Newletter 7 - 13 maggio 2001

• I nuovi diritti nella Società dell´informazione. Forum P.A. 2001
• Studi di settore:il Garante chiede maggiori cautele nell´uso dei dati

I nuovi diritti nella Società dell´informazione. Forum P.A. 2001

L´8 maggio si è svolto al Forum della P.A. il convegno organizzato dall´Autorità Garante per la protezione dei dati personali dedicato a "I nuovi diritti nella Società dell´informazione. Rispetto, qualità, trasparenza nel rapporto tra cittadini e pubblica amministrazione dopo la legge sulla privacy" , al quale hanno partecipato il Presidente dell´Autorità, Stefano Rodotà, il Vicepresidente, Giuseppe Santaniello e i due componenti Gaetano Rasi e Mauro Paissan.

Il convegno è stata l´occasione per tracciare un bilancio delle novità introdotte dalla legge sulla privacy e della azione svolta dal Garante nel quadro del miglioramento del sistema Paese in termini di maggiore qualità nel rapporto tra cittadini, utenti, amministrazioni pubbliche ed imprese, ma anche per indicare le nuove sfide lanciate alla privacy dalla società dell´informazione.

New economy, new privacy

Nell´aprire i lavori, il Vicepresidente Giuseppe Santaniello ha delineato un quadro di prospettiva delle nuove frontiere della protezione dei dati e ha espresso l´esigenza, in un´epoca di globalizzazione, di pensare un nuovo concetto di privacy.

"Sulla linea di un orizzonte planetario - ha affermato Santaniello - non si scorge solo la new economy, ma si intravede anche la privacy profondamente rinnovata. Si tratta non solo della tutela di un diritto inteso quale guscio protettivo dell´individuo, ma soprattutto di una garanzia che si riflette sui grandi cicli di sviluppo economico-sociale". Il nuovo processo evolutivo - secondo il Vicepresidente del Garante - coincide sostanzialmente con l´avvento della globalizzazione che comporta un incisivo mutamento delle prospettive di tutela della privacy. Come tappe fondamentali di questo nuovo ciclo dinamico del diritto alla riservatezza Santaniello ha citato la Carta di Venezia, sottoscritta dai Garanti europei nel settembre scorso, e la Carta europea dei diritti fondamentali. La prima ha fissato il riconoscimento a livello globale di linee guida per il trattamento dei dati personali e il rafforzamento delle garanzie per particolari dati come quelli genetici o legati alle forme della sorveglianza elettronica; la seconda, con un rilievo di evento storico, ha impresso alla protezione dei dati personali i caratteri di diritto di libertà.

Nel mercato delle informazioni personali va assistita da maggiori garanzie la possibilità di utilizzare dati sensibili, in particolare quelli sulla salute. Questa attenzione è destinata a crescere di pari passo con la disponibilità di dati e di test genetici per i quali il Garante ha svolto un ruolo di battistrada e ha tracciato le linee guida per inquadrare giuridicamente il delicato problema. L´evoluzione normativa dell´intera materia non può più affidarsi ad una fonte legislativa monocentrica, bensì ad un policentrismo di fonti, collocate in una coordinata sequenza a vari livelli (attraverso leggi nazionali, l´adozione di codici-modello di formazione autodisciplinare) "Si realizza in tal modo - ha speigato il Vicepresidente dell´Autorità - quel moderno processo regolatore, frutto della convergenza di molteplici fonti normative, che si definisce "coregulation".

La privacy, ha concluso Santaniello, è caratterizzata non solo da uno sviluppo evolutivo, ma anche da una espansione quantitativa che si manifesta nella acquisizione di nuovi campi di attività. Il diritto alla privacy diventa una "costellazione di diritti".
 

