oggetto di tredici contestazioni mentre, per quanto concerne la comunicazione di dati attinenti allo stato di salute (art. 23, comma 2, l. cit.), a seguito della conclusione di due procedimenti ex art. 29 della legge, è stato accertato un trattamento effettuato in modo difforme dalla previsione normativa e, di conseguenza, si è proceduto alla contestazione della violazione medesima.

Infine, a seguito di due procedimenti amministrativi di controllo effettuati in conseguenza di una segnalazione e di un accertamento ispettivo, in materia di videosorveglianza, sono stati redatti due verbali di contestazione per notificazione incompleta (art. 34, l. cit) essendosi accertato, all’esito della verifica presso il registro generale dei trattamenti sulla notificazione inviata all’Ufficio ai sensi dell’art. 7 della legge, che il titolare aveva omesso di indicare tra le modalità di trattamento quella realizzata per mezzo appunto di sistemi di videosorveglianza.

Più contenuto rispetto alle contestazioni è stato il numero dei provvedimenti motivati di ordinanza-ingiunzione pagamento adottati (ai sensi dell’art. 18 della legge n. 689/1981), con deliberazione dell’Autorità. L’attività sanzionatoria del Garante Anche questo dato può essere considerato particolarmente indicativo dell’atteggiamento dei titolari che, nella stragrande maggioranza dei casi, una volta fatti oggetto di preliminare accertamento e contestazione da parte dell’Ufficio, hanno preferito avvalersi della facoltà di effettuare il pagamento in misura ridotta e conseguentemente rendere conforme alle disposizioni di legge e di regolamento il trattamento di dati personali effettuato nell’ambito delle loro attività istituzionali.

Al riguardo, in occasione di controlli amministrativi effettuati nell’ambito di proprie attività istituzionali, altri organi dello Stato (Carabinieri, Guardia di finanza e Polizia di Stato), hanno preliminarmente rilevato e provveduto a contestare ai trasgressori violazioni della normativa sulla protezione dei dati personali, inviando all’Autorità il rapporto (ai sensi dell’art. 17 della legge n. 689/1981) necessario all’adozione del provvedimento di ordinanza-ingiunzione.

In ordine a ciò preme sottolineare il maggiore livello qualitativo delle attività poste in essere in materia dagli organi sopra citati, che testimonia l’attenzione e la sensibilità istituzionale posta riguardo alla normativa sulla protezione dei dati personali.

Con riguardo alle risultanze di detta attività, a prescindere dai procedimenti che sono in corso a quelli attivati nei primi mesi del 2003, si rileva che i trasgressori destinatari delle contestazioni, in oltre il settanta per cento dei casi, si sono avvalsi della facoltà di effettuare il pagamento in misura ridotta (art. 16 della legge n. 689/1981). L’ammontare delle somme pagate a titolo di contestazioni di sanzioni amministrative nell’anno 2002 è pari a ¤ 73.336,94.

Per quanto riguarda i prov vedimenti di ordinanza-ingiunzione adottati, si rileva che in un solo caso è stata proposta un’infondata impugnazione (ai sensi dell’ a rt. 22-b i s della legge n. 689/1981) innanzi ad un giudice di pace che si è all’esito dichiarato incompetente per t e r r i t o r i o. L’ Autorità, presentando memoria di costituzione ha esercitato la facoltà di stare in giudizio personalmente ai sensi dell’ a rt. 23 della citata legge.

Per quanto attiene invece gli altri provvedimenti di ordinanza-ingiunzione, che non sono stati impugnati, si sta predisponendo quanto necessario per il recupero forzato delle somme ai sensi dell’art. 27 della legge n. 689/1981.

In linea con l’obiettivo di promuovere una sempre più estesa cultura del rispetto e di rendere, al contempo, quanto più trasparente l’attività svolta, l’Autorità ha mantenuto un elevato livello di produzione di informazione, fornendo a cittadini, imprese, istituzioni un costante flusso di informazioni riguardo alle tematiche sulle quali si incentra l’azione del Garante (prime fra tutte, la salvaguardia della libertà e della dignità della persona, la gestione trasparente delle banche dati, l’uso non discriminatorio delle informazioni personali, specie di quelle più delicate) e gli strumenti attuativi delle norme.

Particolare significato ha assunto l’impegno costante dell’Autorità volto alla definizione di regole e cautele per l’utilizzo sempre più diffuso delle tecnologie di sorveglianza e dei nuovi sistemi di comunicazione, sia da parte di privati cittadini, sia da parte di imprese e pubbliche amministrazioni, così come l’attenzione posta ai rischi che possono derivare per la liberà delle persone dalle indagini genetiche, dalla raccolta dei dati on line, dalla localizzazione.

La ricerca di un corretto ed equilibrato rapporto tra sicurezza collettiva e tutela della riservatezza dell’individuo, anzitutto alla luce dei cambiamenti sociali intervenuti dopo l’11 settembre, ha connotato anche nel 2002 l’azione dell’Autorità, sia in ambito nazionale, sia in sede internazionale.

Con l’obiettivo di “comunicare” la privacy, l’Autorità ha mantenuto la scelta di affidare la sua informazione ad un linguaggio rigoroso ed insieme attento ad una funzione divulgativa, teso a ricordare a pubbliche amministrazioni e mondo dell’impresa, da una parte gli obblighi imposti dalla legge n.675/1996 e, dall’altra, la necessità di considerare la privacy più una risorsa che un ostacolo allo sviluppo di un più proficuo e corretto rapporto con cittadini, utenti, consumatori.

Gli aspetti ai quali i mass media hanno dedicato più spazio sono stati quelli relativi alle violazioni della privacy in rete e nel settore delle telecomunicazioni (in particolare lo spamming) e alle tutele messe in campo dalla disciplina sulla protezione dei dati personali, ai rapporti tra diritto di cronaca e dignità delle persone, alla protezione dei minori sia on line che off-line, alla tutela dei consumatori (specie per il credito al consumo), ai test genetici, alla videosorveglianza, ai previsti codici deontologici (primo fra tutti quello per Internet).

Nel periodo dal gennaio 2002 al marzo 2003, sulla base della rassegna stampa prodotta dall’Ufficio, le pagine dedicate alle tematiche della privacy dai maggiori quotidiani e periodici nazionali sono state circa 5000, delle quali oltre 1900 (compresi quotidiani internazionali) dedicate specificamente all’attività del Garante. Le prime pagine dedicate ai temi della privacy sono state circa 750. Numerose sono state le interviste pubblicate sulla carta stampata, su tv e radio, nazionali e locali, e diverse su pubblicazioni on line.

Attività di inform a z i o n e e comunicazione Profili generali La tipologia dei prodotti informativi è stata ampia e differenziata.

La Newsletter settimanale è al suo quarto anno di pubblicazione. Affiancando la comunicazione tradizionale, realizzata attraverso comunicati stampa, con un’informazione di tipo più ampio e approfondito, la Newsletter si è rivelata, oltre che uno strumento di comunicazione, una sorta di “archivio” di consultazione relativamente ai diversi ambiti di applicazione della legge n. 675 e ai variegati aspetti connessi con la tutela della riservatezza sui quali l’Autorità è intervenuta. La possibilità di consultare la Newsletter on-line ha facilitato la diffusione delle informazioni.

Le Newsletter diffuse tra il 1° gennaio 2002 e il 30 aprile 2003 sono state 60, mentre i comunicati stampa 46.

Nel 2002, è giunto alla sua settima edizione l’archivio digitale ipertestuale “Cittadini e Società dell’informazione”, che contiene in forma integrale e nell’originale veste editoriale, la documentazione relativa all’attività del Garante, alla normativa nazionale ed internazionale di riferimento, alle pubblicazioni realizzate. Il CD-Rom, che consente una consultazione con funzioni di ricerca “full-text”, è stato inviato gratuitamente in questa prima fase e rappresenta uno strumento ormai conosciuto e costantemente richiesto da parte di amministrazioni pubbliche, imprese, liberi professionisti e semplici cittadini. Le copie pubblicate sono state 8000.

Le recenti edizioni presentano, oltre che una nuova impostazione grafica in linea con la corporate identity studiata appositamente per il Garante, anche miglioramenti tecnici che ne rendono ancora più funzionale l’uso e un “glossario” esplicativo delle voci principali e delle definizioni presenti nella l. n. 675/1996.

Tra le attività di comunicazione il Bollettino che ha raggiunto il numero 28 e raccoglie i provvedimenti del Garante, la normativa emanata in materia, i comunicati stampa ed altra documentazione.

La necessità di sviluppare una quanto più diffusa conoscenza delle norme sulla privacy e dei diritti oggi riconosciuti ai cittadini, ha spinto l’Autorità a sviluppare sempre nuove modalità di informazione: oltre all’uso degli strumenti di comunicazione già realizzati -da quelle tradizionali (comunicati stampa, newsletter, conferenze stampa) a quelle multimediali ed interattive- l’Autorità ha dato vita ad un bimestrale, “Garanteprivacy.it”, destinato a personalità del mondo imprenditoriale ed istituzionale, caratterizzato da una comunicazione agile ed essenziale, in grado di sottolineare l’attività dell’Autorità nei diversi settori di intervento.

Inoltre, allo scopo di contribuire in maniera fattiva all’approfondimento dei temi legati alla privacy e ai principi posti dalla normativa nazionale e comunitaria, il Garante ha deciso di dar vita ad una collana di pubblicazioni che ospiteranno contributi dedicati di volta in volta ad un argomento legato alla propria attività. Sono in preparazione già alcuni volumi, tra i quali quello dedicato ai rapporti tra diritto di cronaca e tutela della riservatezza, ed un massimario relativo ai provvedimenti adottati dal Garante nel primo quadriennio di attività.

Un’attività di massimazione è stata avviata ed esplicata, in chiave tecnico-giuridica sebbene in forma non ufficiale, per i molti provvedimenti emessi nel corso degli anni, preordinata alla formazione di una rassegna di giurisprudenza che, attraverso un’articolazione in voci e sottovoci, permetta la rapida e corretta individuazione degli argomenti trattati e delle decisioni assunte. L’opera, che arricchirà il panorama delle pubblicazioni e la cui edizione, anche su supporto informatico, è imminente, si indirizza in particolar modo ad una platea di utenti costituita da giuristi, operatori del diritto, ordini professionali, imprese, istituzioni pubbliche e private, fornendo un punto di riferimento anche per la consultazione del testo ufficiale e integrale delle decisioni.

Il rapporto diretto con la società riveste un’importanza fondamentale per l’Autorità che, fin dall’inizio della sua attività, ha inteso presentarsi come un’istituzione vicina ai cittadini, presidio dei nuovi diritti della persona, ed attenta alle nuove frontiere della protezione dei dati personali.

La messa a disposizione sul sito di una notevole quantità di documentazione, con continui aggiornamenti in tempo reale, ha avuto, comunque, un parziale effetto deflattivo sul numero dei contatti telefonici giornalieri. In questo senso, il recente avvio dell’Urp ha consentito di offrire al pubblico, in collegamento con un call center, non solo un contributo di chiarificazione e supporto, ma anche di favorire ulteriormente modalità di interazione ancora più funzionali e dirette con tutti i cittadini che avranno bisogno di informazioni, strumenti illustrativi e divulgativi, così sviluppando un flusso costante di informazione verso l’esterno e consentendo, nello stesso tempo, l’acquisizione di problematiche ed esigenze provenienti dalla società civile, dal mondo delle imprese, dalla ricerca, dalle pubbliche amministrazioni.

L’impegno per una comunicazione efficace e quanto più capillare ha trovato concreta attuazione nella realizzazione della campagna di informazione istituzionale, attraverso la produzione di uno spot televisivo e radiofonico, trasmesso dalle tre reti Rai nel marzo 2003, e da altre emittenti televisivi nei mesi successivi, incentrato sul concetto di dato personale in quanto “valore” da proteggere e sul diritto attribuito al cittadino di decidere liberamente e consapevolmente la circolazione delle informazioni che lo riguardano.

Il progetto di comunicazione istituzionale, realizzato in proprio dall’ Autorità, nasce dall’ e s igenza di re a l i z z a re una campagna di comunicazione istituzionale allo scopo di pro m u ove re pre s s o i cittadini la conoscenza dei nuovi diritti riconosciuti dalla normativa sulla p r i va c y. Questo obiett i vo rientra specificamente tra i compiti affidati al Garante dalla stessa l. n. 675/1996. La scelta del mez zo televisivo, in part i c o l a re, accoglie l’indicazione fornita da un’indagine, a suo tempo s volta dal Garante in collaborazione con una società specializzata, dalla quale era emerso che il grande pubblico privilegia nell’ a p p roccio alle problematiche della p r i va c y il mez zo televisivo.

L’ iniziativa pone le sue basi su una duplice esigenza: a) raggiungere, senza mediazione giornalistica e con un messaggio diretto, semplice ed incisivo, l’opinione pubblica; b) rendere chiare le novità, in termini di diritti e crescita sociale, della legge sulla protezione dei dati personali.

L’attività dell’Autorità collegata ai seminari, convegni e altre iniziative ha visto, nel corso del 2002 e nei primi mesi del 2003, una serie di importanti occasioni di confronto e approfondimento.

In linea con l’obiettivo di promuovere la conoscenza della legge e di diffonderla presso cittadini ed operatori pubblici e privati, il Garante ha confermato la sua presenza in importanti manifestazioni con il proprio stand e con la partecipazione dei rappresentanti a dibattiti e convegni.

Il Forum P.A. edizione 2002, svoltosi a Roma dal 6 al 10 maggio, ha visto la partecipazione del vicepresidente Giuseppe Santaniello al convegno su “Lo sviluppo della società dell’informazione in Italia” e del Segretario generale, Giovanni Buttarelli, a quello dedicato a sicurezza e tutela della privacy. Lo stesso Buttarelli ha tenuto un corso di formazione per amministratori pubblici dedicato a protezione dei dati personali e pubblica amministrazione.

L’ Autorità è stata anche presente al Com-P.A., Salone della comunicazione pubblica, s voltosi a Bologna dal 18 al 20 settembre 2002. Gaetano Rasi ha preso parte al dibattito su ” E – g ove rnment: la nuova fro n t i e ra della P. A .”, mentre Ma u ro Paissan è intervenuto al convegno su ” In n ovazione tecnologia e innovazione culturale nei new media:verso la e-society”.

Gi ovanni Bu t t a relli ha preso parte alla tavola rotonda su ” Ca rta di identità elettronica e firm a digitale: dalla sperimentazione ai serv i z i”.

Il Com-P.A. 2002 ha offerto l’occasione per illustrare l’attività del Garante ed il suo ruolo nella realizzazione dell’e-society. Ha permesso, inoltre, di fare il punto sullo stato di attuazione della legge sulla protezione dei dati personali dopo introduzione del decreto legislativo 467/2001 e di affrontare alcune tematiche legate ai settori delle telecomunicazioni e di Internet a pochi mesi dall’entrata in vigore, il 31 luglio, della nuova direttiva 2002/58/CE sulla privacy nelle comunicazioni elettroniche.

Da sottolineare che al Garante per la protezione dei dati personali è stato assegnato dalla giuria del premio Diritto all’informazione, il Premio Qualità Com-P.A. 2002 “per gli interventi di promozione e diffusione del valore privacy”. Il riconoscimento viene assegnato alle amministrazioni e alle aziende che nell’ambito del Salone di Bologna si distinguono per progetti e presentazioni di qualità nel campo dell’innovazione e della comunicazione pubblica. La cerimonia di premiazione si è svolta venerdì 20 settembre a conclusione dell’evento.

Nell’ambito di Smau 2002, svoltosi a Milano dal 24 al 28 ottobre, Mauro Paissan ha partecipato al convegno su “Internet e il cittadino”. La partecipazione a Smau ha consentito di affrontare le problematiche connesse alla protezione dei dati personali e ai nuovi diritti nella e-society.

Seminari, convegni ed altre iniziative Per quanto riguarda l’attività internazionale, va ricordata innanzitutto la partecipazione alla Conferenza di primavera delle Autorità europee per la privacy, svoltasi a Bonn il 25 e 26 aprile (v. par. 89). Per il Garante italiano erano presenti il presidente Stefano Rodotà, i componenti Gaetano Rasi e Mauro Paissan e il segretario generale Giovanni Buttarelli. La sessione d’apertura è stata dedicata alle conseguenze dei tragici eventi dell’11 settembre 2001: nuove norme sulla sicurezza e diritti dei cittadini alla protezione dei dati personali, un rapporto delicato.

Altri temi trattati, le procedure di identificazione biometrica, la collaborazione con i paesi dell’Est: i programmi di informatizzazione della pubblica amministrazione, i processi di certificazione della politica della privacy di imprese e altri soggetti.

Sempre ad aprile si è svolta a S.Francisco la XII Conferenza internazionale su “Computers, Freedom & Privacy”. La CFP Conference rappresenta da tempo un appuntamento importante per la comunità degli studiosi e degli operatori della privacy di tutto il mondo. Per l’Autorità italiana ha partecipato quest’anno alla CFP Conference Gaetano Rasi. Riallacciandosi ai temi riguardanti i nuovi diritti e le nuove libertà nella rete, il ruolo dei consumatori, lo sviluppo del commercio elettronico, e il ritardo da parte di imprese e organizzazioni in generale nel costruire programmi di protezione dei dati personali, Rasi ha affermato come la privacy si caratterizza sempre di più come criterio di qualità per le imprese.

Dal 9 all’11 settembre del 2002 l’Autorità ha partecipato alla XXIV Conferenza internazionale delle Autorità garanti, svoltasi a Cardiff con oltre 25 Paesi provenienti dai diversi continenti per discutere su temi cruciali quali l’uso delle nuove tecnologie, l’e-government le misure per bilanciare la sicurezza sociale e privacy. Aprendo la sessione finale, Rodotà ha posto l’accento sul ruolo imprescindibile svolto dalle autorità indipendenti nell’assicurare la tutela dei diritti fondamentali in una realtà dominata dai rischi derivanti dal massiccio uso delle tecnologie dell’informazione e della comunicazione e dalla costruzione di grandi banche dati.

