Bollette "salate" in Internet
L´abbonato può verificare gli addebiti contestati
Possibile conoscere "in chiaro" i numeri chiamati

La legge sulla privacy non pone ostacoli agli utenti telefonici che, in caso di contestazione, chiedono di conoscere nel dettaglio e agevolmente i numeri di telefono chiamati, compresi quelli a tariffazione speciale, come ad esempio quelli che iniziano con "709". Questi numeri in particolare, nei quali può accadere di imbattersi, di solito involontariamente, navigando su Internet, "gonfiano" a dismisura le bollette a causa dei loro alti costi di connessione. Chi si collega al "709", infatti, per scaricare ad esempio, loghi o suonerie, inserisce inavvertitamente sul proprio pc un software, che sostituisce il numero di telefono del proprio provider con il quale ci si collega normalmente alla rete.

L’Autorità ha ribadito il principio di trasparenza affermato fin dal 1998 in risposta a alcuni abbonati che, allarmati dall’arrivo di bollette telefoniche "salate" e temendo di essere vittime di qualche illecito, si erano rivolti al fornitore del servizio per conoscere "in chiaro" i numeri contattati. Di fronte all’inerzia del gestore, gli interessati hanno segnalato il caso al Garante, il quale, considerata la rilevanza del fenomeno per i costi addebitati ed il numero di abbonati coinvolti, ha ritenuto opportuno ribadire al gestore alcune indicazioni già fornite dal 1998 ed applicabili ai casi esaminati, in attesa di adottare un nuovo specifico provvedimento al termine degli accertamenti in corso.

Fermo restando, infatti, l’obbligo previsto dalla normativa (decreto legislativo. n.171/1998) di non evidenziare le ultime tre cifre dei numeri chiamati in occasione del primo invio delle fatturazioni, l’Autorità ha ricordato come gli abbonati abbiano comunque due possibilità di ottenere la comunicazione dei numeri completi delle utenze contattate.

La prima quando abbia necessità di verificare l’esattezza e la legittimità di determinati addebiti o di contestazione riferita a delimitati periodi o chiamate. La seconda quando intenda esercitare i diritti di accesso ai propri dati riconosciuti dalla legge sulla privacy (art. 13 l.675/1996). In quest’ultimo caso, ha precisato il Garante, l’abbonato non è tenuto a fornire alcuna particolare motivazione per richiedere "in chiaro" i numeri chiamati e può rivolgersi al gestore telefonico con una procedura informale. Alla luce di queste precisazioni, ed in vista di un provvedimento generale sulla fatturazione dettagliata, il Garante ha pertanto richiamato il gestore telefonico al rispetto dei principi indicati.

La Relazione annuale sull’attività 2002
Internet, tlc, dati genetici le nuove frontiere della privacy

L´Autorità per la protezione dei dati personali, composta da Stefano Rodotà, Giuseppe Santaniello, Gaetano Rasi e Mauro Paissan, ha presentato il 20 maggio al Parlamento la Relazione sul sesto anno di attività e sullo stato di attuazione della legge n.675 del 1996.

La Relazione è suddivisa in quattro grandi sezioni (lo stato di attuazione della disciplina sulla privacy; l´attività del Garante; le attività comunitarie ed internazionali; i documenti e la normativa nazionale ed internazionale) e traccia il bilancio del lavoro svolto dall´Autorità nei sempre più ampi settori nei quali è stata richiesta una azione di intervento e regolazione a difesa dei diritti fondamentali delle persone.Un anno che ha registrato, tra l’altro, un particolare impegno dell’Autorità nel settore delle telecomunicazioni, a dimostrazione anche di una capacità di tenere il passo con una realtà tecnologia e sociale in costante evoluzione.

Il 2002 ha visto anche l’avvio delle consultazioni per l’adozione dei codici deontologici e di buona condotta per importanti settori, tra i quali Internet, videosorveglianza, direct marketing e il potenziamento delle attività di ispezione grazie alla convenzione con la Guardia di Finanza.

