Newsletter 25 - 31 ottobre 1999

• Riprese televisive sul posto di lavoro.
• Le nuove sfide nell´era dell´informazione.
• Società di rilevazione dei rischi finanziari e privacy.
• Essenzialità dell´informazione e diritto di cronaca.
• Maggiore attenzione alle  misure di sicurezza.
• Pericoli in rete: il Garante avvia una indagine.
• Una migliore tutela della privacy su Internet.
• Ricercato, chiunque egli sia.

Riprese televisive sul posto di lavoro

Un lavoratore ha chiesto al Garante un parere sulla compatibilità con la legge n. 675 del 1996 della decisione del suo datore di lavoro di effettuare alcune riprese televisive nelle sua azienda, coinvolgendo nelle riprese anche il personale dipendente. Le riprese televisive sarebbero occasionali ed effettuate per documentare le varie fasi di lavorazione riguardanti l´attività dell´azienda a scopo divulgativo o pubblicitario e non per finalità di controllo a distanza dei lavoratori.

Il Garante ha spiegato che, nel caso in questione, il trattamento dei dati personali dei dipendenti rientra nei trattamenti temporanei finalizzati alla pubblicazione occasionale di articoli, saggi ed altre manifestazioni del pensiero ai quali si applicano le disposizioni della legge sulla privacy riguardo all´attività giornalistica, e quindi non c´è bisogno di acquisire il consenso degli interessati né l´autorizzazione da parte del Garante.

Restano fermi, comunque, i limiti al diritto di cronaca posti a tutela della riservatezza, l´osservanza del codice deontologico dei giornalisti e il diritto del lavoratore di opporsi, per motivi legittimi, alla diffusione delle immagini raccolte.

Laddove, invece, le riprese televisive in questione siano finalizzate al controllo a distanza dell´attività dei lavoratori, va ricordato che l´art. 4 dello Statuto dei lavoratori (legge n. 300/1970) stabilisce espressamente divieto di utilizzare impianti audiovisivi e di altre apparecchiature a questi fini.

Più precisamente, la norma prevede che gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive, oppure di sicurezza sul posto di lavoro, ma dall´uso dei quali derivi anche la possibilità di controllo a distanza dei lavoratori, possono essere installati soltanto con il preventivo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna.

Le nuove sfide nell´era dell´informazione

"La disciplina della privacy è ad un passaggio delicato su scala mondiale e il negoziato Europa-USA sui dati personali è un primo delicato snodo che merita pubblica attenzione". Intervenendo al seminario internazionale che si è tenuto a Vouliagmeni, in Grecia, dal 14 al 16 ottobre (The New Challenges for Computer Law in Tomorrow’s Information Age), il segretario generale dell’Autorità Garante per la protezione dei dati personali, Giovanni Buttarelli, ha ricostruito, nella sessione dedicata alla privacy, i diversi approcci europei e di altri Paesi che si contendono il campo alla vigilia di importanti sviluppi. Dopo un’analisi sulle ragioni dell’interesse e della forte domanda sociale che il tema suscita ovunque, il dibattito ha posto l’accento sul fatto che dalle prossime scelte dei governi e del settore privato emergerà una gerarchia di valori che darà un nuovo assetto alla Società dell’Informazione.

Buttarelli ha richiamato l’attenzione sulla necessità di attendere almeno un anno per verificare come i Paesi europei - in particolare i nove che sono ancora in ritardo sul recepimento delle direttive del ’95 e del ’97 - siano riusciti ad armonizzare i propri ordinamenti salvaguardando le specificità nazionali (come lo Statuto dei lavoratori italiano). L’Europa ha già una politica comune in tema di esportazione dei dati nei Paesi terzi, e che vi è il rischio che mentre il recepimento della direttiva del ’95 non è ancora terminato, essa sia di fatto vanificata sul piano applicativo.