L’Autorità era rappresentata dal presidente Stefano Rodotà, dai componenti Gaetano Rasi e Mauro Paissan e dal segretario generale, Giovanni Buttarelli.

Il vice presidente dell’Autorità, Giuseppe Santaniello, ha tenuto il 7 ottobre all’Istituto italiano di cultura di Berlino una conferenza dedicata al sistema di garanzie a tutela della privacy introdotto nel nostro Paese dalla legge n. 675 del 1996. L’iniziativa si inserisce nel ciclo di conferenze sulla tutela della riservatezza dei dati personali presso i più importanti istituti di cultura italiani all’estero (la precedente conferenza si era svolta a Madrid) e rientra nei compiti di promozione della conoscenza, presso i cittadini, delle norme sulla privacy che il Garante è chiamato a svolgere, ma che assume, come in questo caso, un particolare rilievo per i suoi aspetti culturali e sociali.

Nel marzo 2002, Stefano Rodotà ha guidato una delegazione formata da rappresentanti delle autorità di protezione dati europee in visita ufficiale a Washington. Scopo della visita era quello di favorire la cooperazione fra USA ed Europa anche alla luce dell’accordo di Safe Harbor (“porto sicuro”), raggiunto nel 2000, e di raccogliere informazioni e spunti per l’attività futura del Gruppo che riunisce tutte le autorità per la protezione dei dati personali nell’Ue ed è presieduto dallo stesso Rodotà. Della delegazione italiana hanno fatto parte anche il componente dell’Autorità, Mauro Paissan, e il segretario generale, Giovanni Buttarelli.

Tra i diversi convegni nazionali ai quali l’Autorità ha preso parte vanno ricordati il convegno su “Etica in Internet” (Roma, 28 febbraio 2003, al quale ha partecipato il Presidente Stefano Rodotà; il convegno organizzato dal Ministro dell’innovazione e le tecnologie “Chi ha paura della rete? Per un uso consapevole di Internet” (Roma, 29 maggio 2002) al quale ha partecipato Gaetano Rasi; il convegno organizzato dalla Federazione Nazionale della Stampa (Gubbio, 18 al 20 ottobre 2002), dedicato a “Il riassetto del sistema radiotelevisivo italiano.

Pluralismo, concorrenza, incroci editoriali. Quale garanzia per l’informazione?”, al quale ha partecipato Mauro Paissan.

Nel quadro dell’attenzione rivolta al mondo dei media, il Garante ha organizzato il 30 ottobre un incontro con tutti direttori della maggiori testate nazionali, della carta stampata della radio e delle televisioni, allo scopo di un confronto costruttivo sulle esigenze di rispetto delle persone poste al mondo dell’informazione dalle norme sulla tutela della riservatezza.

Il 5 e 6 dicembre 2002 si è tenuta, poi, a Roma, organizzata dal Garante, la Conferenza internazionale “Privacy, Cost to Resource – Privacy, da costo a risorsa”. La Conferenza ha rappresentato un’occasione di proficuo confronto relativamente all’impatto che le norme sulla pri – vacy hanno avuto sul mondo delle imprese. Oltre 40 relazioni e più di 200 partecipanti (fra i quali molti esponenti del mondo imprenditoriale) hanno esaminato le opportunità che la tutela della privacy offre al settore economico. La Conferenza ha sottolineato che la protezione dei dati personali costituisce la chiave di volta per coniugare rispetto di diritti fondamentali e sviluppo economico attraverso un rapporto corretto fra imprese e cittadini.

Il nuovo sito Internet dell’Autorità Il 24 marzo 2003 è stato messo on line il nuovo sito dell’ Autorità all’ i n d i r i z zo w w w. g a ra n t e p r i va c y. i t o w w w. d a t a p ro t e c t i o n . o r g. La precedente versione, essendo in corso il trasferimento della base dati documentale, è ancora consultabile all’ i n d i r i z zo w w w 2 . g a ra n t e p r i va c y. i t.

La pre s e n tazione del sito è coincisa con la messa in onda della prima campagna informativa istituzionale del Garante: lo spot televisivo e radiofonico “LA NOSTRA FIRMA, NON È UNA FIRMETTA! “.

La filosofia progettuale del sito si fonda sulla radicale modifica dell’attuale modalità di navigazione e si caratterizza per la presenza di un diverso motore di ricerca e per i criteri di usabilità (anche in modalità “solo testo”, con browser diversi anche non recenti e multi-piattaforma), non utilizzando immagini in movimento e frame.

L’uso di tali accorgimenti rende fruibili le informazioni del sito agli utenti ipovedenti e non vedenti.

Sino a ieri i provvedimenti erano suddivisi per tipologia di atto; oggi, grazie ad una più ampia marcatura tecnico-giuridica del documento ed all’adozione di uno schema di classificazione per materia, la navigazione “a vista” è intuitiva ed efficace. I provvedimenti sono presentati in ordine cronologico e visualizzati in una nuova finestra, accompagnati dalla consueta massima giornalistica, dal collegamento ipertestuale con documenti correlati, dall’indicazione bibliografica di pubblicazione nel Bollettino e dall’eventuale richiamo al comunicato stampa o Newsletter.

Il reperimento dei documenti è affidato ad una funzione di “ricerca semplice” per parole in modalità full text, attivabile direttamente dalla Home Page, mentre la ricerca avanzata presenta una maschera articolata che consente la ricerca attraverso l’incrocio di più canali che disegnano le caratteristiche specifiche della base dati: full text in and/or/not -anche circoscritta al solo titolo o alla massima-, per estremi di pubblicazione, secondo lo schema di classificazione per materia, per tipologia di atto, per range di data, oppure per numero di documento (ID).

Un’altra importante novità è rappresentata dall’assegnazione a ciascun documento di un ID numerico, univoco e permanente che ne renderà più agevole il reperimento e consentirà una piena adesione al progetto NormeinRete (www.normeinrete.it), punto di accesso unitario alla normativa italiana ed europea pubblicata nei siti web istituzionali.

Le funzionalità del motore di ricerca sono esaltate dalla presenza del Thesaurus giuridico che -sempre attivo nei canali full text- valuterà il testo inserito dall’utente secondo la catena sintagmatica e la relazione logica tra le parole (sinonimi, termini collegati ecc.), proponendo come risultato della ricerca tutti i provvedimenti collegati (ad esempio, digitando la parola “telefonino” si possono ottenere le informazioni in tema di Sms (Short message service) e Mms (Multimedia messaging service). La costruzione ed implementazione del Thesaurus, sarà curata giorno per giorno dalla redazione del sito seguendo l’evoluzione linguistica, dei costumi, della tecnologia, della tecnica di normazione, mantenendo costante il rigore tecnico-giuridico proprio della base documentale.

Tra i principali servizi che sono già disponibili nel nuovo sito, spicca la possibilità di utilizzare un protocollo di transazione sicura con carta di credito. Il Garante, prima amministrazione ad aver sottoscritto tale accordo, attiverà fra breve la riscossione dei diritti di segreteria per ricorsi e notificazioni e l’iscrizione a congressi o convegni.

Le altre novità del nuovo progetto sono la costruzione di una specifica area “Pubblicazioni” dove troveranno posto anche contributi giuridico-divulgativi in formato audio/video sulle principali tematiche affrontate dal Garante, distribuiti attraverso uno specifico video server; il servizio di inoltro della Newsletter settimanale via e-mail che consentirà una tempestiva informazione sulle attività e decisione dell’Autorità.

Di particolare rilievo è la pagina relativa alla “Privacy policy” del sito (ID=36573), in cui si rende l’informativa generale sulle modalità, logica e finalità del trattamento dei dati di navigazione, dei dati conferiti volontariamente dagli utenti, specificando e sulle modalità di uso dei “cookies”. Specifiche informative vengono, poi, rese in ogni pagina di avvio dei distinti servizi o “form” di registrazione.

L’infrastruttura tecnologica sottostante al sito è altresì utilizzata come Intranet aziendale. La piattaforma di amministrazione è il punto di gestione di varie basi di dati strutturate. Ogni dipartimento/servizio, attraverso un sofisticato sistema di privilegi di accesso e l’applicazione di specifici workflow, può contribuire direttamente al “popolamento” di tali banche dati inserendo i contenuti attraverso una semplice interfaccia web oriented, ovvero rendendo disponibili i files grazie ad una veloce ed efficiente rete locale.

La redazione del sito -che verrà a breve potenziata- cura l’intero ciclo di lavorazione tecnicogiuridica sino alla messa on line nell’Intranet aziendale e alla pubblicazione nel sito Internet; provvede inoltre ad allestire le pubblicazioni istituzionali dell’Ufficio licenziando la versione tipografica del Bollettino e delle relazioni annuali.

L’attuazione del disegno organizzativo delineato dal regolamento n. 1/2000 sul funzionamento e l’organizzazione dell’Ufficio del Garante ha permesso una più efficiente ed efficace azione istituzionale ed il raggiungimento di positivi risultati. Il processo di consolidamento della struttura organizzativa dell’Autorità, avviato negli anni precedenti, è proseguito nel 2002 con il miglioramento delle condizioni di operatività delle unità organizzative di primo livello (dipartimenti e servizi) e la progressiva assegnazione ad esse delle risorse umane che via via si sono rese disponibili all’esito delle diverse pro c e d u re concorsuali e selettive indette dall’Autorità.

Parallelamente a tale processo è emersa l’esigenza di una riflessione finalizzata al potenziamento della struttura organizzativa dell’Ufficio, che ha tratto spunto anche dai documentati studi di due società di consulenza le quali hanno offerto un valido contributo conoscitivo oggetto di attenta analisi da parte dell’Autorità.

Ha preso così forma un disegno di consolidamento che, sulla base dell’esperienza maturata in sede di prima applicazione del regolamento n. 1/2000, ridelinea in termini innovativi alcuni aspetti dell’organizzazione dell’Ufficio del Garante, anche in vista dei nuovi compiti demandati all’Autorità dal d.lg. n. 467/2001.

Il progetto di reengineering si articola in due interventi: a) completamento di un ampio processo di ricognizione e di delega di funzioni e poteri amministrativi ai dirigenti in servizio e definizione delle rispettive sfere di autonomia e responsabilità, anche sulla base di una direttiva del segretario generale per la gestione amministrativa e contabile intesa ad indirizzare ed uniformare i comportamenti amministrativi; ciò in conformità alle disposizioni regolamentari contenute nei regolamenti n. 1/2000 (concernente il funzionamento e l’organizzazione) e n.

3/2000 (sull’amministrazione e la contabilità); b) individuazione di un nucleo funzionale di coordinamento amministrativo presso la segreteria generale al quale saranno assegnate due nuove figure dirigenziali (“direttore di gestione” e “direttore del supporto”) cui saranno delegati compiti di coordinamento di individuati settori di attività e l’attuazione di progetti di particolare interesse per l’Autorità. La gestione amministrativa dell’ Ufficio I regolamenti del Garante e la nuova organizzazione dell’Ufficio Con tali limitati, ma significativi interventi organizzativi l’Autorità si propone di sperimentare una più equilibrata articolazione e distribuzione delle competenze operative e decisionali e un più incisivo coordinamento, lasciando inalterata la peculiarità di un modulo organizzativo caratterizzato da elevata flessibilità, come evidenziato nella Relazione 2001.

L’attuazione delle scelte organizzative prima illustrate è in via di completamento. In particolare sono stati conferiti i previsti poteri decisionali alle unità organizzative esistenti ed è stata definita la menzionata direttiva sull’amministrazione e la gestione delle spese; si è inoltre con- clusa la selezione pubblica (indetta con avviso pubblico pubblicato sulla G.U. – 4a serie speciale – n. 91 del 19 novembre 2002) per il reclutamento del direttore di gestione con l’individuazione del candidato a tale incarico.

L’individuazione della figura di direttore del supporto all’attività giuridica è stata, invece, preceduta da un interpello dei dirigenti in servizio presso l’Ufficio e le relative procedure sono in corso di svolgimento.

Nel quadro delle iniziative per migliorare efficienza, efficacia ed economicità dell’azione amministrativa, contestualmente all’approvazione del bilancio di previsione il Garante ha definito, avvalendosi dei contributi delle unità organizzative, i principali obiettivi e risultati che esse saranno chiamate a realizzare, i progetti di miglioramento e le priorità per il 2003, in conformità alle disposizioni regolamentari.

La direttiva del Garante è seguita da ulteriori atti di indirizzo del segretario generale per specificare tempi e modalità di attuazione dei programmi di lavoro di ciascun dipartimento e servizio.

Per un efficace monitoraggio del raggiungimento dei risultati e per la definizione di parametri di valutazione e di indicatori per la verifica dei risultati dell’attività dell’Ufficio, oltre che per un controllo di regolarità della gestione contabile, è stato istituito un servizio di controllo interno del quale sono stati chiamati a farne parte un magistrato contabile e due dirigenti di provata esperienza e competenza.

È stato inoltre rafforzato, mediante l’assegnazione di nuovo e qualificato personale, l’ufficio relazioni con il pubblico (Urp) ed è stato potenziato il servizio di centralino, dando avvio nel contempo ad una sperimentazione per la creazione di un call center che, nel rispetto di rigorose misure di riservatezza, fornisca un più efficiente servizio di accoglienza e prima informazione agli utenti.

Il bilancio di previsione del 2002, come quello del 2001, è stato elaborato secondo le direttive del regolamento del Garante n. 3/2000, concernente la gestione amministrativa e la contabilità.

Esso è riferito al sesto anno di attività dell’Autorità ed è stato elaborato sulla base delle esigenze funzionali delle unità organizzative (dipartimenti e servizi) e degli obiettivi e dei programmi definiti dal Garante.

Il bilancio di previsione del 2002 è stato predisposto tenendo conto anche dei maggiori oneri derivanti da nuove immissioni di personale con diverse tipologie lavorative (fuori ruolo, contratto di specializzazione a tempo determinato, stage), delle più generali esigenze di rafforzamento dell’Ufficio, nonché delle spese derivanti dall’organizzazione della conferenza internazionale su: “Privacy: da costo a risorsa”, tenutasi nella sala conferenze presso la sede dell’Autorità il 5 e 6 dicembre 2002.

Il 23 dicembre 2002 si sono conclusi i concorsi pubblici a complessivi ventuno posti di varie qualifiche banditi dall’Autorità e la selezione, bandita nell’agosto del 2002, per il reclutamento di quattro giovani laureati con contratto di specializzazione a tempo determinato.

L’intensa attività del 2002 trova riscontro nelle spese liquidate e pagate -sia in conto competenza, sia in conto residui- che si sono mantenute superiori a b 11.500.000,00 in linea con il precedente esercizio, e soprattutto nelle spese per il personale, comprese le indennità spettanti ai componenti il collegio, che sono passate da b 6.068.500,00 a ¤ 6.674.500,00.

Le risorse a disposizione del Garante per il 2002 sono state pari a ¤ 12.187.000,00, provenienti dal contributo dello Stato per ¤ 10.849.996,00. Le restanti risorse finanziarie accertate e riscosse dall’Autorità si riferiscono ai diritti di segreteria per le notificazioni, per i ricorsi e le autorizzazioni, ai rimborsi spese provenienti dal Consiglio d’Europa e dalle istituzioni comunitarie per la partecipazioni di rappresentanti del Garante a riunioni da esse indette, agli interessi maturati sui fondi relativi agli avanzi pregressi, alle entrate derivanti dalla sublocazione di parte dei locali della sede dell’Autorità, alle quote di iscrizione alla suddetta conferenza internazionale.

Da segnalare che il contributo dello Stato per il 2002 è stato ridotto rispetto al 2001 di o l t re ¤ 500.000. In o l t re, a fine anno, in attuazione delle disposizioni del d.m. 29 nove m b re 2002 (con il quale il Mi n i s t ro dell’economia e delle finanze ha disposto la riduzione del 15 per cento delle spese di funzionamento per acquisti di beni e servizi degli enti ed organismi pubblici non territoriali), il Garante, pur ritenendo di non essere destinatario della citata norma, con apposita delibera ha apportato una riduzione degli stanziamenti del 2002 per le spese di funzionamento per ¤ 125.400,00, in considerazione degli obiettivi di contenimento della spesa pubblica.

Il bilancio, gli impegni di spesa e l’attività contrattuale Tali riduzioni comporteranno un ridimensionamento dei programmi di attività del 2003, tenuto conto dell’esiguità dell’avanzo di amministrazione e dell’ulteriore riduzione del contributo dello Stato, fissato in ¤ 10.252.000,00. Di contro, le spese lieviteranno per effetto della immissione in servizio dei nuovi assunti, sia per gli oneri retributivi, sia per le spese di funzionamento connesse alla maggiore attività dell’ufficio.

La spesa per il personale, contenuta nel 2002 al di sotto del 60 per cento delle risorse disponibili, nel 2003 si avvicinerà al 70 per cento comprimendo le risorse disponibili.

Nel documento programmatico del 2002 era indicato come prioritario il potenziamento delle stru t t u re informatiche. Nel corso dell’anno per il raggiungimento di tale obiettivo sono state impegnate risorse per oltre ¤ 1.100.000,00 (di cui ¤ 800.000,00 per contratti conclusi con la liquidazione e il pagamento ai fornitori, e ¤ 300.000,00 per obbligazioni contrattuali giuridicamente perf ezionate, che risultano impegnati sui fondi di competenza dell’ e s e rcizio 2002).

Pa rte delle risorse per l’informatizzazione dell’ Ufficio sono state finalizzate a dotare la biblioteca del Garante della tecnologia indispensabile per la gestione della stessa da parte del personale addetto e per la migliore fruizione da parte degli studiosi che vi accederanno. In o l t re la biblioteca è stata arricchita, nel corso del 2002, di acquisizioni librarie per oltre ¤ 1 0 6 . 0 0 0 , 0 0 .

