Newsletter 16 - 29 aprile 2001

• Domini web e dati personali
• Cybercrime: il parere dei Garanti europei sul progetto UE
• Lettere dei sindaci ai cittadini
• Riserve del Garante sul nuovo modello di tessera elettorale

Domini web e dati personali

In base alla legge sulla privacy i dati forniti per la registrazione di un dominio web sono dati personali e devono essere corretti o aggiornati qualora siano inesatti o superati.

Il Garante ha  affrontato la questione a seguito della richiesta di un professionista volta ad ottenere la correzione di alcuni dati personali prodotti in passato ai fini della registrazione di un nome a dominio.

Il professionista aveva, infatti, stipulato un contratto con una società in ambito informatico per registrare un proprio sito web. Si era ben presto accorto, però, che presso la banca dati di una società di registrazione dei domini (registrar), egli appariva solo come punto di contatto anziché come registrant del nome del dominio assegnato. Titolare del dominio veniva indicata la società informatica a cui il professionista si era rivolto per la materiale operazione di registrazione del dominio.

L´interessato aveva, pertanto, sollecitato alla società informatica la rettifica dei dati. Non avendo ricevuto alcun riscontro, aveva presentato un ricorso al Garante per vedere tutelati i suoi diritti.

L´Autorità ha dichiarato non luogo a provvedere sul ricorso in quanto la società informatica ha nel frattempo aderito alla richiesta, provvedendo ad eseguire la rettifica sollecitata dall´interessato. 

Cybercrime: il parere dei Garanti europei sul progetto UE

Nella lotta al cybercrime, il Gruppo dei Garanti europei chiede maggiori garanzie per i cittadini, in particolare riguardo alle intercettazioni telefoniche, allo scambio di informazioni sul contenuto delle telefonate e delle e-mail, al periodo di conservazione dei dati personali.

Il 22 marzo scorso il Gruppo dei Garanti europei, costituito ai sensi dell’Articolo 29 della Direttiva sulla protezione dei dati personali, ha reso noto il parere espresso sul progetto di Convenzione del Consiglio d’Europa per la lotta alla criminalità informatica. Per "criminalità informatica" si intende la realizzazione di attività criminali attraverso l’impiego di strumenti telematici.

Si tratta di un testo la cui elaborazione è in corso dal 1997: la Convenzione mira a favorire la cooperazione internazionale nella lotta alla criminalità informatica, attraverso l’armonizzazione delle procedure e il potenziamento dell’assistenza giudiziaria in questi settori. Tali attività comportano necessariamente lo scambio di dati personali (dati sul traffico telefonico o telematico, registrazione di comunicazioni, ecc.) non sempre connessi a forme di criminalità informatica. Il Gruppo ha pertanto ritenuto di dover valutare la rispondenza del progetto di Convenzione (nella versione del 22 dicembre 2000, l’ultima resa pubblica) ai principi di protezione dati sanciti sia nella Convenzione del Consiglio d’Europa in materia di protezione dati, sia negli altri strumenti successivamente adottati in questo settore. Il Progetto sarà sottoposto entro breve all’Assemblea Parlamentare del Consiglio d’Europa, e dovrà essere successivamente adottato dal Comitato dei Ministri del Consiglio d’Europa.

Il Gruppo ha rilevato, in primo luogo, che le disposizioni del progetto di Convenzione hanno un impatto considerevole in termini di diritti fondamentali. Nel preambolo al progetto di Convenzione ci si richiama alla Convenzione europea del 1950 per la salvaguardia dei diritti dell’uomo (CEDU), il cui articolo 8 sancisce il diritto fondamentale alla privacy. Da ciò discende la necessità di valutare se le misure che comportano una limitazione di tali diritti ai fini della lotta alla criminalità (come, ad esempio, le intercettazioni telefoniche o lo scambio di informazioni sul contenuto di conversazioni telefoniche o telematiche) siano effettivamente necessarie e non eccessive secondo quanto richiesto dalla Convenzione stessa. Il fatto è che alcuni degli elementi del progetto sono del tutto nuovi, e il loro impatto in termini di diritti fondamentali non sembra essere stato valutato appieno dal comitato che si è occupato della redazione del progetto. Occorre quindi introdurre specificazioni maggiori quanto ai criteri che giustificano l’adozione delle misure previste per la lotta alla criminalità informatica in termini di necessità, adeguatezza e proporzionalità.

