II - L´attività svolta dal Garante  - par. 21-23 - Relazione 2004 - 9 febbraio 2005

21. Relazioni istitzionali

21.1. L´Autorità e le attività di sindacato ispettivo e di indirizzo del Parlamento

In relazione agli aspetti di specifico interesse in materia di protezione dei dati personali, l´Autorità ha seguito con attenzione l´attività di sindacato ispettivo e di indirizzo esercitata dal Parlamento, e ha fornito al Governo, ove richiesto, i chiarimenti e le indicazioni necessarie.

Sono stati inoltrati al Governo elementi in merito ad alcuni atti, fra i quali in particolare:

a) alcune interrogazioni relative all´acquisizione da parte delle  autorità  doganali  degli  Stati  Uniti  dei  dati  dei  passeggeri  conservati  nella   banche  dati dell´Alitalia,  presentate  dall´on.  Folena (3-02017), dall´on. Delmastro Delle Vedove (4-05923) e dall´on. Pagliarulo (4-04379) (Note 14 aprile 2004, 28 aprile 2004 e 8 ottobre 2004). In tali occasioni l´Autorità, richiamando i pareri adottati dal Gruppo dei Garanti europei, ha ricordato che la richiesta formulata dalle autorità statunitensi di accedere ai dati registrati nel Pnr (Passenger name record) deve essere valutata alla stregua delle disposizioni comunitarie in materia e in particolare dell´art. 25 della direttiva 95/46/CE (v. più diffusamente par. 22.6);

b) un´interrogazione dell´on. Delmastro Delle Vedove (3-02307) relativa al progetto USA denominato T.I.A. (Terrorism information awareness) (Nota 28 aprile 2004);

c) due  mozioni  della  maggioranza (1-00304  Leone ed altri) e dell´opposizione parlamentare (1-00215 Folena ed altri), di contenuto analogo ed approvate all´unanimità dal Parlamento il 14 gennaio 2004, su alcune questioni in materia di protezione dei dati personali, fra le quali, in particolare, la necessità di una pi efficace tutela della riservatezza in Internet;

d) un´interrogazione dell´on. Delmastro Delle Vedove (4-04007) relativa alla mancata adozione da parte dei soggetti pubblici dei regolamenti sui dati sensibili (Nota 3 maggio 2004).

 

21.2. L´attività consultiva del Garante sugli atti del Governo

L´art. 154, comma 4, del Codice prevede che il Presidente del Consiglio dei ministri e ciascun ministro devono consultare il Garante all´atto della predisposizione delle norme regolamentari e degli atti amministrativi che incidono sulla protezione di dati personali, al fine di prevenire delicati problemi applicativi, nell´interesse pubblico e dei cittadini, in un quadro di proficua collaborazione istituzionale che diversi ministeri hanno riconosciuto più volte.

L´Autorità ha espresso diversi pareri, fra i quali quelli riguardanti:

a) il decreto del Ministro della giustizia 14 gennaio 2005 con il quale sono inseriti nell´allegato A del Codice in materia di protezione dei dati personali, il codice di deontologia e buona condotta per i trattamenti di dati effettuati per scopi statistici e scientifici e il codice deontologia e buona condotta per i sistemi informativi gestiti da soggetti privati in tema di credito al consumo e affidabilità e puntualità nei pagamenti;

b) due schemi di convenzione fra i Ministeri della giustizia e dell´interno, da un lato, e l´Isvap, dall´altro, per la consultazione della banca dati sui sinistri per finalità di lotta alle frodi assicurative (Pareri 11 novembre 2004);

c) lo schema di regolamento per l´organizzazione ed il funzionamento dell´Istituto superiore delle comunicazioni e delle tecnologie dell´informazione (Parere 28 settembre 2004). Il Garante ha chiesto che il Ministero delle comunicazioni e il predetto Istituto, nell´esecuzione dei compiti loro assegnati dal Codice delle comunicazioni, rispettino i principi previsti dalla disciplina anche attuativa sulla protezione dei dati, in particolare per quanto riguarda il trattamento delle informazioni contenute negli elenchi degli abbonati ai servizi telefonici;

d) lo schema di decreto del Ministro del lavoro e delle politiche sociali di concerto con il Ministro per l´innovazione e le tecnologie in materia di "Borsa continua nazionale del lavoro", adottato ai sensi del d.lg. 10 settembre 2003, n. 276 di attuazione della legge 14 febbraio 2003, n. 30 (cd. legge Biagi) (Parere 3 settembre 2004). Il decreto stato recentemente pubblicato in Gazzetta Ufficiale (decreto 13 ottobre 2004 in G.U. 8 ottobre 2004, n. 262) recependo, in parte, le indicazioni fornite dal Garante (come più ampiamente riferito nel par. 11.1). Non è stata recepita, invece, la richiesta dell´Autorità di espungere dai dati identificativi del lavoratore e del datore di lavoro il codice fiscale, in applicazione del principio di pertinenza e non eccedenza dei dati trattati rispetto alle finalità della Borsa;

e) lo schema di decreto ministeriale recante regole tecnico-operative per l´uso di strumenti telematici nel processo civile (cd. Processo telematico) previsto dall´art. 3, comma 3, del d.P.R. n. 123/2001 (Parere 23 luglio 2004, in ordine al quale, per i profili di merito, si fa rinvio al par. 2.11).

Nei primi mesi del 2004 l´Autorità ha adottato anche altri pareri, già menzionati nella Relazione 2003, riguardanti:

f) lo schema di decreto concernente l´individuazione dei dati da inserire nell´anagrafe nazionale degli studenti e dei laureati (Parere 7 aprile 2004);

g) due schemi di regolamento in attuazione della legge n. 189 del 2002 concernenti, l´uno, il riordino del regolamento di attuazione del testo unico in materia di immigrazione e condizione dello straniero (d.P.R. n. 394/1999) e, l´altro, la razionalizzazione e l´interconnessione delle comunicazioni fra amministrazioni pubbliche in materia di immigrazione, in particolare ai fini del  funzionamento  dello  sportello  unico  per  il  rilascio  del  permesso  di soggiorno (Parere 4 marzo 2004). Quest´ultimo è stato poi adottato con il d.P.R. 27 luglio 2004, n. 242 (in G.U. 18 settembre 2004, n. 220) recependo, in parte, le indicazioni fornite dal Garante;

h) lo schema di decreto interministeriale (Ministri per l´innovazione e le tecnologie e dell´interno) che disciplina il permesso di soggiorno elettronico. Dopo un primo parere del 15 ottobre 2003, a seguito di incontri tecnici fra rappresentanti dell´Autorità e del Ministero dell´interno, l´Autorità ha adottato un secondo parere il 4 marzo 2004 con il quale ha indicato, fra l´altro, gli interventi necessari per garantire gli interessati in occasione della raccolta delle impronte digitali e, in particolare, nel caso di inserimento di dati biometrici nel documento elettronico. Il decreto è stato poi adottato il 3 agosto 2004, recependo sostanzialmente le indicazioni fornite dal Garante e pubblicato nella Gazzetta Ufficiale del 6 ottobre 2004, n. 235. L´Autorità ha confermato la propria disponibilità a proseguire attivamente gli incontri per approfondire i problemi e i rischi derivanti dalle differenti tecniche di identificazione e di autenticazione individuate dai Garanti europei nel parere del 1° agosto 2003 sui dati biometrici. Tali approfondimenti appaiono necessari anche allo scopo di individuare idonee cautele nella fase di attivazione del documento elettronico e di consegna dei documenti o di accesso selezionato ai dati, nonché le più elevate misure di garanzie di sicurezza disponibili. L´esito di tali approfondimenti potrebbe essere poi trasfuso nelle misure e negli accorgimenti che in materia di dati biometrici devono essere prescritti dal Garante ai sensi dell´art. 55 del Codice;

i) lo schema di decreto del Presidente della Repubblica recante il regolamento di disciplina dell´accesso al servizio di informatica giuridica del Centro elettronico di documentazione (Ced) della Corte di cassazione (Parere 27 febbraio 2004);

l) lo schema di regolamento (Ministri per la funzione pubblica e dell´interno) di gestione dell´Indice nazionale delle anagrafi (Ina), in attuazione dell´art. 2-quater del decreto-legge 27 dicembre 2000, n. 392, convertito dalla legge n. 26/2001 (Parere 13 febbraio 2004);

m) lo schema di decreto dirigenziale del Ministero della giustizia, di attuazione in via parziale e transitoria dell´art. 39 del d.P.R. 14 novembre 2002, n. 313 (testo unico delle disposizioni legislative e regolamentari in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti), concernente la consultazione del casellario giudiziale da parte delle pubbliche amministrazioni e dei gestori di pubblici servizi (Parere 29 gennaio 2004). Come già riportato nella Relazione 2003, in occasione degli incontri di lavoro che hanno preceduto la redazione dello schema di decreto, l´Autorità aveva constatato il carattere transitorio della soluzione elaborata, in attesa di una regolamentazione definitiva della procedura di accesso diretto ai sensi dell´art. 39 del d.P.R. n. 313/2002. Nel parere del 29 gennaio 2004 è stata sottolineata la necessità che l´accesso ai dati giudiziari registrati nel casellario giudiziale, nonché il successivo utilizzo da parte delle pubbliche amministrazioni e dei gestori di pubblici servizi, siano consentiti nel rispetto dei limiti previsti dallo stesso d.P.R. n. 313/2002 e in misura proporzionata alle finalità da perseguire.

Nel 2004 si è tuttavia registrato un incremento dei casi di mancata consultazione dell´Autorità, persino su tematiche fondamentali nel rapporto tra Stato e cittadini che implicano il trattamento di dati sensibili o comunque particolarmente delicati, come ad esempio nel caso dei decreti attuativi del sistema di monitoraggio della spesa sanitaria e di introduzione della tessera sanitaria.

Pertanto l´Autorità ha inviato al Governo un elenco dei principali regolamenti ed atti amministrativi in relazione ai quali, negli ultimi anni, non è stato richiesto il parere al Garante ai sensi dell´art. 31, comma 2, della legge n. 675/1996 e poi dell´art. 154, comma 4, del Codice, segnalando che la mancata consultazione integra una violazione di legge e del diritto comunitario, che espone peraltro i dati personali trattati in applicazione di tali atti alla conseguenza dell´inutilizzabilità (art. 11, comma 2, del Codice).

Di seguito si riportano i casi pi significativi:

a) d.P.R. 6 ottobre 2004, n. 258 "Regolamento concernente le funzioni dell´Alto Commissario per la prevenzione e il contrasto della corruzione e delle altre forme di illecito nella pubblica amministrazione" (G.U. 22 ottobre 2004, n. 249);

b) d.P.R. 16 settembre 2004, n. 303, recante "Regolamento relativo alle procedure per il riconoscimento dello status di rifugiato" (G.U. 22 dicembre 2004, n. 299);

c) d.P.R. 23 aprile 2004, n. 108, "Regolamento recante disciplina per l´istituzione, l´organizzazione ed il funzionamento del ruolo dei dirigenti presso le amministrazioni dello Stato, anche ad ordinamento autonomo" (G.U. 29 aprile 2004, n. 100);

d) decreto del Ministro dell´economia e delle finanze di concerto con il Ministro della salute 30 giugno 2004, recante "Applicazione delle disposizioni di cui al comma 6 dell´art. 50 del decreto-legge 30 settembre 2003, n. 269, convertito, con modificazioni, dalla legge 24 novembre 2003, n. 326, concernente l´avvio del sistema di monitoraggio della spesa nel settore sanitario" (G.U. 2 luglio 2004, n. 153);

e) decreto del Ministro della salute 15 luglio 2004 recante "Istituzione, presso l´Agenzia italiana del farmaco, di una banca dati centrale finalizzata a monitorare le confezioni dei medicinali all´interno del sistema distributivo" (G.U. 4 gennaio 2005, n. 2);

f) decreto del Ministro dell´istruzione, dell´università e della ricerca 1° luglio 2004, recante "Progetto "PC alle famiglie", di cui all´art. 4, comma 10, della legge 24 dicembre 2003, n. 350" (G.U. 9 agosto 2004, n. 185);

g) decreto (Ministero dell´economia e delle finanze, Ministero della salute e Presidenza del Consiglio dei ministri - Ministro per l´innovazione e le tecnologie) 11 marzo 2004, recante "Applicazione delle disposizioni di cui al comma 1 dell´art. 50 del decreto-legge 30 settembre 2003, n. 269, convertito, con modificazioni, dalla legge 24 novembre 2003, n. 326, concernente la definizione delle caratteristiche tecniche della Tessera sanitaria (TS)" (G.U. 25 ottobre 2004, n. 251, S.O. n. 159);

h) decreto (Ministeri dell´economia e delle finanze e della salute) 18 maggio 2004, recante "Applicazione delle disposizioni di cui al comma 2 dell´art.50 del decreto-legge 30 settembre 2003, n. 269, convertito, con modificazioni, dalla legge 24 novembre 2003, n. 326, concernente la definizione dei modelli di ricettari medici standardizzati e di ricetta medica a lettura ottica" (G.U. 25 ottobre 2004, n. 251, S.O. n. 159);

i) decreto (Ministero dell´economia e delle finanze) 24 giugno 2004 recante "Applicazione delle disposizioni di cui al comma 4 dell´art. 50 del decreto-legge 30 settembre 2003, n. 269, convertito, con modificazioni, dalla legge 24 novembre 2003, n. 326, concernente la definizione delle modalitˆ di trasmissione telematica al Ministero dell´economia e delle finanze dei dati riguardanti l´assegnazione dei ricettari ai medici prescrittori" (G.U. 25 ottobre 2004, n. 251, S.O. n. 159);

l) decreto (Ministero dell´economia e delle finanze) 24 giugno 2004, recante "Applicazione delle disposizioni contenute nel disciplinare tecnico di cui al comma 5 dell´art. 50 del decreto-legge 30 settembre 2003, n. 269, recante disposizioni urgenti per favorire lo sviluppo per la correzione dell´andamento dei conti pubblici, convertito, con modificazioni, dalla legge 24 novembre 2003, n. 326" (G.U. 13 luglio 2004, n. 162, S.O. n. 123);

m) decreto (Ministero dell´economia e delle finanze) 28 giugno 2004, recante "Applicazione delle disposizioni di cui al comma 9 dell´art. 50 del decreto-legge 30 settembre 2003, n. 269, convertito, con modificazioni, dalla legge 24 novembre 2003, n. 326, concernente la definizione dei dati che le regioni, nonché i Ministeri e gli enti pubblici di rilevanza nazionale che li detengono, trasmettono al Ministero dell´economia e delle finanze, con modalità telematica" (G.U. 25 ottobre 2004, n. 251, S.O. n. 159);

n) decreto del Capo del dipartimento dell´amministrazione generale, del personale e dei servizi del tesoro del Ministero dell´economia e delle finanze 12 febbraio 2004, recante "Criteri organizzativi per l´assegnazione delle domande agli organismi di accertamento sanitario di cui all´art. 9 del d.P.R. n. 461/2001, ed approvazione dei modelli di verbale utilizzati, anche per le trasmissioni in via telematica, con le specificazioni sulle tipologie di accertamenti sanitari eseguiti e sulle modalità di svolgimento dei lavori (G.U. 23 febbraio 2004, n. 44);

o) provvedimento dell´Agenzia delle entrate 18 febbraio 2004 recante approvazione del nuovo modello di dichiarazione per l´integrazione degli imponibili ai sensi degli articoli 8, 9, 9-bis e 14 della legge 27 dicembre 2002, n. 289, termini per la trasmissione e approvazione delle specifiche tecniche per la trasmissione telematica dei dati contenuti nella dichiarazione (G.U. 15 marzo 2004, n. 62, S.O. n. 44);

p) provvedimento dell´Agenzia delle dogane 28 febbraio 2004, recante la realizzazione di una banca dati multimediale, ai sensi dell´art. 4, commi 54 e 55, della legge 24 dicembre 2003, n. 350 (G.U. 10 marzo 2004, n. 58);

q) ordinanza del Ministro della salute 25 febbraio 2004 "Misure urgenti in materia di cellule staminali da cordone ombelicale" (G.U. 18 marzo 2004, n. 65).

 

21.3. Altra collaborazione con la Presidenza del Consiglio dei ministri

Si è già fatto cenno all´attività di monitoraggio effettuata dall´Autorità sulle leggi regionali (cfr. par. 1.4.). Sotto diverso profilo, si intende qui rendere conto dei risultati dell´attività consultiva sollecitata dalla Presidenza del Consiglio dei ministri sul contenuto di alcune leggi regionali, per gli aspetti di competenza del Garante, al fine di segnalare questioni eventualmente rilevanti in sede di conflitto di attribuzioni tra Stato e Regioni.

Se in alcune ipotesi non si sono ravvisati profili di illegittimità costituzionale, in altre si sono rilevati aspetti problematici.

È questo il caso della legge della Regione Emilia-Romagna 25 maggio 2004, n.11, che prevede l´utilizzo integrato delle basi di dati esistenti attraverso la collaborazione con le altre pubbliche amministrazioni e la possibilità di accesso e di cessione dei dati a privati e ad enti pubblici economici.

