g-docweb-display Portlet

Newsletter 29 maggio - 4 giugno 2000

Stampa Stampa Stampa

Newsletter 29 maggio - 4 giugno 2000  

 

  • Reti civiche. Le linee guida del Garante per la gestione dei dati
  • L´Autorità sollecita i Comuni ad applicare le norme sulla privacy
  • Canone Rai: le garanzie per i dati personali degli abbonati
  • No a norme sulla privacy online negli Usa
  • La protezione viene prima dei controlli informatici

 

Reti civiche. Le linee guida del Garante per la gestione dei dati

Il Garante ha affrontato con un nuovo provvedimento il rapporto tra privacy ed enti locali, anche in relazione allo sviluppo dei servizi offerti da molte amministrazioni attraverso reti Intranet e Internet. In un parere fornito su richiesta dell´Associazione nazionale dei comuni italiani (Anci) l´Autorità ha, infatti, indicato le linee guida che devono essere osservate per assicurare una corretta ed uniforme applicazione della legge: in particolare per quanto riguarda la gestione dei flussi informativi delle c.d. reti civiche che consentono di accedere per via telematica anche ad informazioni, notizie, banche dati e archivi degli enti locali.

Nel provvedimento sono state esaminate anche altre questioni di assoluto rilievo per l´attività dei Comuni, tra le quali la conoscibilità dei dati trattati dai servizi sociali e la comunicazione di quelli relativi agli stranieri minorenni ai fini del rimpatrio nei Paesi d´origine.

Per quanto riguarda le reti civiche il Garante ha sottolineato che la legge sulla privacy non pone ostacoli al principio di trasparenza e di pubblicità dell´attività amministrativa (salvo che per la sola diffusione di dati sanitari, che è vietata), ma allo scopo di evitare una divulgazione ingiustificata delle informazioni in possesso delle amministrazioni e degli enti pubblici, ha stabilito che questi ultimi possano diffondere dati personali se ciò è previsto da norme di legge o di regolamento e comunque nel rispetto dei limiti già fissati per ciascun settore dalla disciplina di riferimento e del recente decreto legislativo n. 135 del 1999 sui dati "sensibili".

Da qui l´esigenza che l´ente locale adotti un regolamento per disciplinare l´ambito e le modalità di accesso alle informazioni contenute nelle banche dati, tenendo conto del regime di pubblicità eventualmente previsto per ciascun tipo di informazione.

Ad esempio, mentre la pubblicazione di elenchi nominativi riguardanti il rilascio di concessioni e autorizzazioni edilizie non incontra ostacoli, è invece vietata la comunicazione o la diffusione attraverso le reti civiche dei dati personali provenienti dagli archivi anagrafici o dai registri dello stato civile, che sono soggetti ad un regime di pubblicità soltanto parziale disciplinato da norme dello Stato.

Rispetto a questi ultimi dati esistono, infatti, specifiche disposizioni di legge che prevedono solo il rilascio di determinati certificati o di estratti di atti o che consentono l´accesso alle informazioni anagrafiche per scopi di pubblica utilità o per specifiche finalità (ad es. per scopi statistici o di ricerca scientifica).

Il Garante, facendo riferimento ad una sua recente decisione, ha infatti ribadito che la libera consultazione delle anagrafi e la loro indifferenziata interconnessione con le banche dati di altri soggetti pubblici darebbe luogo ad una nuova forma di gestione e di accesso agli atti anagrafici che potrebbe essere consentita solo con l´eventuale introduzione di apposite modifiche normative volte ad estendere il regime di pubblicità previsto per questi dati.

L´Autorità ha anche precisato che nel regolamento per la gestione delle reti civiche, l´ente locale può anche prevedere che la diffusione dei dati avvenga mediante la pubblicazione di riviste e di notiziari telematici. In tal caso il trattamento dei dati avviene per finalità di tipo giornalistico e i Comuni sono tenuti ad adempiere ai soli obblighi previsti per gli editori e per i giornalisti dalla legge 675 e dal codice di deontologia. Se l´accesso alla rete civica avviene attraverso una postazione pubblica, il Comune, oltre a dotarsi delle misure minime di sicurezza previste dal regolamento n. 318/99 per prevenire la dispersione, la distruzione o l´uso illecito dei dati personali, deve attrezzare tali postazioni con sistemi che garantiscano la riservatezza delle operazioni effettuate dall´utente impedendo ai successivi utilizzatori di conoscere o di poter ricostruire le informazioni che sono state acquisite dalla Rete.

