Newsletter 4 - 10 ottobre 1999
  
  

• Si possono diffondere le identità degli azionisti delle società.
• Autorizzazioni generali per chi utilizza dati sensibili e giudiziari.
• Il Garante incontra le associazioni dei consumatori.
• In Spagna 720 milioni di multa ad un Ordine di medici.

Si possono diffondere le identità degli azionisti delle societa´

La divulgazione delle informazioni sulle attività economiche, comprese quelle relative agli azionisti delle società, non contrasta con la legge sulla privacy che tende, semmai, a favorire la trasparenza e la circolazione di tali informazioni.

Il principio è stato ribadito dal Garante in un recente parere fornito all´IRI. L´Istituto aveva chiesto all´Autorità se fosse conforme alle norme della legge n.675 del 1996 divulgare dati relativi all´identità degli azionisti di una delle società controllate e al numero delle azioni di cui i medesimi azionisti sono titolari. La divulgazione di questi dati era considerata necessaria all´IRI, in quanto società "capogruppo", per poter espletare le proprie funzioni, in particolare per curare l´informazione periodica nei confronti degli investitori.

Nella sua risposta, l´Autorità, dopo aver ricordato che la legge sulla privacy si applica non solo alle persone fisiche, ma anche alle persone giuridiche, ha spiegato che i dati cui si fa riferimento fanno parte di quelli per i quali la comunicazione e la diffusione sono lecite anche senza il consenso degli interessati (nel caso specifico, le società controllate).

Infatti, la comunicazione e la diffusione dei dati sono possibili quando le informazioni sono relative "allo svolgimento di attività economiche", fatto salvo, ovviamente, il rispetto del segreto aziendale ed industriale (art.20).

Resta fermo l´obbligo di rispettare le altre disposizioni della legge sulla privacy riguardo l´informativa da dare alle società interessate.

Richiamandosi a quanto già affermato in due diversi pareri forniti all´Autorità Antitrust e alla Consob, il Garante ha ribadito che l´impostazione generale della legge sulla privacy è volta a favorire il flusso di informazioni sullo svolgimento di attività economiche da parte di terzi interessati.

Le motivazioni che consentono di non richiedere il consenso sono da rinvenirsi proprio nella necessità di bilanciare l´inclusione delle persone giuridiche nell´ambito di applicazione della legge con la trasparenza sulla loro attività e di non frapporre ostacoli alla raccolta e al trattamento dei dati abitualmente utilizzati nelle prassi aziendali (dati che non sono facilmente conoscibili da chiunque attraverso la mera consultazione di documenti pubblici). Si pensi, ad esempio, alle informazioni che contengono indicazioni sulle attività finanziarie, produttive, industriali, imprenditoriali, commerciali e professionali di determinati soggetti, oppure valutazioni sulla relativa affidabilità, solvibilità o capacità economica.

Autorizzazioni generali per chi utilizza dati sensibili e giudiziari

Datori di lavoro, liberi professionisti, operatori sanitari, associazioni e fondazioni, investigatori privati, banche, enti pubblici economici, possono continuare a trattare dati sensibili e giudiziari.

Il Garante per la protezione dei dati personali ha, infatti, rinnovato le sei autorizzazioni generali relative al trattamento dei dati sensibili e quella sui dati giudiziari, recentemente integrata. In tutto sette autorizzazioni che sono state pubblicate sulla Gazzetta Ufficiale n. 232 del 2 ottobre.

Il rinnovo, che prosegue l´opera di semplificazione posta in atto dal Garante, era molto atteso perché consente alle diverse categorie di soggetti interessati di non dover richiedere apposite autorizzazioni caso per caso, essendo sufficiente osservare le prescrizioni contenute nei provvedimenti generali.

