Newsletter 28 febbraio - 5 marzo 2000

• Videosorveglianza: i Comuni devono rispettare la privacy.
• Dati statistici: via libera all´ingresso dei privati nel Sistan.
• Entro il 29 marzo misure di sicurezza obbigatorie per P.A. e privati.
• Emotrasfusi: servono norme per tutelare il diritto di difesa.
• Pressioni sull´Unione Europea per un accordo con gli U.S.A. 

Videosorveglianza: i Comuni devono rispettare la privacy

Gli enti locali che intendono dotarsi di sistemi di videosorveglianza del territorio e del traffico cittadino o di telecontrollo ambientale devono adeguare ai principi fondamentali previsti dalla legge sulla privacy anche le modalità di ripresa delle immagini. Tra le cautele da adottare vi è, tra l´altro, quella di limitare le possibilità di ingrandimento delle riprese e il livello di dettaglio sui tratti somatici delle persone inquadrate dalle telecamere nonché quella, segnalata in passato, di non inviare le riprese alla residenza delle persone eventualmente sanzionate.

Lo ha stabilito il Garante in un provvedimento nel quale si formulano una serie di osservazioni e di richieste di modifica al testo di un regolamento approvato da un Comune per disciplinare l´installazione e l´utilizzo di impianti di videosorveglianza e controllo finalizzati, tra l´altro, a rilevare i flussi di traffico, fornire informazioni sulla viabilità, individuare le infrazioni al codice della strada nonché le situazioni di pericolo per la sicurezza pubblica e dotare l´amministrazione di uno strumento attivo di protezione civile.

L´installazione di sistemi di videoserveglianza presenta numerose implicazioni con la disciplina sulla riservatezza dei dati personali e l´Autorità ha già avuto occasione di intervenire più volte sull´argomento, essendosi ormai diffuso tra le amministrazioni pubbliche il ricorso a sistemi di sorveglianza elettronica sull´accesso ai centri storici (disciplinato espressamente dal regolamento governativo n. 250/1999), o all´installazione di telecamere in funzione di deterrenza contro atti di vandalismo nelle zone archeologiche o la microcriminalità nei quartieri a rischio.

Nel provvedimento il Garante ha ricordato che la legge sulla privacy, avendo recepito i principi fissati in sede comunitaria, definisce come dato personale qualsiasi informazione che permette di risalire, anche indirettamente, all´identità della persona, compresi i suoni e le immagini. La legge n. 675/96 è dunque applicabile anche ai trattamenti di immagini effettuati attraverso la videosorveglianza, a prescindere dalla circostanza che i dati vengano registrati in un archivio o comunicati a terzi dopo l´attività di monitoraggio.

I sistemi di rilevazione devono, pertanto, essere attivati in presenza di un quadro articolato di garanzie.

Le finalità perseguite dalla telesorveglianza devono, innanzitutto, rispondere alle funzioni istituzionali demandate agli enti locali dalle norme nazionali, dall´ordinamento della polizia municipale o dagli statuti e dai regolamenti comunali. A queste condizioni, la videosorveglianza non necessita del consenso degli interessati in quanto la raccolta e l´utilizzazione dei dati vengono effettuate per lo svolgimento di funzioni istituzionali.

I sistemi installati devono rispettare le misure di sicurezza previste dalla legge sulla privacy e, in particolare, dal regolamento n. 318/99 riguardante le misure minime che dovranno essere obbligatoriamente adottate da tutte le pubbliche amministrazioni entro il prossimo 29 marzo per evitare i rischi di accesso non autorizzato ai dati, distruzione o perdita, anche accidentale degli stessi. L´ente locale deve, altresì, assolvere all´obbligo di informare i cittadini sull´esistenza e le finalità della videosorveglianza nonché sui diritti riconosciuti dalla legge sulla privacy, per esempio mediante l´affissione di avvisi in prossimità delle telecamere o degli impianti di telecontrollo.