Come già accennato, il Garante ha preliminarmente rilevato che il diritto alla protezione dei dati personali, ascrivibile tra i diritti inviolabili riconosciuti dall´art.2 della Costituzione, materia di competenza esclusiva dello Stato poiché concerne l´"ordinamento civile" dello Stato e la "determinazione dei livelli essenziali delle prestazioni relative ai diritti civili e sociali" (art. 117, comma 2, lett. l) e m), della Costituzione).

In relazione ai contenuti della legge regionale, l´Autorità ha poi osservato che l´interconnessione generalizzata di archivi, gli indiscriminati flussi di dati, nonché la correlata possibilità, prevista con l´approvazione di un successivo regolamento, di rendere disponibile anche a terzi (privati ed enti pubblici economici) il patrimonio informativo, non coerente con la normativa vigente che stabilisce la predisposizione di garanzie poste con norme di legge statale riconoscendo ai cittadini, ad esempio, il diritto di essere previamente informati sulle ulteriori finalità perseguite nell´uso dei dati a seguito delle interconnessioni che la nuova banca dati produrrebbe (Nota 28 giugno 2004).

Tali rilievi sono stati fatti propri dal Consiglio dei ministri nell´impugnazione della legge davanti alla Corte Costituzionale.

In sede di esame della legge istitutiva del sistema integrato di interventi e servizi sociali, approvata dalla Regione Calabria (n. 23 del 9 dicembre 2003), l´Autorità ha evidenziato che l´istituzione di tale sistema implica necessariamente un´attività di trattamento di dati personali degli assistiti -anche di natura sensibile-, che deve essere effettuata nel pieno rispetto delle disposizioni dettate dal Codice. Tra l´altro, è stato osservato che il sistema coinvolge diversi soggetti erogatori delle prestazioni sociali, rendendo quindi necessaria l´individuazione di coloro che possono qualificarsi come titolari o contitolari del trattamento. I titolari, oltre a rispettare i principi di pertinenza e non eccedenza, devono prevedere che il sistema sia configurato in modo da ridurre al minimo l´utilizzo di dati personali e di dati identificativi, in modo da escludere il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l´interessato solo in caso di necessità (art. 3 del Codice). È stata inoltre avanzata qualche perplessità sull´istituzione di un registro degli ospiti presenti nelle strutture accreditate e di un registro degli utenti dei servizi offerti, dovendo al riguardo essere individuate con maggiore esattezza le finalità perseguite attraverso l´istituzione di detti registri e le tipologie di dati personali ivi contenute (Nota del 26 gennaio 2004).

In relazione alla legge della Regione Toscana 15 dicembre 2004, n. 63, recante "Norme contro le discriminazioni determinate dall´orientamento sessuale o dall´identità di genere" ed in particolare all´art. 7 che disciplina le modalità di prestazione del consenso informato, l´Autorità ha evidenziato che la materia compiutamente disciplinata dal Codice, il quale, in attuazione della normativa internazionale e comunitaria, stabilisce particolari garanzie -specie ove si tratti, come nel caso in esame, di dati sensibili idonei a rivelare lo stato di salute delle persone- e disposizioni sulle modalità di acquisizione del consenso, anche nei casi di incapacità legale, naturale o temporanea (art. 20, 22, 76 e 82 ss. del Codice). Nel caso in cui la legge regionale faccia riferimento anche o solo al consenso al trattamento medico, anche se tale profilo non riguarda direttamente aspetti di competenza del Garante, sussisterebbero ugualmente profili di illegittimità costituzionale della norma, trattandosi in questo caso di diritti civili e sociali della persona. La contiguità del consenso al trattamento dei dati personali con quello relativo al trattamento sanitario ben evidenziata, ad esempio, in un contesto normativo analogo a quello in esame, dal cd. "decreto Di Bella" che impone la contestuale acquisizione dei due consensi (art. 5-bis, comma 1, d.l. n. 23/1998, convertito dalla l. n. 94/1998, come modificato dall´art. 178 del Codice).

Gli stessi rilievi sono stati mossi dall´Autorità in riferimento all´articolo 8 della legge regionale, in quanto alcuni aspetti della dichiarazione di volontà che il regolamento regionale ivi previsto dovrebbe disciplinare trovano anch´essi compiuta regolamentazione nel Codice, in particolare per quanto riguarda l´individuazione di garanzie a tutela della riservatezza dei pazienti (art. 78 del Codice). La costituzione di una banca dati delle dichiarazioni di volontà viola poi il principio di proporzionalità nel trattamento dei dati personali, non apparendo giustificata la raccolta delle informazioni in un unico archivio centrale; mancano inoltre indicazioni circa le tipologie dei dati da registrare nella banca di dati e le relative finalità della raccolta, in contrasto con i principi di necessità, indispensabilità, pertinenza e non eccedenza dei dati, in base ai quali i sistemi informativi devono essere configurati riducendo al minimo l´utilizzazione di dati personali e possono essere richiesti all´interessato i soli dati pertinenti rispetto alle finalità perseguite (artt. 3, 11 e 22 del Codice) (Nota 11 gennaio 2005).

L´Autorità è stata inoltre consultata dalla Regione Toscana per ciò che concerne il trattamento dei dati personali ai fini dello svolgimento delle elezioni regionali primarie del 20 febbaio 2005, inizialmente disciplinate dalla sola legge regionale 17 dicembre 2004, n. 70, recante "Norme per la selezione dei candidati e delle candidate alle elezioni per il Consiglio regionale e alla carica di Presidente della Giunta regionale", che presentava profili di criticità in relazione alla protezione dei dati personali.

 

21.4. Attività di cooperazione con altre istituzioni

Anche nell´anno 2004 si registrata un´intensa attività di cooperazione dell´Autorità con altre istituzioni su tematiche comuni.

Con l´Autorità per le garanzie nelle comunicazioni, oltre che per l´adozione del provvedimento relativo ai nuovi elenchi telefonici di cui si tratta in un apposito paragrafo, proseguita, ai sensi dell´art. 154, comma 3, del Codice, la consueta e proficua collaborazione su vari temi come ad esempio quello relativo all´attivazione di contratti e servizi di telefonia fissa senza il preventivo consenso degli interessati.

Autorità per le garanzie nelle comunicazioni

Si è in tal modo proceduto ad esaminare in concreto il problema confrontando le segnalazioni pervenute, ciascuna per la relativa sfera di competenza. All´esito di tale scambio di informazioni il Garante ha ritenuto opportuno dar corso ad ulteriori interventi utilizzando i poteri conferiti dall´art. 157 del Codice.

Una fattiva attività di cooperazione è stata intrapresa anche con il Ministero delle comunicazioni. In particolare, il Garante ha partecipato a numerosi incontri presso il Ministero nei quali sono stati affrontati importanti temi di interesse comune quali l´utilizzo della posta elettronica o di Sms telefonici per l´invio non preventivamente autorizzato di materiale pubblicitario (fenomeno comunemente noto come spamming) e l´illecita intestazione di utenze telefoniche mobili illecitamente operate all´insaputa degli interessati.

Ministero delle comunicazioni

Per fronteggiare con uno sforzo comune il grave fenomeno della irregolare intestazione e successiva commercializzazione di carte prepagate di telefonia mobile, l´Autorità partecipa attivamente al gruppo di lavoro cui sono presenti il Ministero delle comunicazioni, l´Autorità per le garanzie nelle comunicazioni, l´Autorità garante della concorrenza e del mercato, il Ministero della giustizia e il Ministero dell´interno.

Il Garante ha contribuito alla predisposizione di una convenzione ai sensi dell´art. 6, comma 1, della legge 24 febbraio 1992, n. 225, tra il Dipartimento della protezione civile e gli operatori di servizi di comunicazione mobile. Tale convenzione, stipulata il 28 settembre 2004, ha ad oggetto la costituzione del "Circuito nazionale dell´informazione d´emergenza" (Cnie), ossia di un sistema promosso dall´Autorità per le garanzie nelle comunicazioni, d´intesa con il Ministero delle comunicazioni e con il Dipartimento della protezione civile volto a realizzare la trasmissione di Sms informativi di pubblica utilità per il Dipartimento della protezione civile, nei casi di necessità e urgenza provocati da calamità naturali e d´altra natura.

Dipartimento della protezione civile

Gli operatori telefonici, in tali situazioni di emergenza, invieranno ai loro clienti messaggi Sms secondo le indicazioni del Dipartimento della protezione civile in relazione al contenuto del messaggio, alla tempistica, all´area geografica interessata alla diffusione. Basandosi solo su provvedimenti d´emergenza adottati ai sensi dell´art. 5, commi 1, 2 e 5, della legge n. 225/1992 (che devono indicare espressamente l´eventuale deroga a specifiche disposizioni del Codice sulla protezione dei dati personali e le relative motivazioni), l´invio può prescindere da uno specifico consenso prestato dalla clientela. Resta ferma la possibilità per gli interessati di esercitare il diritto di non ricevere messaggi.

Vi sono numerosi aspetti della convenzione che attengono, quindi, al trattamento dei dati personali. Particolare interesse riveste per l´Autorità l´individuazione dei soggetti destinatari dei messaggi Sms, che verrà effettuata non solo in base ai dati anagrafici degli stessi, ma anche mediante localizzazione geografica dei terminali. Il Garante, pertanto, al termine dell´attività di cooperazione svolta anche ai sensi dell´art. 154, comma 3, del Codice, ha indicato le integrazioni da inserire nella convenzione e nel relativo allegato tecnico, tenendo anche conto delle indicazioni già fornite in tema di messaggi di pubblica utilità in due diversi provvedimenti (12 marzo 2003 e 7 luglio 2004) richiamati espressamente in premessa dalla convenzione.

Nel dicembre 2004 l´Autorità è stata chiamata a prendere parte al Gruppo di lavoro interministeriale per l´istituzione del numero unico europeo per le emergenze, costituito con d.P.C.M. del 4 agosto 2003. Il Gruppo ha il compito di analizzare i problemi posti dall´attivazione sul territorio nazionale del predetto numero unico, volto a garantire agli interessati adeguata risposta alle chiamate ai servizi di emergenza. Ci in conformità con quanto previsto in attuazione della normativa comunitaria (cfr. direttive 2002/21/CE e 2002/22/CE) e dall´art. 76 del Codice delle comunicazioni elettroniche (d.lg. n. 259/2003).

Il Garante dovrà tra l´altro valutare la conformità al Codice sulla protezione dei dati personali del sistema che consentirà di identificare la localizzazione del chiamante e di acquisirne i dati personali all´atto della ricezione della chiamata di emergenza.

 

21.5. Collaborazione con la Guardia di finanza

Nello svolgimento dell´attività ispettiva il Garante può avvalersi della collaborazione di altri organi dello Stato; già da tempo si sono avute molteplici occasioni di collaborazione con le forze di polizia ed in particolare con la Guardia di finanza, in ragione delle peculiari competenze nel campo delle attività di controllo di tipo amministrativo proprie del Corpo.

La collaborazione nel settore delle attività ispettive è stata regolata con un protocollo d´intesa che prevede che la Guardia di finanza operi attraverso:

• il reperimento di dati e informazioni sui soggetti da controllare;
• la partecipazione di proprio personale agli accessi alle banche dati, ispezioni, verifiche e alle altre rilevazioni nei luoghi ove si svolge il trattamento;
• l´assistenza nei rapporti con l´autorità giudiziaria;
• lo sviluppo di attività delegate o sub-delegate per l´accertamento delle violazioni di natura penale e amministrativa;
• l´esecuzione di indagini conoscitive sullo stato di attuazione della legge in determinati settori.

Al fine di rafforzare ulteriormente il rapporto di collaborazione, nel mese di giugno 2004 la Guardia di finanza ha costituito, come si già detto, il "Nucleo speciale funzione pubblica e privacy" il cui personale, altamente specializzato, procede direttamente all´esecuzione delle attività ispettive avvalendosi, se necessario, dei reparti territoriali del Corpo.

Una delle prime attività affidate al Nucleo è stata la verifica del rispetto dell´obbligo di notificazione al Garante, in concomitanza con la scadenza del termine previsto dal Codice (30 aprile 2004), mediante accertamenti nei confronti di un primo gruppo di trenta soggetti pubblici e privati, tra cui dodici aziende sanitarie locali e dodici società di lavoro interinale, che ha portato alla contestazione di numerose sanzioni amministrative (v. specifico approfondimento in par. 20.3).

In generale il Nucleo ha svolto per l´Autorità un ruolo di valido supporto, oltre che per l´esecuzione di attività ispettive delegate, anche per la notifica di atti urgenti e per l´acquisizione di informazioni necessarie ad individuare con certezza i titolari o i responsabili del trattamento nei cui confronti dovevano essere avviati dei procedimenti.

In alcuni casi ci si è avvalsi della componente territoriale del Corpo per verificare, anche attraverso sopralluoghi, l´ottemperanza ai provvedimenti dell´Autorità adottati a seguito di ricorsi (ad esempio, riposizionamento di impianti di videosorveglianza, apposizione di informative ex art. 13 del Codice, avvenuta designazione di incaricati del trattamento).

La competenza acquisita dal Nucleo in virtù del rapporto di collaborazione ha fatto assumere allo stesso un ruolo di punto di riferimento cui delegare, da parte dell´autorità giudiziaria, anche attività di indagine per le violazioni al Codice costituenti reato.

Rispetto a queste attività il Garante, su esplicita richiesta dell´Autorità giudiziaria procedente, ha fornito un supporto in termini di approfondimenti sull´applicazione della legge.

 

22. Relazioni internazionali

22.1. Lo stato di recepimento delle direttive comunitarie negli Stati membri dell´Unione europea

Il 2004 è stato l´anno dell´"allargamento" dell´Unione europea con l´ingresso di dieci nuovi Stati (Cipro, Estonia, Lettonia, Lituania, Malta, Polonia, Repubblica Ceca, Slovenia, Slovacchia, Ungheria).

Nei nuovi Stati membri, le disposizioni delle direttive europee in materia di protezione dei dati (95/46/CE) e comunicazioni elettroniche e vita privata (2002/58/CE) trovano applicazione integrale a partire dalla data di adesione all´Unione europea, ossia dal 1° maggio 2004.

Guardando più in dettaglio alla situazione esistente al 31 dicembre 2004 nei venticinque Paesi dell´Ue, il quadro relativo al recepimento nella legislazione nazionale rende opportune alcune precisazioni.

Tutti i quindici Paesi dell´Unione europea avevano recepito la direttiva prima del 1° maggio 2004 (v. Relazione 2003), anche se la Francia aveva notificato la legislazione adottata nel 1978, perdurando l´iter parlamentare (iniziato nel 2001) per l´adozione della normativa specifica. La nuova legge francese "Informatique et libertés", di recepimento della direttiva 95/46/CE, è stata adottata il 6 agosto 2004 ed è entrata in vigore il giorno successivo. Rispetto alla precedente legge, il nuovo testo aumenta i poteri sanzionatori dell´autorità di protezione dati (la Commission Nationale Informatique et Libertés, Cnil); elimina l´obbligo di notificazione alla Cnil per i titolari che designano (su base facoltativa) un "referente per la protezione dei dati" (il cosiddetto "correspondant à la protection des données") incaricato di vigilare sull´applicazione della normativa da parte del titolare e di monitorare la liceità e le modalità dei trattamenti di dati personali effettuati da quest´ultimo (ai sensi dell´art. 18(2) della direttiva); infine, dispone l´obbligo di sottoporre a valutazione preliminare da parte della Cnil qualsiasi trattamento che comporti il ricorso a tecniche biometriche. La legge inasprisce anche le sanzioni previste in caso di inadempimento. Il nuovo quadro normativo sarà completato attraverso l´adozione di atti di legislazione secondaria che preciseranno le procedure di valutazione preliminare ed altri aspetti concernenti, ad esempio, i requisiti da soddisfare per svolgere la funzione di "referente per la protezione dei dati".

Direttiva 95/46/CE

La valutazione della qualità del recepimento per i quindici Paesi membri è in corso da parte della Commissione, secondo il programma di lavoro fissato nel Primo rapporto sull´applicazione della direttiva.

I nuovi Stati membri sono tutti provvisti di una legge nazionale in materia di protezione dei dati, che in alcuni casi è stata adottata ex novo, mentre in altri ha subito vari emendamenti dopo l´adozione della direttiva 95/46/CE, in particolare al fine di istituire un´autorità per la protezione dei dati incaricata di vigilare sull´applicazione delle disposizioni in materia a livello nazionale. Va sottolineato, in proposito, che dal 2001 alcuni dei nuovi Stati membri (Estonia, Lettonia, Lituania, Polonia, Repubblica Ceca, Repubblica Slovacca e Ungheria) hanno stabilito forme più strette di collaborazione e scambio di informazioni, anche attraverso un apposito sito web (www.ceecprivacy.org) e l´organizzazione di due conferenze semestrali per discutere di tematiche di interesse comune.

La Commissione sta valutando l´effettiva conformità con l´acquis comunitario delle disposizioni nazionali.

