Newsletter 29 aprile - 5 maggio 2002

• Codici deontologici al via per Internet, videosorveglianza, lavoro
• Clausole contrattuali per l´export di dati tra azienda e filiale
• L´Autorità al Forum P.A
• La Conferenza di S.Francisco su "Computer, libertà e privacy"

Codici deontologici al via per Internet, videosorveglianza, lavoro

Avviate dal Garante le procedure per l’adozione di nuovi codici deontologici. Con un provvedimento di imminente pubblicazione nella Gazzetta Ufficiale, l’Autorità ha promosso la sottoscrizione di codici deontologici e di buona condotta per soggetti pubblici e privati interessati al trattamento di dati personali nei seguenti settori:

• Internet (trattamenti di dati personali effettuati da fornitori di servizi di comunicazione e informazione offerti per via telematica);
• trattamenti di dati personali necessari per finalità previdenziali o per la gestione del rapporto di lavoro;
• direct marketing (trattamenti di dati personali effettuati a fin di invio di materiali pubblicitario o d vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale interattiva);
• trattamenti di dati personali svolti a fini di informazione commerciale;
• centrali rischi private (trattamenti di dati personali effettuati nell’ambito di sistemi informativi di cui sono titolari soggetti privati, utilizzati a fini di concessione di crediti al consumo o comunque riguardanti l’affidabilità e la puntualità nei pagamenti degli interessati);
• trattamenti di dati personali provenienti da archivi, registri, elenchi, atti o documenti tenuti da soggetti pubblici;
• videosorveglianza (trattamenti di dati personali effettuati con strumenti automatizzati di rilevazione di immagini).

In base a quanto previsto dal provvedimento del Garante, tutti i soggetti pubblici e privati maggiormente rappresentativi e interessati a questo tipo di trattamenti che abbiano titolo a partecipare all’elaborazione e all’adozione dei rispettivi codici deontologici, potranno darne comunicazione al Garante (piazza di Monte Citorio, 121 - 00186 Roma) entro il 31 maggio 2002 (anche attraverso l’indirizzo e-mail: codici@garanteprivacy.it).

La legge n. 675/96 in materia di privacy attribuisce infatti, al Garante il compito di promuovere all’interno delle categorie interessate, la sottoscrizione di codici di deontologia e di buona condotta per determinati settori. Settori che sono stati individuati dal decreto legislativo 467/2001, in materia di protezione di dati personali, e che dovranno essere disciplinati tenendo conto dei criteri direttivi delle raccomandazioni del Consiglio d’Europa. Il decreto legislativo ha anche stabilito entro il 30 giugno l’inizio delle procedure per l’adozione dei codici.

Con successivi provvedimenti l’Autorità verificherà e certificherà la conformità dei singoli progetti di codice alle leggi e ai regolamenti vigenti e adotterà le misure necessarie a garantirne la diffusione e il rispetto.

Finora il Garante ha emanato tre codici deontologici. Nel 1998 è entrato in vigore il codice che disciplina l’attività giornalistica e nel 2001 sono stati adottati quelli sul trattamento di dati per scopi storici e statistici.

Clausole contrattuali per l´export di dati tra azienda e filiale

I trasferimenti di dati personali da parte di un’azienda, con sede nel territorio dello Stato italiano, verso filiali, con sede nei paesi non appartenenti all’Unione europea che non presentino un adeguato livello di protezione, sono autorizzati se vengono effettuati sulla base e in conformità delle clausole contrattuali tipo approvate dalla Commissione europea.

L’autorizzazione è stata rilasciata dal Garante con il provvedimento n. 3 del 10 aprile 2002, di imminente pubblicazione nella Gazzetta Ufficiale, che ha reso esecutiva la decisione della Commissione europea del 27 dicembre 2001 n. 2002/16/CE, con la quale l’adozione di tali clausole è stata ritenuta una garanzia sufficiente per la tutela della vita privata, dei diritti e delle libertà fondamentali delle persone. Con tale decisione la Commissione europea ha fatto un ulteriore passo avanti rispetto a quella adottata lo scorso luglio, quando ha approvato l’uso di analoghe clausole contrattuali standard per i trasferimenti di dati tra distinti titolari di trattamenti (decisione 2000/497/CE).