Uno snodo delicato è infatti legato al dialogo Europa-USA. "La direttiva - ha affermato Buttarelli - stabilisce garanzie elevate sul territorio europeo e non avrebbe senso permettere di aggirarle facilmente trasferendo i dati in « paradisi di dati » Paesi nei quali le informazioni potrebbero essere trattate con minori garanzie o per altre finalità, e reimportate o utilizzate a distanza". Tutte le Autorità garanti europee sono, tra l’altro, impegnate in un intenso lavoro che si muove su più fronti (enucleazione di linee-guida; « certificazione » di garanzie e contratti da parte delle autorità nazionali; indicazione di garanzie a livello europeo da inserire in modelli internazionali di contratto in approfondimento presso la Camera internazionale di commercio; redazione di codici deontologici anche su scala europea).

Il valore economico del dialogo Europa-USA è notevolmente superiore e non paragonabile a quello che era alla base di note contese commerciali, ma i dati personali riguardano la sfera dei diritti fondamentali e la direttiva, che è «legge» per l’Europa, offre garanzie che non possono essere negoziate come fossero beni economici in un accordo commerciale.

Il dibattito ha permesso di evidenziare che le posizioni del negoziato non sono ancora mature e che alla flessibilità europea nell’accettare che gli USA possano regolare la materia non solo con leggi, ma anche attraverso l’autoregolamentazione (e, probabilmente, nell’avviare il nuovo regime con una certa gradualità), non si è ancora di fronte ad un quadro di sufficiente chiarezza per ciò che riguarda i principi di garanzia su cui si dovrebbe basare il c.d. "Safe Harbour" e, soprattutto, sul relativo meccanismo di enforcement previsto per farlo rispettare; una dimostrazione è data anche dalle critiche che emergono negli ambienti scientifici americani rispetto ad alcune posizioni di amministrazioni statunitensi e dall’appello che numerose organizzazioni di consumatori hanno rivolto alla pubblica opinione.

"Il commercio elettronico - ha concluso Buttarelli - potrà realmente svilupparsi solo sulla base di un rapporto di piena trasparenza nei confronti di utenti e consumatori, anche per evitare di rendere solo « virtuale » la protezione della privacy in rete, e di disconoscere nella sfera on-line i diritti della personalità che sono invece garantiti off-line".

La sessione si è conclusa con una analisi della prospettiva mondiale di co-regolamentazione della privacy attraverso un sistema combinato (di regole giuridiche, di codici deontologici e di prassi e tecniche volte a prevenire i rischi di invasione della privacy), inteso non come limitazione della sovranità dello Stato e come pattuizione concertata di tutte le regole, ma come forte incentivo al settore privato a costruire un sistema integrato, a dettare regole integrative che possono favorire l’applicazione dei principi generali.

Società di rilevazione dei rischi finanziari e privacy

Non è illegittima la comunicazione dei dati personali contenuti in un contratto di finanziamento, alle centrali rischi private se nel contratto è presente un’apposita clausola di consenso alla trasmissione dei dati alle stesse centrali rischi.

Lo ha stabilito il Garante per la protezione dei dati personali in un provvedimento con il quale è stato dichiarato manifestamente infondato il ricorso presentato da un cittadino che chiedeva la cancellazione dei dati contenuti nell’archivio di una società finanziaria ritenuta responsabile, a suo giudizio, di aver comunicato a società di rilevazione dei rischi finanziari, senza previo consenso, informazioni sulla sua insolvenza ed inaffidabilità patrimoniale.

Il ricorrente aveva fatto riferimento alla norma che consente la cancellazione dei dati quando questi sono trattati in violazione di legge.

Esaminando il ricorso, il Garante ha osservato che le doglianze dell’interessato riguardo alla mancanza del consenso al trattamento e alla divulgazione dei dati relativi al rapporto di finanziamento, sono infondate.

Innanzitutto, la manifestazione di consenso non era necessaria perché il trattamento dei dati, da parte della finanziaria, era stato effettuato prima dell’entrata in vigore della legge n. 675 del 1996.

Per quanto riguarda, poi, la comunicazione a terzi, il Garante ha evidenziato che nel contratto era presente un’apposita clausola di autorizzazione che, pur non perfettamente conforme alle indicazioni contenute nella legge n. 675 perché redatta prima della sua entrata in vigore, può esser considerata come una sostanziale manifestazione di consenso alla comunicazione dei dati personali alle categorie di soggetti indicati, e cioè alle società di rilevazione dei rischi creditizi.

