Carta nazionale dei servizi e privacy dei cittadini
Per il Garante occorrono maggiori cautele e piena chiarezza nell´uso dei dati

Nella Carta nazionale dei servizi, il documento che consentirà ai cittadini l´accesso per via telematica ai servizi erogati dalla pubblica amministrazione, dovranno essere inseriti solo i dati personali indispensabili. L´introduzione e l´ uso nella carta del codice fiscale, poi, dovrà avvenire solo sulla base di precise garanzie, in modo tale da evitare il possibile incrocio indiscriminato di numerose banche dati, anche attraverso ricerche non nominative. 

Cautele,  infine, riguardo all´ipotesi di creazione di un´imponente banca dati con le informazioni provenienti da tutti i comuni e da tutte le amministrazioni pubbliche.

Questo in sintesi il parere del Garante, reso al Ministro per l´innovazione e le tecnologie il cui Ufficio sta redigendo un  regolamento per disciplinare caratteristiche e modalità di rilascio della Carta nazionale dei servizi. Il Garante osserva, innanzitutto, che l´obiettivo di semplificazione posto a base dell´introduzione della Carta  potrà essere meglio raggiunto garantendo al cittadino una trasparenza effettiva e il diritto di acquisire agevolmente una piena consapevolezza sull´uso e la circolazione delle informazioni personali che lo riguardano.

La Carta, che non sostituisce la carta di identità elettronica,  permetterà al cittadino che ne faccia richiesta di accedere ai servizi messi in rete dalle amministrazioni pubbliche. In questo modo si potranno, ad esempio, espletare pratiche comunali (come un cambio di residenza), richiedere certificati universitari o effettuare pagamenti on line (di una multa o dell´Ici) da un´unica postazione senza doversi recare personalmente presso i vari uffici.

Il documento informatico, una sorta di bancomat al cui interno è racchiuso un microchip, conterrà oltre i dati identificativi della persona (nome, cognome, sesso, data e luogo di nascita), anche il codice fiscale ed alcune informazioni aggiuntive anche per effettuare pagamenti informatici. Su questo punto, in particolare, il Garante chiede che venga anzitutto chiarito se spetti al cittadino o all´amministrazione pubblica decidere sull´introduzione di dati aggiuntivi: l´Autorità ha invitato pertanto ad individuare una griglia-tipo di informazioni aggiuntive inseribili allo scopo di evitare successive, possibili discriminazioni nell´erogazione dei servizi da parte delle amministrazioni pubbliche.

Per evitare, inoltre, la costituzione di una enorme banca dati, formata da informazioni che le varie amministrazioni potrebbero comunicare al Ministero dell´interno quando rilasciano una carta, tale comunicazione dovrà essere limitata ad  numero ristrettissimo di informazioni, idonee ad individuare unicamente dove un determinato cittadino risiede e a permettere agli enti pubblici di rivolgere poi, e solo al comune di residenza, le richieste di informazioni anagrafiche.

Il Garante chiede, dunque, un´attenta disciplina per evitare che l´Indice nazionale delle anagrafe, da "snodo tecnico" come previsto dalla normativa vigente, si trasformi di fatto – per effetto dell´inserimento di sempre nuove informazioni – in  una sorta di "anagrafe delle anagrafi" o " anagrafe nazionale unica", sovrapposta o addirittura sostitutiva delle anagrafi comunali. Una proficua collaborazione è stata avviata in tal senso con il Ministero dell´interno.

Andrà chiarito anche - allo scopo di delimitare i casi necessari di interconnessione tra sistemi informativi - che i dati forniti dai cittadini per accedere ai servizi offerti dalla Carta dovranno essere utilizzati dalle amministrazioni pubbliche unicamente per identificare l´interessato e verificare la sua legittimazione al servizio.

Per quanto riguarda il delicato profilo dell´utilizzazione della Carta nazionale dei servizi a fini di monitoraggio delle prescrizioni mediche, farmaceutiche e ospedaliere a fini di contenimento della spesa pubblica, l´Autorità ha sottolineato la necessità che tale eventuale finalità sia perseguita (con misure che il Garante si è riservato di valutare)  nel rispetto del principio di proporzionalità,  allo scopo di evitare la costituzione di  enormi banche dati contenenti dati sulla salute.

Infine, allo scopo di evitare un uso illecito della Carta da parte di terzi, il Garante sottolinea l´esigenza di prevedere idonee misure per assicurare  che i servizi richiesti siano  prestati solo all´effettivo avente diritto.

Dati protetti in Argentina
Lo stabilisce una decisione della Commissione Europea.