Va inoltre sottolineato che non tutti i Paesi potenziali firmatari del progetto di Convenzione sono anche membri del Consiglio d’Europa (USA, Canada, Giappone, Repubblica Sudafricana): ciò porterebbe ad una sostanziale discriminazione di trattamento, in quanto gli Stati membri del Consiglio d’Europa sono tenuti anche al rispetto di tutti gli strumenti adottati dal Consiglio e, in particolare, della Convenzione 108 sulla protezione dei dati personali, delle Raccomandazioni elaborate dal Consiglio in questo settore e delle direttive dell’Unione Europea concernenti la protezione dei dati (in particolare, la direttiva 95/46). Soprattutto, il progetto nella sua versione attuale non prevede l’obbligo per gli Stati non membri del Consiglio d’Europa di introdurre salvaguardie e condizioni conformi agli strumenti indicati.

Nel parere vengono quindi evidenziate alcune lacune più specificamente riguardanti disposizioni in materia di protezione dati. In particolare, il progetto prevede in sostanza un obbligo generale di cooperazione comprendente anche la fornitura di informazioni, materiali ecc., con pochissime eccezioni. Un articolo introdotto nel progetto in via provvisoria (articolo 27 bis) sembra in parte rispondere all’esigenza di tutelare la riservatezza delle persone oggetto delle informazioni suddette. Tuttavia, esso prevede la possibilità (non l’obbligo) per lo Stato al quale venga fatta una richiesta, di fornire le informazioni o i materiali in oggetto solo se non sussistono limitazioni in termini di segretezza o utilizzo. Non si fa invece menzione esplicita della tutela dei dati personali quale condizione limitante. In sostanza, non è chiaro se questa disposizione sia sufficiente a giustificare il rifiuto di prestare assistenza sulla base del rischio di violare il principio dell’adeguatezza del livello di protezione dei dati personali che, in base alla direttiva 95/46, costituisce il criterio fondamentale ai fini del trasferimento di dati verso Paesi terzi. Il Gruppo dei Garanti ha quindi proposto di inserire nella Convenzione l’articolo suddetto in modo permanente, modificandolo nel senso indicato e specificando meglio il livello di protezione che deve essere garantito ai singoli che siano oggetto dei provvedimenti citati nel Progetto di Convenzione. Questo anche perché i principi sanciti dalla direttiva europea in materia di protezione dati si applicano alle attività del cosiddetto "terzo pilastro" (ossia, alla cooperazione di polizia e giudiziaria): potrebbe, dunque, verificarsi che la situazione in atto in un Paese terzo (cioè non membro dell´UE) che richiede informazioni sia tale da non garantire un livello adeguato di protezione dei dati personali, come invece è necessario in base alla direttiva affinché il Paese richiesto proceda al trasferimento dei dati. Se dunque il progetto non prevederà la possibilità per la il Paese cui vengono richieste le informazioni di imporre specifiche garanzie e condizioni ai fini del loro trasferimento, potrebbero nascere conflitti (soprattutto per i Paesi membri dell’UE) fra l’obbligo di prestare assistenza, da un lato, e l’obbligo di rispettare diritti fondamentali imposto dalla CEDU e dagli strumenti comunitari.

Il Gruppo ha peraltro rilevato con favore che nell’ultima versione del Progetto non si prevede più un obbligo generalizzato di conservazione di tutti i dati sul traffico a carico dei fornitori di servizi Internet. I Garanti hanno chiesto che tale obbligo non sia più introdotto in eventuali successive versioni del Progetto. Anche in questo ambito, tuttavia, non è prevista la possibilità per lo Stato richiesto di rifiutare la comunicazione di dati sul traffico per motivi connessi alla protezione dei dati; inoltre, si fa obbligo di conservare i dati telematici e sul traffico, su richiesta, per almeno 60 giorni in attesa della decisione sulla necessità di disporne e sulle modalità di utilizzo - il che comporta un onere non indifferente per gli operatori di TLC, i fornitori di servizi Internet ed anche i privati.

I Garanti europei hanno valutato positivamente lo sforzo compiuto dal Consiglio d’Europa per migliorare il testo del progetto alla luce dei principi che regolano la protezione dei dati, ma hanno invitato i responsabili della sua formulazione a tenere in maggiore conto le osservazioni e le competenze degli esperti nazionali in materia di protezione dati.

Il testo completo del parere è disponibile (in lingua inglese) sul portale Europa, all’indirizzo www.europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/wp41en.htm 

Lettere dei sindaci ai cittadini

L´Autorità Garante per la protezione dei dati personali, composta da Stefano Rodotà, Giuseppe Santaniello, Gaetano Rasi, Mauro Paissan, ha esaminato le segnalazioni di alcuni cittadini di Roma e di Milano che, avendo ricevuto una lettera da parte dei rispettivi sindaci, avevano chiesto all´Autorità di verificare se l´inoltro della lettera fosse avvenuto nel rispetto della normativa in materia di trattamento dei dati personali.