L´Autorità non ha pertanto accolto la richiesta di cancellazione dei dati personali perché il trattamento deve considerasi legittimo e non in contrasto con la legge.

Resta impregiudicata la facoltà del ricorrente di esercitare i diritti previsti dalla legge n. 675 (accesso ai dati, aggiornamento, modificazione, integrazione ecc.) nei confronti dei titolari di altri archivi contenenti i dati divulgati in origine dalla società finanziaria, e cioè nei confronti delle stesse centrali rischi.

Essenzialità dell´informazione e diritto di cronaca

Il Garante ha accolto il ricorso di una persona che aveva lamentato la violazione della sua privacy da parte di un quotidiano. In occasione di una vicenda giudiziaria relativa ad un proprio congiunto, il quotidiano aveva fatto riferimento alle condizioni di salute dell´interessato. Tale riferimento, pur senza l´indicazione di precisi dati identificativi, aveva consentito di individuare l´interessato in quanto lo stesso era stato indicato come "suocero" della persona citata con precisione nell´articolo. Il ricorrente aveva perciò chiesto al Garante di intervenire ordinando il blocco dei dati.

Nel corso dell´istruttoria, il quotidiano aveva sostenuto che con la pubblicazione dell´articolo in questione, era stato correttamente esercitato il diritto di cronaca nel rispetto della personalità altrui. Ad avviso del quotidiano erano stati, infatti, rispettati i requisiti di veridicità della notizia; interesse pubblico alla conoscenza e alla divulgazione della notizia stessa; continenza della forma espositiva ed essenzialità dell´informazione.

Il Garante ha ritenuto fondato il ricorso perché la citazione della specifica patologia da cui era stato affetto il ricorrente è risultata eccedente rispetto all´esigenza di voler informare sulla vicenda in questione. Lo stesso scopo si sarebbe, infatti, potuto ottenere attraverso riferimenti più generici che nulla avrebbero tolto al valore della notizia (parlando, ad esempio, di "particolari condizioni di salute di un congiunto").

Il trattamento dei dati "sensibili" (salute, sessualità, origine etnica, convinzioni religiose, appartenenze politiche ecc.) richiede, tanto più nel caso che essi siano relativi a persone non direttamente coinvolte negli avvenimenti riferiti, l´adozione di alcune cautele. In particolare, riguardo alla pertinenza e non eccedenza dei dati e all´essenzialità dell´informazione rispetto a fatti di interesse pubblico.

Queste cautele sono oggi definite in dettaglio nel codice di deontologia per l´attività giornalistica il quale specifica che il trattamento dei dati deve avvenire "evitando riferimenti a congiunti o ad altri soggetti non interessati ai fatti" (art. 5) e che la pubblicazione di informazioni su persone malate, nell´ambito di precisi limiti, è consentita solo "se questa riveste una posizione di particolare rilevanza sociale o pubblica" (art. 10).

I principi specificati nel codice erano, però, già previsti dalla legge sulla privacy ed è per questo motivo che, sebbene il codice non fosse applicabile ai fatti in questione perché questi si erano verificati prima della sua entrata in vigore, l´Autorità ha ordinato al quotidiano di astenersi dall´ulteriore utilizzazione dei dati relativi alle condizioni di salute dell´interessato, cancellandoli laddove essi siano registrati in forma diversa dalla conservazione dell´articolo in questione.

Maggiore attenzione alle misure di sicurezza

L´Autorità Garante ha chiesto ad un Comune di verificare la rispondenza delle misure di sicurezza adottate ai requisiti previsti dalla legge sulla protezione dei dati personali e di operare le opportune modifiche di natura organizzativa ed informatica per ridurre al minimo i rischi di violazione dei dati trattati.

Nei locali del Comune, infatti, si era verificato il furto di alcuni tagliandi contenenti dati anagrafici e foto identificative, corrispondenti alle carte di identità rilasciate ai cittadini.

Nell´invito rivolto all´amministrazione comunale, l´Autorità ha evidenziato che la legge n. 675 del 1996, nell´introdurre disposizioni che regolano il trattamento dei dati personali, ha assegnato una precisa base giuridica agli obblighi relativi alle misure di sicurezza che riguardano il trattamento anche non automatizzato di dati.