L’Autorità si è avvalsa delle convenzioni stipulate dalla CONSIP s.p.a., con risultati soddisfacenti e con sensibili risparmi, per l’acquisto di beni di facile consumo, computer anche portatili, nonché per la locazione di fotocopiatrici e computer.

La fornitura di beni e servizi occorrenti per realizzare gli ambiziosi obiettivi posti dal documento programmatico e per assicurare il funzionamento dell’Autorità ha comportato una intensa attività contrattuale concretizzatasi in circa 40 procedure.

L’importo complessivo dei contratti stipulati ammonta a circa ¤ 2.500.000,00, la maggior parte dei quali destinati al potenziamento delle strutture tecnologiche.

L’Autorità ha infatti dato priorità al progetto di sviluppo del sistema informativo dell’Autorità previa l’acquisizione, anche tramite la convenzione CONSIP, di ulteriori sistemi server e postazioni di lavoro.

Sono stati acquisiti alcuni software, tra i quali quello per la di gestione della biblioteca idoneo a consentire anche il collegamento alla rete sbm (sistema bibliotecario nazionale), ed è stata affidata ad una società specializzata la realizzazione di un sistema amministrativo-contabile finalizzato alla gestione automatizzata del bilancio, del relativo software di base e dei servizi di setup, installazione, manutenzione ed assistenza. Sono stati, altresì, attivati appositi corsi di istruzione sull’utilizzo dei nuovi strumenti per i funzionari dei dipartimenti interessati alle innovazioni.

Su richiesta del dipartimento risorse tecnologiche e della redazione del sito we b sono state avviate, in conseguenza dell’ a c c resciuta utilizzazione del sito we b del Garante, le pro c e d u re per il suo potenziamento tramite l’aggiornamento s o f t w a re, l’espansione del s e rve r, la migliore organizzazione del d a t a – b a s e, l’ i n n ovazione della parte grafica e del sistema di ricerca ipert e s t u a l e .

La sala delle confere n ze è stata dotata di un moderno impianto audio ed è stata implementata la rete per i servizi di videoconferenza; sono state avviate le pro c e d u re negoziali per d o t a re il dipartimento re g i s t ro generale dei trattamenti, nel quadro delle iniziative tese ad a u t o m a t i z z a re le lavorazioni e re n d e re più veloce l’accesso alle notificazioni da parte degli utenti, del servizio di scansione ottica delle notificazioni (circa 5.000.000 di fogli) e di memorizzazione dei f i l e contenuti nei f l o p py disk ( c i rca 64.000). Il bando di gara della licitazione privata (ai sensi del d.lg. 17 marzo 1995, n. 157, come modificato dal d.lg. 25 febbraio 2000, n. 65), con importo a base d’asta di ¤ 270.000 i.v.a. esclusa, è stato pubblicato sulla G.U.C.E. n. S231 del 28 nove m b re 2002 e sulla G . U . R . I . n. 280 del 29 nove m b re 2002.

L’attività contrattuale relativa al servizio relazioni con i mezzi d’informazione ha riguardato l’affidamento della realizzazione di uno spot pubblicitario radio-televisivo -in onda sulla reti pubbliche dal 24 marzo 2003- e la stipula di un accordo con una delle maggiori agenzie di stampa italiane per la produzione e la trasmissione di servizi radiofonici e televisivi informativi sull’attività del Garante.

Tra le attività contrattuali ulteriori si può citare quella che ha riguardato l’allestimento di uno stand fieristico e dei relativi servizi presso il Forum.P.A. di Roma, il Com-P.A. di Bologna e lo Smau di Milano. Sono stati, inoltre, curati gli atti amministrativi per la realizzazione di una nuova iniziativa editoriale curata dal servizio relazioni con i mezzi d’informazione: la pubblicazione bimestrale “Garanteprivacy.it”.

Nel 2002 è proseguita l’attività di sviluppo avviata nel 2001, caratterizzata dall’implementazione delle principali procedure componenti il sistema informativo dell’Autorità, sulla base dell’infrastruttura di supporto tecnologico realizzata lo scorso anno.

Tra i progetti più significativi portati a compimento e messi in produzione si citano qui di seguito i principali componenti del sistema informativo e alcune realizzazioni sistemistiche:

– sistema informatico amministrativo-contabile: il sistema, sviluppato sulla base di un’attenta analisi delle esigenze dell’Ufficio, in collaborazione con il dipartimento di amministrazione e contabilità, è basato su un avanzato software di gestione delle risorse (Oracle E-Business Suite) che, opportunamente configurato, consentirà al personale del dipartimento di amministrazione e contabilità il controllo dei capitoli di spesa e delle funzioni, e permetterà ai dirigenti dell’Ufficio l’accesso alle posizioni di propria competenza.

L’accesso alle funzionalità del sistema avviene, previa autenticazione, tramite un comune browser, rendendo interscambiabili le postazioni di lavoro; – sistema di gestione del contenzioso amministrativo: è un’applicazione web-oriented sviluppata interamente nell’ambito del dipartimento risorse tecnologiche, programmata in linguaggio PHP in ambiente Linux e basata su un database relazionale di tipo MySQL.

Offre funzionalità di creazione, di consultazione, di aggiornamento, di generazione di rapporti, di ricerca e di statistica relative alle pratiche di contenzioso amministrativo; – sistema di consultazione web del registro generale dei trattamenti: è costituito da una serie di pagine html con codice programmativo PHP che consentono di interrogare la base di dati del registro generale dei trattamenti, connettendosi al database Oracle che la ospita. La consultazione avviene al momento in modalità Intranet, ma il sistema è predisposto per la consultazione da parte di utenti esterni tramite Internet; – sistema di notificazione on line del trattamento dei dati personali: è sviluppato come evoluzione del sistema di consultazione precedentemente descritto, di cui condivide gli strumenti programmativi, e consente ai titolari di trattamenti di dati personali di effettuare la compilazione on line della notificazione al Garante, evitando il ricorso al supporto magnetico, il cui uso negli anni passati ha causato inconvenienti dovuti alla sua fragilità magnetica e alla frequente perdita di dati. Con il nuovo sistema, sviluppato in collaborazione con il dipartimento registro generale dei trattamenti, viene superata la complessa ed onerosa fase di data entry manuale basato sulla documentazione cartacea e sui floppy-disk, avvicinando così ulteriormente l’Autorità ai cittadini; – nuovo sito web ufficiale del Garante: di particolare rilievo lo sviluppo del nuovo sito web dell’Autorità, che consente una più efficiente gestione dei contenuti e facilita il processo redazionale, permettendo la gestione coordinata e partecipativa del processo di pubblicazione. Lo sviluppo del sistema informativo Il dipartimento risorse tecnologiche ha curato gli aspetti sistemistici del progetto e la sua implementazione nelle varie fasi, effettuata utilizzando il sistema Oracle Internet Application Server in ambiente operativo Linux. Tali componenti software di base e l’architettura sistemistica prescelta garantiscono una buona tolleranza ai guasti e un notevole livello di continuità del servizio, con notevole incremento delle prestazioni effettive e di quelle percepite dai visitatori, pur con un modesto investimento iniziale sull’hardware. Oltre agli aspetti tecnici sistemistici, sono state privilegiate le caratteristiche di usabilità del sito, con capacità di presentare i contenuti su tre diversi livelli di dettaglio grafico (alta risoluzione, alta leggibilità, solo testo) e con il supporto per la consultazione da parte dei non vedenti. Lo sviluppo del sito è stato condotto in collaborazione con la redazione del sito, che ha partecipato all’analisi delle esigenze, alla formulazione delle specifiche funzionali e ha seguito la fase di realizzazione; – sistema di videoconferenza in rete: è stato realizzato un impianto professionale per videoconferenza che consente l’interazione tra postazioni di sala, postazioni individuali e interlocutori esterni. I collegamenti possono avvenire secondo gli standard ITU H.320 (tramite linee ISDN dedicate) o ITU H.323 (tramite protocolli IP). L’impianto consente di effettuare connessioni punto-punto e multipunto, con un sofisticato sistema di regia integrato. Gli stessi apparati consentono al personale dell’Ufficio di approntare postazioni esterne di videoconferenza per venire incontro alle esigenze di collegamenti esterni; – sistema di unified messaging integrato con funzioni di call center: è stato introdotto, nell’ambito del nuovo servizio di gestione delle chiamate entranti, un sistema di unified messaging che consente il trattamento uniforme dei messaggi vocali (segreteria telefonica), dei fax in entrata e uscita, degli sms e della posta elettronica. Il sistema consente di centralizzare i flussi di comunicazione, garantendo una migliore efficienza ed economia.

Inoltre, l’uso della posta elettronica come strumento di unificazione consente di pervenire a un notevole risparmio nei costi telefonici e aumenta considerevolmente l’efficienza del lavoro, laddove sia necessario mantenere, anche da postazioni remote, il contatto informativo con l’Ufficio; – sistema di protezione della rete e di rilevamento di intrusioni: sono stati introdotti a protezione della rete dei sistemi firewall aggiuntivi a tecnologia diversa da quelli precedentemente installati. È stato inoltre installato nella rete un sistema avanzato di rilevamento di intrusioni, nell’ambito di un più generale intervento volto ad accrescere l’affidabilità dell’infrastruttura LAN interna.

Tra le altre attività svolte, va ricordato il complemento della migrazione verso la piattaforma Oracle dei principali sistemi di database precedentemente utilizzanti diverse tecnologie, nonché l’ampliamento della dotazione informatica con l’introduzione di nuovi server Windows e Linux, l’espansione dei server Sun Solaris utilizzati per applicazioni gestionali e l’incremento delle postazioni di lavoro individuali per far fronte alla crescita numerica del personale in servizio.

È stato inoltre sviluppato, il sito web del convegno “Privacy: from cost to resource”, tenutosi nel dicembre dello scorso anno, con il contributo grafico dei consulenti dell’Ufficio e la collaborazione della redazione del sito.

Tra i numerosi progetti in corso, si evidenzia quello riguardante l’acquisizione del nuovo sistema di gestione del protocollo, a tecnologia web, con funzioni di firma digitale, di protocollo federato, di protocollazione automatica della posta elettronica con segnature conformi alle normative italiane e comunitarie, di archiviazione ottica, di instradamento della corrispondenza È stata, inoltre, progettata un’infrastruttura di storage area network a tecnologia fiber chan – nel, che integrerà un moderno sistema di gestione condivisa di file systems multi standard dinamicamente ridimensionabili e allocabili alle diverse piattaforme in dotazione e un sistema robotizzato di gestione dei backup su supporto magnetico. La tecnologia fiber channel, unita alla disponibilità in Ufficio di una moderna rete di cablaggio strutturato con tratte dorsali in fibra ottica multimodale, consentirà di installare le unità di backup in posizioni remote rispetto al locale tecnico informatico, aumentando le capacità di sopravvivenza in caso di disastro.

È stato progettato, ed è in corso di realizzazione, il sistema di gestione delle risorse umane, che integrerà funzionalità di rilevamento presenze, di gestione delle missioni del personale, di controllo degli accessi. Il sistema si avvale della rete locale per l’interconnessione delle unità di lettura, dei concentratori e dei sistemi server e delle postazioni di controllo.

È stato perfezionato il sistema di gestione delle rassegne stampa, dotato di interfaccia web e con avanzate funzioni di indicizzazione e di ricerca, che consente una più efficiente selezione delle notizie e degli articoli e la produzione dei ritagli elettronici.

È stato ulteriormente sviluppato, con l’attivazione di nuove funzionalità, il sistema software Sebina per la gestione bibliotecaria, che consente la gestione del catalogo da parte del personale bibliotecario, la consultazione sul web dell’OPAC, la generazione di rapporti e ricerche bibliografiche.

È stato altresì delineato il sistema di management integrato Unicenter TNG, che consente al personale tecnico del Dipartimento risorse tecnologiche di effettuare il monitoraggio degli apparati di rete, dei server e dei personal computer.

È stato progettato un autonomous system IP che consentirà la gestione paritaria di flussi di traffico Internet senza dipendenza da un particolare provider. Il progetto prevede una fase di formazione, una di acquisizione delle tecnologie necessarie e di contemporanea gestione delle procedure tecniche di assegnazione e di registrazione dell’AS presso gli enti europei di coordinamento.

La transizione verso un autonomous systems della rete IP del Garante consentirà di stipulare contratti indipendenti con diversi provider Internet, allo scopo di accrescere l’affidabilità dei servizi extranet dell’Ufficio, di assicurare ancora migliori prestazioni alla rete, e consentirà di utilizzare indirizzi di rete IP indipendenti dal provider, facendo venir meno la dipendenza tecnica da un solo provider introdotta dall’assenza del concetto di number portability ormai consolidato nell’ambito delle reti telefoniche.

Il 2002 si è caratterizzato per una intensa attività finalizzata al rafforzamento dell’organico dell’Autorità.

Sono stati, infatti, espletati i quattro concorsi pubblici per titoli ed esami (pubblicati nella G.U. -4a serie speciale- n. 47 del 15 giugno 2001) banditi dal Garante per la copertura di complessivi 21 posti, di cui n. 2 per dirigente, n. 1 per dirigente informatico, n. 10 per funzionario e n. 8 per impiegato operativo.

Le commissioni esaminatrici, ciascuna presieduta da un magistrato amministrativo designato dal Consiglio di presidenza della giustizia amministrativa, composte da tre docenti universitari e dal segretario generale del Garante, si sono insediate nel mese di ottobre 2002 (ad eccezione di quella del concorso per funzionario insediatasi nel mese di settembre).

I lavori, nonostante la complessità delle procedure e la difficoltà della valutazione prevista dai bandi di concorso, si sono conclusi in appena due mesi.

Il 30 dicembre sono stati sottoscritti i contratti individuali di lavoro con i vincitori di concorso i quali il 15 gennaio 2003 sono stati immessi in servizio presso l’Autorità. I posti complessivamente assegnati sono stati 19, due in meno rispetto a quelli banditi.

I concorsi si sono svolti con la massima regolarità ed i candidati, considerate la difficoltà delle prove e la severità della valutazione, sono stati sottoposti ad una rigorosa selezione. Si può, quindi, affermare che i concorsi espletati dal Garante costituiscono una concreta attuazione dei principi di imparzialità, celerità ed economicità delle procedure concorsuali previsti dall’art. 35 del d.lg. n. 165/2001 (“Norme generali sull’ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche”).

Con l’immissione dei vincitori di concorso si è determinato un rafforzamento dell’organico dell’Ufficio il quale può ora contare su 91 unità per il contemporaneo inserimento di altre 4 unità con contratto di specializzazione a tempo determinato, selezionate con una procedura che si è svolta parallelamente a quelle concorsuali, bandita nell’agosto del 2002 (G.U. – 4a serie speciale – n. 66 del 20 agosto 2002).

Un’analoga selezione si era conclusa nell’aprile del 2002 con l’assunzione di 6 unità.

Complessivamente sono 10 i giovani che, all’esito di una rigorosa selezione effettuata mediamente su circa 450 domande in ciascuna delle due selezioni, hanno avuto l’opportunità di un inserimento nell’Ufficio del Garante per specializzarsi in materia di trattamento dei dati personali o perfezionare la propria preparazione nella medesima materia.

Il personale e i collaboratori esterni Il 5 luglio del 2002 si è conclusa anche la selezione, rivolta a giovani laureati di età non superiore a 28 anni, per l’effettuazione di periodi di tirocinio presso l’Autorità. Sulla base della graduatoria formata da una qualificata commissione di selezione agli inizi di settembre 2002 un primo gruppo di 5 stagiare ha iniziato presso l’Ufficio un periodo di tirocinio della durata di sei mesi, prorogabile sino ad anno, e nel maggio del 2003 analoga opportunità è stata offerta ad un altro gruppo di 6 giovani laureati.

Nel corso del 2002 sono proseguite le iniziative di formazione e perfezionamento nelle lingue straniere di uso corrente nell’attività d’ufficio e sono state promossi alcuni momenti di aggiornamento di carattere seminariale su tematiche ed ambiti disciplinari di immediato interesse per le attività istituzionali dell’Autorità.

Come accennato, l’organico a disposizione dell’Ufficio è di 91 unità, di cui n. 15 con contratto a tempo determinato e n. 17 in posizioni di fuori ruolo o comando da altre amministrazioni ed enti pubblici, come da prospetto allegato:

SITUAZIONE DEL PERSONALE E TIPOLOGIA LAVORATIVA  

L’Autorità, allo stato, si avvale della collaborazione di cinque consulenti per i necessari approfondimenti nelle tematiche giuridiche e della comunicazione istituzionale. Si è altresì reso necessario acquisire, nel corso dell’anno, occasionali consulenze qualificate in materia informatica per le problematiche concernenti il sistema informativo interno, il sito web del Garante e la sicurezza dei dati, nonché per la preparazione della conferenza internazionale promossa dal Garante “Privacy: da costo a risorsa” e per la redazione del bilancio di previsione e consuntivo.

Le commissioni di selezione dei contratti di specializzazione e per il tirocinio e le commissioni esaminatrici dei concorsi pubblici hanno esaurito i loro compiti nel 2002.

L’istituto della notificazione del trattamento dei dati personali, previsto dagli artt. 7, 16 e 28, legge n. 675/1996 è stato rivisitato a fondo dal d.lg. 28 dicembre 2001, n. 467. Alcune modifiche sono già entrate in vigore e riguardano:

– l’obbligo di designazione (e di indicazione nella notificazione) del rappresentante nel territorio dello Stato da parte del titolare stabilito in un Paese extraeuropeo, in caso di trattamento mediante mezzi situati nel territorio dello Stato (artt. 1, comma 2, e 3, comma 3); – l’indicazione nella notificazione di almeno un responsabile (art. 3, comma 3); – la sostituzione delle sanzioni penali con sanzioni amministrative in caso di omessa o incompleta notificazione (art. 12, comma 1).

Le novità più consistenti riguardano però l’individuazione dei casi e dei contenuti della notificazione -che attualmente sono stabiliti direttamente dalla legge n. 675/1996- mediante norme da inserire nell’emanando testo unico delle disposizioni in materia di protezione dei dati personali.