Il 30 settembre sono, infatti, scaduti i termini di efficacia di tali provvedimenti a carattere generale che l´Autorità, in base alla legge n.675 del 1996, ha rilasciato nei confronti di diverse categorie di soggetti che, per ragioni di lavoro o di ufficio, utilizzano taluni dati di carattere giudiziario e sensibile (salute, origini etniche e razziali, opinioni politiche, convinzioni religiose, appartenenza a partiti o sindacati).

Per quanto riguarda le amministrazioni pubbliche, le autorizzazioni operano nei confronti delle strutture sanitarie pubbliche che trattano dati sanitari.

Rispetto alle precedenti, le nuove autorizzazioni non contengono mutamenti sostanziali, fatte salve alcune lievi modifiche determinate dall´entrata in vigore di recenti normative (in particolare, dei decreti legislativi n. 135, n.281 e n 282 del 1999).

I provvedimenti avranno efficacia a partire dal 1 ottobre 1999 e fino al 30 settembre 2000.

Il Garante incontra le associazioni dei consumatori

Il Collegio del Garante per la protezione dei dati personali ha incontrato, lo scorso 27 settembre, le associazioni dei consumatori che fanno parte del Consiglio nazionale dei consumatori e degli utenti.

Scopo dell´incontro, che prosegue una prassi avviata dall´Autorità fin dalla sua istituzione, è stato quello di stabilire un proficuo confronto per una messa a punto comune dell´agenda di interventi da porre in essere per assicurare la tutela dei diritti dei cittadini e il loro effettivo esercizio.

Durante i lavori, che si sono svolti in un clima di grande collaborazione, sono stati approfonditi diversi temi: dall´uso non corretto o strumentale della legge sulla privacy, sia da parte delle pubbliche amministrazioni sia del mondo delle imprese, al marketing diretto; dalle indagini di mercato ai rapporti con il sistema bancario; dal diritto alla trasparenza al mondo delle telecomunicazioni, a Internet e al commercio elettronico, anche alla luce del dibattito che si sta svolgendo tra Europa e Stati Uniti sui flussi di dati transfrontalieri.

Su quest´ultimo tema, i rappresentanti delle associazioni hanno assicurato un preciso impegno volto a porre la questione della difesa dei cittadini e dei consumatori a livello nazionale e comunitario.

Particolare attenzione è stata posta, inoltre, sulla prossima elaborazione dei codici di condotta previsti per diversi settori dalla legge n.675 del 1996.

Autorità ed associazioni hanno concordato sulla necessità di assicurare ai consumatori e agli utenti precise garanzie di tutela, in particolare nel nascente quadro della "società dell´informazione", nel quale la raccolta e la gestione sempre più massicce di dati rappresentano uno snodo cruciale per lo sviluppo economico, sociale e culturale e, al tempo stesso, un terreno su cui costruire i nuovi diritti di cittadinanza.

In Spagna 720 milioni di multa ad un Ordine di medici
(articolo pubblicato su El Pais del 24 settembre)

Il Garante spagnolo sanziona la Caixa Galicia per l´invio di pubblicità indesiderata.

L´inosservanza della richiesta formulata da un cittadino, che non desiderava che i propri dati personali fossero ceduti ad alcuna persona fisica o giuridica né voleva ricevere materiale pubblicitario, costerà all´Ordine Ufficiale dei Medici della Coruña 60 milioni di pesetas (720 milioni di lire, n.d.r.), e alla Caixa Galicia 10 milioni - questi gli importi rispettivi delle multe comminate dalla Agencia de Protección de Datos (APD) su istanza del ricorrente, Juan M. Carreira.

La APD ha sanzionato l´Ordine in oggetto con una multa di 50 milioni di pesetas per aver ceduto dati personali senza autorizzazione e con un´ulteriore multa di 10 milioni ha punito la Caixa Galicia per aver trattato o utilizzato i dati senza il consenso dell´interessato.

