Liste elettorali a prova di privacy
Da quest’anno non possono più essere utilizzate per inviare pubblicità

Con l’entrata in vigore del Codice della privacy i dati personali riportati nelle liste elettorali non sono  più accessibili ed utilizzabili per finalità promozionali, commerciali e pubblicitarie. Per tali attività, le imprese interessate sono obbligate ad acquisire il consenso esplicito del cittadino. Dal 1 gennaio scorso le liste elettorali possono essere utilizzate solo per l’applicazione della disciplina in materia elettorale, per motivi di studio, di ricerca o per il perseguimento di un interesse collettivo. Chiunque detenga dati provenienti da questa fonte non può più utilizzarli lecitamente per scopi diversi da quelli indicati dalla nuova normativa e deve cancellarli, anche se acquisiti prima del Codice.

Lo ha precisato il Garante nel definire il ricorso di un cittadino infastidito dall’invio di materiale pubblicitario senza consenso.

La vicenda prende avvio nel dicembre 2003  quando il ricorrente  riceve presso la propria abitazione della pubblicità relativa ad una carta di credito. Correttamente si rivolge alla società che l’ha inviata esercitando i diritti che legge sulla privacy gli riconosce: chiede conferma e comunicazione dei propri dati personali,  delle finalità  per cui sono detenuti e utilizzati,  di conoscere  il nome del responsabile del trattamento. Con la stessa istanza chiede che i dati siano cancellati. Di fronte al  silenzio della società  presenta ricorso al Garante ed ottiene la cancellazione dei dati.

Nel caso in esame l’Autorità, ordinando alla società l’immediata cancellazione del nominativo, ha applicato una innovativa disposizione del Codice che riconosce espressamente al cittadino il diritto di ottenere la cancellazione di quei dati che non si possono più conservare perché sono venuti meno o sono mutati gli scopi per cui  erano stati raccolti (art. 7 decreto legislativo n. 196/2003). E i dati del ricorrente, come comunicato dalla società, erano stati appunto estratti dalle liste elettorali, fonti che dal primo gennaio non sono più utilizzabili per scopi pubblicitari e commerciali. Dalla documentazione prodotta, inoltre, non era risultato alcun consenso dell’interessato a ricevere questo genere di informazioni.

In considerazione, quindi, del mutato regime di conoscibilità delle liste elettorali e in assenza del consenso dell’interessato era venuto meno ogni presupposto normativo per l’ulteriore trattamento dei dati. Alla società sono state addebitate le spese del procedimento da rifondere direttamente al ricorrente.

Dati biometrici sui visti, i Garanti Ue chiedono tutele 

Per l’inserimento dei dati biometrici  nei permessi di soggiorno e nei visti rilasciati a cittadini extracomunitari, i Garanti europei chiedono il rispetto dei principi generali della protezione dei dati  e esprimono perplessità sulla proposta di creare un database dei visti centralizzato a livello europeo (il cosiddetto VIS, Visa Information System).

I documenti che ne prevedono l’istituzione (da ultimo la Decisione del Consiglio UE dell’8 giugno 2004), contengono indicazioni troppo generiche sulle garanzie e le salvaguardie da applicare.

In un recente parere (7/2004, disponibile all’indirizzo http://www.europa.eu.int/...), il Gruppo dei Garanti europei ha indicato i principi che devono essere comunque rispettati nel prevedere un formato uniforme a livello UE per i visti ed i permessi di soggiorno, comprendente identificatori biometrici (impronte di due dita + foto dell’interessato) registrati in formato digitale su chip elettronico.

I Garanti hanno anche espresso il proprio punto di vista ed alcune raccomandazioni in merito alla futura istituzione di un sistema informativo dei visti (VIS) a livello europeo, da affiancare al SIS (Sistema di informazione Schengen) e ad EURODAC (il database contenente informazioni sulle richieste di asilo, ed in particolare le impronte digitali dei richiedenti).

In linea generale, i Garanti ricordano che l’inserimento di dati biometrici nei visti e nei permessi di soggiorno “standardizzati” a livello europeo postula il rispetto dei principi di protezione dati fissati nella Direttiva 95/46/CE, al fine di garantire i diritti fondamentali degli interessati. Ciò è tanto più necessario in considerazione della particolare natura dei dati biometrici, che di per sé hanno un elevato potenziale identificativo e permettono di raccogliere informazioni sugli interessati anche a loro insaputa (si pensi, appunto, alle impronte digitali).