In risposta ad un altro dei quesiti formulati dall´Anci in merito alla conoscibilità dei dati personali trattati dai servizi sociali, alcune volte assai delicati, il Garante ha ricordato che in base alla legge sulla privacy l´interessato ha diritto di accedere soltanto alle informazioni che lo riguardano personalmente, e di ottenerne copia in versione cartacea ovvero in formato elettronico. Questo diritto può inoltre essere sospeso temporaneamente durante il periodo nel quale la conoscenza dei dati potrebbe danneggiare lo svolgimento di indagini penali o la tutela di un diritto in sede giudiziaria.

In relazione, infine, al trattamento dei dati di minori stranieri a fini di rimpatrio, l´Autorità ha precisato che i servizi socio-assistenziali degli enti locali possono comunicare immediatamente tali informazioni anche agli organi di paesi extracomunitari interessati, poiché tale attività rientra tra quelle contemplate dalla legge sulla privacy per salvaguardare un interesse pubblico rilevante che è già stato individuato dal Garante con il provvedimento n. 1/P/2000.

 

L´Autorità sollecita i Comuni ad applicare le norme sulla privacy

Il Garante per la protezione dei dati personali ha sollecitato i Comuni italiani a dare rapida e compiuta attuazione alle norme sulla privacy e ha fornito una serie di indicazioni e di chiarimenti volti a facilitare una corretta ed uniforme applicazione della normativa sul trattamento dei dati da parte delle amministrazioni comunali. Come molte amministrazioni pubbliche, anche i Comuni sono in forte ritardo nel porre in essere gli adempimenti previsti a garanzia dei cittadini.

In risposta all´Associazione Nazionale dei Comuni Italiani (ANCI) che aveva evidenziato alcuni problemi sull´applicazione delle norme sulla riservatezza dei dati da parte delle amministrazioni comunali, l´Autorità ha ribadito l´esigenza di dare con tempestività attuazione alle previsioni della legge sulla protezione dei dati effettuando la nomina degli "incaricati del trattamento", cioè del personale che gestisce materialmente i dati degli incaricati, chiarendo quali dati trattati dai servizi sociali possono essere conosciuti dagli interessati, definendo il limite temporale per la conservazione dei dati, regolamentando l´accesso telematico agli archivi e la divulgazione dei dati.

Ma l´attenzione del Garante si è incentrata, in particolare, sulla necessità di una rapida adozione dei regolamenti previsti dal recente decreto legislativo in materia di utilizzo di dati sensibili da parte delle pubbliche amministrazioni. I Comuni hanno infatti l´obbligo di svolgere una puntuale ricognizione delle categorie delle informazioni raccolte, utilizzate e conservate e, proprio attraverso l´emanazione di questi regolamenti, di identificare e rendere pubblici i tipi di dati e le operazioni che con essi si possono eseguire. Tale adempimento, che ha quindi lo scopo di garantire l´uso corretto dei dati più delicati dei cittadini da parte delle amministrazioni comunali, semplificando al tempo stesso le procedure, deve però avere caratteri di uniformità in modo da evitare diversità ingiustificabili e contrasti nel trattamento dei dati fra Comune e Comune.

In questo senso, gli schemi finora messi a punto dall´ANCI e già diffusi, da una parte appaiono carenti e, dall´altra, non risultano sempre conformi alle norme in materia di protezione dei dati personali. Essi vanno, pertanto, rivisti e corretti significativamente.

L´Autorità ha auspicato che l´ANCI avvii una approfondita e rapida riflessione su tali schemi di regolamento e ha offerto la massima collaborazione alle iniziative che i Comuni intendono adottare allo scopo di assicurare un corretto ed omogeneo rispetto degli adempimenti previsti dalle norme sulla privacy.

 

Canone Rai: le garanzie per i dati personali degli abbonati

La Rai potrà avvalersi della collaborazione di società private per svolgere alcuni compiti di gestione degli archivi elettronici e cartacei dei propri abbonati, purché ciò avvenga nel rispetto degli obblighi previsti dalla legge sulla privacy.