Il Garante ha anche sollecitato il Comune a procedere ad una localizzazione più precisa delle telecamere nei vari punti della città e ad adottare accorgimenti tecnici che consentano di limitare le possibilità di ingrandimento o il livello di definizione delle immagini e dei volti delle persone, al fine di assicurare il rispetto dei principi di pertinenza e non eccedenza dei dati in relazione agli scopi perseguiti con l´attività di videosorveglianza. Ciò significa, per esempio, che le telecamere devono essere utilizzate al solo scopo di prevenire le violazioni del codice della strada, mentre vanno rigorosamente rispettate le norme che comunque vietano il controllo a distanza nei luoghi di lavoro.

Il Comune deve inoltre individuare i soggetti legittimati ad accedere alle registrazioni e indicare il soggetto o la struttura cui il cittadino si può rivolgere per esercitare i diritti di accesso alle informazioni che lo riguardano. Particolari garanzie vanno poi osservate in ordine all´analisi dei flussi di traffico ai fini delle rilevazioni statistiche.

Dati statistici: via libera all´ingresso dei privati nel Sistan

Il Garante ha espresso parere favorevole sullo schema di regolamento governativo che stabilisce i criteri e le procedure per l´individuazione dei soggetti privati che partecipano al Sistema Statistico Nazionale (Sistan), nell´ambito del quale opera l´Istat insieme ad altri organismi pubblici impegnati nell´attuazione del programma statistico nazionale.

Nel parere fornito su richiesta dalla Presidenza del consiglio dei ministri-Funzione pubblica, il Garante richiama l´attenzione del governo sull´esigenza di rafforzare ulteriormente le misure di tutela della privacy presenti nello schema di regolamento, e ciò anche attraverso un esplicito richiamo alle disposizioni del decreto legislativo n. 281/99 riguardante il trattamento dei dati personali a scopo di ricerca storica, statistica e scientifica. Il decreto contiene, infatti, una serie di disposizioni che disciplinano la raccolta e l´elaborazione dei dati personali in ambito statistico e prevede, tra l´altro, l´obbligo di rendere anonimi i dati personali una volta effettuata la raccolta e di conservare separatamente i dati identificativi da ogni altra informazione.

Il provvedimento che dovrà tornare in Consiglio dei ministri per l´approvazione definitiva, consentirà, tra l´altro, di potenziare le capacità informative del Sistan mediante l´ausilio dei soggetti privati e di estenderne la portata a nuovi settori di ricerca come, ad esempio, quello relativo al censimento delle attività industriali e del terziario.

Entro il 29 marzo misure di sicurezza obbigatorie per P.A. e privati

Entro il 29 marzo del 2000 tutte le pubbliche amministrazioni, nessuna esclusa, e i soggetti privati che nell´ambito della propria attività pongano in essere trattamenti di dati personali dovranno adottare le misure minime di sicurezza dettate dal Governo con il regolamento n. 318/1999.

Con un provvedimento approvato il 29 febbraio il Garante ha inteso richiamare l´attenzione degli operatori sull´imminente scadenza del termine a partire dal quale tali misure diventeranno obbligatorie e cioè sei mesi dopo l´entrata in vigore (29 settembre 1999) del citato regolamento, così come previsto dalla legge n. 675/1996.

Si tratta di una serie di adempimenti da attuare per poter trattare i dati. La loro necessità è sottolineata dalla previsione delle sanzioni penali della legge n. 675 che si applicano pure nei casi di colpa, qualora non siano rispettati, anche in parte, gli standard previsti dal Dpr n. 318/99. Quest´ultimo prevede, tra l´altro, per i trattamenti informatizzati, l´identificazione dell´utente, l´autorizzazione all´accesso alle funzioni, la registrazione degli ingressi e l´inserimento di una password che inibisca l´accesso al sistema o ai dati contenuti negli elaboratori stabilmente accessibili da altri elaboratori.

Il regolamento prevede anche l´individuazione di figure nuove come quella dell´amministratore di sistema che sovrintende alla gestione della base dati. Per quanto riguarda poi i dati sensibili (convinzioni religiose, appartenenze politiche, vita sessuale, informazioni sulla salute etc.) trattati da "elaboratori accessibili mediante una rete di telecomunicazioni disponibili al pubblico", è necessario predisporre un documento programmatico sulla sicurezza da aggiornare con cadenza annuale. Nel caso di trattamenti riguardanti archivi di tipo cartaceo, invece, o effettuati con strumenti automatizzati diversi da quelli elettronici, il regolamento stabilisce, tra l´altro, la designazione per iscritto degli incaricati abilitati ad accedere all´archivio e, qualora si tratti di dati sensibili, anche l´obbligo di conservare le informazioni in contenitori muniti di serratura.