L’obbligo di notificazione sarà limitato alle sole ipotesi in cui il trattamento, “in ragione delle relative modalità o della natura dei dati personali, sia suscettibile di recare pregiudizio ai diritti e alle libertà dell’interessato” (art. 3 d.lg. n. 467/2001). Un gruppo di lavoro interno ha già effettuato alcuni primi approfondimenti sui casi di notificazione, ponendo particolare attenzione a due aspetti fondamentali: rendere l’adempimento della notificazione pienamente rispondente alle finalità dell’istituto e circoscrivere le notizie che il titolare deve fornire agli elementi significativi.

In attesa del testo unico, la disciplina della notificazione, salvo quanto detto circa le novità entrate già in vigore, rimane sostanzialmente immutata.

Le notificazioni confluiscono nel registro generale dei trattamenti previsto dall’art. 31, comma 1, lett. a) della l. n. 675/1996 e sono consultabili tramite la Intranet del Garante. Nel 2002 sono state definitivamente superate le difficoltà evidenziate nella relazione precedente in ordine allo sviluppo del software per l’accesso ai dati, mediante l’affidamento del servizio ad un’altra ditta che ha operato efficacemente e con tempestività. Il programma, molto complesso, oltre alla possibilità di effettuare ricerche e produrre report statistici, permette di rilevare automaticamente le incompletezze e gli errori (purtroppo frequenti) contenuti nelle notificazioni.

È cura poi dell’Ufficio, con procedure automatizzate, invitare i notificanti a regolarizzare le irregolarità.

Le notificazioni tuttora vengono redatte su un modello standard o, in alternativa su floppy disk. Il modello e il programma attualmente possono essere prelevati dal sito Internet del Il re g i s t ro dei trattamenti Organizzazione e sviluppi futuri Garante o richiesti direttamente all’Ufficio e comunque per tutto l’anno 2002 è stata assicurata la distribuzione capillare e gratuita presso tutti gli uffici postali. Essendo nel frattempo cessata la convenzione con Poste italiane s.p.a. si è preferito non rinnovarla sia a motivo della sua onerosità, sia per la constatazione che gli utenti ritengono più comodo scaricare direttamente da Internet il modello di notificazione. Esiste comunque la possibilità di reperire il modello tramite negozi specializzati per uffici o di utilizzare fotocopie.

L’Ufficio ha bandito una gara europea per la scansione ottica di tutte le notificazioni e connessa documentazione pervenuta in questi anni, finanziando in parte il progetto con i risparmi derivanti dalla cessata convenzione con Poste italiane. Allo stato attuale, la commissione appositamente nominata sta concludendo l’esame delle numerose offerte pervenute. con la previsione di stipulare il contratto entro breve termine.

In tale maniera sarà possibile procedere a controlli più accurati sul contenuto delle notificazioni, verificare l’esatta corrispondenza dei dati immessi ed eliminare l’enorme massa di documentazione cartacea e su floppy disk che occupa ampi spazi.

Permane l’orientamento di ridurre sensibilmente i costi, migliorando e ottimizzando il servizio.

In tale ottica è stata riposta attenzione sulla modalità di trasmissione telematica della notificazione con utilizzo della firma elettronica e pagamento on line dei diritti di segreteria (attualmente fissati in ¤ 7,75 per le notificazioni su floppy disk e ¤ 12,91 per quelle su modello cartaceo) stipulando convenzioni con organismi pubblici e privati per agevolare le operazioni di notificazione da parte di utenti eventualmente sforniti di firma elettronica.

È stata incrementata, anche rispetto all’anno precedente, l’attività di assistenza diretta e telefonica svolta dal dipartimento registro generale dei trattamenti, che cura tutti gli adempimenti relativi alla notificazione, e dall’ufficio relazioni con il pubblico. Risposte ai quesiti più frequenti (FAQ) sono consultabili direttamente dall’utente sul sito del Garante.

A seguito di varie lettere di regolarizzazione delle notificazioni che presentano errori od incompletezze inviate dall’Ufficio (destinate a ridursi drasticamente con l’introduzione del nuovo modello telematico di notificazione, più “leggero”, comprensibile e con controlli automatizzati già nella fase di immissione dei dati), le richieste di accesso al registro e di copia delle notificazioni già presentate si sono incrementate sensibilmente.

Accanto all’attività di regolarizzazione di cui si è già detto, sono inoltre proseguite le attività consistenti essenzialmente nella memorizzazione delle notificazioni pervenute tramite il personale messo a disposizione dalla società che ha curato il programma di gestione del registro.

Inoltre il dipartimento registro generale dei trattamenti collabora attivamente con l’attività ispettiva fornendo notizie, materiali e dati utili per il controllo.

La novità introdotta dal d.lg. n. 467/2001 circa l’obbligo di comunicare al Garante almeno un responsabile del trattamento ha ridotto sensibilmente il numero di notificazioni pervenute nell’anno, anche se in seguito a controlli e richieste di regolarizzazione si è registrata nei mesi scorsi una nuova impennata nell’invio dei modelli.

R e l a z i o n e 2 0 0 2 1 6 9 Un notevole impegno è stato profuso nell’attività di recupero dei diritti di segreteria non versati con risultati decisamente positivi.

L’anno in corso impegnerà l’Ufficio nella predisposizione del “nuovo registro dei trattamenti”, nello sviluppo software e nella stipula di convenzioni per effettuare la notificazione per via telematica.

ATTI E PROVVEDIMENTI/ATTIVITÀ GARANTE

Periodo di riferimento della statistica: 1 gennaio 2002 – 30 aprile 2003 SERVIZI ISPETTIVI Periodo di riferimento della statistica: 1 gennaio 2002 – 30 aprile 2003 R e l a z i o n e 2 0 0 2 1 7 1 Dati statistici Prospetto analitico SERVIZIO RICORSI Statistica dei ricorsi decisi dal 1 gennaio 2002 – 15 aprile 2003 UFFICIO CONTENZIOSO Periodo di riferimento della statistica: 1 gennaio – 31 dicembre 2002 DIPARTIMENTO REGISTRO GENERALE DEI TRATTAMENTI Alcuni dati statistici significativi estratti dalla consultazione del registro:

Periodo di riferimento della statistica: 1 gennaio – 30 aprile 2003 La direttiva generale in materia di protezione dei dati personali è stata recepita con la legge n. 675/1996. Successivi, ulteriori interventi legislativi hanno apportato modificazioni ed integrazioni alla citata legge anche per renderla più aderente al testo della direttiva.

Come già riferito nella precedente Relazione annuale, il più recente di tali interventi si è avuto con il d.lg. 28 dicembre 2001, n. 467 che ha introdotto il principio del bilanciamento degli interessi in attuazione di quanto previsto dalla direttiva all’art. 7, lett. f, ed ha attribuito al Garante il compito di individuare gli ulteriori casi in cui il titolare può effettuare il trattamento dei dati personali in mancanza del consenso dell’interessato. Il decreto ha inoltre introdotto nell’ordinamento italiano, attribuendo al Garante la necessaria competenza, l’istituto del controllo preliminare (prior checking) sui trattamenti che potenzialmente presentano rischi specifici per i diritti e le libertà delle persone. Le verifiche sono svolte dall’Autorità di controllo prima dell’inizio del trattamento dei dati “sulla base di un eventuale interpello del titolare”.

Altre disposizioni del decreto hanno precisato il campo di applicazione della normativa ed il diritto applicabile, richiedendo, in presenza di una stabile organizzazione, l’indicazione del rappresentante in Italia del titolare del trattamento stabilito al di fuori dei Paesi dell’UE.

La direttiva sulla protezione dei dati nelle telecomunicazioni (97/66/CE) è stata sostanzialmente trasposta con il d.lg. n. 171/1998, recante “Disposizioni in materia di tutela della vita privata nel settore delle telecomunicazioni”.

Con il citato d.lg. n. 467/2001 sono state apportate al decreto alcune modifiche per consentire, in linea con quanto previsto dalla direttiva, il pieno utilizzo di modalità di pagamento alternative alla fatturazione e l’informazione al pubblico sull’identificazione della linea chiamante e collegata, nonché per garantire, nel caso in cui l’abbonato si sia avvalso del diritto di eliminare l’identificazione della linea chiamante, l’annullamento di tale soppressione da parte dei servizi abilitati a ricevere chiamate di emergenza.

Il recepimento delle d i rettive comunitarie Le direttive sulla protezioni dei dati Direttiva 95/46/CE Nel 2002, il Lussemburgo ha provveduto a promulgare la legge di recepimento della direttiva 95/46 (Loi du 2 août 2002 – Protection des personnes à l’égard du traitement des données à caractère personnel). La legge, entrata in vigore definitivamente il 1 dicembre 2002, ha abrogato la precedente normativa in materia di “protezione dei dati personali nei trattamenti informatizzati” del 31 marzo 1979.

Fra le caratteristiche salienti della legge lussemburghese, che è modellata da vicino sul testo della direttiva comunitaria, oltre l’ampliamento del campo di applicazione ai trattamenti automatizzati ed alle persone giuridiche, si segnala l’espressa inclusione dei trattamenti effettuati per scopi di sorveglianza: tali trattamenti, soggetti all’applicazione della legge “qualora consentano di identificare una persona fisica o una persona giuridica”, sono ammessi soltanto sulla base del consenso dell’interessato, ovvero qualora concernano luoghi pubblici o accessibili al pubblico purché tali luoghi “presentino un rischio che renda necessario il trattamento per garantire la sicurezza degli utenti e prevenire possibili incidenti”.

In particolare, per i trattamenti per scopi di sorveglianza sul luogo di lavoro, è previsto che il consenso dell’interessato non sia elemento sufficiente per legittimare il trattamento da parte del datore di lavoro.

Si segnala, inoltre, l’inclusione espressa dei dati genetici fra le categorie di dati “particolari” (dati sensibili) e l’ammissibilità del loro trattamento per fini giudiziari o di indagine penale soltanto al fine di accertare l’esistenza di “un legame genetico” nell’ambito del regime probatorio o per identificare una persona, oppure per la prevenzione o la repressione di specifici illeciti penali; l’obbligo del “prior checking” (controllo preliminare) da parte dell’autorità di controllo (particolarmente rispetto ai trattamenti sopra indicati).

La legge, introduce la previsione dell’esistenza di un “incaricato per la protezione dei dati”, ai sensi dell’art. 18 della direttiva, con la conseguente esenzione dall’obbligo di notifica dei trattamenti; consente, inoltre, di presentare una notificazione semplificata secondo i modelli che saranno predisposti dall’autorità di controllo.

All’autorità di controllo prevista dalla legge (Commissione nazionale per la protezione dei dati) sono attribuiti i poteri di applicare sanzioni amministrative e di svolgere attività investigativa ai fini dell’accertamento di eventuali infrazioni, attività quest’ultima esercitabile previa richiesta anzichè d’ufficio.

Il 10 aprile 2003 è stato approvato in Irlanda il testo della legge che modifica il Data Protection Act del 1988, recependo la direttiva 95/46/CE. Le modifiche entreranno in vigore Stato di recepimento delle direttive 95/46/CE e 97/66/CE negli Stati membri (tranne quelle concernenti il sistema di notificazione ed i poteri ispettivi dell’autorità di protezione dati) dopo il 1 luglio 2003, sulla base del regolamento di attuazione che il Governo è incaricato di emanare.

Tra le innovazioni più importanti della legge irlandese si segnalano:

– l’estensione dell’ambito di applicazione ai dati sottoposti a trattamento non automatizzato ed il conseguente riconoscimento del diritto di accesso degli interessati, che è esercitabile anche rispetto a “pareri” o “opinioni” relativi all’interessato e che possono essere comunicati senza necessità di chiedere autorizzazione al soggetto che ha predisposto il parere o l’opinione; – l’introduzione di una definizione specifica di “dati sensibili”, attraverso un elenco modellato su quello della direttiva, che include anche i dati “relativi alla commissione o presunta commissione di reati da parte dell’interessato”; – la definizione dei requisiti di legittimità del trattamento in modo da meglio corrispondere alle disposizioni della direttiva (consenso dell’interessato, oppure necessità del trattamento per obblighi di legge, ecc.). Le nuove norme prevedono che, qualora dati personali siano accessibili a chiunque sulla base di disposizioni di legge (è il caso, ad esempio, dei registri elettorali), sia necessario comunque chiedere il consenso dell’interessato prima di fornirli a terzi per scopi di marketing diretto; – l’introduzione dell’obbligo generale di notificazione dei trattamenti e la previsione delle esenzioni, che saranno specificate in un successivo regolamento. Attualmente in Irlanda vige il principio opposto: la notificazione non deve essere presentata, a meno che il titolare non appartenga alle categorie citate nell’art. 16 della legge del 1988: soggetti pubblici, società e imprese nel settore finanziario o del marketing diretto, soggetti che trattano dati “sensibili”; – l’ampliamento dei poteri del Data Protection Commissioner, soprattutto per quanto riguarda la possibilità di condurre ispezioni d’ufficio ed emanare codici deontologici validi come linee-guida per l’applicazione della normativa in materia di protezione dati rispetto a singoli settori.

D i re t t i va 97/66/CE Per quanto concerne il recepimento della dire t t i va 97/66/CE, ed in attesa delle misure l e g i s l a t i ve che gli Stati dovranno adottare in linea con la nuova dire t t i va 2002/58, occorre s e g n a l a re che l’ Irlanda ha prov veduto ad emanare il regolamento in materia di pro t ezione dati e p r i va c y nel settore delle telecomunicazioni, entrato in vigore l’8 maggio 2002. Il Regolamento pre vede, in part i c o l a re, la conservazione dei dati di traffico telefonico per scopi di fatturazione fino ad un massimo di sei mesi; le norme re l a t i ve all’identificazione della linea chiamante; la possibilità per l’utente di non essere inserito in elenchi telefonici pubblici, su richiesta, e di limitare i dati riportati a quanto necessario per l’identificazione; l’istituzione di un re g i s t ro nazionale di “o p t – o u t” nel quale potranno farsi inserire tutti gli utenti (anche persone giuridiche) che non desiderino riceve re chiamate telefoniche indesiderate (per scopi di m a rk e t i n g d i retto); la cooperazione fra autorità per la pro t ezione dei dati e l’ Ufficio del D i rector of Telecommunications Re g u l a t i o n s ai fini dell’attuazione del regolamento – in part ic o l a re, il Data Protection Commissioner sarà responsabile degli aspetti di pro t ezione dati e R e l a z i o n e 2 0 0 2 1 8 1 potrà interve n i re d’ufficio per garantire l’ o s s e rvanza del regolamento da parte delle società di t e l e c o m u n i c a z i o n e .

TABELLA DI RECEPIMENTO DELLA DIRETTIVA 95/46/CE – aprile 2003 La non completa trasposizione della direttiva 95/46/CE in tutti i Paesi dell’Unione e la recente entrata in vigore di diverse normative nazionali di attuazione dei principi della stessa, da cui scaturisce necessariamente la consapevolezza di una conseguente ancora scarsa esperienza applicativa, ha consigliato alla Commissione di non farsi promotrice al momento di alcuna iniziativa tendente ad una revisione del testo della direttiva.

La Commissione ha infatti intrapreso, prima con una consultazione pubblica, poi con la sottoposizione di questionari rivolti ai governi degli Stati membri ed alle autorità di protezione dei dati, culminate con una conferenza svoltasi a Bruxelles il 30 settembre – 1 ottobre 2002, una attività tendente a valutare -secondo quanto richiestole dall’articolo 33 della direttiva- lo stato di applicazione di questa.

Secondo quanto affermato dal Commissario F. Bolkestein, in esito ai lavori della Conferenza, sembra prematuro che un primo rapporto sull’applicazione di una direttiva che ha richiesto cinque anni di negoziati contenga radicali proposte di modifiche sulla base di una così scarsa esperienza applicativa. Ciò in quanto andava infatti considerato che molti Paesi hanno trasposto in ritardo la direttiva e gran parte delle disposizioni nazionali adottate sono entrate in vigore solo nel 2000 e 2001, che la nuova legge del Lussemburgo entra in vigore nel 2003 e che due Paesi a far tempo alla data della Conferenza non avevano ancora completato le necessarie pro c e d u re legislative. La Commissione, in base alle dichiarazioni del Commissario, avrebbe pertanto deciso di concentrare la sua azione sulla ricerca di soluzioni pragmatiche, tendenti ad assicurare una uniforme e piena applicazione ed interpretazione della direttiva tra i quindici Paesi dell’Unione. Da un lato un’attività del genere potrebbe dover comportare cambiamenti in alcune legislazioni nazionali; dall’altro potrebbero essere individuati alcuni aspetti della direttiva che richiedono ulteriori azioni a livello comunitario, vuoi a fini di semplificazione dell’applicazione, vuoi a fini di ulteriore, puntuale armonizzazione. In questi casi un ruolo fortemente innovativo dovrebbe essere assegnato al Gruppo dei garanti europei.

Alcuni aspetti da approfondire a livello comunitario sono già stati individuati. Si tratta, in particolare:

– della semplificazione degli obblighi di notificazione dei trattamenti; – della riduzione delle divergenze applicative che si registrano tra gli Stati membri, – di uno sforzo maggiore per promuovere l’uso delle tecnologie di protezione della pri – vacy; – di una più chiara ed uniforme interpretazione delle norme della direttiva e di accordi per rendere più agile il trasferimento – della promozione di codici di autoregolamentazione ed in particolare di codici di condotta, anche attraverso una maggiore cooperazione tra le autorità di protezione dei dati.

Come già riferito nella precedente Relazione, fin dalla metà del 2000 la Commissione aveva presentato diverse proposte di direttive tendenti a modificare quelle esistenti in materia di telecomunicazioni.

Uno dei principi informatori dell’intervento della Commissione consisteva nella necessità di tener conto del rapido sviluppo tecnologico e, pertanto, del mutato quadro dei servizi di comunicazione elettronica.