Nella relazione vengono, inoltre, delineate le prospettive di intervento in vista dei nuovi delicati compiti che aspettano il Garante nella individuazione delle garanzie di tutela da assicurare ai cittadini in campi "a rischio" come la raccolta e l’uso dei dati genetici, le rilevazioni biometriche (impronte digitali, iride etc.), le nuove tecnologie applicate alle tlc (localizzazione, "tracciabilità" delle persone etc.).

L’attività del Garante
Oggi la tutela della privacy non può più essere intesa come il tradizionale diritto ad "essere lasciato solo", ma si configura come diritto fondamentale della persona, come diritto di sapere e di controllare la circolazione delle informazioni raccolte in un numero sempre più crescente di banche dati.

In linea con questa visione, l’impegno del Garante è stato rivolto alla individuazione di effettive garanzie di tutela in ambiti particolarmente delicati, legati ai rischi delle nuove tecnologie a fini di sorveglianza, alla difesa delle persone dall’uso discriminatorio e senza garanzie dei dati genetici, alla tutela dei consumatori nei confronti di "profilazioni" a scopi commerciali, alla definizione di regole per la comunicazione elettronica e contro l’abuso delle "e-mail spazzatura" (spamming), all’attuazione di un effettivo rispetto della dignità delle persone nell’attività dei media. In sostanza, alla difesa della libertà dei cittadini nella loro sfera privata come condizione per la piena libertà nella sfera pubblica.

Con una particolare attenzione al mondo produttivo e del lavoro e ai risvolti economici della protezione dei dati, l´Autorità ha portato avanti, attraverso un costante dialogo con il mondo dell’impresa, l’idea della privacy in quanto "risorsa", in grado di sviluppare fiducia nei consumatori, anche nel commercio elettronico, attraverso una trasparente, corretta ed efficiente gestione delle banche dati.

Un anno che, d´altro canto, ha continuato a registrare gravi inadempienze anche da parte della P.A riguardo alla mancata emanazione di atti e decreti necessari per poter raccogliere ed utilizzare dati personali dei cittadini in conformità alla legge.

Il programma di ispezioni predisposto ed effettuato dall’Autorità ha messo in luce preoccupanti sacche di violazioni di obblighi, sia nel settore pubblico che in quello privato. Anche il ricorso massiccio alla videosorveglianza e all’installazione di telecamere ha mostrato abusi sui quali il Garante è intervenuto ed interverrà con sempre maggiore rigore.

I dati
I dati statistici per il 2002 mostrano un incremento costante del lavoro dell’Ufficio rispetto al 2001. E’ raddoppiato il numero dei ricorsi definiti (da 211 a 500), gli interventi su segnalazioni e reclami sono passati da 2327 a 3689. Sono state 12.800 le richieste di informazioni e i quesiti telefonici, ai quali si devono aggiungere 6.400 casi di assistenza telefonica alle notificazioni. Le ispezioni nei confronti di soggetti pubblici e privati sono state 40, raddoppiando rispetto all’anno precedente.

Considerando ricorsi, reclami, quesiti e segnalazioni si giunge ad una cifra di 28.475, che conferma i dati degli anni precedenti per quanto riguarda i flussi verso il Garante, mettendo a dura prova l’intera struttura.

Le notificazioni sull´esistenza di banche dati, presentate all´Autorità come richiesto dalla legge, sono giunte complessivamente, nell’arco dei cinque anni di attività, a circa 315.000.

Tra il 2001 e il 2002 l´Autorità ha emanato 6 autorizzazioni generali al trattamento dei dati sensibili in diversi ambiti (sanità, datori di lavoro, investigatori privati, liberi professionisti etc.), 1 sul trattamento dei dati giudiziari. Per quanto riguarda l’export di dati personali, il Garante italiano ha proseguito nell’opera di dare attuazione alle direttive europee con l’emanazione di 2 autorizzazioni al trasferimento di dati verso Paesi extra europei che vanno ad aggiungersi alle 4 dell’anno precedente.

Le richieste di accesso e verifica dei dati esistenti nel Sistema Informativo Schengen sono state 273, delle quali 175 già definite.