La situazione relativa al recepimento della direttiva sulla vita privata e le comunicazioni elettroniche è più articolata. Nella Relazione 2003 si è fatto cenno alle iniziative preliminari adottate dalla Commissione europea nei confronti di alcuni Stati, per omessa comunicazione delle misure nazionali di trasposizione, ovvero per l´incompleta trasposizione della direttiva (con particolare riguardo all´art. 13, relativo alle comunicazioni indesiderate).

Direttiva 2002/58/CE

Dopo il parere motivato emesso il 1° aprile 2004 nei confronti di Belgio, Finlandia, Francia, Germania, Grecia, Lussemburgo e Paesi Bassi, e dopo l´adesione dei nuovi Stati membri, alla fine del mese di giugno 2004 la Commissione ha deciso di adire la Corte di giustizia nei confronti di tre Paesi (Belgio, Grecia, Lussemburgo) come previsto dal Trattato Ue per la mancata adozione della legislazione primaria di recepimento. Gli altri Paesi (Finlandia, Francia, Germania e Paesi Bassi) hanno provveduto nel frattempo a notificare le misure nazionali adottate. Tuttavia, la Commissione ha segnalato anche ad altri Paesi l´imperfetta trasposizione delle norme della direttiva 2002/58/CE. Ciò riguarda, in particolare:

• il recepimento delle disposizioni dell´art. 13, che vieta le comunicazioni indesiderate (quindi anche lo spam) in assenza del consenso preventivo dell´abbonato (opt-in). Repubblica Ceca, Estonia, Grecia e Lussemburgo non hanno notificato le misure nazionali adottate;
• il recepimento degli articoli 5, 6 e 9 che riguardano, rispettivamente, i dati di traffico e di ubicazione e le relative modalità di trattamento e conservazione. Belgio, Repubblica Ceca, Estonia, Grecia e Lussemburgo non hanno notificato alla Commissione le misure adottate in materia.

Anche riguardo alla direttiva 2002/58/CE, la Commissione sta valutando la piena conformità della legislazione nazionale in vigore nei Paesi dell´Unione europea.

 

22.2. Le iniziative a livello europeo per una migliore applicazione delle direttive comunitarie

Come segnalato nella Relazione 2003, sia il Primo Rapporto della Commissione europea sullo stato di attuazione della direttiva 95/46/CE (pubblicato il 15 maggio 2003), sia i risultati dell´Eurobarometro pubblicati nel febbraio 2004 hanno dipinto un quadro caratterizzato da luci e alcune ombre per quanto riguarda l´effettiva trasposizione dei principi comunitari e la percezione dell´efficacia di tali principi da parte di imprese e cittadini europei.

Recepimento della direttiva 95/46/CE

In particolare, nel rapporto della Commissione viene delineato un programma di lavoro in dieci punti per giungere ad una migliore applicazione della direttiva tra i Paesi dell´Unione. Su molti di essi la Commissione ha previsto e richiesto iniziative comuni da parte delle autorità di protezione dei dati, le quali hanno quindi deciso di integrare le azioni richieste anche nel loro programma di lavoro a partire dal 2004.

Del resto, le stesse autorità avevano da tempo indicato fra le priorità del proprio mandato il potenziamento dell´attuazione delle norme in materia di protezione dei dati attraverso numerose strategie. Queste ultime sono state sistematizzate in un documento che il Gruppo dei Garanti europei istituito dall´art. 29 della direttiva 95/46/CE (di seguito, semplicemente, "Gruppo art. 29") ha adottato nel settembre 2004 allo scopo di indicare alcune linee comuni di attività.

Per quanto concerne, in particolare, il potenziamento dell´attuazione dei principi comunitari in materia di protezione dei dati, le autorità garanti hanno messo l´accento soprattutto:

• sulle strategie per migliorare il rispetto e l´applicazione pratica delle normative nazionali in materia, attraverso l´elaborazione di approcci comuni comprendenti anche indagini ed accertamenti ispettivi "sincronizzati" in rapporto ad alcuni settori che risultano essere particolarmente problematici nella maggioranza dei venticinque Paesi Ue (si veda, in proposito, la "Declaration on Enforcement" approvata dal Gruppo il 25 novembre 2004);
• sulla semplificazione degli adempimenti connessi alla notificazione dei trattamenti, attraverso una task force incaricata di individuare gli spazi di armonizzazione (soprattutto in tema di deroghe all´obbligo di notificazione) e di elaborare un possibile modello di notificazione "unica" per i soggetti stabiliti in più Stati membri dell´Unione europea. Sulla base delle risposte pervenute ad uno specifico questionario, la task force ha inoltre operato una ricognizione delle disposizioni e prassi vigenti in ciascun paese riguardo all´obbligo di notificazione dei trattamenti di dati personali; ha curato altresì la predisposizione di un vademecum che sarà tra breve messo a disposizione di tutti i soggetti interessati (principalmente le società private che intendono operare in più di un Paese dell´Unione) mediante la pubblicazione sul sito web della Commissione specificamente dedicato alla protezione dei dati ed all´attività del Gruppo art. 29 (http://www.europa.eu.int/comm/internal_market/privacy/index_en.htm;
• sull´armonizzazione delle previsioni in materia di informativa, in particolare attraverso l´elaborazione di un modello redatto in termini chiaramente comprensibili ed utilizzabili da tutti i titolari di trattamento, secondo un approccio "multilivello". Il Gruppo, anche sulla scorta della risoluzione adottata in materia dalla Conferenza internazionale tenutasi a Sydney nel 2003 (v. Relazione 2003, p. 116) e del dibattito svolto a Wroclaw, durante la Conferenza internazionale del 2004 (v. infra), ha elaborato un parere, pubblicato il 25 novembre 2004, che individua le caratteristiche di tale "informativa-modello".

Le decisioni assunte dal Gruppo, volte a favorire ed incrementare le forme di cooperazione al fine di pervenire a soluzioni interpretative uniformi, sono in linea di continuità rispetto a scelte compiute da diversi anni. La collaborazione internazionale fra le autorità di protezione dei dati (compreso il Garante), prevista anche dalla Convenzione n. 108 del Consiglio d´Europa, è operativa da molto tempo ed ha sistemi di scambi di informazioni sia a livello bilaterale, sia a livello multilaterale.

Oltre agli ambiti istituzionalizzati attraverso la creazione del Gruppo art. 29 ed alle Conferenze delle autorità di protezione dei dati, si segnalano brevemente alcuni significativi esempi di tale collaborazione, rimandando ai paragrafi successivi per maggiori dettagli sull´attività svolta:

• la trattazione di segnalazioni e ricorsi che hanno carattere transnazionale e lo scambio di informazioni e buone prassi sono oggetto dei seminari organizzati fin dal 2000 con cadenza semestrale nel quadro della cosiddetta "Complaints Handling Network", che garantisce inoltre un supporto costante alla gestione della relativa casistica;
• le questioni attinenti al settore delle telecomunicazioni sono oggetto dell´analisi condotta dall´International Working Group on Data Protection in Telecommunications, che si riunisce con cadenza semestrale;
• la lotta allo spam è oggetto della specifica cooperazione prevista dalla rete istituita fra le autorità competenti in materia di spam (Contact Network of Spam Authorities, Cnsa), che ha iniziato la sua attività alla fine del 2003.

Gli aspetti della direttiva che presentano maggiori difficoltà nell´armonizzazione delle modalità applicative riguardano innanzi tutto la conservazione dei dati di traffico (art. 6) ed il principio del consenso preventivo per l´invio di comunicazioni non sollecitate (art. 13).

Direttiva 2002/58/CE

Sul primo aspetto, come già rammentato nella Relazione 2003, il Gruppo art. 29 è intervenuto per ricordare agli Stati la necessità del rispetto dei tempi e dei modi previsti dalla direttiva. Nel parere 1/2003 adottato il 29 gennaio 2003, i Garanti hanno precisato che i dati memorizzati ai fini della fatturazione e dei pagamenti di interconnessione possono essere conservati soltanto per un periodo di tempo limitato e non su base routinaria per lunghi periodi, come peraltro già indicato nella Raccomandazione n. 3/99 del Gruppo.

Il Gruppo art. 29, sulla scorta dell´applicazione del principio di proporzionalità e tenendo conto che, conformemente all´art.6, par. 2, della direttiva 2002/58/CE, i dati relativi al traffico possono essere sottoposti a trattamento "sino alla fine del periodo durante il quale può essere legalmente contestata la fattura o preteso il pagamento", ha ritenuto che i dati dovrebbero essere conservati solo per il periodo necessario a consentire il pagamento delle fatture e la composizione delle controversie. Normalmente ciò implica un periodo di memorizzazione massimo di 3-6 mesi non più lungo-nei casi in cui le fatture sono state pagate e non sembrano essere state oggetto di contestazione o di richieste di delucidazioni (tenuto conto del diritto alla tutela della vita privata dei singoli abbonati).

Pertanto, considerato che i diversi sistemi giuridici degli Stati membri contemplano varie disposizioni in merito all´estensione del periodo durante il quale possono essere avviate iniziative nell´ambito del diritto contrattuale, i Garanti hanno ritenuto che tali disposizioni debbano essere applicate in conformità al principio per cui il trattamento dei dati personali deve essere limitato a quanto è strettamente necessario per conseguire i fini per i quali i dati sono stati rilevati e successivamente trattati, considerato inoltre che, di regola, il pagamento dei servizi resi è effettuato entro i termini di conservazione.

Il secondo importante aspetto, cui si è già accennato, concerne l´applicazione uniforme del principio dell´opt-in per le comunicazioni commerciali.

La direttiva 2002/58/CE sulla vita privata e le comunicazioni elettroniche ha in particolare disciplinato, armonizzandole, le condizioni alle quali le comunicazioni elettroniche (ad esempio la posta elettronica, gli Sms, il fax, il telefono) possono essere utilizzate a fini di commercializzazione diretta.

A partire dalle legislazioni introdotte in alcuni Stati (tra cui l´Italia) che prevedevano in materia la necessità di un consenso esplicito dell´interessato, l´art. 13 della direttiva ha introdotto un regime generale basato sul consenso preventivo ai fini dell´invio di questo tipo di comunicazioni.

La novità e la complessità del principio hanno indotto sia le istituzioni comunitarie, sia il Gruppo art. 29 ad intervenire per evitare divergenze applicative nei diversi Stati membri.

L´urgenza di un tale intervento risiede nell´enorme recente sviluppo dell´invio di comunicazioni indesiderate (cd. spam)   e la necessità di presentarsi nella lotta a questo fenomeno, che si manifesta ormai in tutto il mondo, con un quadro giuridico realmente armonizzato a livello europeo. Da qui i richiami del Consiglio ad una puntuale applicazione della direttiva, le linee d´azione disegnate dalla Commissione nella sua comunicazione del 22 gennaio 2004 e la definizione di elementi per una cooperazione tra le autorità nazionali incaricate dell´attuazione dell´art. 13 (per l´Italia, il Garante) attraverso la rete spam Cnsa, cui si è fatto riferimento, e l´adozione di regole comuni per la trattazione di casi di spam transfrontaliero.

Il Consiglio dell´Unione, proprio in considerazione del grande impegno da assumere per contrastare lo spam, ha adottato nel mese di novembre alcune conclusioni che impegnano gli Stati ad un recepimento puntuale della direttiva 2002/58/CE ed in particolare del suo art. 13; ha richiesto poi alla Commissione di valutare se alcune disposizioni nazionali introdotte in attuazione della direttiva possano ritenersi confliggenti con l´applicazione armonizzata del principio del consenso preliminare (opt-in) da parte del destinatario e pertanto incidere sull´efficacia delle misure di contrasto allo spam transfrontaliero.

Analoga attenzione è stata posta all´intensificazione della collaborazione internazionale particolare, come ricordato, in sede Ocse ed International Communication Union (Itu)-finalizzata alla presentazione, attraverso la Commissione europea, di una posizione unitaria dei Paesi dell´Unione. Infatti, in altri Paesi la legislazione vigente si fonda sul diverso principio del cd. opt-out (la possibilità, cioè, per il destinatario di chiedere di non ricevere le comunicazioni commerciali) e pertanto quello che nell´Unione europea dall´entrata in vigore della direttiva 2002/58/CE (e nei singoli Paesi dalla data di trasposizione) è assoggettato a sanzione, in altri paesi può non costituire un comportamento vietato.

In questo quadro, il contributo del Gruppo art. 29 assume una notevole rilevanza. In particolare, il parere n. 5/2004 del 27 febbraio 2004 offre indicazioni su specifici elementi che riguardano le nozioni di "posta elettronica", "previo consenso" da parte degli abbonati e "commercializzazione diretta"; si prendono altresì in considerazione l´eccezione alla norma del previo consenso e il regime per le comunicazioni indirizzate alle persone giuridiche.

 

22.3. Le conferenze tra autorità di protezione dei dati a livello europeo

La Conferenza di primavera dei Garanti europei si è svolta a Rotterdam dal 21 al 23 aprile 2004 ed è stata dedicata alle politiche finalizzate a garantire l´efficacia della protezione dei dati. I temi al centro dell´incontro hanno riguardato il ruolo e l´azione di intervento delle autorità, le comunicazioni elettroniche, il rispetto delle norme sulla protezione dei dati personali e la cooperazione giudiziaria a livello europeo.

Il segretario generale dell´Autorità ha affrontato il tema delle strategie da mettere in atto per garantire l´effettiva attuazione delle norme in materia di privacy, non solo attraverso verifiche e controlli, ma anche mediante una costante azione di sensibilizzazione. Per quanto riguarda in particolare l´attività di verifica, soprattutto alla luce della direttiva 95/46/CE, si è altresì evidenziata l´opportunità di potenziare la collaborazione fra le autorità nazionali della protezione dei dati, anche in considerazione del carattere transnazionale delle problematiche che investono il settore della privacy (esempio tipico lo spam).

 

22.4. Conferenze delle autorità su scala internazionale

La 26^a Conferenza internazionale dei Garanti per la protezione dei dati personali, che si è tenuta a Wroclaw dal 14 al 16 settembre, è stata dedicata al binomio società della privacy società e della dignità.

Il Garante ha partecipato all´incontro attraverso quattro interventi nelle differenti sessioni di lavoro:

Mauro Paissan ha svolto una relazione sul delicato rapporto tra libertà di informazione e diritti della persona, evidenziando come il diritto di sapere, la libertà di comunicare e la trasparenza non possano cancellare il bisogno di intimità e il diritto di sviluppare liberamente la personalità;

Gaetano Rasi si è soffermato sugli aspetti economici della privacy, sottolineando come la tutela dei dati personali sia destinata a svolgere una funzione fondamentale per disegnare i futuri assetti del rapporto tra imprese e consumatori; in particolare, il trattamento parte delle aziende-di informazioni relative alla clientela improntato ai criteri di correttezza e trasparenza può sensibilmente migliorare la qualità del rapporto tra azienda e cliente;

Giovanni Buttarelli è intervenuto nella sessione dedicata al marketing politico, evidenziando gli aspetti legati alla necessità di ottenere un consenso preventivo, da parte degli interessati, all´invio di materiale propagandistico. Ciò, soprattutto perché la "pubblicità" elettorale, fondata sul trattamento di dati che riguardano identità personale e convinzioni politiche, tocca una sfera particolarmente delicata dell´individuo. Le nuove tecnologie utilizzate anche nella propaganda politica comportano la necessità di salvaguardare ancora più attentamente il diritto alla riservatezza. Ferma restando la libera circolazione delle idee e delle proposte politiche, è opportuno promuovere in questo settore-un marketing responsabile. La proposta del segretario generale di operare in vista di una possibile risoluzione in occasione della prossima conferenze mondiale è stata condivisa.

Al Presidente Stefano Rodotà è stato affidato il compito di chiudere i lavori della Conferenza. Nella sintesi conclusiva, il prof. Rodotà ha affermato che fra i concetti di privacy, libertà e dignità esiste un legame sempre più stretto, in ragione del fatto che il trattamento di dati personali può determinare discriminazioni sulla base di convinzioni politiche, credenze religiose, condizioni di salute: la privacy, non più riconducibile al solo diritto ad essere lasciati soli, costituisce un elemento essenziale della società dell´uguaglianza. In particolare, il Presidente ha evidenziato quattro temi che le loro implicazioni rispetto ai valori fondanti di una società democratica e al rispetto della persona-necessitano di una riflessione approfondita: i rischi del progressivo passaggio da forme di sorveglianza mirata verso soggetti pericolosi ad una sorveglianza "generalizzata"; le trasformazioni del corpo come password attraverso i dati biometrici-determinate dall´impiego di strumenti elettronici che rendono possibile localizzare e seguire l´individuo in modo permanente; la conservazione di dati per periodi troppo lunghi che rende ciascuno "prigioniero" del proprio passato e dei controllori delle grandi banche dati; la necessità di una protezione integrale della persona anche nella dimensione elettronica. Questi temi proiettano la tutela dei dati al di là della semplice protezione della sfera privata, per farla divenire un elemento essenziale della cittadinanza del nuovo millennio.

Al termine dei lavori sono state approvate tre risoluzioni riguardanti l´aggiornamento automatico dei software, l´istituzione di un forum comune per le questioni attinenti alla cooperazione giudiziaria e di polizia e la definizione di uno standard-quadro ISO in materia di privacy (v. Documentazione par. 75).