In base a tali disposizioni, i soggetti, sia pubblici sia privati, che gestiscono dati personali, devono osservare modalità di conservazione e di controllo dei dati tali da ridurre al minimo i rischi di eventuale distruzione o perdita degli stessi ed essere, inoltre, idonee ad impedire l´accesso non autorizzato o un trattamento abusivo o non conforme alla legge. La mancata predisposizione di tali misure comporta la responsabilità per i danni eventualmente causati.

Il Garante ha sottolineato, inoltre, che il recente regolamento sulle misure minime di sicurezza (D.P.R. 14 settembre 1999, n. 318) impone, anche per quanto riguarda i trattamenti cartacei, l´adozione di accorgimenti e cautele (misure organizzative, conservazione in archivi ad accesso selezionato, ecc.) che dovranno essere operative entro sei mesi dall´entrata in vigore del decreto stesso. La mancata osservanza di queste norme comporta anche sanzioni di carattere penale.

Pericoli in rete: il Garante avvia una indagine

Nei giorni scorsi, la stampa ha segnalato il caso del sito Web che ha messo accidentalmente a disposizione di un visitatore l´elenco di coloro che avevano stipulato un abbonamento ad una rivista di informatica. L´elenco comprendeva, oltre alle generalità degli interessati, anche il numero della loro carta di credito. Riguardo alla vicenda, il Garante ha immediatamente avviato un´indagine per accertare eventuali responsabilità.

In particolare, l´Autorità ha chiesto alla società che gestisce il sito di conoscere le modalità di trattamento dei dati relativi agli abbonati, le misure di sicurezza e le cautele adottate a tutela degli interessati, nonché informazioni sulle precise circostanze in base alle quali i dati sarebbero stati resi disponibili o acquisiti accidentalmente o abusivamente da terzi.

Una migliore tutela della privacy su Internet
(articolo pubblicato su Handelsblatt del 19 ottobre 1999)

Novell, specializzata nei prodotti telematici, presenta "Digitalme". Questo nuovo prodotto intende consentire la gestione di più identità e la tutela della privacy su Internet. Sarà l´utente a stabilire chi può utilizzare i suoi dati sulla Rete.

Chi non utilizza sempre la stessa parola-chiave, si accorge ben presto che la cosa risulta problematica: in media un utente on-line deve ricordarsi fra 3 e 5 sequenze segrete di caratteri per accedere al computer, alla rete, ad un servizio (ad esempio, la posta elettronica) o ad Internet. E tutto ciò senza avere la certezza che soggetti non autorizzati non possano accedere alle sue informazioni. Non c´è dunque da stupirsi se, secondo un sondaggio condotto da Novell, l´85% degli utenti on-line nutre serie preoccupazioni sull´utilizzo dei propri dati nella Rete.

Cinque su sei dei soggetti intervistati hanno indicato la propria riluttanza a servirsi delle offerte di un sito Web al quale debbano rivelare informazioni personali. Alle preoccupazioni per il possibile utilizzo improprio di questi dati si aggiunge il fatto che la maggioranza degli utenti di Internet considera praticamente impossibile mantenere in prima persona il dominio della propria "identità digitale" nella Rete, per non parlare poi della possibilità di controllarla.

Novell ha studiato il problema e ha da poco commercializzato un prodotto che ambisce a prendere, come si dice, più piccioni con una fava: gestire diverse identità su Internet; assicurare un´interfaccia-utente più amichevole; consentire l´autodeterminazione e la tutela della sfera privata sulla Rete.

Il "neonato" ha un nome: "Digitalme", il primo prodotto del gruppo servizi "In-the-Net". Digitalme si basa sulla tecnologia dei Novell Directory Services (NDS), un servizio di indirizzamento che finora veniva utilizzato per la regolamentazione di diritti e competenze in reti chiuse.