Anche la direttiva 97/66/CE doveva essere adeguata agli sviluppi verificatisi nei mercati e nelle tecnologie dei servizi di comunicazione elettronica, per fornire un pari livello di tutela dei dati personali e della vita privata agli utenti dei servizi di comunicazione elettronica accessibili al pubblico, indipendentemente dalle tecnologie utilizzate.

Con la nuova proposta di direttiva la Commissione ha inteso promuovere regole neutrali rispetto alla tecnologia, che non impongano, né discriminino il ricorso ad un particolare tipo di tecnologia (da qui anche il mutamento della terminologia da “telecomunicazioni” a “comu – nicazioni elettroniche”). L’obiettivo ricercato era di garantire a consumatori e utenti lo stesso elevato livello di tutela indipendentemente dalla tecnologia con la quale viene fornito un determinato servizio.

La proposta di direttiva è stata discussa nel gruppo “Telecomunicazioni” del Consiglio, anche con la partecipazione attiva di rappresentanti del Garante.

Dopo l’adozione della posizione comune raggiunta dal Consiglio affari generali dell’UE il 28 gennaio 2002 ed il dialogo apertosi con il Parlamento europeo, quest’ultimo, nella sessione plenaria del 29-30 maggio, ha adottato una serie di emendamenti che riflettevano largamente una proposta di compromesso formulata dalla presidenza spagnola, in particolare in relazione all’invio di comunicazioni elettroniche non sollecitate.

Il testo è stato successivamente approvato senza discussione dal Consiglio il 25 giugno e dopo le verifiche di ordine linguistico è stato pubblicato sulla G.U.C.E. come direttiva 12 luglio 2002, n. 58 (2002/58/CE). Gli Stati membri dovranno trasporla entro il 31 ottobre 2003. Privacy nelle telecomunicazioni Tra i contenuti più importanti della direttiva, che si applica al trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica su reti pubbliche di comunicazione nella Comunità, si segnalano:

– le definizioni dei termini chiamata, comunicazione, dati relativi al traffico, dati relativi all’ubicazione (localizzazione), servizio a valore aggiunto, posta elettronica; – l’introduzione delle definizioni e delle regole da rispettare in relazione all’utilizzo di cookies ed altri dispositivi simili; – la riaffermazione dell’obbligo di cancellare o rendere anonimi i dati relativi al traffico non più necessari ai fini della trasmissione di una comunicazione e l’autorizzazione della loro memorizzazione solo nella misura necessaria per la fornitura del servizio ai fini della fatturazione e del pagamento per l’interconnessione.

– l’introduzione della nozione di dati relativi all’ubicazione diversi dai dati relativi al traf – fico e la definizione delle condizioni che ne possono legittimare il trattamento. Si tratta di dati che le reti mobili digitali possono avere la capacità di trattare e che possiedono un grado di precisione molto maggiore di quello necessario per la trasmissione delle comunicazioni. Questi dati vengono utilizzati per fornire servizi a valore aggiunto, come ad esempio i servizi di informazioni individuali sul traffico e di radioguida.

In particolare, due scelte contenute originariamente nella proposta della Commissione sono state confermate dal Consiglio: si tratta della scelta del consenso preliminare ai fini dell’inserimento dei dati personali in elenchi telefonici (art.12) che comporta, per gli abbonati, il diritto di determinare se i loro dati personali possano essere pubblicati in un elenco e, in caso affermativo, quali debbano figurarvi. La ragione della scelta si basa sulla considerazione che per i nuovi servizi di comunicazione elettronica come il Gsm e la posta elettronica non risulta più opportuno dare per scontato che gli utenti di tali servizi devono figurare negli elenchi pubblici in modo automatico, cioè in assenza di ulteriore loro determinazione.

La seconda scelta condivisa concerne la protezione contro le comunicazioni indesiderate effettuate, anche a mezzo della posta elettronica (inclusi Sms e Mms) a fini di “direct marke – ting”.

Questo comporta il divieto di inviare messaggi elettronici non richiesti tranne nei confronti degli abbonati che abbiano dichiarato di voler ricevere tali messaggi elettronici (art.13).

La direttiva 2002/58/CE in questo caso armonizza a livello dei quindici Stati membri il criterio del consenso preventivo (opt in) già introdotto in alcuni Stati, tra cui l’Italia, come criterio che legittima il trattamento. Come chiarito nella direttiva, infatti, tali forme di comunicazioni commerciali indesiderate possono da un lato essere relativamente facili ed economiche da inviare e dall’altro imporre un onere e/o un costo al destinatario. Inoltre, in taluni casi il loro volume può causare difficoltà per le reti di comunicazione elettronica e le apparecchiature terminali. Per tali forme è giustificato prevedere che le relative chiamate possano essere inviate ai destinatari solo previo consenso esplicito di questi ultimi.

Nel confermare quanto già segnalato nella precedente Relazione riguardo al venir meno, in ambito europeo, delle occasioni di dibattito e discussione istituzionali nel settore della protezione dei dati, nel 2002 si è notata, più in generale, una disattenzione a tale tema da ricollegarsi in gran parte agli effetti dei tragici eventi dell’11 settembre, che hanno posto all’attenzione di tutte le istituzioni comunitarie il tema del terrorismo e, quindi, della lotta alla criminalità ed alla cybercriminalità, richiedendo alle stesse la concentrazione di gran parte delle risorse nello studio ed elaborazione di strumenti efficaci a contrastare il fenomeno. Ciò in contrasto con l’introduzione di uno specifico articolo nella Carta dei diritti fondamentali (art. 8) ed il conseguente pieno riconoscimento del ruolo che la protezione dei dati personali assume nella realizzazione e sviluppo dell’integrazione europea attraverso l’inserimento del diritto alla protezione dei dati personali nel testo di trattato che la Convenzione europea sta elaborando.

Come si è già evidenziato, non vi sono più state convocazioni del gruppo di lavoro protezione dati del Consiglio dell’UE, mentre il gruppo c.d. di “terzo pilastro”, denominato “Sistemi di informazione e protezione dei dati”, è stato soppresso a seguito di una generale revisione dei gruppi operanti nel citato pilastro, pur essendovi stato il tempestivo intervento del Garante volto a rappresentare al Rappresentante permanente d’Italia presso l’UE la necessità che l’attività di revisione tenesse doverosamente conto -anche nel contesto della creazione di uno spazio di libertà, sicurezza e giustizia- del riconoscimento dell’importanza e della specificità della protezione dai dati personali, in quanto strettamente attinente ai diritti fondamentali della persona umana.

In questo quadro, necessariamente sono aumentati il ruolo e le competenze del Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali, istituito dall’art. 29 della direttiva 95/46/CE, ed il lavoro da esso svolto per interpretare, segnalare e indirizzare, attraverso l’adozione di pareri, raccomandazioni ad altre iniziative, l’attività della Commissione europea (e, di riflesso, degli Stati membri) in relazione all’applicazione dei principi della direttiva generale in materia di protezione dei dati personali e delle specifiche ulteriori disposizioni per il settore delle comunicazioni elettroniche.

È aumentata quindi -come meglio si vedrà nel paragrafo successivo- la visibilità del Gruppo stesso il quale, sotto la presidenza del Presidente del Garante italiano, è stato più volte richiesto di part e c i p a re ad audizioni ed a pubblici incontri promossi dal Pa r l a m e n t o e u ropeo per discutere ed appro f o n d i re temi di part i c o l a re rilevanza (l’ Ac c o rdo sul Safe Ha r b o r con gli Stati Uniti e, più di recente, i trattamenti di dati effettuati nell’ambito delle cooperazioni di polizia e giudiziaria, nonché i riflessi che l’ i n t roduzione di norme di ordine pubblico a seguito degli eventi dell’11 settembre da parte degli USA determina sulla pro t ezione dei dati in Eu ropa – caso API S – P N R ) .

A l t re novità nel diritto comunitario e nel settore giustizia-affari interni Profili generali Il Gruppo, già in un parere adottato alla fine del 2001, aveva ribadito l’esigenza di un approccio equilibrato nella lotta al terrorismo, in particolare dopo gli eventi dell’11 settembre 2001, per far sì che il diritto alla sicurezza e il diritto alla privacy coesistano in maniera equilibrata, suggerendo pertanto di abbandonare l’equazione “più sicurezza meno privacy”, di evitare forme generalizzate di sorveglianza, di valutare le conseguenze delle misure antiterrorismo sulle libertà delle persone. Nel parere si sottolineava come la lotta al terrorismo non dovesse ridurre il livello di tutela dei diritti fondamentali che caratterizza ogni società democratica, ma che occorresse sempre rispettare determinate condizioni che costituiscono anche il fondamento delle società democratiche in cui viviamo: da questo punto di vista le numerose iniziative legislative e di altra natura approvate o in discussione a livello comunitario e nazionale in molti casi sembrano destinate ad avere un ambito di applicazione molto più ampio della lotta contro il terrorismo. Come esempio, nel parere del Gruppo viene citata la proliferazione di strumenti per il riconoscimento dell’identità, anche attraverso dispositivi biometrici, o la previsione dei reati di “criminalità informatica”, la cui definizione -a giudizio del Gruppo- è molto ampia e lascia spazio a interpretazioni non rispettose del principio di legalità.

L’introduzione di misure legislative negli USA volte ad imporre sanzioni alla compagnie aeree che operano voli da e per gli Stati Uniti qualora non forniscano in anticipo alle autorità statunitensi una serie di dati relativi ai passeggeri ed ai membri dell’equipaggio, anche attraverso l’accesso diretto ai dati trattati nei sistemi di prenotazione e controllo delle partenze (che non si limitano ai dati relativi ai tragitti da o verso gli USA, ma includono anche preferenze personali dei passeggeri abituali iscritti a programmi “frequent flyer” tra cui informazioni di tipo sanitario), ha nuovamente e specificamente determinato l’intervento del Gruppo che, nell’ottobre 2002, ha adottato un parere (n. 6/2002) nel quale ha ritenuto che, pur nel rispetto della sovranità degli Stati, una previsione normativa di tal genere (ed i conseguenti obblighi per i destinatari) ingenera difficoltà nell’applicazione della direttiva 95/46/CE cui le compagnie aeree che operano sul territorio comunitario sono soggette.

Successivamente, dopo un intervento della Commissione europea che ha ritenuto di poter negoziare una sorta di sostanziale accordo “ponte” con autorità amministrative USA, si è avuto un ampio dibattito nel Parlamento europeo, che ha chiesto un fermo ripensamento ed un vero negoziato su basi giuridiche solide ed appropriate. Il 25 marzo la Commissione “Libertà pub – bliche” del Parlamento europeo ha organizzato un seminario per dibattere ulteriormente il tema con i diversi soggetti: Commissione europea, autorità americane, compagnie aeree, organizzazioni rappresentative dei consumatori/utenti. Al seminario sono intervenuti, anche in considerazione del ruolo rivestito di Presidente del Gruppo, il Presidente del Garante e, in qualità di Presidente dell’Autorità di controllo Schengen, il segretario generale del Garante.

Alla luce di quanto evidenziato ed anche in considerazione delle proposte finora maturate nel corso del lavori della Convenzione europea, che portano alla previsione di un nuovo articolo specificamente rivolto alla protezione dei dati personali, superando quindi la divisione tra materie di primo e terzo pilastro, potrebbe allora porsi la questione di una diversa e migliore collocazione del Gruppo stesso all’interno del quadro delle competenze comunitarie.

Per quanto concerne gli ulteriori aspetti di novità legati al diritto comunitario, si segnala poi la presentazione, nel giugno del 2002, da parte della Commissione europea di una propo- sta di direttiva relativa al riutilizzo dei documenti del settore pubblico e al loro sfruttamento a fini commerciali.

La proposta di dire t t i va è stata esaminata dal gruppo di lavo ro del consiglio “Telecomunicazioni” ed alle discussioni ha preso parte attiva, nell’ambito della delegazione italiana, l’Ufficio del Garante. Nel corso del Consiglio dei Ministri delle telecomunicazioni del 27-28 marzo 2003 sul testo della proposta è stato raggiunto un accordo politico.

L’intento alla base della direttiva è quello di agevolare il riutilizzo delle informazioni del settore pubblico al fine di favorire la crescita di un mercato di servizi informativi a valore aggiunto estesi in maniera omogenea a tutti gli stati membri dell’Unione, anche nella prospettiva della diffusione di nuove piattaforme di comunicazione. Secondo la Commissione, la realizzazione di servizi informativi a livello europeo è di fatto ostacolata dall’esistenza di norme e prassi diverse negli Stati membri in materia di tariffe, tempi di risposta, accordi di esclusiva e disponibilità generale dei dati ai fini del riutilizzo. Per favorire lo sviluppo di prodotti informativi a valore aggiunto e limitare le distorsioni della concorrenza sul mercato europeo, la Commissione si propone di definire attraverso la direttiva un quadro di garanzie, relative alla definizione di condizioni di mercato eque e trasparenti, tariffazione, tempi e modalità di risposta, compatibile con le normative nazionali, senza interferire sulle previsioni nazionali riguardanti il diritto di accesso e nel pieno rispetto delle disposizioni in materia di protezione dei dati personali.

Un’altra iniziativa legislativa promossa dalla Commissione, sulla quale è iniziata la discussione in seno al Consiglio e riguardo la quale il Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali ha espresso, il 2 luglio 2002, un parere preliminare, riguarda l’armonizzazione delle disposizioni legislative, regolamentari ed amministrative degli Stati membri in materia di credito al consumo.

Si tratta di una proposta di notevole ampiezza ed impatto, che prevede la creazione e gestione di banche dati ed introduce talune disposizioni per il trattamento dei dati, pur nella generale salvaguardia e richiamo delle disposizioni della direttiva 95/46/CE. L’Ufficio ne segue attentamente l’iter, anche al fine di formulare proposte emendative e soppressive di talune parti del testo proposto che potrebbero avere riflessi su emanandi provvedimenti interni (codici di deontologia).

Nel settore giustizia ed affari interni si segnala inoltre l’effettiva costituzione ed entrata in funzione di Eurojust e si registrano diverse richieste, dibattute nel gruppi di lavoro di terzo pilastro ed in ambito del Consiglio GAI, volte a consentire l’accesso al sistema informativo Schengen da parte di Europol e di consentire allo stesso di accedere ai dati della banca dati Eurodac. Sono anche allo studio i sistemi per rendere Eurojust parte di questi sistemi.

Come anticipato nel precedente paragrafo, molto ampia ed attenta è stata l’attività svolta dal Gruppo, di cui il Presidente del Garante è stato riconfermato all’unanimità Presidente.

La conferma rappresenta un riconoscimento al lavoro svolto nei due anni del primo mandato, che ha visto, tra l’altro, la chiusura del negoziato tra USA ed UE riguardo alla tutela della privacy da assicurare ai cittadini europei i cui dati personali devono essere trasferiti oltreoceano, l’elaborazione delle linee guida sulla privacy in Internet, la presa di posizione sulla necessità di un approccio equilibrato nella lotta al terrorismo, l’emanazione di vari pareri sul genoma umano, sulle comunicazioni elettroniche, sul cybercrime, sul trattamento dei dati nel rapporto di lavoro.

L’attività del Gruppo nel corso del 2002 ha affrontato, in particolare, il rapporto tra sicurezza e privacy, l’uso dei dati genetici, l’espandersi delle nuove tecnologie a fini di controllo e sorveglianza, l’impatto della società elettronica e la tutela dei diritti fondamentali dei cittadini europei, il trasferimento di dati verso Paesi terzi, l’uso delle clausole contrattuali standard e l’approfondimento delle esigenze rappresentate dall’industria e dalle società multinazionali per avere un quadro di riferimento il più possibile uniforme rispetto ai principi ed ai criteri per effettuare il trasferimento stesso. Nella definizione del calendario dei lavori e nella definizione dei temi da approfondire si è tenuto in particolare conto del lavoro di “controllo” sullo stato d’applicazione della direttiva da parte della Commissione, cui si è fatto cenno nel par. 76.

Una parte rilevante dell’attività è stata concentrata sull’attenta valutazione delle sfide poste dalle nuove tecnologie, dallo sviluppo della società dell’informazione e in particolare di Internet. Si segnalano i pareri sulla “standardizzazione” della privacy in Europa (parere 1/2002 WP 57 del 30 maggio 2002), sull’uso di un identificativo unico negli apparecchi terminali di telecomunicazioni (parere 2/2002 WP 58 del 30 maggio 2002) ed i documenti di lavoro riguardanti: la determinazione dell’applicazione internazionale della normativa comunitaria in materia di tutela dei dati al trattamento di dati personali su Internet da parte di siti non stabiliti nell’UE (WP 56 del 30 maggio 2002); primi orientamenti del Gruppo in merito ai servizi d’autenticazione on line (tema sul quale i lavori del Gruppo sono continuati ed hanno portato all’adozione di un più corposo documento di lavoro il 20 gennaio 2003 WP 68); la vigilanza sulle comunicazioni elettroniche sul posto di lavoro (WP 55 del 29 maggio 2002); il trattamento di dati personali tramite videosorveglianza, promosso dai componenti italiani del Gruppo, documento che, una volta adottato, è stato aperto alla pubblica consultazione sul sito della Commissione dedicati ai lavori del Gruppo (WP 67 del 25 novembre 2002).

Altri pareri hanno riguardato la proposta di direttiva in materia di credito al consumo (parere 3/2002 WP 60 del 2 luglio 2002, già richiamato), l’adeguatezza della protezione dei dati in Argentina (parere 4/2002 WP63 del 3 ottobre 2002), la determinazione adottata dai La cooperazione tra Autorità garanti in Europa Il Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali Garanti europei della protezione dei dati nel corso della conferenza internazionale di Cardiff (9-11 settembre 2002) sull’obbligo di conservazione sistematica dei dati di traffico delle telecomunicazioni (parere 5/2002 WP 64 dell’11 ottobre 2002). Il parere si riferisce alle richieste formulate dalle forze di polizia tendenti ad una preliminare, generalizzata, conservazione di tali dati e richiama al rispetto dei principi sanciti in materia, da ultimo, dall’articolo 15 della direttiva 2002 /58/Ce.