Nella risoluzione sull´aggiornamento automatico dei software i Garanti hanno preso atto con preoccupazione che le società produttrici di software fanno sempre più ricorso a meccanismi non trasparenti che permettono una serie di operazioni: trasferire nel computer degli utenti, a loro insaputa, aggiornamenti di software per raccogliere i dati personali memorizzati; assumere il controllo, almeno parziale, del computer terminale limitando la capacità dell´utente, quale titolare del trattamento, di far fronte agli obblighi ed alle responsabilità previsti dalla legge per garantire la sicurezza dei dati trattati; modificare o provocare malfunzionamenti nel software installato senza la possibilità di individuarne la causa. I Garanti hanno, pertanto, invitato le aziende produttrici di software a prevedere che le procedure per il rilascio dei dati da parte degli utenti Internet, finalizzate anche all´aggiornamento on-line del software, siano trasparenti ed associate ad un´informativa adeguata. Tale aggiornamento dovrebbe avvenire, inoltre, solo dopo aver ottenuto il consenso dell´utente, impedendo nel contempo che possano verificarsi accessi non controllati al computer.

La risoluzione sulla cooperazione giudiziaria e in materia di polizia chiede l´istituzione di un forum comune dell´Unione europea sulla protezione dei dati nelle questioni attinenti alla cooperazione giudiziaria e di polizia, nell´ambito, cioè, del cosiddetto Terzo Pilastro del Trattato di Amsterdam. Tale risoluzione poggia sulla necessità, avvertita nelle diverse sedi istituzionali europee, che gli Stati membri dell´Unione europea intensifichino ulteriormente la cooperazione giudiziaria e di polizia in ambito penale per assicurare un livello elevato di sicurezza in un´area di libertà, sicurezza e giustizia, garantendo al contempo un equo bilanciamento fra l´esigenza di sicurezza e la difesa delle libertà civili, compresi i diritti di protezione dei dati, la cui tutela è sancita dalla Carta dei diritti fondamentali dell´Unione europea. Tuttavia, le autorità per la protezione dei dati personali si trovano nella situazione di non poter esercitare la loro attività consultiva in materia a causa dell´assenza di una struttura di coordinamento. I Garanti hanno pertanto invitato il Consiglio e la Commissione, da un lato ad incorporare l´attività consultiva in materia di protezione dei dati nella struttura del Consiglio dell´Unione europea, dotandola delle necessarie risorse umane ed organizzative prima della fine del 2004 e, dall´altro, a creare i presupposti giuridici per l´armonizzazione delle attività di controllo nell´ambito del Terzo Pilastro.

Con la terza risoluzione, la Conferenza ha invece raccomandato all´Organizzazione internazionale per la standardizzazione (ISO), la definizione di uno o più standard globali in materia di protezione dei dati e privacy. I Garanti hanno chiesto, in particolare, l´individuazione di uno standard tecnologico fondato sulle prassi di leale informazione e sui principi di parsimonia, necessità ed anonimizzazione nell´uso dei dati, tale da supportare l´attuazione di norme di legge in materia di privacy e protezione dei dati, se già esistenti, e la formulazione di tali norme ove esse non siano ancora definite. Lo standard, si legge nella risoluzione, dovrebbe poggiare sul rispetto di tre parametri. In primo luogo, offrire criteri di valutazione e verifica che facilitino il rispetto delle normative nazionali ed internazionali da parte dei titolari. In secondo luogo, indicare se le misure volte alla tutela della privacy impiegate da sistemi utilizzati per la gestione di dati personali siano realmente efficaci. Infine, garantire che i dati personali siano trattati sempre nel rispetto dei parametri in base ai quali sono stati inizialmente raccolti, indipendentemente dai passaggi e dal numero di soggetti che possono intervenire nella gestione e nell´interscambio di tali dati personali. La Conferenza ha, inoltre, sottoposto all´ISO le sue preoccupazioni; le medesime sono state recepite, conducendo alla sospensione delle iniziative in corso miranti alla definizione di "standard privacy" per le tecnologie dell´informazione, avviate senza consultare le autorità di protezione dati.

La Conferenza internazionale che, nel 2005, tornerà a riunire le autorità garanti dei diversi Paesi, avrà ad oggetto le sfide legate alla protezione dei dati personali nel mondo globalizzato.

In particolare, la discussione si concentrerà sul carattere universale del diritto alla privacy pur nel necessario rispetto delle diversità. Ciò, ponendosi in una linea di continuità con le riflessioni iniziate nel corso della Conferenza internazionale "One world, One privacy" (Venezia, settembre 2000) che hanno portato all´adozione della "Carta di Venezia". Già in tale occasione, infatti, le autorità luce del riconoscimento della privacy come diritto fondamentale della persona e quale elemento costitutivo della libertà del cittadino-hanno evidenziato la necessità di perseguire regole comuni universalmente condivise per la salvaguardia di tale diritto.

 

22.5. La cooperazione tra autorità garanti nell´Unione europea: il Gruppo ex art. 29

Nel 2004 l´attività del Gruppo ex art. 29 si è incentrata, come nel passato, su tematiche attinenti agli ordinari ambiti di applicazione delle direttive 95/46/CE e 2002/58/CE soffermandosi, in particolare, su iniziative che, alla luce delle esigenze rappresentate dalle autorità giudiziaria e di polizia al fine di migliorare la raccolta e lo scambio di informazioni per la lotta al terrorismo ed alla criminalità, hanno potenzialmente un grande impatto sulla tutela della riservatezza e sul diritto alla protezione dei dati personali affermato solennemente come diritto fondamentale (già dalla Carta dei diritti fondamentali e ora) dal Trattato che adotta una Costituzione per l´Europa, firmato a Roma il 29 ottobre 2004 (articoli I-51 e II-68).

Il Gruppo, proprio per tener adeguatamente conto dei cambiamenti legati, da un lato, all´allargamento dell´Unione europea con l´adesione di dieci nuovi Stati e, dall´altro, al riconoscimento del diritto alla protezione dei dati come diritto fondamentale, ha deciso di avviare una riflessione approfondita sul proprio ruolo e sulle prospettive di lavoro futuro. Si è giunti così all´adozione di un documento di ampio respiro che disegna un programma di lavoro di medio-lungo termine e si affianca al programma di lavoro del Gruppo, che ha cadenza annuale. A giudizio delle autorità europee, i due binari da percorrere sono il miglioramento dell´attuazione dei principi comunitari in materia di protezione dei dati attraverso iniziative concrete, in parte già in corso, e la definizione ed il potenziamento della cooperazione fra il Gruppo stesso e le istituzioni comunitarie (in particolare la Commissione europea, il Parlamento europeo e il Consiglio dell´Unione), oltre che con le autorità chiamate a far rispettare le regole poste a garanzia di tale diritto (il Garante europeo per la protezione dei dati e, in particolare, le autorità comuni di controllo Europol, Schengen, Dogane ed Eurojust).

Il Gruppo ha chiesto di essere pienamente informato riguardo alle iniziative in corso di predisposizione (da parte delle istituzioni comunitarie) che possono avere un impatto sulla protezione dei dati personali, in modo da poter fornire il proprio contributo di conoscenza e competenza sin dalle fasi iniziali di formazione delle proposte di azione comunitaria. Ha in parallelo considerato opportuno sollecitare un miglioramento della cooperazione delle autorità di protezione dei dati per affrontare tematiche non più limitate agli aspetti tipici del mercato interno, ma che coinvolgano altri settori e politiche comunitarie sì da richiedere un esame ed un´azione comune da parte delle diverse autorità. Quest´ultimo punto, in particolare, riveste crescente importanza alla luce del rilievo assunto dalle questioni cosiddette di Terzo Pilastro anche in rapporto al difficile contesto internazionale. Il Gruppo è infatti intervenuto prendendo posizione con sempre maggiore frequenza anche su queste tematiche (ad esempio l´obbligo per i vettori aerei di fornire i dati Passenger Name Record (Pnr) dei passeggeri dei voli transoceanici (sul quale più compiutamente si sofferma il par. 22.6), quello di conservazione dei dati concernenti comunicazioni elettroniche, pur parzialmente sottratte all´ambito comunitario, nonché di introdurre in passaporti, visti, permessi di soggiorno elementi biometrici, foto digitalizzata ovvero scannerizzata del volto, impronte digitali).

Il programma di lavoro annuale per il 2004 ha, a sua volta, concentrato molte iniziative d´azione sui temi evidenziati dalla Commissione europea nel rapporto sull´applicazione della direttiva 95/46/CE e, segnatamente, in materia di semplificazione dei requisiti delle notificazioni, armonizzazione dei requisiti in materia di informativa, semplificazione dei trasferimenti internazionali, migliore e più coordinata attuazione di alcuni principi della direttiva.

Come illustrato in dettaglio nel par. 22.6, il Gruppo ha continuato a dedicare speciale attenzione alle richieste degli Stati Uniti di ottenere da parte delle compagnie aeree i dati personali dei passeggeri in viaggio da e verso il loro territorio. Alle richieste degli Stati Uniti si sono aggiunte quelle di alcuni altri Stati, segnatamente il Canada e l´Australia.

Sono stati al riguardo adottati, in rapida successione, cinque pareri, 3 rivolti alle richieste USA (pareri 2/2004, 6/2004 ed 8/2004) e due, rispettivamente a quelle australiane e canadesi (pareri 1/2004 e 3/2004).

In tema di trasferimento dei dati personali verso Paesi terzi, si segnala altresì la decisione adottata il 28 aprile dalla Commissione europea, sulla scorta del parere espresso in precedenza dal Gruppo, in merito all´adeguatezza della protezione dei dati personali nell´Isola di Man. Nel corso del 2004 è stata effettuata, sempre da parte della Commissione, la valutazione del funzionamento delle due decisioni di adeguatezza adottate nel 2000, relative alla Svizzera ed al cd. Safe Harbor (concernente il trasferimento dei dati verso gli Stati Uniti).

Entrambe le valutazioni sono state fatte precedere da uno studio affidato a consulenti esterni e le relative conclusioni sono state adottate il 20 ottobre 2004. I documenti di lavoro e gli studi su cui si fondano sono stati resi pubblici.

Per quanto riguarda il particolare il funzionamento dell´accordo sul Safe Harbor, il documento della Commissione conclude che, a suo avviso, pur evidenziandosi talune difficoltà applicative, non vi sono ragioni per rivedere la decisione del 2000. La Commissione ritiene apprezzabile l´aumento del numero delle società che hanno aderito al Safe Harbor, anche se considera necessario acquisire in futuro elementi sulla loro consistenza. Lo studio al quale la Commissione ha fatto riferimento per formulare le proprie valutazioni, svolto dal Crid (Centro di ricerca su informazione e diritto) dell´Università di Namur sotto la guida del prof. Poullet, fornisce un´approfondita ed articolata valutazione del funzionamento del sistema ed evidenzia vari aspetti problematici che vanno dal ruolo, non sempre pienamente svolto, delle autorità statunitensi preposte alla verifica del rispetto dei principi da parte delle società aderenti, alla mancanza di privacy policy sui siti delle stesse società, con la sensazione di una scarsa conoscenza delle implicazioni che l´adesione all´accordo determina e, quindi, di una ancora più scarsa informazione degli interessati in merito alla possibilità di far valere i loro diritti di accesso, di verifica, di rettifica e cancellazione. Altro aspetto messo in luce dallo studio consiste nella possibilità che in taluni casi la legislazione adottata negli Stati Uniti a seguito degli eventi dell´11 settembre abbia introdotto obblighi di comunicazione dei dati per le società aderenti.

Un caso segnalato specificamente dallo studio riguarda anche il possibile conflitto tra le normative statunitense ed europee con riguardo all´invio delle comunicazioni commerciali (opt-out vs. opt-in).

Alla luce di queste riflessioni, il Gruppo ha deciso nella sua ultima riunione del novembre 2004 di affidare ad un gruppo ristretto l´analisi attenta delle valutazioni offerte dallo studio del Crid.

Il Gruppo ha inoltre continuato ad approfondire il lavoro sulle cd. "soluzioni contrattuali", che consentono alle imprese di trasferire dati personali nel rispetto dei principi della direttiva anche quando il Paese di destinazione non abbia una legislazione adeguata, prevedendo le idonee garanzie attraverso lo strumento contrattuale.

Da un lato, anche sulla scorta di un precedente parere del Gruppo, è stato approvato dalla Commissione europea un ulteriore modello di clausole contrattuali standard (in Documentazione par. 46). Le imprese saranno libere di scegliere se utilizzare l´uno o l´altro gruppo di regole. Il modello cd. "alternativo", cui si è fatto cenno anche nella Relazione 2003, è stato presentato dalla Camera di commercio internazionale e da altre organizzazioni commerciali ed è stato successivamente modificato in più parti su suggerimento del Gruppo, al fine di assicurare che le clausole contrattuali tipo proposte offrano un livello di tutela paragonabile a quelle approvate in virtù della decisione della Commissione n. 497/2001/CE.

Dall´altro lato, sono proseguiti i lavori per il riconoscimento e la possibile introduzione di un diverso sistema che consenta, in particolare, il trasferimento fra società appartenenti ad uno stesso gruppo multinazionale. Questo sistema, basato su ipotizzate "norme vincolanti d´impresa" (cd. binding corporate rules) era stato già analizzato dal Gruppo in un documento di lavoro (WP del 3 giugno 2003) al fine di valutare in quali termini e in base a quali condizioni questi speciali "codici di condotta" possano offrire, appunto, le "garanzie sufficienti" menzionate dall´art. 26(2) della direttiva.

Le "norme vincolanti d´impresa" sarebbero infatti veri e propri codici di condotta elaborati nell´ambito di un gruppo di imprese e validi per tutte le società che di tale gruppo fanno parte.

Basandosi sull´esperienza maturata in alcuni Stati membri e sugli approfondimenti scaturiti nel corso di un seminario internazionale svoltosi a l´Aja, il Gruppo ha recentemente adottato un documento in cui si individuano gli elementi essenziali per presentare ad una autorità di protezione dei dati la richiesta di autorizzazione (model checklist). Giova ricordare che, a differenza delle clausole contrattuali, sulla base delle disposizioni della direttiva la Commissione europea non è competente ad adottare una decisione vincolante in materia ed i singoli Stati (più precisamente le autorità nazionali di protezione dei dati) restano liberi di rendere o meno operanti le "norme vincolanti d´impresa" sul proprio territorio.

Dopo l´adozione di uno specifico documento di lavoro sull´uso dei sistemi biometrici (WP 80 del 1° agosto 2003), il Gruppo ha adottato l´11 agosto 2004 un parere sull´inclusione di elementi biometrici nei visti e permessi di soggiorno, che esprime dubbi sulla proporzionalità delle misure proposte rispetto alle finalità individuate dai proponenti e forti preoccupazioni in relazione al quadro più ampio in cui la proposta si colloca.

Come già evidenziato, infatti, occorre guardare in modo unitario ad una congerie di proposte formulate da Consiglio e/o Commissione, che prevedono un crescente impiego della biometria (impronte digitali e scannerizzazione del volto in particolare) rendendone obbligatorio l´inserimento nei documenti rilasciati a stranieri e cittadini (passaporti, carte d´identità, visti, permessi di soggiorno), prevedendo la creazione a livello europeo di grandi basi di dati in cui anche questi elementi vengono inseriti (Sis II, Sistema informazione visti-Vis) ed intensificando la possibilità di scambiare queste informazioni con una pluralità di Stati ed organismi esteri (in proposito si veda in allegato, anche il Regolamento (CE) n. 2252/2004 del Consiglio sulle caratteristiche di sicurezza e gli elementi biometrici dei passaporti e dei documenti di viaggio rilasciati dagli Stati membri).

Il Gruppo, nel suo parere, ricorda che tali proposte hanno un forte impatto sui diritti umani fondamentali ed in particolare sul diritto alla protezione dei dati personali; pertanto, richiama l´attenzione sulla necessità di esserne preliminarmente informato e che le stesse proposte siano adeguatamente rese pubbliche nei confronti dei Parlamenti e della società civile e che ai relativi lavori sia data trasparenza, anche attraverso il coinvolgimento delle autorità di protezione dei dati. Nel parere, infatti, il Gruppo ricorda l´obbligo di rispettare in particolare il principio di proporzionalità e la necessità di definire con chiarezza le finalità del trattamento dei dati biometrici. Il parere individua anche le cautele da adottare al fine di rendere "affidabile" il trattamento di tali dati e richiede precise garanzie in ordine allo stesso; chiede inoltre di ricevere informazioni approfondite sulla sicurezza del sistema scelto e sulle modalità di incorporazione dei dati nel chip.

Esprime infine forti preoccupazioni riguardo alla previsione della possibile creazione di un database centralizzato a livello europeo e ricorda che il ruolo delle autorità di supervisione deve essere mantenuto adeguato alle novità che si vogliono introdurre per evitare un abbassamento del livello di tutela.

