Banche e trasparenza
L’estratto conto non esaurisce la richiesta di accesso da parte dei clienti ai loro dati personali

In caso di richiesta di accesso ai dati personali avanzata da un cliente, la banca non può limitarsi ad un semplice rinvio agli estratti conto forniti mensilmente. L’istituto di credito deve assicurare un completo riscontro dei dati in suo possesso, anche quando questi siano stati già, in tutto o in parte, eventualmente comunicati. In ogni caso, se l’operazione di estrapolazione e trascrizione  fosse particolarmente complessa, la banca può far visionare la documentazione  al cliente o rilasciargliene copia.

Lo ha precisato il Garante accogliendo il ricorso di un titolare di una carta di credito che lamentava l’inerzia dell’istituto di fronte alla richiesta di accesso, formulata ai sensi della legge sulla privacy, con la quale egli chiedeva di conoscere i dati che lo riguardavano, la loro origine,  modalità e finalità del trattamento ed il nominativo del responsabile. La conoscenza di questi dati  gli avrebbe permesso di verificare un eventuale indebito utilizzo da parte di terzi di una carta che aveva smarrito.

Il cliente  manifestava, inoltre, la volontà di non ricevere più informazioni commerciali o promozionali.

Nel corso dell’istruttoria l’interessato ribadiva le sue richieste, contestava l’invio di altro materiale pubblicitario e chiedeva che le spese del procedimento venissero imputate alla banca. L’istituto di credito, da parte sua, comunicava di detenere dati rilasciati dal ricorrente al momento della sottoscrizione dei contratti, dati relativi alle carte stesse e alle operazioni di spesa effettuate, ma forniva un quadro riepilogativo in cui erano indicati solo alcuni dati personali, affermando che le transazioni effettuate venivano comunicate in modo analitico direttamente al titolare tramite l’invio mensile dell’estratto conto. La banca asseriva, inoltre, di aver dato disposizioni  per far cessare ogni invio di informazioni commerciali.

Il Garante, pur ritenendo idoneo il parziale riscontro della banca (in riferimento a numeri di telefono, titolo di studio e professione), non lo ha però ritenuto sufficiente per i dati collegati alle rendicontazioni periodiche. Ha ordinato, quindi, all’istituto di credito di integrare i riscontri inviati fornendo al ricorrente, entro un termine stabilito, tutti quelli contenuti nei resoconti contabili disponibili negli archivi cartacei ed automatizzati, o di mettergli a disposizione una copia della documentazione.

Alla banca sono state addebitate le spese del procedimento, stabilite in 250 euro, da rifondere al ricorrente.

Fax legittimo tra P.A.
I dipendenti pubblici sono comunque tenuti al rispetto della riservatezza dei dati personali

E’ legittimo l’uso del fax nelle comunicazioni tra amministrazioni pubbliche. In ogni caso, i dipendenti incaricati dalle amministrazioni all’invio e alla ricezione delle comunicazioni tramite fax   (indipendente dal grado e dalla funzione ricoperta) devono sempre  rispettare gli obblighi di riservatezza e le misure di sicurezza che la legge sulla privacy pone a protezione dei dati personali trattati. Naturalmente i dati comunicati non devono essere eccedenti  rispetto agli scopi per i quali vengono richiesti.

Ribadendo queste indicazioni di carattere generale, alle quali le amministrazioni devono attenersi per un corretto trattamento dei dati,   l’Autorità Garante  ha rigettato il ricorso di una dipendente che contestava le modalità con le quali il datore di lavoro pubblico aveva effettuato alcuni accertamenti nei suoi confronti. Nel caso in esame l’amministrazione della dipendente  aveva inviato alla segreteria del personale del Comune dove lavora il marito, un fax nel quale si chiedeva, per ragioni amministrative legate all’istruttoria della posizione della signora,  se il coniuge usufruisse dei benefici prevista dalla legge sulla tutela dell’handicap (104/1992).  La ricorrente,  nell’istanza rivolta prima all’amministrazione e poi al Garante, contestava l’uso del fax come mezzo di comunicazione idoneo, evidenziava la possibile divulgazione a terzi di informazioni personali senza il suo consenso e chiedeva inoltre la condanna del titolare al risarcimento del danno.

Nel corso dell’istruttoria l’Autorità ha accertato la legittimità dell’operato dell’ente pubblico, il quale non deve richiedere il consenso dei dipendenti per trattare i loro dati e risulta aver agito nel rispetto   delle norme di legge e di regolamento. La comunicazione tramite fax, infatti, è consentita dalla legge ed è stata effettuata per ragioni istituzionali rispettando i limiti di pertinenza e non eccedenza dei dati trattati.

Per quanto riguarda, infine, la richiesta di risarcimento del danno, questa   può essere proposta, se ricorrono i presupposti,  solo di fronte al giudice ordinario.