Secondo quanto comunicato da Novell, Digitalme rappresenta un´architettura software di tipo flessibile. E´ stato sviluppato per imprese operanti nel settore on-line, fra cui portali Internet, fornitori di servizi applicativi o di servizi Internet (ASP/ISP) e soggetti che gestiscono attività di commercio elettronico, i quali desiderino offrire alla clientela la possibilità gestire autonomamente la propria "identità digitale" su Internet utilizzando i servizi on-line.

"All´inizio della prima ondata di sviluppo delle attività on-line bisognava imparare come accedere ad Internet in qualità di utenti, e come navigare nella Rete", spiega Eric Schmidt, dirigente e presidente del consiglio di amministrazione di Novell. "Digitalme ci introduce alla fase successiva, incentrata sulle interfacce amichevoli per l´utente e sul controllo personale delle identità virtuali in Internet".

Il gruppo servizi "In-the-Net" di Novell riunisce imprese di grande rinomanza come Compaq e Intel, ma

alle imprese che sostengono Digitalme appartengono attualmente anche AOL, Click-Marks, EZ Login, Facetime Communications, Just On, Knowledge Navigators, Privaseek, Verisign e White Pine.

Il gruppo servizi "In-the-Net" rappresenta un nucleo di sviluppo che intende offrire prodotti e servizi per il consumatore finalizzati a semplificare i rapporti con la Rete degli utenti Internet. I prodotti e servizi In-the-Net saranno distribuiti ad una vasta gamma di imprese operanti nel settore on-line - portali Internet, fornitori di servizi applicativi e di servizi Internet (ASP/ISP) e gestori di commercio elettronico.

Alla guida del gruppo è Steve Adams, passato lo scorso luglio dalla Citrix a Novell. Con questa nuova divisione, Novell intende rafforzare la propria posizione all´avanguardia nello sviluppo di strumenti, applicazioni e servizi per le imprese on-line. Grazie a NDS, Novell può vantare sette anni di esperienza nel campo dei servizi di indirizzamento per la gestione di reti informatiche e profili-utente.

I servizi NDS vengono utilizzati da Digitalme per memorizzare in una directory privata e sicura le informazioni personali degli utenti Internet (siano essi privati o imprese commerciali): password, nomi-utente, numeri di conto utente, codici di lettura, cookies, preferenze, parametri distintivi dell´utenza, dati relativi a carte di credito e contatti.

Ricercato, chiunque egli sia
(articolo pubblicato sul New York Times del 10 ottobre)

In futuro i manifesti dei ricercati forse non recheranno alcuna fotografia o nome, bensì solo filamenti di DNA - almeno se verrà accolta l’accusa formulata da un pubblico ministero del Wisconsin contro ignoti. E l’idea di un termine di prescrizione per la formulazione di atti di accusa potrebbe fare la stessa fine delle parrucche infarinate.

Qualcuno nel 1993, a Milwaukee, si è reso responsabile di tre episodi di violenza carnale. Ma mentre sta per scadere il termine di sei anni previsto dalla legislazione dello Stato per la formulazione di atti di accusa, la polizia non ha ancora idea dell’identità del violentatore. E così, per impedire che la porta si chiuda del tutto, il pubblico ministero ha formulato un atto di accusa per violenza e sequestro di persona nei confronti di "Caio Sempronio, maschio, identità sconosciuta, con un profilo corrispondente del DNA".

"Si può cambiare nome, ma non si può cambiare codice genetico", ha affermato il pubblico ministero, Norman Gahn.

Secondo alcuni giuristi l’atto sarà contestato, ma non ha natura defatigatoria. "Siamo all’inizio di un’epoca che costringerà le forze dell’ordine a tornare sui propri passi per riesaminare vecchi casi mai risolti", ha affermato Barry Scheck, professore di diritto e membro della Commissione per il futuro delle prove basate sul DNA.

"E posso assicurarle", ha dichiarato, "che si troveranno migliaia di assassini e violentatori seriali.".

Stringhe numeriche che descrivono il codice genetico del ricercato di Milwaukee sono state caricate via modem nella banca dati nazionale del DNA gestita dall’FBI. Ogni mese verranno confrontate con 200.000 profili relativi a delinquenti già in carcere e ad elementi di prova raccolti sulla scena del delitto dalla polizia di tutti gli Stati USA.