Come già segnalato nella Relazione 2003, il Gruppo ha adottato il parere 4/2004 (WP 89 del 11 febbraio 2004) sul trattamento dei dati effettuato attraverso la videosorveglianza, che individua regole e garanzie precise sull´installazione di telecamere fornendo un quadro uniforme e armonizzato in materia a livello europeo. Il parere contiene un "decalogo" sulle cautele ed i principi da osservare, principi che si applicano anche ai trattamenti non soggetti espressamente alle disposizioni della direttiva europea (ad esempio, trattamenti effettuati per scopi di sicurezza pubblica o per il perseguimento di reati, oppure trattamenti effettuati da una persona fisica per scopi esclusivamente privati o familiari).

È stato altresì adottato un parere in tema di comunicazioni commerciali non richieste (parere 5/2004 WP 90 del 27 febbraio 2004), al fine di fornire una interpretazione comune dell´art. 13 della direttiva 2002/58/CE riguardo ad alcuni aspetti che potrebbero dare luogo a soluzioni divergenti in sede di recepimento o di applicazione della normativa nei diversi Stati membri.

Altro importante parere del Gruppo (parere 9/2004 del 9 novembre 2004) riguarda una proposta legislativa presentata da quattro Stati dell´Unione il 28 aprile 2004 (Doc. 8958) tendente ad imporre ai fornitori di servizi di comunicazione elettronica l´obbligo di conservazione dei dati di traffico trattati ai fini della fornitura del servizio o comunque disponibili.

La proposta, in discussione presso il Consiglio dell´Unione, nella sua forma attuale prevede la conservazione preventiva in maniera indiscriminata, per un periodo di tempo limitato solo nel minimo, di tutti i dati di traffico (telefonico, Internet, comprensivo della posta elettronica).

I Garanti hanno ritenuto tale proposta in contrasto con i principi fondamentali in materia di protezione dei dati e con la Convenzione europea per la salvaguardia dei diritti dell´uomo e delle libertà fondamentali. Il Gruppo ha richiamato i precedenti pareri espressi, ha rinnovato la richiesta che sia previamente valutato, come previsto dalla stessa Convenzione, se l´ipotizzata interferenza nella vita privata abbia un´adeguata base giuridica e se risponda a criteri di necessità nel quadro di una società democratica, rammentando la necessità del rispetto dei principi in materia di protezione dei dati -in particolare dei principi di proporzionalità, pertinenza, finalità-per la conservazione dei dati di traffico anche per finalità giudiziarie e di polizia (v. art. 15 della direttiva 2002/58/CE).

Si segnala anche un primo documento di lavoro adottato dal Gruppo (WP 86 del 23 gennaio 2004) sui dispositivi proposti dal consorzio Trusted Computing Group per incentivare la sicurezza delle transazioni elettroniche attraverso strumenti non solo software, ma anche hardware e, soprattutto, il documento di lavoro adottato il 17 marzo 2004 (WP 91) sul trattamento dei dati genetici.

Nel documento di lavoro, come già rappresentato nella Relazione 2003, il Gruppo ha preferito affrontare il progresso tecnologico nel campo della genetica e le sue ripercussioni nella sfera della riservatezza scegliendo un approccio analitico volto ad individuare i settori in cui maggiori sono le preoccupazioni in relazione al trattamento dei dati genetici.

 

22.6. Il trasferimento dei dati Pnr dei passeggeri alle autorità doganali di Paesi non appartenenti all´Unione europea

Uno dei temi più delicati e controversi a livello europeo ed internazionale resta il trasferimento dei dati Pnr dei passeggeri alle autorità doganali di Paesi non appartenenti all´Unione europea (v. già la Relazione 2003). Infatti, come sottolineato anche da un recente intervento del commissario europeo Frattini, la richiesta da parte delle autorità pubbliche di Paesi terzi di ottenere dalle compagnie aeree europee i dati dei passeggeri ai fini di prevenzione del crimine non solo deve essere valutata alla luce del rispetto del diritto fondamentale alla protezione dei dati personali, ma è collegata anche alla delicata questione della protezione dei dati nell´ambito della cooperazione giudiziaria e di polizia nell´Unione europea (cd. Terzo Pilastro), che risulta tuttora frammentaria e non armonizzata.

Il Gruppo ha dedicato grande attenzione al tema, occupandosi non solo del sistema proposto dalle autorità statunitensi, su cui si era già espresso nel corso del 2002 e del 2003, ma anche dalle analoghe richieste provenienti dall´Australia e dal Canada, nella convinzione che i comuni obiettivi di lotta al terrorismo debbano essere perseguiti nel rispetto dei diritti fondamentali ed in particolare del diritto alla protezione dei dati personali.

Per quanto riguarda gli Stati Uniti, il Gruppo è tornato ad evidenziare, nel parere 2/2004, le lacune del sistema statunitense, proponendo una serie di miglioramenti atti a garantire che il trasferimento dei dati dei passeggeri avvenga nel rispetto dei principi stabiliti dalla normativa europea in materia di protezione dati. Fra questi, il Gruppo ha segnalato, in particolare, il principio di finalità, in base al quale i dati del Pnr dovrebbero essere utilizzati soltanto per contrastare il terrorismo ed altri specifici reati ad esso connessi; il principio di proporzionalità nei dati richiesti, evitando il trasferimento di dati superflui; la conservazione dei dati per un periodo limitato; il divieto di trattare dati sensibili; il diritto dei passeggeri ad essere adeguatamente informati e ad essere messi in condizione di esercitare agevolmente i propri diritti (accesso, rettifica). Inoltre, il Gruppo ha chiesto che le garanzie per i passeggeri non si basino meramente su impegni unilaterali privi di vincolatività giuridica per la controparte americana e tali da non creare diritti che i terzi (in questo caso i cittadini europei) possano far valere negli Usa in caso di controversie.

Anche il Parlamento europeo, condividendo molte delle critiche espresse dal Gruppo, nel marzo 2004 ha approvato due risoluzioni con cui, sottolineando gli insoddisfacenti risultati del negoziato tra autorità statunitensi e Commissione europea, invitava quest´ultima ad ottenere garanzie reali affinché fosse rispettato il diritto alla protezione dei dati personali dei cittadini europei, sancito dall´art. 8 della Carta dei diritti fondamentali dell´Ue.

La Commissione ha però deciso di procedere con la propria iniziativa contenuta nel "pacchetto Pnr", adottando una decisione relativa all´adeguatezza della protezione accordata dagli Stati Uniti ai dati personali dei passeggeri aerei, fondata su impegni unilaterali (cd."undertakings") delle autorità statunitensi. A tale iniziativa ha fatto seguito l´approvazione di un accordo internazionale da parte del Consiglio dei ministri dell´Ue, con cui si impone alle compagnie aeree europee di consentire alle autorità doganali statunitensi l´accesso diretto ai dati contenuti nei propri sistemi di prenotazione (cfr. al riguardo i documenti riprodotti nei par. 43-45 in Documentazione).

Entrambi gli atti sono stati approvati a maggio 2004, nonostante le preoccupazioni espresse dal Gruppo art. 29 e la richiesta del Parlamento europeo, presentata ad aprile alla Corte di giustizia delle Comunità europee, di un parere preliminare sulla compatibilità con l´ordinamento comunitario del proposto accordo internazionale.

Ai sensi del "pacchetto Pnr", le autorità doganali statunitensi sono autorizzate ad accedere direttamente ad un novero molto ampio di dati (34 elementi, fra cui indirizzi, numeri di telefono, indirizzi di posta elettronica, numeri di carte di credito, informazioni contenute nei programmi "frequent flyer") e a conservare per almeno tre anni e mezzo le informazioni relative ai dati di tutti i passeggeri (al contrario del sistema australiano, approvato dai Garanti europei, in cui i dati vengono conservati solo in presenza di un reato o di una indagine per un presunto reato). I dati possono essere trattati per finalità che esorbitano dalla lotta al terrorismo ed essere ulteriormente trasmessi ad altre autorità, anche di Paesi terzi.

Allo stato, sono accessibili dati "neutri" e sensibili; con riguardo a questi ultimi, gli undertakings prevedono specifici impegni da parte delle autorità statunitensi a non farne uso. In futuro, i dati sensibili (riguardanti la salute, le convinzioni religiose o politiche, ecc.) non saranno più accessibili grazie ad un apposito sistema di filtraggio.

Infine, i diritti dei passeggeri europei ad essere informati, ad accedere ai propri dati ed eventualmente a rettificarli non sono sembrati adeguatamente garantiti: fra l´altro, sia per l´assenza di un organo di ricorso veramente indipendente, sia per la dubbia vincolatività giuridica degli impegni assunti dalle autorità statunitensi.

Pertanto, il Parlamento europeo ha deciso di presentare un ricorso alla Corte di giustizia delle Comunità europee (che si aggiunge a quello, decaduto a seguito della firma dell´accordo, presentato in sede pregiudiziale e del quale si è fatto cenno nella Relazione 2003) per far annullare la decisione della Commissione e l´accordo internazionale. Secondo il Parlamento europeo, non soltanto la soluzione raggiunta non tutelerebbe adeguatamente i diritti dei passeggeri, ma la stessa Commissione avrebbe oltrepassato le proprie competenze e non avrebbe assicurato la dovuta partecipazione del Parlamento al processo decisionale.

Tale ricorso è stato condiviso nel merito anche dal Garante europeo della protezione dati (la cui attività è iniziata di recente), il quale ha presentato nel novembre scorso alla Corte di giustizia una richiesta di intervento a sostegno delle posizioni del Parlamento europeo.

Nelle more della pronuncia della Corte, il Gruppo art. 29 si è adoperato per tutelare il più possibile i diritti dei passeggeri. Nel giugno 2004 è stato approvato il parere 6/2004 in cui, in relazione all´attuazione da parte delle compagnie aeree del "pacchetto Pnr", si è auspicato un rapido passaggio dal meccanismo che consente alle autorità statunitensi di accedere direttamente ai sistemi di prenotazione (cd.sistema "pull") ad un meccanismo in cui siano le stesse compagnie aeree a filtrare i dati ed inviarli (sistema "push"), nonché a fornire l´informazione completa e chiara ai passeggeri.

Per approfondire tali temi, il Garante ha ospitato a Roma un incontro fra le autorità di protezione dati europee e i rappresentanti delle compagnie aeree. In seguito a questo incontro, il Gruppo art. 29 ha approvato il parere 8/2004, in cui si propongono modelli di informativa da fornirsi ai passeggeri dei voli transatlantici da parte delle compagnie aeree, degli agenti di viaggio e dei sistemi di prenotazione via computer facenti parte del circuito di prenotazione dei voli.

Come già detto, il sistema statunitense è solo il primo di una serie di analoghe e sempre più numerose iniziative che hanno finora interessato Canada, Australia, Sudafrica e Corea del Sud.

Il Gruppo, pur nella convinzione che una soluzione multilaterale sia preferibile e più aderente al principio di non discriminazione, ha esaminato nel corso del 2004 le richieste dell´Australia e del Canada.

Il sistema australiano prevede il trasferimento di un numero più limitato di dati personali che sono raccolti per finalità di lotta al terrorismo e reati connessi e sono conservati solo in casi specifici. Inoltre, i diritti dei passeggeri sono garantiti a livello sia normativo, sia istituzionale. Per queste ragioni, il Gruppo ha espresso un parere sostanzialmente favorevole (parere 1/2004 del 16 gennaio 2004) ad una dichiarazione di adeguatezza da parte della Commissione dopo che saranno chiariti e risolti alcuni aspetti controversi.

Per quanto riguarda il Canada, il parere 3/2004 dell´11 febbraio 2004 ha evidenziato una serie di problemi che dovranno essere risolti prima che si possa dare avvio al trasferimento di dati.

Bisogna, infine, sottolineare come la dimensione internazionale della questione del trasferimento dei dati dei passeggeri abbia spinto diverse organizzazioni internazionali, quali l´Ocse e l´Icao, ad occuparsi del tema al fine di trovare adeguate soluzioni multilaterali (v. infra).

 

22.7. Cooperazione delle autorità di protezione dei dati nel settore libertà, giustizia e affari interni

Nel 2004 si è evidenziata la tendenza ad un ulteriore incremento delle iniziative legislative adottate a livello comunitario per rafforzare la cooperazione tra le autorità nazionali di polizia e giudiziarie. Tali iniziative, come si è visto, spesso implicano lo scambio di informazioni personali e, talvolta, la creazione di nuove basi di dati europee ovvero l´ampliamento della possibilità di accesso ai dati dei sistemi di informazione esistenti a soggetti nuovi rispetto a quelli previsti nelle convenzioni istitutive.

È necessario che queste attività rispettino al contempo le esigenze richieste da un´effettiva cooperazione tra forze di polizia e autorità giudiziarie e il diritto fondamentale alla tutela dei dati personali (solennemente introdotto dalla Carta del diritti fondamentali e dal Trattato per una Costituzione europea) e si svolgano quindi nei limiti consentiti dall´art. 8 della Convenzione europea per la salvaguardia dei diritti dell´uomo e delle libertà fondamentali.

Attualmente, le iniziative dell´Ue che comportano la raccolta, la conservazione o lo scambio di dati personali ai fini dell´applicazione della legge sono numerose: tra gli esempi più significativi vi sono misure per consentire lo scambio di informazioni e la cooperazione rispetto ai reati terroristici, la semplificazione dello scambio di informazioni e di "intelligence" tra i servizi repressivi degli Stati, l´accesso ai dati ed agli archivi da parte degli organi giudiziari e le forze di polizia, lo scambio di dati sui passeggeri di voli aerei, nonché proposte per richiedere la conservazione dei dati delle comunicazioni. Vi sono poi, come ricordato, le diverse proposte volte ad introdurre elementi biometrici nei documenti rilasciati dagli Stati Ue a cittadini e stranieri, con la previsione di larghe basi di dati a livello europeo che si aggiungerebbero a quelle già esistenti, moltiplicando i rischi e gli effetti di un erroneo inserimento di dati o di accessi non autorizzati.

Questi ed altri sviluppi, quali il suggerimento di trasformare in futuro l´Europol in un´agenzia investigativa, possono avere rilevanti implicazioni anche per i diritti degli individui.

Per il modo della loro elaborazione e per la frammentarietà delle competenze in materia in seno all´Unione, molte delle nuove iniziative dell´Unione europea che riguardano dati personali sono al momento sottratte al controllo delle autorità di protezione dei dati poiché non rientrano in modo netto in uno dei tradizionali pilastri dell´Ue. Nonostante i ripetuti inviti del Parlamento europeo, queste attività hanno continuato ad essere svolte solo in gruppi di lavoro a composizione specializzata, senza il coinvolgimento adeguato delle istituzioni e degli organismi che a livello nazionale e comunitario hanno responsabilità in materia la conseguenza che spesso possono sfuggire sia alla tempestiva valutazione del Gruppo articolo 29, sia all´esame delle autorità di controllo esistenti nel cd. Terzo Pilastro (Schengen, Europol, Dogane)-senza, peraltro, un´adeguata base giuridica fondata sull´elaborazione di principi di protezione dei dati validi per i trattamenti proposti.

Già da tempo le autorità di protezione dei dati avevano segnalato il progressivo venir meno di "momenti istituzionalizzati" che favorissero la necessaria valutazione dell´impatto che tali misure erano destinate a produrre sui diritti fondamentali della persona e, più specificamente, sulla tutela dei dati personali. Infatti, i gruppi di lavoro il cui mandato specifico nel Consiglio dell´Ue era la protezione dati, rispettivamente nel Primo e Terzo Pilastro, sono stati soppressi fin dal 2002 e solo nei primi mesi del 2004 il Garante europeo per la protezione dei dati ha iniziato la sua attività, peraltro limitata ai trattamenti effettuati dalle istituzioni comunitarie "nei settori di competenza del diritto comunitario".

Considerato che i pilastri dell´Ue con l´adozione del Trattato firmato a Roma il 29 ottobre 2004 sono destinati a convergere e la protezione dei dati personali ha assunto il rango di diritto fondamentale, in occasione della Conferenza delle autorità incaricate della protezione dei dati svoltasi a Rotterdam nel 2004, è stato deciso che i rappresentanti delle autorità che operano a livello comunitario si riuniscano per coordinare la loro attività e cercare di svolgere un ruolo adeguato ai bisogni rappresentati.

Alla prima riunione di questo gruppo "di pianificazione", che ha avuto luogo nel giugno 2004, hanno partecipato il Garante europeo della protezione dei dati, i presidenti delle autorità di controllo comune e la presidenza del Gruppo art. 29.

La situazione si è evoluta nel settembre 2004 in occasione della conferenza delle autorità internazionali incaricate della protezione dei dati a Wroclaw, quando una sessione a porte chiuse delle autorità europee ha approvato una risoluzione in cui si chiede che le istituzioni dell´Ue promuovano un forum nel quale le autorità europee incaricate della protezione dei dati possano discutere le implicazioni a livello di protezione dei dati degli sviluppi del Terzo Pilastro. Fino alla creazione di tale forum, le iniziative del Terzo Pilastro che non rientrano nell´ambito di responsabilità delle autorità di controllo comune, saranno esaminate da un gruppo di lavoro delle autorità europee incaricate della protezione dei dati.