Gli interventi più rilevanti
Gli interventi più rilevanti si sono avuti riguardo a:

• pubblica amministrazione (trasparenza nella gestione delle banche dati, carta di identità elettronica e carta nazionale dei servizi, trasparenza degli stipendi pubblici, raccolta ed uso dei dati sensibili);
• società della sorveglianza (raccolta impronte digitali all’ingresso delle banche, riconoscimento dell’iride, furto di identità, telecamere);
• giornalismo e informazione (cronache giudiziarie, foto segnaletiche, uso di telecamere nascoste, dignità del malato, protezione dei minori);
• Internet (Spamming, sicurezza delle reti, pubblicazione di fotografie sul web, profilazione clienti);
• telecomunicazioni (Mms, Sms, localizzazione dei cellulari, conservazione dati di traffico, elenco cellulari, fatturazione dettagliata, attivazione di servizi non richiesti);
• direct marketing (informativa e consenso, profilazione dei clienti, telefonate indesiderate, accesso alle banche dati);
• sanità (test genetici, portatori di handicap, malati di Aids);
• rapporto di lavoro (tutela dei dati personali dei lavoratori, controllo a distanza, annunci di lavoro, riordino collocamento pubblico);
• attività giudiziarie e di polizia (trattamenti di dati effettuati dall’ autorità giudiziaria, informazioni genetiche, cooperazione giudiziaria);
• associazioni e movimenti politici (decalogo sull’uso di dati per propaganda elettorale);
• vita sociale (censimento, condomini, elenchi dei contribuenti ad alto reddito);
• sistema impresa (trasferimento di dati all´estero, misure di sicurezza, trasparenza sullo stato di insolvenza);
• sistema bancario e assicurativo ("centrali rischi" private, banche on line, registro dei protesti, intermediazione finanziaria);
• attività forense, investigazione privata, liberi professionisti (raccolta di dati per finalità di difesa, albi professionali).

I codici deontologici
Dopo la pubblicazione del codice deontologico dei giornalisti, di quello per storici ed archivisti, di quello sulla ricerca statistica pubblica e privata, in linea con quanto stabilito dal decreto legislativo n.467/2001 il Garante ha avviato la consultazione delle categorie interessate alla predisposizione dei codici di buona condotta riguardanti settori di grandissima rilevanza: Internet, direct marketing, videosorveglianza, rapporto di lavoro, "centrali rischi" private, archivi e registri pubblici. Di questi, il codice sulle "centrali rischi" è in fase di completamento.

L’attività internazionale
Il quadro internazionale è stato definito da una parte dal riconoscimento quale diritto fondamentale della protezione dei dati nell’art.8 della Carta dei diritti fondamentali dell’UE che ha fatto emergere una nuova dimensione della libertà della persona; dall’altra dalle pressioni esercitate per utilizzare i dati personali a fini di sicurezza interna ed internazionale.

All’interno del dibattito sui rapporti tra lotta al terrorismo e diritti individuali, tra sicurezza e privacy che ne è derivato, si è svolto l’intenso lavoro portato avanti dal Comitato dei Garanti europei che, sotto la presidenza di Stefano Rodotà, al suo secondo mandato, ha preso posizione sulla necessità di un approccio equilibrato. A tale proposito va ricordato, innanzitutto, il pronunciamento sulla trasmissione, da parte delle compagnie aeree, di informazioni sugli elenchi dei passeggeri agli Usa.

I Garanti UE hanno proseguito nell’azione di tutela della privacy emanando diversi pareri sulla conservazione dei dati di traffico telefonico, sui sistemi di autenticazione on line, sulle comunicazioni elettroniche, sulla videosorveglianza, sul funzionamento dell’Accordo del Safe Harbor stipulato con gli Usa, e portando avanti - in linea con la proposta lanciata nella Conferenza mondiale di Venezia del 2000 - l’impegno per la elaborazione di regole mondiali comuni sulla privacy.

La Relazione contiene anche il rapporto dell’Autorità di controllo comune Schengen, la cui presidenza è stata affidata al segretario generale del Garante, Giovanni Buttarelli.