Privacy, e-commerce e direct marketing

Secondo Gaetano Rasi "la tutela della privacy costituisce il necessario presupposto per lo sviluppo del commercio elettronico". In apertura del suo intervento, il componente dell´Autorità ha citato i dati contenuti nell´indagine della X Commissione Attività produttive della Camera dei Deputati sul commercio elettronico, pubblicata in questi giorni e ai cui lavori ha partecipato lo stesso Rasi: gli utenti Internet a livello mondiale erano nel luglio scorso già 360 milioni. Il problema che dunque oggi si pone è quello di garantire libertà di sviluppo ai mercati, da un lato riducendo al minimo i vincoli e, dall´altro, garantendo la necessaria tutela ai diritti dell´individuo. "Si tratta dunque - ha affermato Rasi di una vera e propria navigazione tra Scilla e Cariddi, tra la libertà di intraprendere e i diritti di riservatezza del singolo".

Secondo Rasi, la tutela della riservatezza non solo non contrasta con lo sviluppo del commercio elettronico, ma costituisce il suo necessario presupposto. Sempre più spesso gli utenti ed i consumatori scelgono l´operatore o il fornitore di servizi a cui si rivolgono tenendo conto della politica in materia di privacy che essi adottano.

Questo fa sì che oggi l´adozione di pratiche rispettose dei diritti delle persone sia divenuta un importante fattore di concorrenza fra gli operatori del settore. "Anche al di là di ogni considerazione sui profili inerenti alla protezione dei diritti fondamentali delle persone - ha proseguito Rasi - le pratiche troppo aggressive di marketing via Internet si rivelano inefficaci e controproducenti per chi le attua sul piano della riuscita commerciale con un rifiuto generalizzato del cosiddetto spamming."

Il conferimento all´utente di un´informativa completa ed esauriente sui trattamenti che verranno svolti sui suoi dati, ed il riconoscimento della facoltà di dare il proprio consenso informato ai trattamenti medesimi - ha concluso il componente dell´Autorità - costituiscono ormai un presupposto necessario per garantire la fidelizzazione dei clienti nel tempo. 

Privacy nell´ e-government

"Il processo di reingegnerizzazione dell’attività amministrativa non può svolgersi indipendentemente dalla normativa sul trattamento dei dati personali. Al contrario essa rappresenta un presupposto ineludibile dell’e-governance." Lo ha affermato l’on.le Mauro Paissan nel corso del suo intervento . La centralità dell´e-government rischia per Paissan di essere una formula sviante o addirittura unilaterale se disgiunta dalla cosiddetta e-citizenship, quella "cittadinanza elettronica" che è stata al centro della Conferenza internazionale di Venezia, organizzata dal Garante nel settembre scorso.

"L’ordinamento - ha osservato Paissan - ha predisposto uno strumento idoneo ad agevolare lo sviluppo dell’e-government nel rispetto dei diritti fondamentali della persona: si tratta dell’obbligo di consultazione del Garante, da parte del Presidente del Consiglio e di ciascun ministro, all’atto della predisposizione delle norme regolamentari e degli atti amministrativi suscettibili di incidere sulle materie disciplinate dalla legge 675/96. Purtroppo, nonostante la lungimirante previsione legislativa, il Garante ha dovuto reiteratamente far rilevare alla Presidenza del Consiglio l’inosservanza di quest´ obbligo, giungendo in ultimo a rendere pubblico il rischio di annullabilità, per violazione della legge sulla tutela dei dati, dei regolamenti e degli atti amministrativi adottati senza la prescritta previa consultazione del Garante". Pur sottolineando i buoni risultati raggiunti con singole amministrazioni, il componente del Garante ha evidenziato episodi nei quali il parere seppure richiesto non è stato poi osservato. "E non si è trattato di violazioni di poco conto - conclude Paissan - è paradigmatico il caso delle tessere elettorali, valide per 18 votazioni. E’ palese la loro idoneità ad incidere significativamente su diritti fondamentali del cittadino quali la riservatezza di talune, magari assai intime, vicende personali, talora desumibili dalla sede della sezione; la libertà di voto, potendo rappresentare uno strumento improprio di "coazione ed infine anche la segretezza del voto, nei casi di astensione nell’eventualità di referendum o di ballottaggio".

Sottolineando come l´introduzione di nuove tecnologie al servizio dei cittadini (call centers, web cams ecc.) implichi un incremento nel flusso di informazioni personali, Paissan ha concluso che la "reingegnerizzazione" della P.A. non può prescindere da una "valutazione d´impatto" sulla privacy dei cittadini.