Tali misure, che certamente comportano una attenzione e un impegno particolari, si inseriscono nella cornice più ampia delle cautele previste dalla legge sulla privacy per ridurre il rischio di distruzione o perdita, anche accidentale, dei dati personali, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta: situazioni rispetto alle quali vige un più generale obbligo di adottare ulteriori misure, oltre quelle minime, per garantire una costante riduzione del rischio attraverso l´applicazione di accorgimenti di tipo organizzativo e tecnico la cui mancata predisposizione comporta l´obbligo del risarcimento del danno in sede civile.

Il regolamento sulle misure minime di sicurezza, evidenzia il Garante, ha gettato le basi per una più articolata disciplina della sicurezza nell´attività informatica e telematica la cui importanza emerge, tra l´altro, dalla circostanza che le disposizioni vigenti in tale ambito si applicano anche ai trattamenti pubblici in materia di polizia, giustizia, difesa e sicurezza dello Stato.

L´applicazione delle nuove norme è tesa, pertanto, a favorire un´ulteriore diffusione di quella cultura della sicurezza già presente, peraltro, in diversi settori del mondo privato.

Va ricordato, infine, che il Garante ha modificato il modello di notificazione per evitare che i soggetti che hanno adottato le misure minime previste dal Dpr n. 318/99 debbano a loro volta modificare le precedenti notifiche presentate all´autorità.

Emotrasfusi: servono norme per tutelare il diritto di difesa

L´Autorità Garante ha segnalato a Governo e Parlamento la necessità di adottare norme che bilancino meglio le esigenze processuali relative al pieno accertamento dei fatti e delle responsabilità, con la necessità di garantire la dignità e la riservatezza dei soggetti coinvolti in vicende giudiziarie nelle quali siano esposti a rischio aspetti particolarmente delicati della persona. E ciò anche al fine di evitare che il diritto di difesa possa subire condizionamenti.

L´invito è contenuto in un provvedimento dell´Autorità nel quale è stato affrontato un delicato caso relativo a persone emotrasfuse coinvolte nelle vicenda del sangue infetto, su richiesta di un legale che ha denunciato il pericolo che i suoi assistiti, affetti da gravi sindromi correlate alla somministrazione di emoderivati infetti, rinunciassero a citare in giudizio per danni il Ministero della sanità nel timore delle più gravi ripercussioni derivanti dalla conoscibilità delle patologie che li hanno colpiti. Nel suo ricorso il difensore aveva prospettato l´adozione di misure volte a ridurre la conoscibilità e la circolazione, attraverso gli atti processuali, di delicate informazioni attinenti persone infette identificate.

Esaminando il caso, il Garante ha osservato che, sebbene le norme processuali, specie antecedenti alla legge n. 675/96, non siano ancora state modificate alla luce dei nuovi principi in materia di tutela della privacy, già oggi gli uffici giudiziari sono comunque tenuti a rispettare alcuni obblighi in relazione alle modalità del trattamento dei dati personali e alla loro sicurezza nelle attività svolte per ragioni di giustizia (art. 4, comma 2 della legge n. 675).

Gli uffici giudiziari, sottolinea l´Autorità, devono innanzitutto rispettare i principi di correttezza e di pertinenza, in base ai quali possono essere trattati e diffusi i soli dati necessari al perseguimento delle finalità istituzionali. Inoltre, al fine di tutelare la sicurezza dei dati raccolti, ciascun ufficio giudiziario, come ogni altra amministrazione, dovrà dare attuazione, entro fine marzo del 2000, al regolamento approvato dal governo in materia di misure minime di sicurezza (D.P.R. n. 318/99) e comunque adottare idonee cautele organizzative e tecniche in modo da ridurre la minimo i rischi di distruzione dei dati e di accessi non autorizzati. Le misure di sicurezza non esauriscono, comunque, gli accorgimenti necessari per assicurare una piena tutela della riservatezza delle persone coinvolte in una vicenda così delicata.