Nei primi mesi del 2003 il Gruppo ha adottato un parere sulla conservazione dei dati di traffico a fini di tariffazione (parere 1/2003 WP 69 del 29 gennaio 2003), proprio per chiarire gli ambiti che la citata direttiva offre alla possibilità di derogare al principio generale fissato all’articolo 6 in base al quale i dati relativi al traffico devono essere cancellati o resi anonimi al termine della comunicazione (chiamata o connessione).

Il Gruppo ha continuato ad occuparsi ed a seguire con grande attenzione l’applicazione ed il funzionamento dell’accordo con gli Stati Uniti (cd. Safe Harbor). Una prima, provvisoria valutazione, effettuata dalla Commissione nei primissimi mesi del 2002, aveva dato risultati non soddisfacenti e, in una successiva visita negli USA i rappresentanti del Gruppo avevano confermato la necessità che l’accordo fosse applicato con serietà.

Il rapporto della Commissione offriva diversi spunti di riflessione, evidenziando come, pur essendo presenti tutti. i requisiti necessari per darvi applicazione vi fosse in realtà, da parte delle non numerose imprese che avevano aderito su base volontaria al Safe Harbor, un deficit di trasparenza sia riguardo alle informazioni messe a disposizione dei cittadini sia riguardo alla completezza delle informazioni stesse (ad esempio, per quanto riguarda il diritto di accedere ai dati e di farli cancellare in determinati casi). Inoltre, i sei organismi per la risoluzione delle controversie (tra gli altri, BBBOnline, TRUSTe, DMA), ai quali le imprese USA possono demandare la gestione degli eventuali ricorsi presentati da cittadini UE, non risultavano fornire informazioni complete su come istruire i ricorsi ed autocertificare l’adesione ai meccanismi p revisti dal Safe Ha r b o r. Questo nonostante l’impegno profuso dalla Federal Tr a d e Commission e dal Dipartimento per il commercio degli USA per diffondere la conoscenza dell’accordo e promuoverne la corretta applicazione.

I Garanti europei, hanno deciso lo scorso 2 luglio a Bruxelles di condurre un’analisi approfondita sull’attuazione dell’accordo.

Il Gruppo ha ritenuto, infatti, necessario disporre di informazioni più approfondite e aggiornate per meglio assolvere il proprio ruolo rispetto alle questioni attinenti alla protezione dei dati personali. L’obiettivo di quest’attività informativa è soprattutto quello di valutare, in uno spirito costruttivo, come superare eventuali divergenze rispetto all’attuazione di alcune disposizioni del Safe Harbor e colmare le lacune esistenti in termini di prassi applicative. Ciò risulta tanto più necessario se si vuole estendere l’ambito di applicazione dell’accordo ad altre tipologie di trattamento, o magari ad altri Paesi.

Il Gruppo ha richiamato, in tale situazione, la risoluzione adottata dal Parlamento europeo il 5 luglio 2000 a proposito dell’accordo di Safe Harbor, ed ha invitato tutte le autorità, gli enti e le associazioni interessate a collaborare per fornire informazioni aggiornate e specifiche su:

– misure per aumentare la trasparenza del funzionamento dell’Accordo; – possibilità di definire strumenti di verifica ulteriori per quanto riguarda l’adesione all’Accordo e l’eventuale perdita dei benefici da esso derivanti (in caso di comportamenti non conseguenti); – iniziative per migliorare fra le imprese la conoscenza dei requisiti da soddisfare per rimanere nel Safe Harbor; – misure necessarie per perfezionare i meccanismi di risoluzione delle controversie, favorirne la conoscenza su entrambe le sponde dell’Atlantico e armonizzare le modalità di informazione rispetto agli esiti di tali controversie; – iniziative da intraprendere per potenziare la cooperazione fra il “panel” costituito dalle autorità europee con il compito di esaminare eventuali controversie (al quale possono decidere di rivolgersi anche le imprese USA), gli organismi USA di risoluzione delle controversie previsti dall’Accordo e la Federal Trade Commission.

Sulla base delle informazioni raccolte il Gruppo si è riservato di adottare in tempi rapidi un parere con il quale indicare alla Commissione profili utili ai fini della valutazione complessiva del funzionamento del Safe Harbor. Nel prendere atto che ancora non sono stati compiutamente forniti gli elementi richiesti, il Gruppo ha dovuto riconoscere che al momento non dispone di informazioni tali da far ritenere ottimale il funzionamento dell’accordo, poi successivamente sollecitate.

Un altro tema di grande interesse sul quale i Garanti si sono pronunciati nell’autunno del 2002 ha riguardato la trasmissione da parte delle compagnie aeree di informazioni sugli elenchi dei passeggeri e di altri dati agli Stati Uniti (parere 6/2002 WP 66 del 24 ottobre 2002).

L’obbligo per le compagnie operanti voli da, verso ed in transito gli Stati Uniti è stato introdotto nella legislazione americana a seguito degli attentati dell’11 settembre 2001.

L’imposizione di un tale vincolo, accompagnato inoltre da sanzioni che possono giungere al divieto di sorvolo ed alla perdita dei diritti di atterraggio, oltre a quelle di natura pecuniaria, ha determinato seri riflessi riguardo all’applicazione della direttiva europea in materia di protezione dei dati personali.

Il parere del Gruppo ha evidenziato i rischi della normativa statunitense ed ha richiamato al rispetto delle normative europee.

Per evitare l’entrata in vigore del sistema sanzionatorio, alcuni mesi più tardi, rappresentanti della Commissione europea e delle Dogane USA hanno iniziato un negoziato per definire le condizioni da rispettare a tal fine. Le immediate, forti reazioni del Parlamento europeo e del Gruppo hanno imposto che l’eventuale fornitura dei dati fosse il frutto di un accordo formale.

Il Gruppo sta attualmente lavorando alla definizione dei tempi e modi per discutere in ordine alle soluzioni ipotizzabili.

In materia di videosorveglianza, come si è ricordato, i Garanti europei, lo scorso 2 ottobre, hanno approvato in via preliminare un importante documento in cui sono state affermate alcune regole fondamentali che tutti i titolari di trattamenti pubblici e privati effettuati attraverso sistemi di videosorveglianza dovrebbero adottare. Il documento è stato pubblicato sul sito del Garante e su quello dell’UE ed è stato messo a disposizione per raccogliere suggerimenti ed osservazioni nell’ambito di una ampia consultazione pubblica.

Scopi leciti e chiaramente definiti, raccolta dei dati personali ridotta al minimo, adeguata informazione dei cittadini europei. Questi alcuni dei pilastri del “decalogo” messo a punto dal Gruppo per un uso delle telecamere nel pieno rispetto della riservatezza degli individui.

Il “decalogo” europeo nasce dall’esigenza di definire un quadro di riferimento uniforme ed armonico a livello comunitario riguardo all’installazione di tali sistemi, e contiene indicazioni generali (da specificare ulteriormente nei singoli settori di applicazione) che rappresentano un denominatore comune minimo al quale fare riferimento.

Le indicazioni riguardano in parte anche i trattamenti di dati che non ricadono sotto le disposizioni della direttiva sulla protezione dei dati, come ad esempio, i trattamenti effettuati per scopi di sicurezza pubblica o per il perseguimento di reati, oppure trattamenti effettuati da una persona fisica per scopi esclusivamente privati o familiari.

Come nel decalogo italiano (Provv. 29 novembre 2000) e in quello in adozione presso il Consiglio d’Europa, le regole messe a punto riguardano aspetti fondamentali quali l’effettiva necessità del ricorso ai sistemi di videosorveglianza, la definizione di precisi scopi in base ai quali raccogliere le immagini, la necessità di informare i cittadini circa l’installazione delle telecamere, l’adozione di misure di sicurezza.

Se m p re nell’ambito della definizione di forme di collaborazione e scambio tra le autorità di p ro t ezione dei dati, va ricordato l’In t e rnational Wo rking group on data protection in telecommunica – tios (cd. Gruppo di Berlino), che si propone come luogo di discussione ed approfondimento, non solo a livello europeo, tra esperti in materia di tecnologie ed informazione su temi quali In t e rn e t, crittografia, comunicazioni elettro n i c h e .

Il gruppo nel periodo considerato ha tenuto due riunioni: la prima a Be rl i n o e la seconda a Zu r i g o.

In tali incontri, oltre ai consueti aggiornamenti sullo stato di attuazione e sul completamento della disciplina inerente alla tutela dei dati personali, sono stati affrontati alcuni temi, tra cui quello delle frodi poste in essere on line, su cui si è soffermato il rappresentante della Fe d e ral Tra d e C o m m i s s i o n ( F TC) statunitense, che ha sollecitato lo sviluppo di forme di cooperazione transf ro n t a l i e re, caratterizzate da celerità ed efficacia e basate su una ampia conservazione dei dati di traffico e la loro d i s c l o s u re (a pre s c i n d e re dal consenso dell’ i n t e ressato) in caso di richiesta da part e dei soggetti incaricati di svo l g e re le indagini. Da parte europea sono stati rappresentati gli ostacoli alla realizzazione di questa attività dal punto di vista della tutela della p r i va c y individuale, con part i c o l a re riguardo alla data re t e n t i o n (pur nell’ambito di un bilanciamento con le esigenze di e n f o r – c e m e n t) .

Altri temi hanno riguardato la diffusione di dati personali via In t e rn e t, l’invio di M m s (tema sul quale il Garante si è recentemente pronunciato e che ha fornito lo spunto per un intervento del r a p p resentante dell’ Autorità presente all’ i n c o n t ro, l’invio di comunicazioni commerciali non sollecitate, sul quale le Autorità di pro t ezione dei dati belga e francese hanno richiesto al pubblico di i n v i a re segnalazioni e denunce (è in corso di completamento l’analisi di quelle ricevute).

Nel 2002 sono proseguiti gli incontri organizzati con cadenza semestrale ai fini dello scambio di informazioni e della definizione di un modus opera n d i comune per la trattazione dei ricorsi e delle segnalazioni presentati alle autorità nazionali per la pro t ezione dei dati, con part i c o l a re r i g u a rdo ai casi che, per la loro rilevanza o per la natura delle parti interessate, travalichino l’ a mbito nazionale. I due seminari si sono tenuti rispettivamente a D u b l i n o il 14-15 marzo 2002 ed a Be rl i n o il 25-26 nove m b re 2002 (“Complaints Handling Wo rk s h o p s”).

Nel seminario di D u b l i n o è stata dedicata part i c o l a re attenzione al tema dei flussi transfro n t alieri di dati, con un approfondimento in merito ai poteri ispettivi e di controllo delle autorità nazionali. In part i c o l a re, sono stati presentati i risultati di un questionario sull’argomento fatto circ o l a re fra tutte le autorità dell’UE. Ne è emerso un quadro piuttosto variegato, soprattutto per quanto concerne i criteri di effettuazione delle indagini ispettive in loco ed i poteri sanzionatori delle Autorità. Una tabella comparativa dei risultati è stata resa disponibile attraverso CIRCA ed è stata anche presentata alla Spring Confere n c e di B o n n delle Autorità europee di pro t ezione dei dati.

La partecipazione ad altri comitati e gruppi di lavoro Il tema ha avuto ulteriori approfondimenti nel successivo incontro tenutosi a Be rl i n o nel mese di nove m b re 2002, con un’analisi dei risultati del questionario. È stata anche presentata la procedura seguita in Germania, in coordinamento tra le autorità dei singoli L a e n d e r, ai fini della valutazione di codici di condotta per il trasferimento di dati da parte di multinazionali.

Al seminario, che ha visto la partecipazione di un numero elevato di delegazioni (circa 24) in r a p p resentanza di tutte le Autorità garanti dell’UE e dei Paesi candidati all’adesione, sono stati anche oggetto di confronto altri temi, quali:

– la videosorveglianza, con una rassegna dei principali casi nei vari Paesi (il Garante ha illustrato i princìpi indicati del c.d. “d e c a l o g o” ) ; – la procedura di trattazione dei ricorsi da parte dell’ Autorità inglese, incentrata sull’ o b b l igatoria compilazione di un modello per la presentazione di tali atti e sulla risoluzione preve n t i va dei problemi segnalati, in modo da evitare il contenzioso o l’applicazione di sanzioni, ed il trasferimento di dati all’ e s t e ro.

Pa rt i c o l a re interesse ha suscitato la trattazione del tema re l a t i vo alle cosiddette “centrali dei rischi cre d i t i z i”: la Francia ha illustrato la situazione normativa esistente in Usa, Germania e UK, m e n t re il Garante ha presentato il prov vedimento adottato in materia nel mese di nove m b re 2 0 0 1 .

Nel marzo del 2003, si è tenuto a Va r s a v i a il VII seminario, cui hanno partecipato anche rapp resentanti dei futuri Paesi membri dell’UE. Ad essi sono state fornite alcune indicazioni di metodo basate sull’esperienza sinora raccolta ed è stata condotta un’analisi delle modalità di trattazione di ricorsi e segnalazioni a livello nazionale, evidenziando le tipologie dei principali problemi incontrati e le soluzioni messe in atto.

Fra i temi esaminati in modo più specifico, occorre menzionare le cosiddette “black lists”, rispetto alle quali sono state evidenziate alcune importanti discre p a n ze anche nella normativa dei singoli Paesi UE. In parte connesso a tale tematica è il funzionamento delle cosiddette “c e n t r a l i r i s c h i”: le delegazioni hanno sottolineato l’ o p p o rtunità di elaborare una serie di indicazioni a l i vello comunitario, eventualmente attraverso il coinvolgimento del Gruppo per la tutela delle persone con riguardo ai dati personali.

Un terzo punto affrontato riguarda i trasferimenti di dati personali all’ e s t e ro, anche alla luce degli sviluppi più recenti a livello comunitario. La delegazione italiana ha sintetizzato quattro casi emblematici relativi ad importanti società multinazionali alle quali erano stati chiesti chiarimenti in merito alle metodologie adottate; ne è emerso che i molteplici strumenti già oggi disponibili sembrano consentire di rispondere in modo adeguato alle esigenze di circolazione dei dati prospettate da aziende anche di grandi dimensioni. Si è concordato sull’esigenza di individuare un a p p roccio uniforme, soprattutto onde evitare il rischio di un a u t h o r i t y sh o p p i n g da parte delle aziende; a tale scopo, si è proposto di potenziare l’uso degli strumenti offerti dallo spazio we b d i discussione CIRCA. Questo ed altri temi (trattamento di dati biometrici, bilanciamento di interessi, iniziative di sensibilizzazione) saranno approfonditi nel corso del prossimo w o rk s h o p, che si terrà a Ro m a .

L’Autorità comune di controllo (Acc), attualmente presieduta dal segretario generale del Garante, ha proseguito la sua attività di verifica e controllo del funzionamento della parte centrale del Sistema di informazione Schengen, nel perseguimento delle finalità che la Convenzione le attribuisce.

Una parte importante delle riunioni dell’Autorità è stata rivolta ad approfondire e discutere i progetti di sviluppo del sistema consistenti nell’introduzione di nuove funzioni, in particolare al fine di combattere il terrorismo, le quali dovrebbero prevedere l’accesso e l’uso dei dati contenuti nel SIS da parte di altri organismi, quali Europol ed Eurojust.

L’Autorità in due pareri, del 1 ottobre e del 3 dicembre, ha ribadito le sue perplessità riguardo a tali progetti ed ha segnalato per alcuni aspetti la carenza di idonee motivazioni e basi legali per poter esaminare nel merito la richiesta, attese le precise disposizioni della Convenzione relative all’accesso ed all’uso dei dati.

È stato adottato inoltre un parere, nel giugno 2002, concernente le segnalazioni nel SIS delle persone la cui identità è stata usurpata ed il modo per evitare che le stesse subiscano conseguenze negative dall’abuso perpetrato da altri. Questo parere è stato richiamato in occasione del parere sul cd. “SIS II” proprio per sottolineare come la previsione di un ampliamento delle categorie di dati cui accedere e dei soggetti ai quali tale accesso ed uso è consentito non deve provocare una limitazione dei diritti delle persone che hanno subito il furto dei documenti di identità.

La disamina relativa ai problemi nascenti dal previsto passaggio al nuovo Sistema d’informazione Schengen, è stata compiuta dall’Autorità anche con riferimento ad altri aspetti quali il fatto che lo stesso sarà basato su nuove piattaforme informatiche, che conterrà ulteriori categorie di informazioni e sarà costruito in vista del futuro ampliamento ed allargamento dell’Unione europea: sarà quindi compito dell’autorità sorvegliare il processo e ricordare che, in parallelo, deve esservi una corrispondente estensione delle garanzie previste dall’originaria Convenzione.

Un altro importante parere adottato dall’Autorità riafferma che la valutazione in merito alla durata della conservazione delle segnalazioni concernenti dati personali inserite nel Sistema debba essere effettuata con esclusivo riferimento all’articolo 112 della Convenzione.

L’Autorità ha inoltre deciso di rendere biennale la redazione e la conseguente pubblicazione del rapporto di attività. L’Autorità di contro l l o comune Schengen L’attività dell’Autorità Il mantenimento del dialogo aperto con il Parlamento europeo (in particolare con la Commissione “diritti e libertà pubbliche” che ha invitato il Presidente dell’Acc ad un’audizione pubblica l’8 ottobre 2002 ed ha recepito in dicembre le proposte dell’Acc sul SIS II), ed anche con il Comitato parlamentare cui è affidato in Italia il controllo sull’attuazione delle Convenzioni Schengen ed Europol, ha consentito al Presidente dell’Autorità Schengen di essere ascoltato riguardo alle questioni emergenti.

È stato inoltre approvato l’avvio dell’istituzione di una newsletter dell’Acc ed il rinnovo del sito web su impulso della presidenza italiana.

Nel periodo considerato è proseguita l’opera di controllo svolta dal Garante sul funzionamento dell’archivio della sezione nazionale del Sistema d’informazione, anche attraverso le numerose segnalazioni pervenute da privati.