Il modello europeo di privacy

I lavori del convegno sono stati conclusi dal Presidente dell´Autorità, Stefano Rodotà.

Nel tracciare il bilancio dei primi quattro anni e dei cambiamenti intervenuti nel rapporto tra cittadini e P.A. e tra cittadini ed imprese, Rodotà ha iniziato riconoscendo che la storia della privacy in Italia è una "storia di successo" che ha permesso la crescita e lo sviluppo di un´autentica cultura del rispetto e la riscoperta di norme che esistevano prima della legge n.675 del 1996, ma che erano rimaste inapplicate. Le decine di migliaia di impulsi venuti dai cittadini su problemi di ogni genere danno un chiaro esempio di come l´Italia sia oggi uno dei paesi dove con più efficacia si tutelano i dati personali e le libertà fondamentali delle persone.

L´impegno del Garante nei primi quattro anni di attività è stato rivolto alla introduzione di strumenti effettivi di tutela e alla promozione dei nuovi diritti di libertà, ma anche alla riduzione al minimo e semplificazione degli adempimenti. Il valore del lavoro svolto e del rigoroso impegno nella costruzione di una nuova cultura del rispetto è stato del resto riconosciuto anche in ambito internazionale con la nomina dello stesso Rodotà a presidente dei Garanti europei. Ed è proprio nella costruzione di un rigoroso sistema di garanzie a difesa dei diritti fondamentali delle persone che oggi si va imponendo quello che Rodotà ha definito "il modello europeo di tutela della privacy", specie rispetto a quanto accade ad esempio negli USA, dove il livello di protezione dei dati personali è bassissimo. Il Presidente del Garante ha ricordato, a questo proposito, come uno degli articoli più analitici della Carta europea dei diritti fondamentali riguardi proprio la tutela dei dati personali.

Nell´era della comunicazione e dell´informazione tecnologica - ha affermato Rodotà - la privacy rappresenta un "valore aggiunto" importante. Eppure la pubblica amministrazione continua ad intrattenere con il Garante rapporti "a corrente alternata" e a dimostrarsi sorda agli obblighi della privacy. Prova ne sia l´ultima vicenda legata alla tessera elettorale. Ignorare il parere dell´Autorità o addirittura non chiederlo per dare una prova di forza - ha concluso Rodotà- conduce ad errori e finisce per determinare inutili costi. 

Master P.A. sulla tutela dei dati personali

Il Master tenuto dal Segretario generale, Giovanni Buttarelli, e da due funzionari dell´Ufficio del Garante è stata l´occasione per un approfondito esame della legge n.675 del 1996 e dei principali concetti giuridici sui quali poggia il suo impianto normativo.

Buttarelli ha ricordato innanzitutto come l’Italia sia stato il primo tra i Paesi europei a recepire la Direttiva comunitaria sulla riservatezza dei dati e a dotarsi di una articolata e rigorosa normativa sulla privacy. La disciplina sulla tutela dei dati - ha sottolineato Buttarelli - è stata ampiamente integrata con l’emanazione di nove decreti legislativi e di un regolamento interno, che hanno permesso da un lato di sanare alcuni aspetti normativi che, specie per i rapidi tempi di approvazione della legge, si erano dimostrati di non facile interpretazione e, dall’altro, di integrare il testo originario della legge 675/96 per rispondere con maggiore puntualità e aderenza allo spirito originario della Direttiva comunitaria. La tutela dei dati personali, ha affermato Buttarelli, non va considerata come un ulteriore appesantimento complessivo della macchina burocratico-amministrativa, ma, al contrario, come uno strumento a disposizione di amministrazioni pubbliche e di società private per migliorare i servizi forniti al cittadino.

Ma tutto questo, per quanto fondamentale, rappresenta soltanto una fase preliminare. Oggi ci troviamo - ha concluso Buttarelli - alla vigilia di una vicenda normativa forse ancora più importante di quella del 1996. Il futuro Governo, sulla base della delega recentemente rinnovata dal Parlamento, avrà infatti il compito di approvare, entro il prossimo 31 dicembre, una serie di importanti provvedimenti in settori come Internet, direct marketing, videorveglianza mentre, entro il prossimo anno, è prevista l´emanazione di un testo unico sulla privacy.  