Il Garante ha, infatti, sottolineato che la mancata previsione di specifiche cautele durante le varie fasi del processo può condizionare, nei fatti, il diritto di difesa tutelato dalla Costituzione, poiché la parte lesa potrebbe essere indotta a rinunciare all´esercizio delle proprie ragioni. Occorrono quindi nuove disposizioni legislative. La circostanza evidenziata in base alle norme vigenti dal Tribunale di Roma (che in una recente pronuncia ha ribadito che le attuali disposizioni processuali non consentono di redigere l´atto introduttivo di una controversia menzionando le sole iniziali dell´interessato anziché le sue generalità), non deve portare a ritenere superflua l´introduzione di cautele che riducano l´esposizione dell´interessato. Le leggi devono essere infatti modificate quando sono in gioco diritti essenziali. Va, inoltre, ricordato che la recente tendenza dell´ordinamento va nella direzione di tutelare in ogni sede, nel modo più rigoroso, la dignità, e la riservatezza di persone sieropositive o malate di AIDS o degli emotrasfusi. Le disposizioni della legge n. 135/1990 sulla lotta all´AIDS già stabiliscono, infatti, che chiunque venga a conoscenza di queste particolari vicende nell´esercizio delle proprie funzioni, adotti tutte le misure occorrenti per la tutela della riservatezza della persona assistita.

Per ciò che riguarda, poi, più specificamente il contesto processuale, più recentemente, sulla scorta di un parere formulato dal Garante durante la fase di elaborazione del provvedimento, nel regolamento sui benefici economici a carico del Fondo antiracket ed antiusura è stata inserita una norma che attribuisce al pubblico ministero la facoltà di adottare le necessarie cautele volte ad assicurare la riservatezza dell´identità delle vittime degli atti estorsivi o di usura che abbiano denunciato i fatti di reato al fine di prevenire possibili azioni di ritorsione.

Di qui la necessità, posta in luce dall´Autorità, di un più ampio intervento legislativo che permetta di contemperare meglio le esigenze processuali con quella di garantire, con ogni mezzo possibile, la riservatezza dei soggetti coinvolti in vicende giudiziarie del genere.

Pressioni sull´Unione Europea per un accordo con gli U.S.A.
(articolo pubblicato sull´ International Herald Tribune del 26 febbraio)

Gli Americani cercano di facilitare il commercio elettronico in Europa

Mentre aumentano le tensioni fra le due sponde dell´Atlantico, lo scorso venerdì un funzionario USA ha invitato a giungere rapidamente all´approvazione di un accordo preliminare raggiunto in settimana su una delle questioni più spinose nel dibattito USA-Europa: i diritti dei consumatori in materia di privacy.

David Aaron, sottosegretario USA per il commercio, ha dichiarato che se non sarà possibile raggiungere un accordo definitivo entro la fine di marzo, probabilmente sarà la prossima amministrazione a Washington a doversene occupare.

Senza un accordo sulla regolamentazione della raccolta di dati personali relativi a consumatori europei, le imprese di commercio elettronico degli USA dovrebbero fare i conti con diversi anni di incertezza per quanto riguarda le loro attività in Europa – dove è in vigore una rigida normativa in materia di privacy imposta dai governi, a differenza dell´approccio basato sull´autoregolamentazione che prevale negli USA.

"Abbiamo fatto la migliore offerta possibile", ha detto Aaron. Mentre i negoziatori europei hanno accettato il piano proposto, nessun commento è giunto sinora dal versante politico e le associazioni dei consumatori sembrano incerte sul punto. "Speriamo di perfezionare condizioni e accordo entro la fine di marzo", ha dichiarato un portavoce di Fritz Bolkestein, commissario dell´UE per il mercato interno.