Le autorità di controllo hanno pertanto deciso, avvalendosi della struttura di segreteria comune prevista per assistere i lavori delle autorità Schengen, Europol e Dogane, di prevedere alcune riunioni congiunte, invitando anche il Garante europeo per la protezione dei dati e l´autorità di controllo istituita per Eurojust, ove informarsi e discutere, al momento informalmente, delle iniziative esistenti ed eventualmente definire proposte unitarie da presentare agli organismi competenti, avvalendosi anche delle aperture che sembrano presenti nel nuovo programma per il rafforzamento dell´area di libertà, sicurezza e giustizia per il periodo 2005-2009.

Un canale particolare di dialogo si è aperto con la House of Lords, il cui sottocomitato specializzato ha richiesto un parere sulla protezione dei dati nel Terzo Pilastro, ed è stato rafforzato il legame esistente con il Parlamento europeo, Commissione libertà e diritti dei cittadini, che ha voluto incontrare più volte i rappresentanti delle autorità in previsione della discussione di alcune delle iniziative menzionate. Va ricordato in proposito che a partire dal 1° gennaio 2005 il Parlamento ha acquisito il diritto alla codecisione in materie quali le politiche di visti,   asilo, immigrazione e le altre politiche connesse alla realizzazione del principio della libera circolazione delle persone e sarà quindi necessario il suo accordo per la loro adozione.

Ma certamente la novità più positiva in materia è legata alla nomina del nuovo Commissario italiano come vice presidente e responsabile del settore Libertà, sicurezza e giustizia. Fin dalla presentazione del suo programma davanti al Parlamento europeo il Commissario Frattini ha infatti chiarito che intende far garantire il pieno rispetto del diritto alla protezione dei dati personali e favorire il dialogo con le autorità di protezione dei dati per le materie affidate alla sua competenza.

A rafforzamento di questo impegno il Commissario ha incontrato le autorità di controllo comuni nella loro riunione congiunta del 21 dicembre pronunciando un apprezzabile discorso disponibile in rete che contiene precise linee di azione ed impegni in materia e che dovrebbe servire da guida anche per i successivi interventi dei rappresentanti della Commissione.

 

22.8. L´attività del Garante nell´Autorità di controllo comune Schengen

Il Garante è autorità nazionale di controllo per l´Italia con il compito di esercitare un controllo indipendente dell´archivio della sezione nazionale del Sistema d´informazione Schengen (Sis) e verificare che l´elaborazione e l´utilizzazione dei dati inseriti non leda i diritti della persona interessata, ai sensi dell´art. 114 della Convenzione; in tale veste entra a comporre l´Autorità di controllo comune (Acc).

Fra le attività di maggior rilievo dell´Acc, alle cui riunioni il Garante ha partecipato attivamente fin dall´inizio nella persona del segretario generale, prima vice presidente poi nel biennio 2002-2003 presidente dell´Autorità, va ricordata quella di verifica e controllo del funzionamento della parte centrale del Sis e di vigilanza sulla corretta applicazione delle disposizioni della Convenzione, attività che viene svolta anche attraverso l´indicazione, ove necessario, degli aggiustamenti e delle prassi corrette da adottare. Considerato che ad una persona può essere rifiutato l´accesso al territorio Schengen (e non più solo al territorio nazionale) sulla base di informazioni contenute nel sistema, resta di immediata ed ovvia importanza assicurare che le informazioni siano ad esempio accurate ed aggiornate.

L´attività dell´Acc continua ad essere di particolare rilievo e, al riguardo, va notata la crescente attenzione prestata dal Consiglio dell´Unione europea ai pareri dalla stessa espressi, come ad esempio mostra la recente Decisione relativa alla "lotta contro la criminalità connessa con veicoli". Il testo approvato ha recepito largamente le osservazioni critiche formulate dall´Acc rispetto alla proposta iniziale e non prevede più di allargare l´accesso diretto al Sis a soggetti diversi da quelli già autorizzati, limitandosi a richiedere da parte delle autorità competenti il tempestivo inserimento nel sistema di una segnalazione ogniqualvolta vengano denunciati furti di veicoli o di carte di circolazione e l´informazione degli uffici nazionali della motorizzazione.

Nel corso del 2004 gran parte dell´attività dell´Acc ha continuato ad essere concentrata sui problemi legati allo sviluppo del Sistema informativo Schengen, il cd.Sis II.

In estrema sintesi, vi sono due aspetti che preoccupano fortemente l´Acc, il primo concernente le informazioni che il Sis deve contenere (anche a fronte delle diverse proposte per introdurre nuove categorie di informazioni e nuovi tipi di dati); l´altro, in merito all´accesso al Sis e all´uso dei dati nel sistema. Con queste proposte, peraltro frutto e sintomo di un approccio normativo frammentario, si tende ad trasformare il Sis in un sistema di indagine e non più solo di informazione, mutandone quindi radicalmente le finalità rispetto a quelle definite dalla Convenzione del 1990.

L´Autorità ha ricordato nel parere adottato il 19 maggio che l´ampliamento delle categorie di informazioni registrabili nel sistema, il possibile inserimento di dati biometrici, la modifica di alcuni meccanismi di accesso e utilizzazione dei dati proposti a livello tecnico, possono essere praticati, ma devono essere fondati su un´appropriata base giuridica. L´Acc ha rimarcato l´assenza di tale base ed ha ricordato il necessario rispetto del testo attuale della Convenzione, la quale individua esattamente le categorie di dati inseribili e le autorità che possono accedere ai dati, fissandone i limiti. Anche i compiti delle autorità di supervisione e controllo sono disegnati in relazione alle attuali funzionalità del sistema.

Qualunque cambiamento, inclusi quelli definiti con il recente regolamento del Consiglio del 29 aprile 2004 (v. Documentazione par. 49), deve essere considerato ed "equilibrato" rispetto al disegno dell´intero sistema. L´Acc ha chiesto pertanto che le proposte siano previamente e adeguatamente discusse considerando anche quale sarebbe il loro impatto sui diritti fondamentali della persona e sul rispetto dei principi in materia di protezione dei dati, in particolare il principio di proporzionalità delle modifiche richieste. In questa valutazione, deve essere anche considerato il rischio che il Sis, incorporando nuove funzioni e nuove categorie di dati, possa duplicare inutilmente sistemi di informazioni già esistenti in seno all´Unione. L´Acc si è dichiarata disponibile ad assistere con la sua competenza le istituzioni comunitarie ed ha comunque richiesto una puntuale informazione sui lavori in corso, per poter essere in grado di formulare indicazioni in tempo utile rispetto all´adozione degli atti.

I timori dell´Acc si fondano sull´osservazione del modo in cui i lavori per il Sis II vengono portati avanti. Sarebbe infatti logico far precedere lo sviluppo tecnico del sistema sia da decisioni politiche che ne fissino le finalità e le relative modalità di funzionamento, sia dalla definizione di un idoneo quadro giuridico che modifichi le disposizioni attualmente vigenti specificando le finalità del sistema e stabilendo le norme necessarie per definire le modalità di accesso e gli altri elementi essenziali. Invece, in mancanza di decisioni appropriate, le proposte formulate dalla Commissione cercano di costruire un sistema basato sulla massima flessibilità tecnica, prevedendo il maggior numero di funzioni e di accessi. "Pertanto", si legge nel parere dell´Acc, "la messa a punto del sistema avviene sotto l´impulso delle mutevoli istanze provenienti dal settore giustizia e affari interni dell´Ue, anziché sulla base di obiettivi espressi e definiti all´interno di un quadro giuridico preciso".

Preoccupazioni analoghe sono state rappresentate anche dal Parlamento europeo che si è dimostrato molto sensibile alle sollecitazioni provenienti dalle autorità di protezione dei dati personali.

L´Acc ha inoltre proseguito l´attività di verifica sulle modalità dell´inserimento nel Sis delle segnalazioni di stranieri al fine di non ammetterli sul territorio Schengen, per valutare se vi siano discrepanze fra gli Stati Parte nell´applicazione e/o nell´interpretazione dell´art. 96 della Convenzione. Nel corso dell´anno, le autorità nazionali di controllo hanno richiesto, sulla base di un modulo appositamente predisposto, specifiche informazioni sulle procedure seguite dagli uffici che sono abilitati ad inserire i dati nel sistema (per l´Italia: oltre ad alcuni uffici centrali del Ministero dell´interno, le questure) e hanno svolto colloqui che hanno interessato anche il Sis nazionale (N-Sis) ed il Sirene.

Di queste attività, che sono state svolte in maniera coordinata in tutti gli Stati Schengen, è stata data ampia informazione all´Acc la quale predisporrà un documento riassuntivo e, ove necessario, linee-guida. Una seconda parte dell´indagine, consistente in una ispezione agli archivi per verificare in concreto la correttezza degli inserimenti ed il rispetto delle regole in materia di trattamento e conservazione dei dati, sarà svolta, sempre con modalità coordinate, nei primi mesi del 2005.

A completamento di quanto detto, si può segnalare, anche se non direttamente legata all´attività dell´Acc, la visita di valutazione che gli esperti del Consiglio dell´Unione europea hanno svolto in Italia nel mese di settembre 2004 per gli aspetti relativi alla protezione dei dati. Di essa si è già reso conto nel par. 6.3; è opportuno evidenziare qui le preoccupazioni manifestate dagli esperti per l´alto numero di segnalazioni inserite ai sensi dell´art. 96 con il conseguente invito a verificarne la qualità.

 

22.9. Europol: l´attività dell´Autorità di controllo comune e i casi di contenzioso

L´Autorità comune di controllo ha presentato il 23 novembre scorso la seconda relazione di attività che copre il biennio da novembre 2002 ad ottobre 2004 (v. Documentazione par. 54).

Nella relazione, l´Acc ha ricordato come, in un periodo fortemente caratterizzato dalle misure adottate per combattere il terrorismo dopo i tragici eventi dell´11 settembre 2001 negli Stati Uniti e, recentemente, dagli attentati di Madrid nel marzo 2004, l´Autorità stessa nei suoi pareri e nelle iniziative attuate abbia dimostrato che è possibile, e per nulla incompatibile, sostenere l´obiettivo comune della lotta al terrorismo internazionale e alla criminalità organizzata, salvaguardando nel contempo i diritti dei singoli.

L´Acc ha anche evidenziato che risulta sempre più evidente che il campo della cooperazione di polizia e giudiziaria necessita di norme chiare e specifiche sulla protezione dei dati, con la formulazione di un parere indipendente e di un´attività di controllo armonica.

Relativamente all´attività svolta nel corso del 2004, si segnala in particolare la vigilanza sulle modalità di applicazione dell´accordo Europol-Stati Uniti per la trasmissione di dati personali.

Secondo i dati acquisiti dall´Acc lo scambio della maggior parte delle informazioni tra l´Ue e le autorità di polizia statunitensi sembrerebbe essere avvenuto in base ad accordi bilaterali esistenti tra gli Stati Uniti e singoli Stati membri. L´Autorità, tuttavia, ritenendo che il volume di informazioni scambiate tra Europol e Stati Uniti aumenterà, ha deliberato di concentrare le ispezioni future dell´Europol sull´esame dei dati di natura personale trasmessi nell´ambito dell´accordo, per assicurare che vi sia conformità alle disposizioni pertinenti. Inoltre, l´Acc cercherà di coordinare l´attività di vigilanza, collaborando con le autorità nazionali incaricate della protezione dei dati personali negli Stati membri e con il Chief Privacy Officer presso il Dipartimento della sicurezza interna negli Stati Uniti.

La conduzione d´ispezioni in loco delle attività dell´Europol costituisce peraltro uno dei modi adottati dall´autorità di controllo comune per ottemperare al suo mandato. L´Acc ha al riguardo definito gli obiettivi ed i criteri che guideranno le ispezioni future (di regola annuali), anche alla luce della considerazione che il ruolo dell´Europol si sta sviluppando rapidamente, con un numero sempre maggiore di dati trattati.

Nel marzo 2004 è stata effettuata una nuova ispezione, incentrata sulla qualità dei dati trattati negli archivi per fini di analisi. Come risultato, il team d´ispezione ha riscontrato che, nel complesso, la qualità dei dati è soddisfacente, almeno per quanto riguarda la rispondenza dei dati negli archivi con quelli forniti dagli Stati membri. Tuttavia, è stata confermata la percezione di un´incapacità generale da parte degli Stati membri di valutare correttamente i dati trasmessi ad Europol (verificando la fonte, l´affidabilità e così via). L´Acc ha sottolineato che, per risolvere questo problema, occorre migliorare la cooperazione tra Stati Membri ed Europol.

Altro tema rilevante riguarda le squadre investigative comuni: l´Acc sta attualmente valutando la portata del sostegno in materia di analisi fornito dall´Europol.

Una decisione del Consiglio ha introdotto regole comuni per queste squadre ed ha previsto la possibilità che le stesse includano "funzionari di organismi costituiti ai sensi del Trattato sull´Unione europea": una definizione che interessa dunque anche il personale dell´Europol. I particolari riguardanti la partecipazione di questo organismo a squadre investigative comuni sono stati definiti in un successivo Protocollo ai sensi del quale il suo personale parteciperebbe solamente con "funzioni di supporto". Tuttavia, sempre in base al Protocollo, gli agenti dell´Europol verrebbero comunque inseriti nella catena di comando e le informazioni detenute negli archivi sarebbero condivise con i componenti della squadra; inoltre, le informazioni da questa raccolte sarebbero a loro volta inserite nelle banche dati dell´Europol.

L´Acc ha chiesto all´Europol di essere informata in merito alle decisioni riguardanti il tipo di sostegno che sarebbe offerto alle squadre investigative comuni. Ed in particolare sul modo in cui l´organismo intende utilizzare i suoi servizi di analisi ed ha intenzione di vigilare per assicurare il rispetto della Convenzione.

Nel 2004 l´Europol (in base a dati dallo stesso forniti) ha ricevuto circa dieci richieste di accesso (un dato relativamente stabile negli ultimi due anni) mentre risultano in aumento i casi di contenzioso.

L´attività del comitato ricorsi

Nell´ultimo anno il comitato ha deciso in merito a due ricorsi e attualmente vi sono parecchi casi su cui deve ancora esprimersi.

I casi affrontati hanno portato a decisioni relative a importanti questioni di principio. In particolare, è stato affermato che l´Europol deve considerare nel merito ogni richiesta di accesso, anziché applicare un approccio generale e che deve rispondere ad ogni richiesta nella lingua in cui la stessa è formulata, purché sia una delle lingue ufficiali dell´Unione europea.

 

22.10. Il Sistema informativo doganale: l´attività dell´Autorità di controllo comune

Come si è ricordato nelle precedenti Relazioni, a seguito della ratifica ed entrata in vigore della Convenzione sull´uso dell´informatica nel settore doganale, è stato creato un sistema informativo automatizzato comune ai paesi membri dell´Ue (Sistema informativo doganale-Sid) per facilitare la prevenzione, ricerca e repressione delle infrazioni sia delle norme comunitarie, sia delle leggi nazionali, attraverso lo scambio di dati ed informazioni fornite dai servizi doganali di ciascuno Stato membro.

Il sistema consiste in una base di dati centrale cui si può accedere tramite terminali in ogni Stato membro. La Commissione europea provvede alla gestione tecnica dell´infrastruttura del Sid.

La vigilanza sul corretto funziamento del Sid è affidata ad una autorità comune di controllo, composta di due rappresentanti per ciascun Paese delle autorità nazionali di protezione dei dati.

Nel corso del 2004 l´Autorità si è riunita due volte ed in particolare nella seconda riunione, svoltasi nel mese di dicembre, sono stati affrontati aspetti cruciali per la sua configurazione ed attività.

In primo luogo è emerso un delicato problema di funzionalità dell´Acc: infatti, pur essendo state approvate le linee guida per svolgere la prima ispezione al Sid e costituito il team di esperti per effettuarla, la stessa non ha potuto svolgersi per mancanza di disponibilità finanziaria. Le attuali disposizioni di budget del Consiglio consentono il rimborso -tra l´altro non all´Autorità nazionale che sostiene le spese, ma al Governo-delle sole spese di viaggio di un componente in occasione delle riunioni dell´Acc e non ci sono stanziamenti per consentire le altre attività, pur previste dalla Convenzione. L´attività di ispezione dovrebbe quindi svolgersi ad intero carico delle autorità che compongono il team di esperti.

Ne è scaturita una riflessione tra i componenti i quali hanno lamentato che la situazione creatasi incide gravemente sulla funzionalità dell´Autorità e lede il presupposto stesso della sua esistenza, quello, cioè, di sorvegliare sul funzionamento del Sid anche attraverso l´accesso allo stesso (v. art. 18 della Convenzione). È stato chiesto al Presidente di rappresentare nei modi più appropriati tale doglianza.

Altro punto importante riguarda l´ancora scarsa utilizzazione del sistema da parte delle autorità doganali. Per approfondire gli aspetti che rendono problematico l´utilizzo del sistema, nella riunione di dicembre sono stati invitati rappresentanti dell´Olaf e del Gruppo di cooperazione doganale del Consiglio.