Il flusso dei dati personali tra Europa e Argentina è a prova di privacy.

Con una decisione pubblicata di recente (http://www.europa.eu.int/.../decision-argentine_it.pdf ), la Commissione europea ha ritenuto adeguato il livello di protezione dei dati personali in Argentina. E´ dunque possibile trasferire dati personali dall´UE verso l´Argentina senza necessità di una specifica autorizzazione, come invece prescrivono la Direttiva 95/46 (art. 25(1)) e la legge nazionale in materia di protezione dati di tutti i  Paesi UE qualora il livello di protezione esistente in un Paese terzo non sia "adeguato". La decisione della Commissione si basa anche sul parere favorevole espresso dal gruppo che riunisce i Garanti europei, presieduto dal Prof. Stefano Rodotà (Parere 4/2002, http://www.europa.eu.int/.../wp63_it.pdf ).

Attualmente, gli altri Paesi per i quali la Commissione ha constatato l´esistenza di un livello adeguato di protezione dei dati personali sono la Svizzera, l´Ungheria, il Canada e, limitatamente agli accordi cosiddetti di "porto sicuro" (Safe Harbor), gli Stati Uniti.

Questa decisione è la prima che riguardi un Paese dell´area latinoamericana, dove esistono già numerose leggi nazionali o iniziative di legge in materia che potranno ricevere un impulso positivo dalla valutazione compiuta nel caso dell´Argentina.

Al fine di valutare l´adeguatezza di un regime nazionale di protezione dati, il Gruppo dei Garanti europei ha fornito alcune indicazioni di metodo che sono state applicate anche in questo caso (v. documento di lavoro 12/1998, http://www.europa.eu.int/.../wp12_it.pdf). In particolare, l´adeguatezza (anche in base all´articolo 25(2) della Direttiva europea) viene valutata attraverso un´analisi dei contenuti di tutte le leggi e dei regolamenti in materia e, per altro verso, dei meccanismi di attuazione di tale normativa (esistenza di un´autorità nazionale di controllo indipendente, rimedi giuridici a disposizione degli interessati, sanzioni).

In Argentina (che, ricordiamo, è una repubblica federativa) esiste una legge federale (25.236 del 4 ottobre 2000) che, a giudizio dei Garanti e della Commissione, corrisponde ai requisiti fissati dalla Direttiva europea in materia. Esiste inoltre un regolamento di attuazione (1558/2001) che completa la legge federale attraverso disposizioni procedurali molto puntuali. La legge si applica ai soggetti pubblici e privati, ai trattamenti automatizzati e non automatizzati, e prevede salvaguardie per gli interessati, l´istituzione di un´autorità di controllo, obblighi per i titolari e sanzioni.

Alla legge ed al regolamento federali si aggiunge un procedimento giurisdizionale, previsto dalla Costituzione argentina e fondato sul principio del cosiddetto habeas data. Tale principio riconosce ad ogni cittadino il diritto di accedere ai dati che lo riguardino e di conoscere le finalità del loro trattamento, chiedendone eventualmente la cancellazione, la correzione o l´aggiornamento. Si tratta, dunque, di un diritto di rango esplicitamente costituzionale, che può essere fatto valere attraverso un procedimento svolto dinanzi all´autorità giudiziaria e caratterizzato da una tempistica molto contenuta. Nel complesso, dunque, sia i Garanti sia la Commissione hanno ritenuto che l´impianto normativo esistente in Argentina fosse tale da garantire ai dati personali trasferiti dall´UE una tutela adeguata.

Si deve aggiungere, tuttavia, che il parere dei Garanti europei aveva segnalato due elementi sui quali si invitavano le autorità argentine ad intervenire per rafforzare ulteriormente il livello di tutela dei dati personali.

Il primo riguarda la struttura dell´autorità nazionale di controllo. Il direttore dell´autorità nazionale è nominato e destituito dal Ministro della giustizia e dipende amministrativamente dal Ministero della giustizia. Questo meccanismo di nomina  non sembra garantire appieno l´effettiva indipendenza dell´autorità,  indipendenza che rappresenta invece un requisito fondamentale ai sensi della Direttiva europea.

Il secondo riguarda la competenza dell´autorità nazionale di controllo. La legge federale non si applica, infatti, agli archivi (informatizzati o meno) gestiti a livello delle singole province che compongono l´Argentina, purché tali archivi non siano interconnessi. Per garantire un livello uniforme di protezione dei dati personali, il Gruppo presieduto da Rodotà aveva dunque invitato il Governo argentino a prevedere l´istituzione di autorità provinciali incaricate di vigilare sul rispetto della normativa in questo settore.