Il rifiuto o un ritardo nell´approvazione della proposta significherebbe un´altra battuta di arresto nei rapporti commerciali USA-Europa, dopo la sconfitta degli USA decretata la scorsa settimana dall´Organizzazione Mondiale per il Commercio su un tema fiscale di grande importanza. L´amministrazione USA ha reagito con irritazione alla decisione con cui l´OMC ha respinto l´appello contro una sentenza in base alla quale una violazione della normativa fiscale da parte di società USA che effettuino vendite all´estero violerebbe la normativa commerciale. "Non condividiamo nessun elemento della decisione dell´OMC", ha dichiarato Aaron in un´intervista, aggiungendo però che "nessuno vuole dare alla questione più importanza di quella che merita" – il che sembra indicare che Washington e Bruxelles intendono giungere ad una soluzione negoziale entro ottobre, termine oltre il quale l´UE sarebbe autorizzata ad imporre sanzioni.

Anche funzionari europei in materia di commercio hanno indicato che preferirebbero una soluzione negoziale, per quanto il Ministro delle finanze francese, Christian Sauter, abbia dichiarato lo scorso venerdì che "gli Stati Uniti dovrebbero adeguare la loro legislazione" alla decisione presa dall´OMC.

Sul fronte privacy i tempi sono più stretti, dato che Aaron dovrebbe lasciare l´incarico alla fine di marzo.

La proposta di accordo raggiunta in sede negoziale a Bruxelles prevede una combinazione di elementi tratti dal contesto normativo europeo e da quello statunitense.

Le società americane che raccolgono informazioni relative a consumatori europei dovrebbero sostanzialmente rispettare i rigidi standard europei se ritrasmettono tali informazioni a computer situati negli USA.

Tuttavia, il compito di vigilare sul rispetto di tali regole spetterebbe alle società stesse e alle associazioni di categoria, che potrebbero prendere misure come la pubblicazione dei nomi di eventuali trasgressori.

In ultima istanza potrebbe intervenire anche la Federal Trade Commission degli USA.

Benché Aaron abbia riconosciuto la fondatezza delle preoccupazioni espresse dagli europei, secondo cui il piano – noto come "approdo sicuro" – potrebbe ricordare la storia "della volpe che fa la guardia al pollaio", ha aggiunto che "Abbiamo potuto dimostrare che accanto alla volpe c´è un contadino che imbraccia un fucile. Vi sono molti fattori deterrenti e molti strumenti di attuazione".

Jim Murray, presidente della European Consumers´ Union [Unione dei consumatori europei] di Bruxelles, non ne è altrettanto sicuro. "Giudichiamo in maniera molto critica il sistema dell´´approdo sicuro´", ha dichiarato. "Non pensiamo che offra una tutela adeguata". Graham Watson, deputato del partito liberaldemocratico inglese e presidente della Commissione del Parlamento Europeo per le libertà dei cittadini, ha detto di sperare nella possibilità di giungere ad un accordo in materia di protezione dati, aggiungendo però che "la Commissione europea dovrebbe fornirci rassicurazioni molto più consistenti" sulle modalità di attuazione dei principi in materia di privacy perché il Parlamento avalli un accordo con gli USA. Ha riconosciuto, però, che il Parlamento probabilmente non avrebbe il potere di bloccare un eventuale accordo. Intanto a Washington verranno sollecitate osservazioni sulla proposta. Aaron ha dichiarato di sperare che i progressi compiuti nella trattativa in materia di privacy "possano fungere da modello per altri temi" oggetto dei colloqui fra Europa e USA in materia di commercio. "Dobbiamo trovare il modo di risolvere i problemi attraverso la collaborazione reciproca", ha dichiarato, riferendosi ad una serie di disaccordi in materia commerciale che hanno visto Washington opposta a Bruxelles entro l´OMC. Altri funzionari USA hanno indicato al Washington Post che l´amministrazione sta valutando gli strumenti per convincere l´Europa a giungere ad un accordo sulla questione delle società di vendita straniere – filiali offshore attraverso le quali multinazionali USA indirizzano le vendite per sfuggire al fisco USA. Secondo il Post, le proposte contemplate prevedono riduzioni delle tariffe USA sulle merci europee. Sembra inoltre che funzionari USA stiano adoperandosi per ottenere il sostegno di società europee le cui filiali USA beneficiano dei crediti all´esportazione.