La tutela dei diritti fondamentali nell’UE dopo l’11 settembre 2001

E’ stato pubblicato di recente il primo rapporto di un gruppo indipendente di esperti incaricato dalla Commissione europea di monitorare lo stato dei diritti fondamentali in Europa alla luce dei principi sanciti dalla Carta dei diritti fondamentali dell’Unione europea. Nel documento gli esperti esprimono diverse perplessità sulle scelte legislative operate dall’Unione Europea e dai Paesi UE dopo gli eventi dell’11 settembre 2001 (il testo integrale è disponibile in lingua inglese all’indirizzo sul sito  http://europa.eu.int/...).

Il gruppo di esperti è stato costituito nel settembre del 2002 sulla base di una raccomandazione del Parlamento Europeo (contenuta nella risoluzione approvata il 5 luglio 2001 sulla situazione dei diritti fondamentali nell’UE). Le opinioni espresse dai 16 esperti non sono vincolanti né per il Parlamento né per la Commissione (il Gruppo è coadiuvato, in termini organizzativi, dalla direzione generale “Giustizia e Affari Interni” della Commissione Europea).

Il rapporto svolge un’analisi dettagliata della rispondenza fra le iniziative assunte dall’UE e dagli Stati membri nel corso del 2002 ed i principi sanciti dalla Carta dei diritti fondamentali, articolo per articolo. Alcuni punti di particolare rilevanza sono riassunti di seguito:

- la definizione di “terrorismo” nella decisione-quadro dell’ UE sulla lotta al terrorismo del 13 giugno 2002: un reato per scopi di terrorismo giustifica il ricorso a particolari metodiche di indagine che possono comportare gravi interferenze nella vita privata dei cittadini (ad esempio, intercettazioni ambientali e uso di strumenti di sorveglianza occulta). La definizione di “reato terroristico” deve dunque essere sufficientemente precisa per legittimare tali interferenze; così non sembra essere, a parere degli esperti, in quanto la distinzione fra reati “di terrorismo” ed altri reati si basa, nella decisione sopra ricordata, sulla gravità delle rispettive conseguenze e sugli obiettivi perseguiti dei responsabili;
- il mandato di arresto europeo: anche in questo caso, i margini di interpretazione nell’applicare gli estremi per il ricorso a tale misura (prevista nella decisione-quadro sopra citata) sono giudicati troppo ampi e potenzialmente in grado di comprimere diritti fondamentali;
- protezione dei dati personali e cooperazione con Paesi terzi, in particolare gli USA: gli Stati membri dell’UE devono evitare di fornire assistenza a Stati terzi qualora ciò possa comportare la violazione di diritti fondamentali della persona in oggetto. Ciò vale, in particolare, per il diritto alla protezione dei dati personali, sancito dall’Articolo 8 della Carta dei diritti fondamentali. Già la direttiva europea in materia (95/46) prevede (Art. 25) che sia possibile trasferire dati in Paesi “terzi” soltanto se questi Paesi assicurano un livello adeguato di protezione. Anche la Convenzione che ha istituito l’Ufficio europeo di polizia (Europol), nel 1995, definisce le condizioni alle quali Europol può trasmettere a terzi (Stati o organismi) dati personali raccolti attraverso i propri servizi. Gli esperti ritengono che queste disposizioni debbano essere lette, appunto, alla luce dell’Art. 8 della Carta dei diritti fondamentali: l’assenza, in particolare negli USA, di un’autorità di controllo indipendente con il potere di vigilare sulla trasmissione di dati da parte di Europol e sull’utilizzazione di tali dati da parte dei vari servizi USA deve essere sottolineata;
- progetto di Raccomandazione del Consiglio UE sulla definizione di “profili terroristici”: la definizione di profili di potenziali terroristi sulla base di informazioni quali cittadinanza, livello di istruzione, luogo di nascita, caratteristiche psico-sociologiche non appare compatibile con l’art. 15 della direttiva 95/46, che sancisce il diritto per ciascuna persona di non essere sottoposta a decisioni che producano effetti significativi su tale persona e si basino esclusivamente su trattamenti automatizzati. Gli esperti sottolineano come sia necessario dimostrare l’esistenza di un rapporto statisticamente significativo fra tali caratteristiche/profili ed il rischio di terrorismo;
- misure “urgenti” adottate dagli Stati UE dopo l’11 settembre: il gruppo esprime dubbi sulla proporzionalità fra la restrizione delle libertà personali ed i rischi che tali misure intendono scongiurare. Secondo gli esperti tali restrizioni, legate alla possibile minaccia terroristica, devono limitarsi a quanto strettamente necessario, avere natura temporanea e non permanente, ed essere riesaminate a intervalli regolari. Deve trattarsi di misure specifiche che consentano di colpire, per quanto possibile, solo i soggetti che si intende perseguire.