Il Garante ha osservato che "dall´esame della documentazione trasmessa dai due Comuni possono ravvisarsi alcuni punti incerti, se rigorosamente confrontati con il paradigma normativo, ma non tali da configurare un palese contrasto con le norme che regolano la materia".

Nell´ambito dell´attuale sistema legislativo si è da anni sviluppata un´ampia attività di comunicazione verso i cittadini da parte delle istituzioni comunali (lettere, riviste, giornali inviati nominativamente). Nei tempi più recenti, anche al fine di istituire un rapporto più diretto tra amministratori ed amministrati, sono cresciute in numerosissimi comuni le forme di comunicazione diretta da parte dei sindaci e questo è sicuramente un effetto delle leggi che hanno modificato l´ordinamento degli enti locali e il relativo sistema elettorale. La voluta personalizzazione delle funzioni dei sindaci ha avuto come conseguenza anche una forte personalizzazione delle loro comunicazioni.

Risulta così più difficile tracciare netti confini tra comunicazione "istituzionale" e comunicazione "non istituzionale", la cui labilità può allo stato attuale determinare abusi, generando anche incertezza nell´opinione pubblica e suscitare reazioni da parte dei cittadini.

Emerge, dunque, un problema di chiarimento legislativo che dovrebbe riguardare una più ampia definizione del concetto di comunicazione per pubblica utilità, prevista dalla legge n.150 del 2000, e dei soggetti competenti a valutare il suo carattere istituzionale.

Alla luce di questo, il Garante ritiene che, per quanto riguarda le sue specifiche competenze, non si può escludere che le lettere in questione possano essere riconducibili all´attività di informazione e di comunicazione delle pubbliche amministrazioni. 

Riserve del Garante sul nuovo modello di tessera elettorale

Il nuovo modello di tessera elettorale viola la privacy dei cittadini e lede il principio della segretezza del voto.

In riferimento alle polemiche sorte in questi giorni e alle segnalazioni provenienti da numerosi cittadini, l´Autorità Garante (Stefano Rodotà, Giuseppe Santaniello, Gaetano Rasi, Mauro Paissan) ritiene opportuno ribadire le riserve già espresse in diverse occasioni riguardo al nuovo modello di tessera elettorale. La tessera sarà valida per 18 votazioni (politiche, amministrative, referendum) e presenta altrettanti spazi per l´apposizione di un timbro che certificherà l´avvenuta partecipazione al voto.

Il Garante era intervenuto per manifestare le sue perplessità già nel novembre 1999 quando, nel parere fornito al Ministero dell´interno, aveva richiamato l´attenzione sui problemi che la nuova tessera avrebbe potuto porre per quanto riguarda la privacy dei cittadini e per la libertà e la segretezza del voto.

Ad avviso del Garante il nuovo modello di tessera elettorale rende nota una sequenza di dati relativi a tutte le consultazioni elettorali precedenti che, a causa di eventuali smarrimenti, visione della tessera da parte di altri soggetti o di componenti dei seggi elettorali, richieste improprie da parte di uffici o persone, espongono il cittadino al rischio che la scelta di partecipare o meno alla consultazione elettorale sia facilmente conoscibile anche fuori della sezione elettorale.

Inoltre, viene a determinarsi la possibilità di dedurre, attraverso la tessera, l´orientamento politico degli elettori, violando in tal modo la segretezza del voto tutelata dalla Costituzione. Alcune consultazioni elettorali, infatti, possono assumere particolare significato per l´oggetto (si pensi a determinati referendum o a votazioni di ballottaggio) o per il contesto in cui cadono (alcune forze politiche possono esprimere specifici orientamenti invitando gli elettori di tipo al voto o all´astensione), tanto che anche il solo dato dell´avvenuta partecipazione alle operazioni di voto può risultare molto indicativo.

Va peraltro evidenziato che la prevista timbratura della tessera con il bollo della sezione di voto può, in determinati casi (degenza in ospedale, detenzione in carcere), rendere conoscibile la particolare condizione dell´elettore.

Nel suo parere del 1999, l´Autorità aveva anche suggerito, tra le possibili soluzioni alternative al modello cartaceo, la più rapida introduzione di una tessera elettorale elettronica che avrebbe efficacemente garantito la necessaria riservatezza di informazioni così delicate.

Infine, il Garante ha inviato al Ministro dell´interno una nota con la quale ha auspicato un riesame urgente dell´intera questione dopo la prossima tornata elettorale e ha segnalato l´urgenza di dare direttive che evitino, comunque, già da subito ogni possibilità di individuazione della sezione presso la quale viene esercitato il diritto di voto.