Studi di settore: il Garante chiede maggiori cautele nell´uso dei dati

Sono troppo generiche le previsioni sull´utilizzo di dati e informazioni da parte della Società per gli studi di settore contenute in uno schema di concessione. I dati devono essere quelli strettamente necessari e stabiliti per legge e occorre specificare gli scopi e i limiti per la loro utilizzazione.

In risposta alla richiesta di parere sullo schema di convenzione con il quale il Ministero delle Finanze intende affidare in concessione ad una società a partecipazione pubblica, studi e ricerche in materia tributaria, l’Autorità Garante ha rilevato l´assenza di idonee disposizioni nello schema messo a punto dall´amministrazione finanziaria e ha indicato i principi ai quali attenersi per il rispetto della legge sulla tutela della privacy.

Lo schema di convenzione esaminato, conteneva solo un articolo (art. 3) relativo all’utilizzo dei dati e alla riservatezza dei cittadini. Questa norma prevede che la società concessionaria (di cui il Ministero detiene una quota del capitale sociale non inferiore al 51%) sia autorizzata ad utilizzare dati e informazioni presenti nel sistema informativo dell’amministrazione che le saranno messi a disposizione in relazione all’incarico di volta in volta conferito ed alle direttive impartite da "Centri di responsabilità" (individuati nei vertici amministrativi ai quali fanno capo le unità revisionali di base).

Era previsto, inoltre, che la società di studi, per realizzare le sue ricerche, potesse avvalersi anche di informazioni fornite dall’Istat, dalle associazioni di categoria, da enti e istituzioni private e pubbliche o raccolte direttamente, previo accordo con i suddetti centri, attraverso indagini a campione. Lo schema di convenzione prevedeva, inoltre, che il Ministero delle finanze e i competenti centri di responsabilità si attivassero affinché gli organismi interpellati forniscano le informazioni richieste per consentire alla concessionaria di espletare l’incarico. Per quanto riguarda poi la sicurezza e la riservatezza dei dati in possesso dell’amministrazione finanziaria, lo schema stabilisce che la concessionaria dovrebbe attenersi alle norme in materia di protezione dei dati secondo le indicazioni fornite dai titolari del trattamento.

Queste disposizioni, sono state ritenute dal Garante del tutto generiche. Nel suo parere, l’Autorità ha invitato l’amministrazione finanziaria a specificare anzitutto le categorie di dati che intende mettere a disposizione della concessionaria sulla base delle vigenti norme di settore, rispettando i principi di pertinenza, proporzionalità e non eccedenza sanciti dall’art.9 della legge 675 del 1996 , e ad indicare espressamente quali informazioni possono essere raccolte direttamente dalla Società per gli studi di settore.

Il Garante ha precisato che i dati messi a disposizione della concessionaria possono essere esclusivamente quelli raccolti in base a disposizioni di leggi o regolamenti: non è possibile quindi ritenere che la convenzione possa autorizzare raccolte di dati ulteriori e diversi da quelle disciplinate dalle normative di settore.

Ha ravvisato, inoltre, l’esigenza che vengano chiariti i ruoli e le responsabilità del Ministero delle finanze, dei Centri di responsabilità e della concessionaria rispetto al trattamento dei dati personali ed ha invitato ad introdurre puntuali disposizioni in ordine alle finalità ed ai limiti dell’utilizzazione delle informazioni da parte della società di studi, avendo particolare cura nell’individuare appropriate misure relative alla sicurezza dei dati.

Il Garante ha ritenuto infine opportuno chiedere all’amministrazione di trasmettere al suo ufficio, per un esame preventivo, lo schema-tipo degli atti esecutivi che verranno stipulati tra concessionaria e centri di responsabilità e che daranno attuazione alla convenzione, in quanto tali atti potrebbero incidere in maniera sostanziale sul trattamento dei dati.

Riguardo, infine, all´eventuale possibilità, da parte della società, di commercializzare alcuni prodotti realizzati, il Garante ha segnalato che dalla concessionaria potranno essere diffusi solo dati anonimi.