Le clausole contrattuali si affiancano alle disposizioni dell’art. 28 della legge n. 675 sul trasferimento dei dati personali all’estero e all’accordo del Safe Harbor sottoscritto dalla Ue con gli Stati Uniti.

Come avvenuto con la precedente autorizzazione del Garante (pubblicata sulla G.U. n.250 del 26.11.2001), riguardante le clausole contrattuali per l’export di dati tra aziende, l’obiettivo è, anche in questo caso, facilitare i flussi di dati verso Paesi, nei confronti dei quali sinora la Commissione ha ritenuto non esistere un livello di protezione sufficiente ai sensi della direttiva 95/46, senza attenuare la tutela dei diritti dei cittadini e consumatori in materia di protezione dei dati personali. Più precisamente, non garantiscono un sufficiente livello di protezione tutti i Paesi al di fuori dello spazio economico europeo, tranne Ungheria, Svizzera e

Canada che sono stati oggetto di apposite decisioni con le quali si è riconosciuta l’adeguatezza della legislazione nazionale in materia di protezione dei dati.

Dal 3 aprile 2002, data di decorrenza della decisione n.3, è quindi lecito il trasferimento di dati personali dall’Italia verso un "responsabile" del trattamento situato in un paese terzo, che non assicuri un adeguato livello di protezione dei dati, purché il titolare ("l’azienda madre") con sede in Italia ed il responsabile (la filiale) nel paese terzo abbiano sottoscritto un contratto che incorpori le clausole in questione. Tali clausole, sottolinea il Garante, devono essere conoscibili anche dalle persone cui si riferiscono i dati e che chiedano di averne conoscenza. Così come deve essere fornita, agli interessati che lo richiedano, un’adeguata descrizione delle misure di sicurezza adottate.

L’utilizzazione delle clausole contrattuali tipo avviene su base volontaria, nel quadro di un accordo tra l’esportatore dei dati, con sede in Italia, e l’importatore situato in un paese terzo, il quale riceve i dati per effettuare il trattamento per conto del titolare - esportatore ed in conformità delle clausole stesse. Nulla vieta che rispetto alle garanzie minime introdotte dalle clausole tipo, i contraenti possano prevedere ulteriori tutele per le persone cui si riferiscono i dati.

Il contratto che regola il trasferimento non necessita di autorizzazione preventiva del Garante e non deve essere comunicato all’Autorità che può, però, chiederne copia e avere tutte le informazioni che ritiene necessarie.

In conformità alla normativa comunitaria e alla legge sulla privacy spetta, inoltre, al Garante il compito di svolgere controlli sulla liceità e correttezza dei trasferimenti di dati e delle operazioni di trattamento, nonché di adottare provvedimenti di blocco o divieto di trasferimento, nel caso rilevasse illeciti.

Se le parti, infine, in caso di controversia non risolta in via amichevole, scelgono di rivolgersi ad un organo diverso dal Garante o dall’autorità giudiziaria devono darne comunicazione all’Autorità.

L´Autorità al Forum P.A

L’Autorità Garante partecipa anche quest’anno al "Forum P.A." , in programma presso la Fiera di Roma dal 6 al 10 maggio.

Il VicePresidente dell’Autorità, Giuseppe Santaniello, parteciperà al convegno "Lo sviluppo della società dell’informazione in Italia" (10 maggio, ore 9,30) che prevede, tra gli altri, la presenza del Ministro per l’Innovazione e le Tecnologie, Lucio Stanca, del Capo della segreteria tecnica del Dipartimento dell’Innovazione e delle tecnologie, Paolo Vigevano, e del Consigliere del Ministro per le Comunicazioni, Francesco Chirichigno.

Il segretario generale, Giovanni Buttarelli, parteciperà al convegno intitolato "La giornata della sicurezza. Prima sessione: sicurezza dei cittadini (sistemi informativi di polizia, cooperazione internazionale) e tutela della privacy" (9 maggio, ore 9,30).