L’Autorità comune di controllo, prevista dall’art. 24 della Convenzione di applicazione dell’Accordo di Schengen, ha continuato la sua attività di verifica e controllo sulla gestione degli archivi Europol, che dal luglio 1999 comprendono gli archivi di analisi.

L’Autorità ha seguito con attenzione i progetti di negoziato sottoposti dal Direttore dell’Europol per ottenere il consenso ad iniziare le trattative ai fini di effettuare lo scambio di dati con alcuni Paesi terzi. Particolare impegno è stato posto nel seguire il negoziato per pervenire ad un accordo formale che disciplinasse, nel rispetto dei principi in materia di protezione dei dati personali sanciti nella Convenzione stessa, la fornitura di dati da Europol agli Stati Uniti.

L’Autorità, interessata da Europol in attuazione della decisione di fornire dati agli USA a seguito degli attentati dell’11 settembre, aveva infatti rappresentato la necessità di stipulare con le competenti autorità americane un accordo formale, contenente le garanzie necessarie per poter operare in piena legittimità ed aveva espresso la volontà di essere interessata al relativo negoziato. L’attività dell’Autorità è testimoniata, in particolare, dalla nota verbale aggiuntiva all’accordo per lo scambio di dati.

Sono stati inoltre espressi pareri in relazione all’apertura di file di analisi, alla modifica dell’Atto che definisce la trasmissione di dati da Europol a Stati ed organismi terzi, nonché in relazione alle proposte di modifica della Convenzione presentate dal regno di Danimarca.

È stata compiuta una ulteriore ispezione alla sede dell’Europol che, in particolare, si è incentrata sugli archivi di analisi e sugli sviluppi tecnologici del sistema.

È stata approvata la prima relazione di attività e sono in corso contatti per la stampa e la presentazione della stessa.

Si sta lavorando per l’apertura di una pagina dedicata all’interno del sito di Europol.

Il Comitato di appello ha ricevuto i primi ricorsi, di cui uno attualmente in trattazione.

E u ro p o l L’attività dell’Autorità comune di controllo e i primi casi di contenzioso Con la legge 30 luglio 1998, n. 291, l’Italia ha autorizzato la ratifica e l’esecuzione della Convenzione sull’uso dell’informatica nel settore doganale, elaborata in base all’articolo K3 del Trattato sull’Unione europea del 26 luglio 1995.

La convenzione mira ad intensificare la cooperazione tra le amministrazioni doganali dei diversi Paesi dell’UE, particolarmente attraverso lo scambio di dati personali.

A tal fine è stata prevista la creazione di un sistema informativo automatizzato comune (Sistema informativo doganale-SID) che dovrebbe facilitare la prevenzione, la ricerca ed il perseguimento delle infrazioni alle leggi nazionali.

La convenzione istituisce una autorità comune di controllo, composta di due rappresentanti per ciascun Paese delle autorità nazionali di protezione dei dati.

L’Autorità ha iniziato i suoi lavori nel corso della primavera del 2002 ed ha provveduto alla nomina del Presidente e del vice presidente (quest’ultimo nella persona di un dirigente dell’Ufficio del Garante). Ha poi adottato il regolamento interno ed un parere sull’istituzione di un archivio di identificazione dei fascicoli a fini doganali.

Il controllo sul Sistema i n f o rmativo doganale La creazione dell’Autorità di controllo L’autorità comune di controllo Eurodac per il confronto delle impronte digitali dei richiedenti asilo è stata istituita ed ha tenuto la sua prima riunione nel dicembre 2002, pervenendo alla nomina del Presidente ed all’adozione del regolamento interno.

La funzionalità dell’organismo è però ben lungi dall’essere effettiva in quanto, all’atto dell’ormai imminente istituzione dell’organo di controllo indipendente di cui all’art. 286, par. 2 del Trattato di Amsterdam i compiti di supervisione e controllo provvisoriamente svolti da tale organo, saranno attribuiti al Garante europeo.

All’autorità di controllo indipendente, in attuazione appunto dell’art. 286 del Trattato di Amsterdam, il regolamento n. 45/2001 conferisce il compito di controllare la correttezza dei trattamenti di dati effettuati dalle istituzioni e dagli organismi dell’UE.

E u ro d a c Collaborazione tra Stati membri e garanzie per gli interessati La Convenzione del Consiglio d’Europa sul cybercrime, sottoscritta da 30 Paesi il 23 novembre 2001, è stata finora ratificata da soli due Stati (Albania e Croazia); pertanto non è ancora entrata in vigore non essendo stato raggiunto il numero minimo richiesto di 5 ratifiche, di cui almeno 3 di Stati membri del Consiglio d’Europa.

Si ricorda che tra i firmatari figurano Paesi non membri del Consiglio d’Europa (Stati Uniti, Canada, Giappone e Sud Africa).

Successivamente è stato negoziato, ad aperto alla firma il 21 gennaio 2003, un Protocollo aggiuntivo che prevede l’estensione del campo d’applicazione della Convenzione, incluse tutte le disposizioni sostanziali e procedurali, nonché quelle che disciplinano la cooperazione internazionale, agli atti di natura razzista o xenofoba commessi per mezzo di strumenti informatici.

A cagione, e successivamente agli attentati dell’11 settembre 2001, anche il Consiglio d’Europa ha iniziato una intensa attività rivolta a rendere più efficace la reazione internazionale contro il terrorismo ed, in questo quadro, a sviluppare strumenti legali per combattere lo stesso.

Il Consiglio d’Europa aveva già, fin dal 1977, adottato una specifica Convenzione sull’eliminazione del terrorismo.

Dopo gli attentati dell’11 settembre, il Comitato dei ministri aveva richiesto uno sforzo più incisivo. Tutti i 44 Stati membri hanno firmato la citata Convenzione ed è stato conferito un formale incarico di rivedere gli strumenti adottati dal Consiglio d’Europa in materia di lotta al terrorismo ad un Gruppo -il GMT o Gruppo multidisciplinare per un’azione internazionale contro il terrorismo- di cui fanno parte, oltre ai rappresentanti degli Stati membri del Consiglio d’Europa, anche Stati Uniti, Canada, Giappone, Messico e Santa Sede.

Il Gruppo ha presentato il rapporto finale delle attività formulando una proposta di protocollo emendativo della Convenzione del 1977. Nel gennaio 2003 l’Assemblea parlamentare ha adottato un parere sul testo ed il Comitato dei ministri ha formalmente approvato la proposta il 13 febbraio 2003. L’apertura alla firma è prefissata per il 15 maggio 2003.

Le proposte emendative riguardano sostanzialmente la de-politicizzazione di alcuni atti criminosi, che divengono quindi oggetto di estradizioni, oltre ad una semplificazione delle procedure per ampliare la lista dei crimini estradabili.

Il Consiglio d’Europa, ha nel contempo incaricato il Comitato diritti umani di studiare e proporre delle linee guida sulla lotta al terrorismo ed i diritti umani. Le linee-guida, che sono state adottate dal Comitato dei Ministri nel luglio 2002, costituiscono certamente il primo testo internazionale in questo campo, anche se non direttamente vincolante per gli Stati.

Consiglio d’Euro p a La convenzione sul cybercrime In esse è riaffermato l’obbligo degli Stati di proteggere chiunque nei confronti del terrorismo, di evitare arbitrarietà, di adottare misure di contrasto solo nel pieno rispetto dei principi di legalità e legittimità, ed è ribadito il divieto assoluto di sottoporre chiunque a tortura e/o trattamenti inumani e degradanti. Il quadro legale disegnato dalle linee guida -che comprende regole riguardo all’arresto, fermo e custodia da parte della polizia, detenzione preventiva, estradizione- attribuisce particolare attenzione alla raccolta e all’elaborazione di dati personali, alle misure che interferiscono con la riservatezza (come le perquisizioni, l’intercettazione di comunicazioni, ecc).

Di seguito si riporta il testo delle linee guida V e VI che riguardano più specificamente il trattamento dei dati personali e la tutela della riservatezza, segnalando che il testo completo, in francese ed in inglese, è pubblicato sul sito web del Consiglio d’Europa www.coe.int.

V. Collection and processing of personal data by any competent authority in the field of State security Within the context of the fight against terrorism, the collection and the processing of personal data by any competent authority in the field of State security may interfere with the respect for private life only if such collection and processing, in particular:

(i) are governed by appropriate provisions of domestic law; (ii) are proportionate to the aim for which the collection and the processing were foreseen; (iii) may be subject to supervision by an external independent authority.

VI. Measures which interfere with privacy 1. Measures used in the fight against terrorism that interfere with privacy (in particular body searches, house searches, bugging, telephone tapping, surveillance of correspondence and use of undercover agents) must be provided for by law. It must be possible to challenge the lawfulness of these measures before a court.

2. Measures taken to fight terrorism must be planned and controlled by the authorities so as to minimise, to the greatest extent possible, recourse to lethal force and, within this framework, the use of arms by the security forces must be strictly proportionate to the aim of protecting persons against unlawful violence or to the necessity of carrying out a lawful arrest.

Il Protocollo addizionale alla Convenzione n. 108 del 1991, che prevede l’istituzione con compiti di verifica e controllo dei trattamenti ad autorità di controllo indipendenti e disciplina i flussi transfrontalieri di dati, aperto alla firma l’8 novembre 2001, è stato finora ratificato da tre Stati (Germania, Slovacchia, Svezia) e non è ancora entrato in vigore essendo necessarie almeno cinque ratifiche.

L’Italia è tra i Paesi firmatari, ma non ancora presentato in Parlamento il disegno di legge di ratifica.

Per quanto riguarda le modifiche alla Convenzione per consentire l’adesione alla stessa da parte delle Comunità europee, l’Italia non risulta aver firmato il relativo Protocollo emendativo.

A seguito della celebrazione del ventesimo anniversario della Convenzione, che ha fornito occasione per una verifica dell’attualità e della tenuta dei principi ivi fissati, si è deciso di concentrare maggiormente i lavori dei gruppi specializzati, il CJ-PD ed, in qualche misura anche il T-PD, o comitato “convenzionale”, nell’individuazione ed adozione degli strumenti, vincolanti o meno in relazione alle materie trattate, resisi necessari per adeguare e specificare i principi della Convenzione rispetto, in particolare, agli sviluppi tecnologici ed all’uso crescente delle tecnologie elettroniche.

Il CJ-PD -il comitato che ha lavorato alla predisposizione della Convenzione n. 108 e, in seguito, all’elaborazione delle Raccomandazioni dirette a disciplinare i singoli settori in cui garantire l’applicazione della normativa in materia di tutela dei dati- ha concluso definitivamente i suoi lavori riguardo la proposta di Raccomandazione sul trattamento dei dati personali raccolti e trattati a fini assicurativi. Il testo della Raccomandazione, adottato dal Comitato dei Ministri il 18 settembre 2002 (Racc. 2002/9) specifica e dettaglia, con riferimento ai delicati aspetti sollevati da quel tipo di trattamento, i principi della Convenzione. Il lungo negoziato che ha portato all’adozione del testo, ed in un certo senso il progressivo alleggerimento di alcuni degli obblighi previsti, testimoniano appunto dell’importanza di affermare dei principi specifici cui riferire l’attività svolta in materia.

Nella riunione dell’ottobre 2002, il CJ-PD ha anche approvato il progetto di linee guida in materia di video sorveglianza con modificazioni di minore rilievo rispetto al testo già contenuto nella precedente Relazione. Il testo dovrà quindi essere approvato definitivamente dal Comitato dei Ministri.

Si sono inoltre conclusi, con la presentazione di un corposo rapporto, i lavori di un gruppo specializzato cui era stato affidato il non semplice compito di effettuare la terza ed ultima valutazione dell’applicazione della Raccomandazione n. 87 (15) concernente il trattamento dei L’attività dei gruppi di esperti dati personali nell’attività svolta a fini di polizia e di affrontare il tema dell’applicazione dei principi della Convenzione rispetto all’attività svolta per finalità giudiziarie in materia penale.

Infatti, a differenza della direttiva comunitaria, la Convenzione del Consiglio d’Europa non esclude dal campo d’applicazione tali trattamenti, rimasti di fatto finora esclusi sulla base di una “restrittiva” interpretazione che limitava ai trattamenti automatizzati il rispetto di quei principi (ad eccezione di quei Paesi che, come l’Italia, avessero fin dalla firma predicato di volerne estendere l’applicazione anche ai trattamenti manuali o cartacei) o proprio perché all’epoca non automatizzati.

Il Gruppo ha pertanto lavorato al fine di valutare se e come le regole del processo penale vigenti nei diversi Paesi potessero essere considerate in qualche misura rispondenti ai principi della Convenzione ed ha redatto una sorta di decalogo con cui richiama l’attenzione sugli aspetti fondamentali della tutela dei dati personali.

Una parte specifica è stata dedicata ai trasferimenti di dati ed a tal fine sono stati presi in esami gli obblighi scaturenti dalle convenzioni relative all’assistenza giudiziaria in materia penale ed alla convenzione per la lotta al cybercrime.

Temi attualmente in trattazione concernono l’uso delle smart card e della biometria.

Il T-PD si è lungamente dedicato all’approfondimento del sistema legato alla definizione di clausole contrattuali tese a facilitare gli scambi di dati con Paesi non legati alla convenzione e che non dispongono di una legislazione che garantisca il richiesto livello di protezione (equivalente nel testo originario, adeguato nella dizione usata dal Protocollo aggiuntivo).

Il T-PD nelle priorità del 2003 ha inserito un approfondimento in ordine ai seguenti temi:

– i diritti della persona interessata, con possibile eventuale redazione di una sorta di guida ai diritti e doveri; – l’applicazione dei principi della Convenzione in relazione agli sviluppi tecnologici: il gruppo si propone -ad esempio- di esaminare, alla luce della definizione data dalla Convenzione, se un indirizzo di posta elettronica o il numero di un telefono cellulare sia da considerare “dato personale” e di valutare i rischi che derivano dalla diffusione di nuove tecnologie (molteplicità dei fini, conservazione dei dati da parte dei “nuovi” media) come pure le opportunità (PETs, tecnologie non invasive ecc); – i flussi transfrontalieri; – l’applicazione dei principi di protezione dei dati ad Internet.

Prosegue inoltre l’esame delle modalità da intraprendere per razionalizzare i lavori del Consiglio d’Europa in materia di protezione dei dati personali, eventualmente anche attraverso la fusione degli stessi comitati in un’unica struttura.

In particolare per le attività di videosorveglianza, che presentano specifiche problematiche per la protezione dati, il Consiglio d’Europa ha adottato, sulla base del rapporto predisposto dal segretario generale del Garante cui era stato conferito apposito incarico, un documento che individua e descrive le regole di base da rispettare da parte di qualunque soggetto, pubblico o privato, che intenda porre in essere tale attività.

Le linee-guida del documento, ampiamente illustrate nella Relazione 2001 (v. p. 145), nel richiamare il principio secondo cui l’attività di videosorveglianza deve svolgersi su base legale per fini leciti, espliciti e legittimi, afferma l’esigenza che siano adottate tutte le misure volte ad assicurare che tale attività sia conforme alla normativa in materia di protezione dei dati personali e che il ricorso alla stessa possa darsi solo quando non sia possibile utilizzare sistemi meno invasivi ed intrusivi della privacy.

L’attività di videosorveglianza deve, poi, conformarsi ai principi di selettività e proporzionalità rispetto agli scopi perseguiti nei singoli casi, nonché a quelli di pertinenza e non eccedenza rispetto a immagini, suoni e dati biometrici raccolti, con particolare riguardo alle modalità di raccolta e ai tempi di conservazione dei dati.

Tra le altre linee-guida individuate dal documento, figura anche il divieto di diffusione e di comunicazione dei dati a soggetti non interessati all’attività di videosorveglianza.

Di particolare rilievo sono, inoltre, le prescrizioni volte ad evitare che l’attività di videosorveglianza possa determinare discriminazioni, basate sulle opinioni, convinzioni o comportamentio di tipo sessuale, ovvero possa configurare un controllo a distanza dei lavoratori interessati.

La tutela delle posizioni soggettive coinvolte può essere validamente perseguita, sulla base delle indicazioni del documento, con un’adeguata informativa ai lavoratori interessati (ed una eventuale intesa con le organizzazioni sindacali che contemperi i diritti dei lavoratori con le esigenze organizzativo-produttive o le ragioni di sicurezza sottese all’introduzione della videosorveglianza) e con una regolamentazione del diritto di accesso ai dati personali e degli altri diritti dei soggetti interessati.

Linee-guida in materia di sorveglianza Il Garante per la protezione dei dati personali ha partecipato anche nel 2002 ai lavori del Working Party on Information Security and Privacy (WPISP) all’interno del Committee for Information, Computer and Communication Policy (ICCP).

Il gruppo nei primi sei mesi del 2002 ha concentrato i propri sforzi per portare a termine il lavoro sulle linee-guida per la sicurezza dei sistemi informativi e delle reti, poi approvate dal Consiglio dell’O.C.S.E. il 25 luglio 2002. Il testo si propone di sensibilizzare i governi, le imprese e gli utenti rispetto ad una nuova cultura della sicurezza partendo dal riconoscimento del fatto che i sistemi informativi e le reti hanno un ruolo sempre più rilevante rispetto alla stabilità e all’efficienza delle economie nazionali e del commercio internazionale, nonché della vita sociale, culturale e politica.

L’aumento delle opportunità e delle modalità di interconnessione comporta però maggiori rischi e una maggiore vulnerabilità di tutti coloro che partecipano “alla nuova società dell’informazione”.

Per tale ragione è opportuno e necessario un impegno particolare al fine di tutelare la vita privata e promuovere la fiducia nei confronti dei sistemi informativi e delle reti, anche attraverso una crescente consapevolezza dei rischi e dunque una maggiore attenzione alle politiche, alle misure e alle procedure per far fronte a questi rischi.