Ne è emerso un quadro complesso, legato anche alla presenza contestuale di numerose basi di dati nel settore: i rappresentanti delle istituzioni comunitarie hanno però confermato la volontà di far sì che il Sid sia posto al centro della cooperazione doganale e di prevederne addirittura il potenziamento, al fine di metterlo in grado di svolgere attività di analisi dei rischi. L´Autorità, su questo punto, ha ricordato la necessità del pieno rispetto della Convenzione ed ha auspicato un analogo potenziamento del suo ruolo, dichiarandosi disponibile a fornire ogni contributo ai futuri lavori.

 

22.11. La partecipazione ad altri comitati e gruppi di lavoro

Il Garante ha partecipato ai due incontri dell´International Working Group on Data Protection in Telecommunications (IWGDPT) che si sono svolti in Argentina (Buenos Aires, 14-15 aprile 2004) e in Germania (Berlino, 18-19 novembre 2004).

IWGDPT

Il primo incontro ha preso in esame in particolare i problemi connessi alla libertà di espressione nel mondo on-line, ai nuovi servizi di comunicazione (wireless, Mms) e agli effetti che essi producono sulla privacy, nonché alle problematiche concernenti le tecnologie Rfid. Su questi temi i delegati hanno adottato tre documenti che richiamano l´esigenza di garantire il rispetto dei principi di protezione dati, anche attraverso un´adeguata informativa del pubblico, la disponibilità di strumenti che consentano agli interessati l´esercizio dei diritti loro riconosciuti e l´adozione di idonee misure di sicurezza.

Durante il secondo incontro sono stati adottati due documenti rispettivamente dedicati agli strumenti e alle procedure per combattere le frodi informatiche nel rispetto della privacy e alle modalità concrete attraverso le quali i soggetti deputati alla sicurezza delle reti possano acquisire le necessarie conoscenze dal punto di vista della protezione dei dati. Sono stati inoltre affrontati i problemi legati alle tecnologie di localizzazione e di videosorveglianza (con particolare riferimento alla registrazione delle immagini, all´utilizzo di sistemi di riconoscimento dello stress attraverso l´analisi della voce e i pericoli connessi al Voice over IP nel caso in cui il terminale usato per la ricezione delle comunicazioni sia un computer).

La delegazione italiana ha chiesto, in conclusione, di inserire il tema dell´e-health, ed in particolare della cartella clinica on-line, nell´ordine del giorno dei prossimi incontri.

Gli incontri, a cadenza semestrale, dedicati alla trattazione di ricorsi e segnalazioni transnazionali ed allo scambio di buone prassi e informazioni su questioni applicative concrete, si sono svolti a Stoccolma (11-12 marzo 2004) e a Praga (4-5 novembre 2004).

CIRCA Complaints

Tutti i 25 Paesi dell´Unione hanno inviato propri rappresentanti. Conformemente allo spirito che da sempre ha ispirato questi incontri, molto spazio è stato dedicato all´esame di singoli casi e al confronto sugli approcci seguiti. Sono state sollevate e proposte questioni di interesse comune, quali il trattamento dei dati biometrici; le attività di sensibilizzazione svolte a livello nazionale e i possibili suggerimenti da esse ricavabili in termini di buone prassi; le attività ispettive, le tematiche inerenti al trattamento e alla conservazione dei dati di traffico da parte dei gestori di servizi di telefonia mobile, casi di bilanciamento di interessi con particolare riguardo ai rapporti di lavoro. Una particolare riflessione è stata svolta in relazione alle decisioni assunte dal Gruppo art. 29 in materia di enforcement, in vista del possibile sviluppo di iniziative comuni e "sincronizzate" nei settori che risultano più problematici.

In particolare, l´incontro di Praga ha offerto la possibilità di un aggiornamento sullo status delle autorità di protezione dati nei dieci Stati membri recentemente entrati a far parte dell´Ue e sui principali problemi che esse incontrano: da più parti è stato lamentato un deficit di trasparenza rispetto ai trattamenti di dati effettuati per scopi di sicurezza e giustizia da soggetti pubblici (in particolare le forze di polizia), anche se su queste tematiche le autorità mantengono grande attenzione e ricevono un forte sostegno da parte dell´opinione pubblica. Lo stesso, inoltre, ha consentito di individuare alcune priorità per le attività future con l´approvazione della proposta di una ridefinizione del mandato del Workshop sulla scorta di quanto indicato dalla Spring Conference of European Data Protection Commissioners tenutasi a Rotterdam nel mese di aprile 2004. Senza modificare l´approccio pragmatico finora seguito dai Workshop, è stato costituito un drafting group (comprendente l´Italia) per redigere una sorta di "statuto" dei Complaints Handling Workshop che ne fissi le caratteristiche fondamentali (trattazione di ricorsi o segnalazioni, soprattutto attraverso case studies, sui quali confrontare i diversi punti di vista; particolare attenzione rispetto ai casi più difficili ed alle questioni che richiedono una valutazione armonizzata a livello Ue; mantenimento della struttura flessibile del programma dei Workshop).

 

22.12. Consiglio d´Europa

Nel mese di maggio del 2004 sono stati definitivamente approvati dal Comitato dei Ministri del Consiglio d´Europa i principi guida elaborati dal CJ-PD rispetto al trattamento di dati personali attraverso "carte intelligenti", ossia carte contenenti un microchip in grado di effettuare particolari operazioni (accesso ai servizi in rete, pagamenti on-line ecc.) e nel quale è possibile inserire un notevole numero di informazioni personali, dai dati identificativi a quelli biometrici, come le impronte digitali (v. Documentazione par. 73).

I principi-guida ribadiscono che i dati personali raccolti e trattati attraverso smart card devono essere limitati al minimo indispensabile ed essere utilizzati solo per scopi legittimi e specifici. I dati sulla salute, in particolare, possono essere trattati solo se vi è una previsione di legge, oppure con il consenso dell´interessato, e dovranno essere adottate misure di garanzie come la cifratura. I cittadini devono essere informati sull´uso che viene fatto delle loro informazioni personali ed occorre procedere con cautela nell´utilizzazione di smart card come mezzo di pagamento se in esse sono registrati dati sensibili.

I principi-guida sono rivolti in via primaria ai soggetti che rilasciano le smart card in quanto titolari delle relative operazioni di trattamento, ma riguardano anche tutte le altri parti in causa (progettisti di sistemi, gestori, operatori, interessati); nel caso di una carta multiuso, si avrà una situazione di contitolarità da parte dei soggetti che raccolgono ed utilizzano i dati.

Il Comitato T-PD ha proseguito i lavori sulle implicazioni per la protezione dati delle applicazioni biometriche, continuando una riflessione già avviata dal CJ-PD (comitato soppresso, come ricordato nella Relazione 2003) e cercando di acquisire le esperienze maturate in questo settore dal Gruppo art. 29 e dall´Ocse. Nel corso della prossima riunione potrebbe essere approvato un documento che descrive lo stato dell´arte e le questioni tuttora aperte relativamente alle tecnologie biometriche, alla luce dei principi fissati nella Convenzione n. 108.

Il Comitato ha anche iniziato una attività rivolta alla valutazione dell´applicazione dei principi di protezione dati a Internet. Sulla scorta dell´analisi contenuta in un rapporto sul principio dell´autodeterminazione informativa nell´era di Internet, si stimolerà la riflessione sull´applicabilità della Convenzione n. 108 alle reti di comunicazione elettronica.

Come ben evidenziato nel rapporto, si è assistito alla crescita esponenziale dei supporti di comunicazione che ha creato la possibilità di "registrare" la vita di tutti, mentre il costo di tali operazioni è sempre più accessibile. Lo sviluppo tecnologico è, però, avvenuto su scala mondiale senza soggetti o attori in grado di stabilire i relativi limiti, e soprattutto senza che i problemi relativi alla vita privata, fortemente minacciata dalle reti, siano stati tecnicamente affrontati. Vi è oggi, quindi, la necessità di definire un modello efficace di protezione dati, attraverso l´imposizione di norme operative per i terminali, i protocolli e gli operatori di telecomunicazioni.

Per quanto concerne poi la possibilità di applicare le disposizioni della Convenzione n. 108 alle reti di telecomunicazione, è stata rilevata come preminente l´esigenza che l´utente sia adeguatamente informato sui trattamenti di dati effettuati dagli operatori e possa partecipare al "negoziato" che riguarda il trattamento dei dati personali a lui riferiti; l´obbligo di informativa dovrebbe ricadere sui produttori.

 

22.13. Ocse

Il Garante ha partecipato ai lavori del Working Party on Information Security and Privacy che, in relazione ai temi di protezione dati, si è occupato dell´applicazione delle linee-guida sulla sicurezza, dello spam, della sicurezza dei trasporti e dei modelli di informativa.

Spam

Per quanto riguarda lo spam, l´Ocse ha organizzato nel 2004 un seminario pubblico sullo spam ospitato dalla Commissione europea con l´obiettivo di studiare la dimensione internazionale del fenomeno e le possibili strategie di contrasto.

Analizzato il fenomeno dello spam (anche in termini di impatto economico e sociale), ha formato oggetto di discussione l´individuazione delle varie strategie di contrasto (in particolare attraverso legislazione e autoregolamentazione, in un quadro di cooperazione internazionale fra le Autorità di protezione dei dati e le altre autorità competenti, incluse le forze dell´ordine e giudiziarie).

I partecipanti comprendono rappresentanti delle istituzioni, del mondo delle imprese, della società civile e studiosi di livello universitario. Per l´Italia era presente il segretario generale dell´Autorità con una relazione sulle difficoltà e le sfide della cooperazione internazionale contro lo spam ed una illustrazione delle attività svolte dall´Autorità per contrastarne gli effetti. Nella analisi conclusiva delle prospettive sulla lotta allo spam, tenuto conto dell´ampiezza e complessità del fenomeno,   si è proposta l´adozione di strategie "multilivello".

Il nodo problematico più difficile da affrontare rimane comunque quello del law enforcement, anche perché le competenze in materia di spam sono attribuite all´interno dei singoli paesi ad istituzioni differenti e non sempre si riesce ad avere un referente unitario. Per ovviare a tale difficoltà è stata costituita una specifica Task Force che avrà il compito di svolgere una ricognizione delle istituzioni competenti in questa materia nei singoli paesi e dei poteri loro attribuiti. La Task Force si occuperà di studiare le tecniche utilizzate dagli spammer, di analizzare lo spam telefonico, di coinvolgere il settore pubblico e quello privato e di costituire una contact list.

L´Ocse si è inoltre occupato del problema della sicurezza e riservatezza delle informazioni raccolte nel campo della sicurezza internazionale dei viaggiatori. È stato costituito a tal fine un gruppo di lavoro congiunto Ocse/Icao (di cui fa parte anche il Garante) che ha iniziato ad occuparsi del tema dell´inserimento dei dati biometrici nei documenti di viaggio. Sono in fase di elaborazione delle linee-guida che saranno messe a punto nei prossimi mesi. Gli aspetti più delicati sotto il profilo della protezione dati sono legati all´individuazione dei dati da inserire, all´architettura del sistema (centralizzato/decentralizzato) e alle funzionalità dello stesso (autenticazione/identificazione).

Biometria

Con riferimento al tema dell´informativa, in seguito alla risoluzione approvata alla Conferenza mondiale dei Garanti della privacy che si è svolta a Sidney nel 2003, è stato presentato un documento volto a promuovere l´elaborazione di un modello di informativa semplice, efficace e comprensibile, nella convinzione che la trasparenza nella comunicazione delle informazioni relative ai dati personali sia il necessario presupposto di un reale sviluppo della protezione dei dati. Il valore aggiunto di un lavoro su questo tema portato avanti in sede Ocse dovrebbe essere quello di mettere insieme le esperienze maturate nel settore privato e nel settore pubblico. Uno studio condotto su modelli di informativa predisposti da numerose società multinazionali ha fatto emergere con immediatezza che i modelli predisposti sono generalmente poco leggibili e non chiari nei contenuti. Su questo tema lavorerà nei prossimi mesi un gruppo ristretto di delegati, fra i quali è presente anche il Garante.

 

23. Attività di ricerca, comunicazione e formazione

23.1. La comunicazione del Garante: profili generali

Nel 2004, l´attività di comunicazione curata dal Garante si è concentrata in maniera particolare sull´illustrazione delle maggiori novità introdotte dal Codice e sull´individuazione di criteri per bilanciare gli interessi in gioco riguardo ad alcuni temi problematici quali la sanità, la sicurezza, le grandi banche dati.

L´attività di informazione e comunicazione ha seguito, pertanto, l´impegno dell´Autorità nei confronti di particolari aspetti applicativi della normativa, incentrandosi su una serie di importanti settori, oggetto specifico di intervento da parte del Garante, che vanno dalla tutela dei dati sanitari dei lavoratori, allo "spamming" (telematico e telefonico), ad Internet, alle tecnologie biometriche, alle intercettazioni, alla necessaria trasparenza nelle operazioni finanziarie, al giornalismo, con speciale riguardo alla dignità della persona, alla tutela dei minori e ai rischi dell´accanimento informativo. In questi ambiti, il Garante è spesso intervenuto in favore di una nuova nozione di protezione dati come "valore aggiunto" per imprese e pubbliche amministrazioni al fine di instaurare un rapporto nuovo con utenti e consumatori nell´economia del mercato globale.

Oltre che su tali questioni, l´attività di comunicazione si è intensificata nella promozione della protezione dei dati personali come diritto fondamentale e autonomo, sancito anche dal Trattato che adotta una Costituzione per l´Europa.

L´Autorità ha mantenuto la scelta di affidare la sua informazione ad un linguaggio rigoroso, ma attento ad una funzione divulgativa, per corrispondere alle esigenze dei cittadini. Nel dar conto della propria attività e delle tematiche all´ordine del giorno, l´Autorità ha richiamato l´attenzione di istituzioni, pubbliche amministrazioni, imprese e, in generale, degli utilizzatori di dati, sugli obblighi da attuare, sui rischi di violazione e sul valore sociale e culturale del diritto alla privacy.

La tipologia dei prodotti informativi ed editoriali è stata ampia, differenziata e connotata da una forte caratterizzazione, favorita peraltro dall´adozione di una corporate identity nella documentazione e comunicazione dell´Autorità e da una strategia integrata di comunicazione, nella quale spicca anche un aumentato utilizzo di mass media tradizionali, come radio e tv, nonché di media on-line e prodotti multimediali.

In particolare, la presenza sulle pagine dei maggiori quotidiani e periodici nazionali ed internazionali e dei media on-line delle tematiche riguardanti la protezione dei dati personali e l´attività del Garante si è mantenuta costantemente alta in questi anni. Nel periodo che va dal 1° gennaio 2004 al 31 dicembre 2004 le pagine dedicate alle questioni legate generalmente alla privacy sono risultati oltre 8400, delle quali circa 1700 dedicate specificamente all´attività del Garante. Le "prime pagine" dedicate ai temi della protezione dei dati personali sono state circa 1200 (di cui oltre 640 riguardanti la sola Autorità). Numerose sono state le interviste pubblicate sulla carta stampata (91), su tv e radio nazionali e locali (138) e diverse anche su pubblicazioni on-line.

 

23.2. Prodotti informativi

La Newsletter settimanale, che si appresta ad entrare nel suo sesto anno di pubblicazione (per un totale complessivo di 250 numeri), è diventata uno strumento di centrale riferimento dell´attività di comunicazione del Garante, fornendo una illustrazione in chiave giornalistica dei provvedimenti e dell´attività dell´Autorità, nonché un articolato panorama di temi e problematiche. Maggiore attenzione è stata sempre più dedicata a quanto avviene in campo comunitario ed internazionale, non solo riguardo ai temi della protezione dei dati, ma anche al più largo ambito della tutela dei diritti fondamentali.

La Newsletter può essere consultata on-line sul sito web del Garante ed è inviata in via telematica ad un numero sempre maggiore di abbonati (istituzioni, privati cittadini, imprese, liberi professionisti).

Nel 2004, è giunto alla sua XII edizione il Cd Rom "Cittadini e Società dell´informazione" che contiene, in forma integrale e nell´originale veste editoriale, i provvedimenti del Garante, la documentazione relativa alla normativa nazionale ed internazionale di riferimento, le pubblicazioni realizzate. L´archivio digitale ipertestuale, che consente una consultazione con funzioni di ricerca "full-text", rappresenta uno strumento conosciuto e costantemente richiesto da parte di amministrazioni pubbliche, imprese, liberi professionisti e cittadini. Nella recente edizione il Cd contiene anche una presentazione multimediale del Garante e dei temi di particolare interesse affrontati nel corso della sua attività.

Tra le pubblicazioni va annoverato il Bollettino che raccoglie i provvedimenti del Garante, la normativa emanata in materia, i comunicati stampa ed altra documentazione. Per questa pubblicazione è prevista una revisione complessiva.

La necessità di promuovere una sempre maggiore conoscenza delle norme sulla protezione dei dati e dei diritti della persona oggi riconosciuti ai cittadini, ha spinto l´Autorità a sviluppare nuove modalità di informazione: oltre agli strumenti di comunicazione già utilizzati quelli tradizionali (comunicati stampa, Newsletter, conferenze stampa, press briefing) a quelli multimediali ed interattivi-l´Autorità ha realizzato nuovi prodotti.