Nell’ambito dei "Master P.A. 2002", lo stesso Buttarelli, terrà un corso di formazione dedicato al tema "Privacy e Pubblica Amministrazione, l’esperienza di un quinquennio. Nuove garanzie e modalità per adempiere agli obblighi" (7 maggio, Auditorium).

Il Garante per la privacy è presente al Forum con un proprio stand, presso il quale saranno disponibili le pubblicazioni dell’Autorità e la documentazione aggiornata sulla sua attività.

La Conferenza di S. Francisco su ´Computer, libertà e privacy´

Dal 16 al 19 aprile si è svolta a S.Francisco la 12a Conferenza internazionale su "Computers, Freedom & privacy". La CFP Conference è un appuntamento importante per la comunità degli studiosi e degli operatori della privacy di tutto il mondo. L’edizione di quest’anno si è concentrata in modo specifico sui rischi del controllo ai fini della sicurezza - anche per

effetto degli avvenimenti dello scorso 11 settembre - e sulla possibilità di utilizzare le nuove tecnologie per garantire una migliore protezione della privacy. Ma ha affrontato anche la questione relativa all’attività delle imprese verso l’autoregolamentazione e la definizione di politiche della privacy veramente efficaci. Complessivamente erano presenti circa 500 partecipanti.

Per l’Autorità italiana ha partecipato quest’anno alla CFP Conference il prof. Gaetano Rasi, che era a capo di una delegazione della quale hanno fatto parte il dott. Baldo Meo, il dott. Antonio Caselli e il prof. Marco Maglio.

Riallacciandosi ai temi riguardanti i nuovi diritti e le nuove libertà nella rete, il ruolo dei consumatori, lo sviluppo del commercio elettronico, e il ritardo da parte di imprese e organizzazioni in generale nel costruire programmi di protezione dei dati personali, Rasi ha affermato che "la privacy si caratterizza sempre di più come criterio di qualità per le imprese. Essa non deve essere vista come un ostacolo alla libera crescita delle attività economiche o un inutile onere che grava sulle aziende, ma deve essere concepita come uno strumento per l’affermazione di un futuro mercato rispettoso nei confronti dell’individuo".

Le dimensioni globali dei mercati da una parte e la necessità di dettare regole comuni dall’altra rappresentano i fattori cruciali con cui fare i conti per governare i futuri sviluppi di un sistema sociale ed economico in continua evoluzione. "Al contrario di quanto comunemente si crede - ha continuato il componente dell’Autorità Garante - la mancanza di rispetto per il consumatore, specialmente in sede di promozione di merci e servizi, finisce per ridurre la capacità competitiva delle imprese e quindi la penetrazione dei prodotti nei mercati evoluti. Cominciano a capirlo anche molte imprese americane. E’ in atto una interessante osmosi tra le sponde dell’Atlantico: in Usa si va sempre di più acquisendo una maggiore attenzione alla tutela delle persone sul modello più avanzato introdotto in Europa".

Proprio per discutere le problematiche legate all’impatto delle legislazioni in materia di privacy sul mondo delle imprese e sul mercato globale, con un’attenzione particolare ai rapporti tra mercato europeo e statunitense il Garante italiano organizzerà a Roma, entro il prossimo autunno, un convengo internazionale dal titolo "L’impatto nell’economia della legislazione sulla privacy: da costo a risorsa" e al quale parteciperanno esperti e rappresentanti del mondo delle imprese. "Il nostro obiettivo - ha dichiarato Rasi - è quello di avviare una riflessione sui criteri che consentono di coniugare l’effettiva protezione dei dati personali con l’efficienza di un sistema economico che punti allo sviluppo, perché è proprio la tutela della privacy a caratterizzarsi come moderno elemento per misurare il grado di qualità delle merci e dei servizi forniti".