Lo ha stabilito il Garante in un parere fornito su richiesta del ministero delle Finanze in relazione alla possibilità per la concessionaria del servizio pubblico radiotelevisivo di utilizzare anche ditte private specializzate, per la gestione degli archivi elettronici e cartacei con i dati personali degli abbonati.

Il trattamento di queste informazioni è già, infatti, da tempo affidato dal Ministero delle Finanze alla Rai nell´ambito di una convenzione stipulata ai fini della riscossione del canone radio-tv e dei tributi connessi. L´amministrazione finanziaria ha sottoposto all´Autorità una bozza di modifica della convenzione che avrebbe potuto consentire alla Rai di delegare a sua volta direttamente a terzi le attività inerenti alla gestione dei dati sugli abbonati.

Il Garante ha pertanto chiesto di adeguare l´atto integrativo della convenzione alla legge sulla privacy, la quale ammette la possibilità di delegare ad un terzo, il cd. "responsabile" del trattamento, la gestione delle informazioni contenute nella banca dati del titolare (in questo caso il Ministero delle Finanze), ma prevede che tale nomina competa esclusivamente al titolare del trattamento anziché al "responsabile". L´affidamento ad altri privati della gestione dell´archivio abbonati è pertanto possibile, ha precisato l´Autorità, solo con una formale designazione da parte dell´amministrazione finanziaria dei nuovi responsabili che possono essere indicati anche dalla Rai, i quali dovranno assicurare le garanzie di riservatezza sui dati degli abbonati.

Le società private designate come ´responsabili´ del trattamento avranno, infatti, l´obbligo di attenersi alle istruzioni impartite dal Ministero delle Finanze, che potrà anche effettuare verifiche periodiche. Le società private in questione dovranno, inoltre, individuare per iscritto le persone fisiche incaricate di compiere le operazioni previste dalla convenzione per la riscossione del canone e adeguarsi alle misure minime di sicurezza previste dal regolamento n. 318/99 allo scopo di evitare la perdita, la distruzione o l´uso illecito dei dati degli abbonati.

 

No a norme sulla privacy online negli Usa
(articolo pubblicato sul Financial Times del 24 maggio)

Il governo USA dovrebbe mettere alla prova i sistemi basati sull´autoregolamentazione prima di introdurre norme rigide per la privacy online – così ha affermato ieri un dirigente della commissione per le comunicazioni.

William Kennard, presidente della Commissione federale per le comunicazioni, ha dichiarato che esistono "forti incentivi di mercato per la definizione da parte delle imprese di un´autonoma regolamentazione di queste problematiche legate alla privacy."

La dichiarazione fa seguito di appena un giorno alla pubblicazione di un rapporto da parte della Federal Trade Commission sulla privacy online, in cui si raccomandava di dare alla FTC ampi poteri per obbligare i siti Web ad aderire a norme sulla privacy.

Tuttavia, l´opinione prevalente fra gli addetti ai lavori a Washington è che le raccomandazioni della FTC non troveranno seguito nell´immediato.

La Forrester, una società di ricerca indipendente, ha affermato di non ritenere probabile l´emanazione di norme legislative sulla privacy online prima del 2001.

Kennard, che ha tenuto una prolusione durante un convegno fra imprenditori, ha dichiarato che si trattava di un´opinione personale, e che non stava parlando per conto della Commissione federale per le comunicazioni; tuttavia, le sue dichiarazioni contrastano nettamente con la posizione della FTC, che all´inizio della settimana aveva indicato come "l´autoregolamentazione non sia bastata, da sola, a garantire una tutela adeguata della privacy dei consumatori online".

La FCC, che è l´agenzia incaricata di regolamentare le comunicazioni negli USA, ha seguito le indicazioni di Kennard e ha preferito non emanare norme relative ad Internet – richiamandosi alla propria posizione storicamente contraria alla regolamentazione dei cosiddetti "servizi informazionali" come l´avviso di chiamata e le caselle vocali.

William Daley, ministro per il commercio, ha dichiarato che l´Amministrazione avrebbe proseguito nel dialogo con il settore privato.