Nella decisione, impugnabile dinanzi alla Audencia Nacional, la APD afferma che è dimostrato che il ricorrente, nel 1997, invitò l´Ordine Ufficiale dei Medici della Coruña "a non inviare avvisi pubblicitari né circolari di qualsiasi natura, e a non cedere i suoi dati personali ad alcuna persona fisica o giuridica, a partiti politici, istituzioni finanziarie o assicurative, salvo per quanto riferito esclusivamente ai suoi interessi e diritti individuali".

L´Ordine chiese alla APD se il ricorrente (e iscritto all´Ordine) avesse il diritto di vietare all´Ordine stesso l´invio di informazioni e circolari e la cessione dei suoi dati, al che l´organismo incaricato della tutela della riservatezza dei dati personali rilevò che non è possibile vietare all´Ordine l´invio di proprie circolari o pubblicazioni, né la cessione di dati indispensabili per assicurare l´esercizio delle attività professionali degli iscritti all´Ordine.

Pubblicità

Per quanto riguarda la cessione dei dati, la APD ritiene che l´Ordine abbia ceduto alla Caixa Galicia, senza il consenso degli interessati, i dati personali necessari perché la Caixa mettesse a disposizione degli iscritti all´Ordine il Programma pensioni Medicaixa, sul quale la Caixa de Galicia ha realizzato una campagna pubblicitaria rivolta proprio agli iscritti all´Ordine. Nonostante l´APD, su istanza di Carreira, avesse chiesto all´Ordine Ufficiale dei Medici della Coruña, il 29 aprile 1997, la cancellazione dei dati relativi a indirizzo, numero di telefono e banca dell´interessato dagli archivi automatizzati dell´Ordine, quest´ultimo ha ceduto successivamente alla Caixa Galicia il dato riferito al domicilio dell´interessato. Pertanto, l´APD ha comminato una sanzione di 50 milioni di pesetas per violazione gravissima delle disposizioni di legge.

Per quanto concerne il trattamento di dati personali effettuato senza il consenso dell´interessato, l´APD rileva che, oltre al materiale pubblicitario configurabile come necessario per l´esercizio della professione, il ricorrente ha ricevuto dall´Ordine altro materiale senza alcun rapporto con tale finalità - come quello relativo alle cerimonie in occasione della festa dei medici spagnoli, alla sottoscrizione di una polizza di assicurazione sulla vita con una certa compagnia, ad una mostra di pittura, ad un corso di inglese per professionisti sanitari, ad un´offerta commerciale di Airtel e ad un programma del Xacobeo 99.

Secondo le argomentazioni dell´APD, "benché gli ordini professionali debbano adempiere ad alcuni obblighi (…), fra cui quello di promuovere le condizioni economiche e finanziarie degli iscritti (…), tali obblighi devono armonizzarsi con i diritti che la Legge organica di regolamentazione del trattamento automatizzato di dati (LORTAD) riconosce ai cittadini - e in particolare, il diritto di cancellazione dei dati dagli archivi e il diritto di esprimere il proprio consenso al trattamento delle informazioni che li riguardano".

Pertanto, l´APD giudica che l´Ordine Ufficiale dei Medici della Coruña abbia violato l´articolo 6 della LORTAD, il quale prevede "il consenso dell´interessato" per poter trattare in forma automatizzata i suoi dati di carattere personale.

La decisione respinge le argomentazioni dell´Ordine, e giudica "inammissibile" la pretesa superfluità del consenso dell´interessato per trattarne dati personali al fine dell´invio di materiale pubblicitario - attività di natura prettamente privata. Ne deriva la necessità di imporre all´Ordine una multa di 10 milioni di pesetas per grave violazione delle disposizioni di legge.

Per violazione della stessa disposizione l´APD ha comminato alla Caixa Galicia una multa sempre di 10 milioni di pesetas, in quanto tale soggetto, che ha inviato a Carreira pubblicità relativa al progetto Medicaixa, "non ha dimostrato di disporre del consenso degli interessati per il trattamento dei rispettivi dati personali, né si è preoccupato di accertare la legittimità dell´utilizzazione di tali dati".