Le tre giornate della Conferenza sono state dedicate all’approfondimento di numerosi e delicati temi. Tra gli altri, il progetto di una carta di identità nazionale negli USA; l’accesso alle informazioni dopo l’11 settembre; la legge USA anti-terrorismo (PATRIOT Act); la biometria e i diritti civili; il voto elettronico e la pirateria informatica; la privacy e i servizi di localizzazione; il futuro della proprietà intellettuale; l’accesso agli atti pubblici e la privacy.

Tra i numerosi interventi, va segnalato quello della senatrice dello Stato di California, Ms. Jackie Speier, che è stata promotrice di un disegno di legge per la tutela della privacy ispirato a principi molto vicini a quelli della direttiva UE. Il disegno di legge ha incontrato forti opposizioni, e non è stato ancora approvato nonostante le ampie modifiche apportate rispetto al disegno originale - che prevedeva l’opt-in per tutte le utilizzazioni di dati personali. Attualmente, il testo del disegno di legge prevede l’opt-in degli interessati per la comunicazione dei dati personali a soggetti terzi, mentre l’opt-out si applicherebbe alla comunicazione fra soggetti "appartenenti ad uno stesso gruppo di imprese" - definizione criticata dalla Speier in quanto troppo vaga e facilmente interpretabile a discapito dei consumatori.

Alle sessioni plenarie, si sono affiancate alcune sessioni parallele che hanno affrontato o approfondito temi quali il divario tecnologico (negli USA e altrove); le cosiddette PET (tecnologie di potenziamento della privacy); la sensibilizzazione del consumatore quale strumento per promuovere la privacy; la cooperazione internazionale per scopi di lotta alla criminalità ed i suoi rapporti con la privacy; i rischi e le prospettive dell’uso di dati sanitari e genetici.

Quest’ultimo argomento, in particolare, ha permesso di esaminare le conseguenze della recente approvazione dell’Health Insurance Information Portability Act, che riguarda la gestione dei dati personali dei pazienti rispetto al pagamento dei servizi sanitari. Il Regolamento recentemente emanato dal Ministero della sanità USA per chiarire l’applicazione della legge, assai complessa e articolata, ha eliminato il requisito del consenso del paziente all’uso dei propri dati personali per le finalità sanitarie. Ciò ha suscitato numerose polemiche, soprattutto rispetto ai rischi connessi a specifici trattamenti e/o studi (DNA, terapia genica). L’opinione di alcuni esperti (Peter Swire, Gregory Fowler) è quella di ripensare in modo organico la gestione della privacy in questo settore, evitando approcci non sistematici, anche perché in tal modo sarà possibile ridurre i costi di gestione. L’Executive Order di Clinton relativo al divieto di discriminazione dei dipendenti federali sulla base dei risultati di test genetici è stato più volte citato in questo contesto.

Due interventi hanno suscitato particolare interesse: quello dell’attuale direttore della Federal Trade Commission, Timothy J. Muris, e quello di Larry Irving, ex-consigliere per le nuove tecnologie presso il ministero del commercio durante l’amministrazione Clinton e "inventore" dell’espressione "digital divide" (il divario tecnologico). I due relatori sono intervenuti nel corso delle colazioni di lavoro offerte dagli organizzatori. Muris ha sottolineato soprattutto l’impegno della FTC per sensibilizzare e stimolare le imprese sul tema privacy, anche alla luce dell’accordo di Safe Harbor con l’UE. Muris ha dichiarato che la FTC intende impegnarsi in modo particolare nella lotta allo spamming e nella regolamentazione delle attività di telemarketing, e ha invitato i consumatori a collaborare con la FTC, rilevando che, comunque, nel corso degli ultimi anni sono cresciuti nell’opinione pubblica l’attenzione e l’interesse per la tutela della privacy. Irving si è concentrato invece sul digital divide e sull’esistenza anche negli USA di sacche di vero e proprio analfabetismo informatico. Ha quindi richiamato il governo al rispetto degli impegni che Clinton aveva assunto nel corso della sua presidenza verificando che le discriminazioni esistenti non siano ulteriormente accresciute a causa della disparità di accesso alle nuove tecnologie.