Commissione UE: non abbassare il livello di tutela della privacy
Pubblicato a Bruxelles il primo rapporto sull’attuazione della direttiva europea

La Commissione europea ha pubblicato, lo scorso 15 maggio, il testo ufficiale del Rapporto sullo stato di attuazione della direttiva europea in materia di protezione dei dati personali (Direttiva 95/46/CE). Il testo del Rapporto è disponibile all’indirizzo http://www.europa.eu.int/.../...pdf . Sulla base anche della consultazione pubblica tenutasi nel corso del 2002 (v.  Newsletter 21-27 ottobre 2002) e delle osservazioni fatte pervenire dagli Stati membri e dalle autorità nazionali di controllo, il Rapporto traccia un bilancio sostanzialmente positivo dell’applicazione della Direttiva, che ha consentito di eliminare gli ostacoli alla libera circolazione dei dati all’interno dell’UE. In questo senso, la Commissione non ritiene allo stato necessaria una revisione del testo della Direttiva, come proposto da alcuni Stati, preferendo indicare alle parti interessate alcune strategie di collaborazione per migliorare e rendere ancora più effettiva la tutela che essa intende garantire.

La presentazione del Rapporto è prevista esplicitamente dall’Articolo 33 della Direttiva, e secondo la Commissione è stata rinviata di due anni per il ritardo con il quale alcuni Stati hanno provveduto a recepire la Direttiva a livello nazionale (al momento, soltanto la Francia è in procinto di emanare una legge nazionale di recepimento, anche se esiste dal 1978 una legge in materia di "informatica e libertà").

Il Rapporto si basa, in particolare, sui risultati della consultazione pubblica aperta nel giugno 2002, attraverso la quale imprese, cittadini e pubbliche amministrazioni hanno potuto far sentire la propria voce, manifestare problemi e incertezze e suggerire possibili modifiche all’impianto della Direttiva. Oltre 10.000 soggetti hanno fatto pervenire le proprie osservazioni, che hanno costituito il nucleo centrale dell’analisi condotta dai servizi della Commissione unitamente a quelle dei Governi nazionali e delle autorità di protezione dati. Le relazioni presentate nel corso della Conferenza tenutasi a Bruxelles il 30 settembre/1 ottobre 2002, durante la quale sono stati presentati i primi risultati di tale consultazione pubblica, hanno offerto ulteriori elementi di valutazione.

La prima conclusione alla quale giunge il Rapporto è, come anticipato, l’attuale superfluità di una revisione della Direttiva allo stato attuale. Ciò per tre motivi: 1) l’esperienza sinora acquisita nell’applicazione delle norme comunitarie sarebbe limitata (molti Stati hanno approvato leggi di recepimento soltanto nel 2000 o nel 2001); 2) molte delle difficoltà segnalate possono essere affrontate e risolte attraverso un uso più oculato degli strumenti già messi a disposizione dalla Direttiva stessa, oppure attraverso opportuni emendamenti della legislazione nazionale di recepimento; 3) il pur comprensibile desiderio di semplificare gli adempimenti richiesti dalla Direttiva (manifestato soprattutto dal settore imprenditoriale) non deve comportare un abbassamento del livello di tutela che essa garantisce, e deve tenere conto del contesto internazionale complessivo entro cui la direttiva si colloca. La Commissione sottolinea che questa posizione è condivisa dalla maggioranza degli Stati e delle autorità nazionali di controllo.

Nel Rapporto la Commissione fa comunque rilevare i problemi emersi e la necessità di individuare soluzioni adeguate nel medio periodo. Le principali difficoltà applicative riguardano le questioni di seguito indicate, per ciascuna delle quali il Rapporto propone alcune possibili strategie di intervento nell’ambito di un vero e proprio "Piano di lavoro" la cui attuazione è prevista per la fine del 2004. Nel 2005 la Commissione tornerà ad esaminare lo stato di applicazione della Direttiva, valutando le misure eventualmente necessarie anche alla luce della maggiore esperienza acquisita.