Le linee-guida sono composte da nove principi cardine cui si dovranno ispirare, nell’elaborazione di future politiche, misure e programmi in tema di sicurezza on-line, tutti i governi dei paesi membri dell’O.C.S.E.. L’elenco si apre con i principi di sensibilizzazione, responsabilità e capacità di reazione rispetto ai rischi che tutti gli utilizzatori dei sistemi informativi e delle reti dovrebbero aver sempre presenti soprattutto in relazione ai danni derivanti da deficit di sicurezza, anche nei confronti di terzi. Si prosegue, poi, con il principio dell’etica (le parti dovrebbero rispettare i legittimi interessi di terzi), e quello di democrazia, nel quale si afferma che la sicurezza dovrebbe essere compatibile con i valori riconosciuti dalle società democratiche, e in particolare, con la libertà di manifestazione del pensiero, la libera circolazione delle informazioni, la riservatezza delle informazioni e delle comunicazioni, la protezione adeguata dei dati personali, l’apertura e la trasparenza. Seguono, infine, i principi sull’analisi dei rischi, sulla progettazione e la gestione dei sistemi informativi e delle reti in un’ottica di sicurezza, e sulla necessità di riesaminare, rivedere e modificare gli aspetti legati alla sicurezza costantemente, in modo da poter fronteggiare le nuove vulnerabilità.

Immediatamente dopo l’approvazione, il Garante ha provveduto a tradurre il documento in italiano e a pubblicarlo nel sito web dell’Autorità.

Nel periodo autunnale il gruppo ha lavorato per individuare le misure più efficaci a livello nazionale per diffondere e dare attuazione ai principi contenuti nelle linee-guida. A questo O . C . S . E .

I risultati conseguiti nel 2002 proposito sembra opportuno sottolineare che all’interno dell’O.C.S.E. è stato avviato un dibattito su una possibile riforma dell’organizzazione internazionale, volta soprattutto ad aumentare il peso dei lavori prodotti in quella sede sulle politiche di sviluppo nazionali. Alla qualità dei lavori prodotti, infatti, non sembra corrispondere una effettiva incisività sulle politiche nazionali, oltre ad essere stata evidenziata la necessità di ridurre e razionalizzare un certo numero di comitati. È stata inoltre resa nota l’intenzione della Cina di candidarsi all’adesione.

Per quanto riguarda gli argomenti più strettamente relativi alla privacy, sono stati elaborati due documenti dal titolo Privacy on-line: policy and practical guidance e Report on compliance with, and enforcement of, privacy protection on-line.

Il primo documento fa un inventario di tutti i lavori promossi dopo la Conferenza ministeriale di Ottawa del 1998 al fine di adempiere al mandato di applicare i principi contenuti nelle linee-guida del 1980 anche alle reti mondiali di comunicazioni. In particolare, si sofferma sulla necessità di a) incrementare politiche di sensibilizzazione alla privacy on-line; b) garantire la disponibilità in rete di adeguati rimedi giuridici in caso di inosservanza dei principi (attraverso il ricorso a sistemi alternativi rispetto al ricorso giurisdizionale cd. ADR); c) incoraggiare l’uso delle PETs (privacy enhancing technologies); d) incoraggiare il ricorso a soluzioni contrattuali per i trasferimenti di dati all’estero on-line.

Nella parte finale si invitano gli Stati a ribadire l’importanza della cooperazione internazionale e della collaborazione con il settore privato per incrementare la fiducia degli utilizzatori nelle reti; le imprese a sviluppare privacy policies sulla base delle linee-guida del 1980, a valutare quali strumenti di autoregolamentazione siano idonei alle loro attività, a collaborare con i governi perché l’approccio normativo e autoregolamentativo induca a nuovi modelli flessibili di implementazione in grado di coniugare il libero flusso di informazioni con la protezione dei dati personali.

Il secondo documento presenta e analizza i meccanismi di attuazione previsti nei paesi O.C.S.E. sia in caso di mancata osservanza dei principi e delle politiche in materia di privacy, sia per garantire l’accesso a forme di risarcimento. Esso costituirà il fondamento della valutazione concernente l’applicazione pratica degli strumenti disponibili per garantire l’osservanza e l’attuazione di tali principi e politiche in ambito telematico, nonché la loro rispondenza agli obiettivi fissati nelle linee-guida del 1980.

Per quanto riguarda il programma di lavoro per il prossimo biennio sono state avanzate numerose proposte tutte attinenti alla trust-economy, con riferimento alle aspettative di privacy non tutelate dal mercato, alle azioni congiunte da parte dei settori pubblico e privato per accrescere la fiducia dei consumatori e al circolo virtuoso generato dall’incremento di fiducia dovuto all’applicazione di adeguate misure volte a tutelare la privacy.

Il Garante ha costantemente partecipato a numerose conferenze europee e di rilievo mondiale nelle quali sono stati trattate importanti tematiche di rilevante attualità per il nostro Paese.

Il 25 e 26 aprile 2002 si è svolta a Bonn la Conferenza di primavera delle Autorità europee per la protezione dei dati personali, cui hanno preso parte 20 paesi. La prima sessione di lavori si è occupata del rapporto fra le disposizioni in materia di sicurezza – emanate in seguito agli eventi dell’11 settembre 2001 – e la tutela del diritto alla riservatezza. È stato ribadito, ancora una volta, che l’esigenza di maggiore sicurezza non confligge con un elevato livello di garanzie per i diritti fondamentali dei cittadini, e in particolare con il diritto alla privacy. Si è poi discusso del tema della biometria, soprattutto con riferimento alle procedure di identificazione che, grazie al progresso tecnologico, consentono di individuare l’identità personale a partire dalle impronte digitali, dai punti di riferimento facciali, dagli occhi, dal portamento etc., a costi sempre minori. La raccolta di dati personali attraverso queste tecniche, e la loro conservazione, è un problema emergente in tutti gli ordinamenti nazionali. Fra gli altri temi trattati, meritano una menzione i programmi di e-government, la certificazione delle politiche privacy portate avanti dalle imprese e la collaborazione con i paesi dell’est.

Dal 9 all’11 settembre 2002 si è tenuta a Cardiff la 24° Conferenza mondiale sulla privacy.

Nell’incontro sono stati affrontati numerosi argomenti di particolare interesse, fra i quali devono essere menzionati l’impatto della privacy come leva per una maggiore efficienza del settore pubblico e privato, il ruolo della tecnologia al fine di proteggere la privacy nella diffusione delle informazioni, il trattamento di dati svolto al fine di valutare la solvibilità rispetto al credito e la difficoltà di preservare l’anonimato nell’era della globalizzazione, dell’informazione e del terrorismo internazionale. La sessione finale è stata dedicata al ruolo delle Autorità indipendenti come organismi che, pur mantenendo nella sfera pubblica decisioni socialmente ed economicamente rilevanti, si pongono fuori dalla tradizionale divisione dei poteri, e contribuiscono così ad incrementare il sistema di pesi e contrappesi fondamentale per la democraticità dei sistemi. È stato rilevato, inoltre, che il modello dell’Autorità indipendente non è una prerogativa solo dei sistemi europei, ma si è imposto anche in Canada, in America Latina, in Asia e perfino negli Stati Uniti sono state avanzate proposte in questo senso. La protezione dei dati personali è divenuta una componente essenziale del nuovo concetto di cittadinanza scaturito da una realtà dominata dai rischi dell’uso massiccio delle tecnologie dell’informazione e dalla creazione di grandi banche dati. Come ha sostenuto nel suo intervento il Presidente del Garante italiano “siamo sempre più conosciuti da soggetti pubblici e privati attraverso i nostri dati personali in forme che possono incidere sul principio di uguaglianza, sulla libertà di comunica – zione, di espressione o di circolazione, sul diritto alla salute, sulla condizione di lavoratore, sull’ac – cesso al credito e alle assicurazioni”. I Garanti per la privacy europei si sono nell’occasione fermamente espressi in senso contrario circa l’introduzione generalizzata – e, quindi, senza tener conto delle garanzie e dei limiti previsti da vari strumenti internazionali e comunitari (da ultimo, la direttiva n. 2002/58/CE pubblicata il 31 luglio 2002) – di obblighi di conservazione di dati di traffico relativi a telefonate, e-mail, sms, collegamenti Internet, per generiche finalità di polizia e di giustizia. Le Autorità europee considerano infatti “sproporzionata ed inaccettabile” l’ipotesi avanzata dai governi europei di registrare sistematicamente tutte le forme di telecomunicazione e comunicazione elettronica, mettendo a rischio la privacy dei cittadini europei.

Ulteriori iniziative Si riporta, di seguito, il testo della Dichiarazione sulla conservazione sistematica e obbligatoria dei dati di traffico:

Le Autorità europee per la protezione dei dati hanno rilevato con preoccupazione che nel – l’ambito del Terzo Pilastro dell’UE sono all’esame alcune proposte tali da comportare la con – servazione sistematica e obbligatoria dei dati di traffico relativi a tutte le forme di teleco – municazione – durata, localizzazione, numeri utilizzati per chiamate telefoniche, fax, mes – saggi di posta elettronica, e per altri impieghi di Internet – per un periodo di un anno o più, allo scopo di consentire l’eventuale accesso da parte delle forze dell’ordine e degli organismi preposti alla sicurezza.

Le Autorità europee per la protezione dei dati dubitano fortemente della legittimità e liceità di misure dotate di tale ampiezza. Desiderano inoltre richiamare l’attenzione sui costi ecces – sivi che ciò comporterebbe per le imprese operanti nel settore telecomunicazioni ed Internet e sull’assenza di misure analoghe negli USA.

Le Autorità europee per la protezione dei dati hanno più volte sottolineato che una conser – vazione siffatta costituirebbe un’indebita compressione dei diritti fondamentali garantiti ai singoli dall’articolo 8 della Convenzione europea sui diritti dell’uomo, così come ulterior – mente sviluppati nella giurisprudenza della Corte europea dei diritti dell’uomo (v. Parere 4/2001 del Gruppo di lavoro ex Articolo 29, istituito dalla direttiva 95/46/CE, e la Dichiarazione di Stoccolma dell’aprile 2000).

La tutela dei dati di traffico delle telecomunicazioni è prevista attualmente anche dalla Direttiva 2002/58/CE del Parlamento europeo e del Consiglio in materia di privacy e comu – nicazioni elettroniche (Gazzetta Ufficiale CE L201/37), in base alla quale il trattamento dei dati di traffico è consentito, in linea di principio, ai fini della fatturazione e dei paga – menti di interconnessione.

All’esito di una lunga e franca discussione, la conservazione dei dati di traffico per scopi con – nessi all’attività delle forze dell’ordine dovrebbe essere conforme alle rigide condizioni previ – ste dall’articolo 15(1) della Direttiva – ossia, caso per caso, solo per un periodo limitato e pur – ché necessaria, opportuna e proporzionata all’interno di una società democratica Da segnalare, inoltre, la Conferenza Internazionale “Privacy, da costo a risorsa”. Il 5 e 6 dicembre 2002 l’Autorità ha organizzato una conferenza internazionale rivolta al mondo delle imprese, il cui sottotitolo enuncia già in qualche modo i contenuti e le finalità dell’incontro:

“Garanzie per i cittadini, opportunità per le imprese; i vantaggi di un mercato privacy-orien – ted”. Il convegno è stato articolato in quattro sessioni rispettivamente dedicate alla tutela dei dati personali nel mercato globale, alla privacy all’interno dell’impresa, alla tutela della riservatezza nei rapporti con utenti e consumatori e alla privacy come volano di sviluppo economico.

Ai lavori sono intervenuti come relatori esponenti di aziende multinazionali, studiosi di fama internazionale, rappresentanti di istituzioni di paesi esteri, di associazioni di categoria, di associazioni di consumatori, di altre autorità indipendenti ed alte cariche istituzionali. Al convegno, che ha avuto una elevata partecipazione di pubblico, hanno partecipato numerosi soggetti che si occupano in modo professionale di questioni attinenti alla privacy soprattutto nel settore privato. Il convegno è partito dall’assunto che i dati personali rappresentano una risorsa fondamentale per le aziende che operano in un sistema economico caratterizzato da un incessante flusso di informazioni. La competizione nel mercato, la conquista dei clienti e la gestione dei rapporti di lavoro interni all’azienda devono svolgersi, però, nel rispetto dei diritti dei soggetti coinvolti, e in particolare del diritto alla riservatezza. Il rispetto della privacy, dunque, può rappresentare un valore aggiunto per le imprese, sia come impulso a organizzare più razionalmente i flussi informativi, sia come elemento fondamentale della qualità del servizio reso. La conferenza ha voluto sottolineare, inoltre, che il diritto alla protezione dei dati personali rientra nel novero dei diritti fondamentali, e che pertanto non può essere considerato esclusivamente in un’ottica di remunerazione economica. Il diritto alla riservatezza non è assimilabile ai diritti che hanno un contenuto patrimoniale e, pertanto, non si può applicare semplicisticamente l’analisi costi-benefici, trattandosi di beni non economici. Del resto, anche l’art. 41 della Costituzione afferma che l’iniziativa economica privata non possa svolgersi in modo da recare danno alla libertà e alla dignità umana. In tal senso si è affermato che il diritto alla riservatezza costituisce una precondizione di una società democratica, il cui contenuto essenziale non può essere azzerato né per motivi di sicurezza, né per ragioni di carattere economico.

Un altro tema cruciale affrontato durante la conferenza è stato quello del confronto fra il modello americano dell’autoregolamentazione e il modello europeo incentrato sulla direttiva comunitaria 95/46. Tale contrapposizione, in realtà, risulta affievolirsi sempre più, perché in Europa aumenta la rilevanza attribuita ai codici di autoregolamentazione, mentre negli Stati Uniti vengono presentati progetti di legge organici in materia di protezione dati. Il messaggio più rilevante a questo proposito và nella direzione del superamento delle differenze formali per rivolgersi alla condivisione dei diritti fondanti, ferma restando la necessità di avere una legge di riferimento entro cui inserire l’autoregolamentazione (regulated self-regulation).

Dal 3 al 4 aprile 2003 si è svolta a Siviglia la riunione annuale dei Garanti europei. In tale occasione l’Autorità, fra i diversi temi di grande rilievo, ha sottolineato la necessità di mantenere inalterato il livello di garanzie finora assicurato ai cittadini europei in materia di tutela dei dati personali.

Intervenendo nella sessione di apertura, il presidente Rodotà ha messo in guardia da qualsiasi modifica della direttiva europea rilevando che mentre da una parte si precisa e si rafforza il sistema di protezione giuridica dei dati personali, dall’altra “crescono e si fanno sempre più insistenti le pressioni perché questo livello di protezione sia concretamente ridotto per soddisfare richieste della business community e per rispondere ad esigenze di sicurezza interna ed internazionale”. Ma l’indubbia importanza di questi diversi interessi non consente di passare a forme di bilanciamento diverse da quelle che stanno all’origine della direttiva “madre” sulla privacy, la 95/46, e che finirebbero per eliminare elementi essenziali della protezione dei cittadini.

Qualsiasi intervento nella materia dei dati personali deve sempre rispettare il principio di proporzionalità, mantenere sostanzialmente inalterato l’insieme dei diritti autonomamente esercitabili dal cittadino, prevedere l’esistenza di un controllo da parte di un soggetto pubblico indipendente.

I primi risultati dello studio avviato dalla Commissione europea sull’attuazione della Direttiva “smentiscono le tesi di un suo superamento e di una sua inadeguatezza soprattutto di fronte alle innovazioni tecnologiche. Questioni come lo spamming mostrano al contrario la lungimiranza di scelte essenziali come quelle riguardanti il consenso anche nella sua versione più rigorosa di opt-in”. Quello che serve, allora, ha concluso il Presidente del Garante, è un’azione più decisa delle autorità nazionali, fornite di mezzi più adeguati e sostenute da un consenso europeo.

Un altro tema estremamente importante, sviluppato dal vicepresidente Santaniello, è quello riguardante i codici deontologici. È stata, infatti, posta in evidenza la loro rilevanza come modello di regolazione fondato sulla autoproduzione di regole da parte delle categorie interessate.

Al riguardo l’Autorità ha dato un notevole impulso alla promozione di una numerosa serie di codici deontologici e di norme di condotta. Il primo di questi codici, quello riguardante il trattamento dei dati personali da parte dei giornalisti, ha costituito il sapiente bilanciamento tra due diritti fondamentali costituzionalmente garantiti, quale il diritto di informare e quello della riservatezza. Il codice ha incontrato largo consenso da parte degli operatori dell’informazione anche perché, “senza comprimere in alcun modo il diritto di cronaca, ha introdotto in esso un elemento qualitativo come i criteri di informazione leale, trasparente, rispettosa dei valori della dignità umana”.

La terza fase di sviluppo di tale codificazione ha conferito all’Autorità il compito di promuovere e guidare la formazione di sette codici deontologici. Essi assumono particolare risalto perché incidono sul sistema comunicativo, attraverso le regole inerenti ai servizi di comunicazione e informazione per via telematica; sulla gestione dei rapporti di lavoro; sulle finalità previdenziali etc. Inoltre, dettano regole sull’innovazione tecnologica riguardo a strumenti automatizzati di rilevazione di immagini e disciplinano l’ampio settore del direct marketing.

Un argomento di particolare attualità ha riguardato, infine, la tutela della riservatezza nel settore delle telecomunicazioni. Quello che occorre, secondo il relatore Paissan, è una vera e propria “ecologia” delle comunicazioni: il Garante più volte è stato chiamato ad abbassare la soglia del “rumore” nelle comunicazioni e a far rispettare gli spazi individuali, a partire dal diritto di essere lasciati in pace. È stata richiamata, inoltre, l’attenzione sulla prossima realizzazione in Italia dell’elenco telefonico generale destinato a contenere i dati degli abbonati ai servizi di telefonia fissa e mobile, evidenziando la necessità di prevedere una serie di importanti garanzie quali la possibilità di limitare i dati inseriti negli elenchi a quelli necessari alla identificazione, di chiedere gratuitamente di non essere inclusi negli elenchi, di ottenere che il proprio indirizzo sia in parte omesso e, qualora ciò sia fattibile, di non essere contraddistinto da riferimenti che rivelino il sesso.