L´impegno per una comunicazione agile e diretta al cittadino ha trovato attuazione nella realizzazione di depliant illustrativi dei diversi aspetti connessi alla protezione dei dati. I primi tre pieghevoli sono stati dedicati, rispettivamente, all´esercizio dei diritti riconosciuti dalla normativa; all´attività e al ruolo del Garante; alla difesa della privacy su Internet. Un quarto, di recente pubblicazione, riguarda le caratteristiche che avranno i nuovi elenchi telefonici.

Il progetto di comunicazione istituzionale proseguirà con la realizzazione di una ulteriore serie di depliant relativi a diverse tematiche (videosorveglianza, credito al consumo, rapporti di lavoro ecc.).

 

23.3. Prodotti editoriali

È giunto al suo dodicesimo numero il notiziario bimestrale, "Garanteprivacy.it", una pubblicazione destinata a personalità del mondo imprenditoriale ed istituzionale, caratterizzata da una comunicazione mirata ed essenziale; la pubblicazione è volta a sottolineare l´attività dell´Autorità nei diversi settori di intervento, con particolare attenzione anche al panorama internazionale.

Prosegue la pubblicazione di volumi nell´ambito della collana "Contributi", che ospita testi attinenti specifiche problematiche sulla protezione dei dati personali e la tutela della dignità della persona. Ai primi due volumi della collana, il "Massimario 1997-2001", a cura di Luigi Pecora e Giuseppe Staglianò, e "Privacy e giornalismo", a cura di Mauro Paissan, si è aggiunto "Da costo a risorsa. La tutela dei dati personali nelle attività produttive", curato da Gaetano Rasi.

Nel primo libro, l´attività di massimazione dei provvedimenti assunti nel corso degli anni è stata preordinata alla formazione di una rassegna di giurisprudenza che, attraverso un´articolazione in voci e sottovoci, permetta la rapida e corretta individuazione degli argomenti trattati e delle decisioni assunte. L´opera -a breve disponibile anche in formato elettronico- si indirizza in particolar modo a giuristi, operatori del diritto, ordini professionali, imprese, istituzioni pubbliche e private.

Il secondo volume, preceduto da un saggio introduttivo del curatore, raccoglie, invece, diverse decisioni adottate dall´Autorità in materia di tutela della persona e libertà di manifestazione del pensiero. Come in una sorta di manuale pratico per i giornalisti, ma anche per i cittadini, si possono agilmente rintracciare le decisioni riguardanti la tutela dei minori, i rapporti tra cronaca e giustizia, l´uso dei dati di personaggi pubblici, la trasparenza delle fonti pubbliche, i divieti e i rischi derivanti dalla diffusione dei dati sulla salute e sulla vita sessuale, l´uso di fotografie e foto segnaletiche.

L´ultima opera, invece, affronta i temi della funzione della protezione dei dati in un mercato globale e della necessità che essa debba essere ormai considerata come valore aggiunto e asset competitivo per le imprese, fornendo peraltro anche un contributo utile per ridisegnare le relazioni tra aziende e consumatori. Il volume raccoglie i contributi di autorevoli studiosi ed esperti italiani e stranieri che hanno partecipato ad una conferenza internazionale organizzata dal Garante e tenuta a Roma, presso la sede dell´Autorità, nel dicembre 2002. Riproducendo le quattro sessioni della conferenza, il libro si pone l´obiettivo di aprire un ampio confronto tra coloro che operano nelle attività imprenditoriali, professionali e della cultura economica e giuridica.

A queste prime pubblicazioni se ne aggiungerà presto un´altra dedicata ai rapporti tra tutela dei dati personali e nuove tecnologie.

 

23.4. Il rapporto con il pubblico

Il rapporto diretto con la società riveste un´importanza fondamentale per l´Autorità che, fin dall´inizio della sua attività, ha inteso presentarsi come un´istituzione vicina ai cittadini, presidio dei nuovi diritti della persona. L´informazione e "formazione" del pubblico è svolta anche mettendo a disposizione sul sito una quantità significativa di documenti, con continui aggiornamenti e dossier tematici. In questo senso, la piena attività dell´Ufficio relazioni con il pubblico (Urp) ha consentito, in collegamento con un call center, di offrire non solo un contributo di chiarificazione e supporto, ma anche di favorire modalità di interazione ancora più funzionali e dirette con tutti i cittadini che hanno bisogno di informazioni, strumenti illustrativi e divulgativi, sviluppando così un flusso costante di informazioni verso l´esterno e consentendo, nello stesso tempo, di conoscere le esigenze provenienti dalla società civile, dal mondo delle imprese, dal settore della ricerca e dalle pubbliche amministrazioni.

Il grande interesse suscitato dalla privacy è quotidianamente dimostrato dal numero consistente di contatti diretti del cittadino con l´Urp, in costante aumento. Tali significativi incrementi registrati nel corso dell´anno rispetto al 2003 hanno stimolato la ricerca di nuove e più mirate risposte per favorire il dialogo con i cittadini, che avviene attraverso una attività di back office la ricezione di quesiti e richieste di documentazione per e-mail (13.000)-   nonché in maniera diretta mediante un´impegnativa, quanto essenziale, attività di front office, attraverso il call-center (10.000 telefonate pervenute) e il ricevimento diretto del pubblico presso l´Ufficio (2.400 visitatori).

Le tematiche che nel periodo in esame hanno formato maggiormente oggetto di quesiti rivolti all´Ufficio o per le quali è stato più frequentemente richiesto materiale informativo, sono state: il trattamento dei dati da parte di sistemi di informazione creditizia; la videosorveglianza con gli approfondimenti dettati dalle nuove regole in materia; l´esercizio dei diritti previsti dall´art. 7 del Codice; lo spamming; l´applicazione delle misure minime di sicurezza ed il trattamento dei dati nell´ambito del rapporto di lavoro.

 

23.5. Le attività di formazione

Al fine di promuovere la cultura della protezione dei dati personali, nella convinzione che la conoscenza e la comprensione dei principi e delle norme del Codice siano il presupposto per una corretta attuazione degli adempimenti nell´attività quotidiana, nel primo semestre del 2004 sono state realizzate presso la sala conferenze del Garante tre giornate di formazione, denominate "Incontri con il Garante": due dirette alle imprese, uno alle pubbliche amministrazioni (con particolare riferimento alle problematiche degli enti locali). La conduzione di questi corsi è stata affidata ai responsabili dei dipartimenti giuridici interni dell´Autorità, coordinati dal segretario generale.

L´iniziativa, nuova per l´Autorità, ha suscitato vivo interesse, rivelando una domanda di formazione/informazione qualificata molto forte (in particolare, nell´ambito della consulenza professionale).

In parallelo a queste iniziative sono stati elaborati due CD-Rom multimediali, rivolti rispettivamente al mondo imprenditoriale e professionale e a quello delle pubbliche amministrazioni, che hanno come punto di riferimento l´esperienza maturata nell´ambito dei predetti incontri; è prevista a breve la distribuzione di tali prodotti, al fine di renderne possibile un´agevole fruizione ad un numero molto elevato di utenti interessati ad approfondire norme ed adempimenti previsti dal Codice.

Altre iniziative, di natura analoga, verranno intraprese nel corso del 2005. In particolare, il Garante ha organizzato un incontro di approfondimento sull´applicazione del Codice presso organismi sanitari pubblici e privati (2 febbraio 2005).

Principale obiettivo dell´iniziativa, destinata prevalentemente agli operatori degli organismi sanitari, è quello di illustrare le concrete modalità di realizzazione delle misure adottate per garantire nell´organizzazione delle prestazioni e dei servizi, il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati. Sulla base delle più significative esperienze maturate da taluni organismi sanitari, avvalendosi anche di un confronto dialettico con il Garante, sarà possibile offrire una gamma di modelli operativi, utili alle varie realtà sanitarie chiamate ad applicare le disposizioni del Codice.

 

23.6. Manifestazioni e conferenze

Anche nel corso del 2004 si è confermato un grande interesse da parte del pubblico per l´attività dell´Autorità in occasione di seminari, convegni ed altre iniziative. In linea con l´obiettivo di promuovere la conoscenza della legge e di diffonderla presso cittadini ed operatori pubblici e privati, il Garante ha confermato la sua presenza in importanti manifestazioni con il proprio stand e con la partecipazione dei suoi rappresentanti a dibattiti e convegni.

Nell´ambito del Forum P.A. edizione 2004, svoltosi a Roma dal 10 al 14 maggio, il Garante è stato invitato ad illustrare i temi dei rapporti tra comunicazione al cittadino e privacy, del rispetto delle norme sulla riservatezza da parte delle pubbliche amministrazioni, delle misure organizzative e tecnologiche da adottare per garantire la sicurezza dei dati personali.

Il presidente Stefano Rodotà è intervenuto al convegno dal titolo: "Tra norme e prassi: per una organizzazione della funzione di comunicazione nelle pubbliche amministrazioni" con un intervento dedicato al tema: "La funzione di comunicazione nell´interpretazione delle Autorità garanti". Il vice presidente Giuseppe Santaniello ha invece partecipato al convegno "Semplificazione e qualità delle regole". Gaetano Rasi, componente dell´Autorità, ha partecipato al convegno dal titolo: "La sicurezza partecipata: coordinamento e cooperazione interistituzionale". Il segretario generale Giovanni Buttarelli, oltre che nel convegno "L´identità digitale e gli strumenti di autenticazione in rete tra necessità di semplicità e tutela della privacy", è intervenuto anche a quello sul tema: "Funzionamento e organizzazione delle authorities: esperienze a confronto". Lo stesso segretario generale è stato poi relatore al Master P.a. sul tema: "Il Codice per la protezione dei dati personali: le novità riguardanti la Pubblica Amministrazione".

L´Autorità Garante è stata presente anche al Com-P.a. 2004, Salone della comunicazione pubblica, dedicato quest´anno al tema "La comunicazione pubblica guarda all´Europa", svoltosi a Bologna dal 3 al 5 novembre. In particolare, il Com-P.a. ha offerto l´occasione per affrontare i temi legati alla protezione dei dati nelle telecomunicazioni, nell´e-government e per approfondire le novità più significative introdotte dal Codice.

Il vice presidente dell´Autorità ha partecipato al convegno dedicato a "Democrazia e partecipazione, accesso e comunicazione". Nell´ambito di una tavola rotonda, organizzata dalle Asl della regione Emilia-Romagna, dedicata al diritto di cronaca e alla privacy nella sanità è stato presentato un video con un contributo di Mauro Paissan, componente dell´Autorità. Rappresentanti dell´Ufficio del Garante hanno partecipato a diversi convegni e incontri dedicati rispettivamente a: "Comunicazione pubblica, tutela dei dati e sicurezza"; "La nuova frontiera della comunicazione nelle autorità di garanzia e promozione"; "Sicurezza dei dati nelle scuole".

L´Autorità è stata presente alle due manifestazioni con un proprio stand presso il quale è stato programmato un video esplicativo sull´attività del Garante e sulle tematiche della privacy e sono state distribuite le pubblicazioni curate dall´Ufficio, i depliant divulgativi e la nuova edizione del CD-Rom "Cittadini e Società dell´informazione", aggiornata con il Codice in materia di protezione dei dati personali.

Incontri internazionali

L´Autorità ha ricevuto il 26 maggio 2004 Peter Schaar, Incaricato federale tedesco per la protezione dei dati ed attuale presidente del Gruppo che riunisce le Autorità di protezione dei dati europee. L´incontro è stato l´occasione per uno scambio di opinioni sulla situazione della tutela della protezione dei dati nei rispettivi Paesi, sulle iniziative del Gruppo dei Garanti europei e sulle questioni strategiche oggi al centro dell´attenzione, quali ad esempio, i dati genetici, Internet e l´uso delle nuove tecnologie, in particolare delle Rfid, le cosiddette "etichette intelligenti". Riguardo a questo aspetto in particolare, Schaar ha annunciato la costituzione di un sottogruppo ad hoc nell´ambito dell´attività del Gruppo dei Garanti Ue.

Sul problema del trasferimento dei dati da parte delle compagnie aeree alle autorità americane, le due Autorità hanno convenuto di intraprendere un´azione comune al fine di sensibilizzare ulteriormente il Parlamento Europeo e di individuare modalità rispettose della privacy dei cittadini europei, dichiarandosi pronte ad una collaborazione bilaterale sui temi affrontati nell´incontro.

Nel maggio del 2004 il segretario generale dell´Autorità, Giovanni Buttarelli, ha partecipato alla Conferenza organizzata a Washington dall´Electronic Privacy Information Center (Epic) per celebrare il decennale della propria attività. Epic è una delle principali organizzazioni no-profit attive negli Usa nel settore dei diritti civili e della tutela della riservatezza. La conferenza, cui hanno preso parte i proff. Santaniello e Rasi, ha dato l´opportunità a molti dei più autorevoli studiosi in materia di fare il punto della situazione rispetto ai rischi per libertà e diritti civili negli USA ed in altri Paesi.

Nel settembre 2004 presso l´Istituto italiano di cultura di Lisbona si è svolta una Conferenza su "Il sistema delle garanzie della privacy nell´ordinamento italiano, alla luce del nuovo Codice per la protezione dei dati personali". La conferenza ha offerto l´occasione per trattare i temi legati alle novità introdotte dal Codice, che segna il passaggio dalla concezione della privacy come inviolabilità della sfera privata alla proiezione della persona nella società, e per sottolineare l´importanza che la tutela dei dati personali dei consumatori riveste in quanto requisito essenziale per la competitività delle imprese.

 

23.7. L´attività di ricerca e documentazione

Il carattere trasversale della normativa sulla protezione dei dati personali rende necessario procedere ad un costante aggiornamento sulle novità normative e giurisprudenziali di interesse dell´Autorità, nonché rivolgere una particolare attenzione alle innovazioni che, specie nel settore delle nuove tecnologie, possono avere ripercussioni sull´applicazione delle norme del Codice.

L´attività di ricerca dell´Ufficio è proseguita nella consapevolezza che essa ha un ruolo determinante al fine dell´acquisizione di un adeguato bagaglio conoscitivo indispensabile all´Autorità per rispondere alle costanti sollecitazioni provenienti dall. Ciò, tanto nell´ipotesi in cui il Garante sia chiamato ad intervenire in base a ricorsi, reclami o segnalazioni provenienti dai cittadini, quanto nei casi in cui l´Autorità ritenga opportuno agire di proprio impulso anche in vista dei molteplici eventi che a livello normativo, scientifico e tecnologico, si ripercuotono sulla materia della protezione dei dati.

È in questa prospettiva che sono state affrontate, ad esempio, le problematiche emerse nel cd. Digital Rights Management, o, ancora, le tematiche legate al controllo del lavoratore attraverso strumenti elettronici. Sempre in tale ottica, è inoltre proseguita l´attività di approfondimento su televisione interattiva, sistemi di geolocalizzazione e Rfid, attraverso la quale si è cercato di fornire un quadro di insieme sulle tecnologie in questione, nonché di prospettare soluzioni e proposte sui profili applicativi del Codice anche in vista dell´elaborazione di provvedimenti da parte dell´Autorità.

Per ciò che concerne l´attività di aggiornamento e documentazione, essa si è concretata nella predisposizione di notiziari periodici nei quali si sono raccolte le novità normative e giurisprudenziali di rilevanza per il lavoro dell´Ufficio, nonché le elaborazioni della dottrina in merito alle tematiche legate alla protezione dei dati e, più in generale, dei diritti della persona.

La documentazione e l´aggiornamento del personale sono stati svolti attraverso la diffusione di un Notiziario, la predisposizione di un apposito sito Intranet e l´invio di una Newsletter interna nella quale sono raccolti, proposti e commentati articoli apparsi su riviste e siti di informazione giuridica. In tal quadro, hanno formato oggetto di studio, ad esempio, le problematiche legate all´e-government e alla documentazione informatica nella pubblica amministrazione; la firma elettronica; la carta sanitaria elettronica; i codici deontologici nel settore delle telecomunicazioni; il diritto alla conoscenza delle proprie origini biologiche; il diritto alla riservatezza nelle tecniche di riproduzione assistita.

Sempre attraverso la Newsletter, sono stati diffusi diversi approfondimenti tematici, talvolta resi in occasione della pubblicazione di sentenze provenienti anche da giurisdizioni straniere e da istituzioni europee e comunitarie.

Particolare attenzione è stata data, ad esempio, alla recente decisione della Corte di giustizia delle Comunità europee in materia di fatturazione dettagliata (14 settembre 2004, Causa C-411/02), agli ultimi orientamenti della Corte europea dei diritti dell´uomo sulla pubblicazione di foto di personaggi noti (59320/00, 24 giugno 2004, v. par. 6.4) e di persone coinvolte in procedimenti penali (50774/99, 11 gennaio 2005, v. par. 6.4), alla giurisprudenza statunitense in merito alle liste negative per il direct marketing e ai messaggi di posta elettronica, nonché al recente orientamento della Corte di cassazione sul reato di illecito trattamento di dati personali (Cass. n. 30134/2004; Cass. n. 28680/2004).