Rispettare i principi di protezione dei dati significa garantire che i dati siano raccolti per scopi specifici, espliciti e legittimi e non trattati ulteriormente per scopi incompatibili con quelli della loro raccolta. I dati devono essere inoltre pertinenti ed adeguati alle finalità del trattamento.  É necessario specificare con chiarezza all’interessato le finalità per cui si trattano dati biometrici prima di procedere alla loro raccolta, in modo da garantire la legittimità della procedura.

Da questo punto di vista, numerose perplessità solleva la proposta di memorizzare i dati biometrici in un archivio centralizzato (il VIS) per condurre eventuali, successive verifiche su soggetti che entrino illegalmente nel territorio dell’UE. Tale approccio non appare infatti proporzionato alle finalità perseguite (identificazione dei richiedenti permesso di soggiorno), e dunque contrasta con uno dei principi fondamentali della Direttiva europea in materia di protezione dei dati (principio di proporzionalità).

Per quanto riguarda, in particolare, i Regolamenti del Consiglio UE del settembre 2003 relativi ad un formato uniforme per i visti e le richieste di soggiorno, il Gruppo, sottolinea che, alla luce dei requisiti sopra ricordati occorre:

• garantire agli interessati (extracomunitari richiedenti un visto/un permesso di soggiorno) la possibilità di accedere ai dati biometrici memorizzati nel chip, anche per verificarne i contenuti;  prevedere particolari garanzie per chi non sia in grado di fornire i dati biometrici richiesti (ad esempio, soggetti che abbiano subito menomazioni o amputazioni delle dita di una mano);
•  garantire  un’elevata affidabilità del sistema. In caso di respingimento la persona interessata deve sapere come opporsi alla decisione e far valere il proprio punto di vista (la Direttiva UE sulla protezione dei dati fa divieto, infatti, di prendere qualsiasi decisione rilevante per la vita dell’interessato che si basi soltanto su “trattamenti automatizzati” di dati personali).

Per quanto riguarda la prevista “interoperabilità”, ossia la possibilità per altre autorità di accedere ai dati memorizzati nel chip, nessuna modifica di tali dati deve essere possibile se non all’autorità che ha rilasciato il visto/il permesso di soggiorno. Inoltre, l’interessato deve sapere che il dato è oggetto di accesso, e soltanto i soggetti pubblici autorizzati devono avere la possibilità di accedervi. Le informazioni disponibili non devono andare oltre quelle indispensabili allo svolgimento delle funzioni alle quali la singola autorità è preposta.

Rispetto al VIS, il Gruppo delle autorità europee di protezione dati, oltre ad esprimere in via generale le perplessità sopra sintetizzate, ha ritenuto di fornire alcune raccomandazioni più specifiche in attesa della definizione (da parte di un’apposita Commissione) dei criteri che dovranno regolamentare il funzionamento del sistema. Ricordiamo, in particolare,

• la necessità di meglio precisare le finalità perseguite con l’istituzione del sistema, che in parte sembrano sovrapporsi a quelle previste per il “nuovo” Sistema di informazione Schengen (SIS II);
• l’inopportunità di concedere alle autorità di Paesi terzi di accedere al VIS, anche per non violare il principio (sancito dalla Direttiva UE 95/46) secondo cui è possibile trasferire dati personali verso Paesi terzi soltanto se questi ultimi garantiscono un livello “adeguato” di protezione dei dati personali;
• la necessità di prevedere un termine massimo (e non minimo) di conservazione dei dati pari a cinque anni, e comunque di differenziare la conservazione a seconda della natura dei dati in oggetto;
• l’esigenza di garantire un adeguato controllo del VIS da parte del Garante europeo per la protezione dei dati, recentemente divenuto operativo, con la collaborazione delle autorità nazionali per quanto riguarda i trattamenti effettuati in ambito nazionale.
  

I Garanti hanno, infine, ricordato il proprio impegno per garantire un approccio uniforme a livello europeo rispetto alle molte iniziative attuali e future (quali la prevista  creazione di un passaporto UE contenente dati biometrici) che hanno riflessi sulla protezione dei dati personali. É stata ribadita, in particolare, la necessità di una consultazione tempestiva del Gruppo in merito a tutte le iniziative di questo tipo, quale unica strada percorribile per consentire alle autorità di protezione di svolgere appieno il compito loro assegnato dalla Direttiva UE.