Divergenze nelle legislazioni nazionali di recepimento. L’analisi condotta nel Rapporto mostra che sussistono alcune divergenze negli strumenti con cui i singoli Stati hanno recepito la Direttiva. In minima parte si tratta di disposizioni che la Commissione ritiene non in linea con i principi della Direttiva, mentre nella maggioranza dei casi si tratta di disposizioni che i singoli Stati hanno introdotto approfittando dei margini che il legislatore comunitario assegna ai legislatori nazionali. Tuttavia, a parere della Commissione, si tratta di norme che non facilitano la libera circolazione dei dati e ostacolano il raggiungimento degli obiettivi della Direttiva. La Commissione propone una maggiore collaborazione fra le autorità di controllo gli Stati membri per ridurre le divergenze individuate. In questo senso, particolare importanza viene attribuita al Gruppo di lavoro che riunisce le autorità europee di protezione dati chiamato a continuare nell’attività di riavvicinamento delle legislazioni nazionali. Nel Rapporto la Commissione sottolinea più volte, a tale proposito, che ravvicinamento non significa uniformità.

Ridotta sensibilizzazione dell’opinione pubblica e imperfetta osservanza delle disposizioni nazionali da parte dei titolari. Sia la consultazione pubblica del 2002, sia le informazioni raccolte a vari livelli dalla Commissione indicano che i cittadini non sono sufficientemente consapevoli dei propri diritti in materia, e che le imprese (ma anche il settore pubblico) tendono a sottovalutare le esigenze di protezione dati, spesso adducendo i costi eccessivi di un "adeguamento". La Commissione intende proseguire il monitoraggio di questo tema, ed invita gli Stati membri a potenziare le autorità nazionali di controllo per consentire loro di svolgere appieno i compiti assegnati dalla Direttiva. Non si esclude la definizione di una campagna di sensibilizzazione a livello comunitario.

Onerosità di alcune disposizioni. Molti soggetti del mondo imprenditoriale hanno sottolineato che le norme in materia di notificazione sono spesso complesse e differiscono fra i singoli Stati. Un altro punto dolente al riguardo, ad avviso della Commissione, concerne le disposizioni sul trasferimento di dati personali verso Paesi terzi (che, ricordiamo, è ammesso soltanto se l’ordinamento del Paese terzo è tale da garantire una "tutela adeguata" dei dati personali trasferiti). Sul primo punto, la Commissione sottolinea che gli Stati membri hanno numerose possibilità di prevedere deroghe all’obbligo di notifica, e invita il Gruppo di lavoro dei Garanti europei a proporre semplificazioni delle norme in materia negli Stati membri, prevedendo meccanismi di cooperazione interstatuale per facilitare la notificazione dei trattamenti effettuati da imprese che operino in più Stati. Quanto al trasferimento di dati personali verso Paesi terzi - che rappresenta uno dei temi attualmente all’esame del Gruppo di lavoro dei Garanti europei - la Commissione segnala l’intenzione di "fare un uso più estensivo dei poteri di cui è investita in forza degli articoli 25, paragrafo 6, e 26, paragrafo 4", ossia di prevedere decisioni ulteriori sull’adeguatezza della legislazione di Paesi terzi e di strumenti di natura contrattuale (ricordiamo le "clausole contrattuali standard" che la Commissione ha riconosciuto offrire una tutela "adeguata" con due decisioni adottate nel corso del 2001).

Trattamento dei dati "sonori e visivi". La Direttiva (Art. 33) prevede esplicitamente una verifica periodica dell’applicazione delle norme relative al trattamento di dati personali sotto forma di suoni o immagini. La consultazione pubblica ed i risultati di uno studio specifico condotto per conto della Commissione non avrebbero indicato particolari problemi a livello nazionale. Tutte le legislazioni nazionali stabiliscono che questi dati siano soggetti allo stesso regime degli altri dati personali. Tuttavia, nel Rapporto si sottolinea che temi come la videosorveglianza e l’utilizzazione di dispositivi biometrici richiedono approfondimenti ulteriori per le implicazioni che hanno sulla tutela di diritti fondamentali. La Commissione invita nuovamente il Gruppo dei Garanti europei a proseguire la propria attività di monitoraggio e consulenza, che già si è tradotta, per quanto riguarda la videosorveglianza, in un documento di lavoro sul quale è aperta una consultazione pubblica (v. informazioni alla pagina http://www.europa.eu.int/...).