 

La protezione viene prima dei controlli informatici
(editoriale del Garante berlinese pubblicato su Die Welt del 24 maggio)

Il governo federale tedesco ha in progetto l´emanazione di un decreto che dà agli uffici finanziari, nel quadro dei controlli fiscali sulle imprese, il diritto di visionare i sistemi di elaborazione dati delle singole imprese e di utilizzare tali sistemi anche per il controllo della documentazione di appoggio.

In prima battuta la proposta governativa sembra segnalare la volontà di adeguare l´attuale quadro normativo alle possibilità delle moderne tecnologie, mettendo i controlli al passo con i sistemi automatizzati di elaborazione dati dei quali si sono dotate le imprese. Un adeguamento agli sviluppi tecnologici non può che essere accolto con soddisfazione, soprattutto perché porterebbe un vantaggio in termini di tempo e costi sia per le imprese nei loro rapporti con il fisco, sia, in particolare, per lo Stato. Resta però da chiedersi cosa si nasconda dietro l´attuale formulazione della proposta di legge in termini di principi relativi alla protezione dei dati.

Per quanto riguarda questo aspetto, si tratta essenzialmente di capire quale sia il volume di informazioni ai quali può accedere l´ispettore dell´ufficio finanziario nel corso delle sue attività di controllo. Ma quali dati possono essere veramente sottratti allo sguardo dell´ispettore se si concede un accesso globale ai meccanismi di elaborazione dati? E che succede se i dati necessari non possono essere tenuti separati, da un punto di vista tecnico, da quelli che non sono necessari ai fini dell´ispezione? Quali interessi prevalgono?

Se, per esempio, l´ispettore effettua un controllo sugli stipendi corrisposti ovvero su prestazioni finanziarie relative a dipendenti, nell´aprire i vari file si trova necessariamente dinanzi ai dati personali di altri dipendenti e, forse, di terzi. Nella maggioranza dei programmi di elaborazione di dati personali l´accesso ai dati avviene attraverso l´inserimento del codice numerico corrispondente al singolo dipendente. Ad ogni consultazione si ottiene l´accesso a tutti i dati personali e dunque non soltanto a quelli pertinenti a fini fiscali, ma anche ad altre informazioni sul singolo dipendente (ad esempio, assenze, eventuali cessioni stipendiali, dati sulla carriera, valutazioni su rendimento e prestazioni).

La maggioranza di questi dati non ha alcun rilievo ai fini del controllo fiscale. Il problema, in termini di protezione dati, consiste nel capire come sia possibile limitare l´accesso ai dati effettivamente necessari per l´ispezione. Il principio della necessità del dato costituisce, in quanto corollario del principio di proporzionalità, un pilastro essenziale del diritto all´autodeterminazione informazionale. La fiducia nell´impegno del singolo dipendente di un ufficio finanziario a visionare o estrarre solo i dati necessari non è sufficiente a garantire la proporzionalità del vulnus portato ai diritti di terzi.

Anche in questo caso si impone indubbiamente una soluzione del problema di tipo tecnico – che però non è attualmente possibile. Da un´indagine della Società per la protezione e la sicurezza dei dati (CDD) presso 191 fornitori di software standard per l´elaborazione di dati personali, è emerso chiaramente che 38 imprese su 46 che avevano risposto non ritenevano al momento possibile limitare l´accesso esclusivamente ai dati pertinenti a fini fiscali attraverso il software da loro prodotto. Queste 38 imprese comprendono, in particolare, i leader nel mercato del software di elaborazione dati.

Il problema connesso al fatto che i sistemi di elaborazione dati delle imprese non dispongono di modalità di accesso differenziato, come sarebbe invece richiesto dalla normativa sulla protezione dei dati, non può che aggravarsi se gli uffici finanziari otterranno l´accesso ai sistemi di elaborazione dati in questione.

Date le circostanze, il legislatore deve rimandare l´entrata in vigore della norma in oggetto per un periodo transitorio in modo da dare alle imprese la possibilità di adeguare i sistemi di elaborazione dati alle esigenze della normativa sulla protezione dei dati.

Hansjürgen Garstka - Incaricato per la protezione dei dati e l´accesso ai documenti amministrativi della città di Berlino.