Privacy: relazione 2008 del Garante (relativa al 2007)

Il 16 luglio 2008 l'Autorità Garante per la protezione dei dati personali (composta da Francesco Pizzetti, Giuseppe Chiaravalloti, Mauro Paissan, Giuseppe Fortunato) ha presentato la "Relazione sull'attività svolta nel 2007”. Sul sito del Garante sono disponibili:

I temi indicati come prioritari da Pizzetti nel suo discorso sono stati: la semplificazione delle procedure e la riduzione dei costi; la trasparenza dell'azione amministrativa e la conoscibilità dei fenomeni che interessano l'opinione pubblica; la sicurezza delle comunità; la garanzia di un uso attento e di una tutela efficiente dei dati personali raccolti e utilizzati a fini di giustizia; la difesa dei diritti e del nostro modo di vivere di fronte ai mutamenti indotti dalle tecnologie.
Di seguito una sintesi tratta dal discorso di Pizzetti.

La nuova missione

Pizzetti ha indicato quale deve e vuole essere missione dell’Autorità Garante per la protezione dei dati personali nell'Italia di oggi: un grande Paese europeo coinvolto in giganteschi processi di cambiamento.
Un Paese nel quale avvengono intrusioni insopportabili nella vita quotidiana da parte di un marketing molto aggressivo mentre permane una diffusa indifferenza per la protezione dei dati in settori delicatissimi quali credito, sanità, amministrazione finanziaria, strutture di servizio.
Un Paese che vede i suoi giovani, ormai "nativi di Internet" e non più come noi, soltanto degli "immigrati in Internet", vivere in un nuovo e virtuale "Mondo delle meraviglie", dimentichi che sulla rete corrono idee e manifestazioni del pensiero, dell'arte e della creatività insieme a forme perverse e abiette di comportamenti umani.
All'ordine del giorno vi sono grandi temi che toccano anche il ruolo dell’authority: la semplificazione delle procedure e la riduzione dei costi; la trasparenza dell'azione amministrativa e la conoscibilità dei fenomeni che interessano l'opinione pubblica; la sicurezza delle comunità; la garanzia di un uso attento e di una tutela efficiente dei dati personali raccolti e utilizzati a fini di giustizia; la difesa dei diritti e del nostro modo di vivere di fronte ai mutamenti indotti dalle tecnologie.
A questi temi il Garante vuole dedicare la sua attenzione, avendo ben presente che anche dal suo operato dipende la possibilità per le persone di vivere meglio e in modo più libero la loro esistenza.

Il tema della semplificazione

Recentemente l’Autorità Garante ha proposto una modifica al "Codice in materia di protezione dei dati personali" per consentire all'Autorità stessa di aggiornare periodicamente le specifiche tecniche del Documento Programmatico sulla Sicurezza. Ciò consentirà di dare una risposta più rapida alle esigenze dei settori economici e produttivi.
Un'altra modifica legislativa avanzata permetterebbe anche in Italia, alle grandi società italiane e multinazionali, di adottare, per il trasferimento dati all'estero, le proprie regole di impresa. Un intervento definita di "semplificazione positiva" che metterà il nostro paese nella medesima situazione competitiva degli altri grandi paesi dell'Unione.
Lo sforzo però è appena cominciato: tanto più la realtà è complessa e difficile, tanto più occorrono regole semplici, chiare, intellegibili per tutti. È necessario intervenire il più possibile in via preventiva, per proteggere, piuttosto che in via successiva, per sanzionare.
Per questo si proseguirà nell'adozione di Linee guida. L'obiettivo è dare una risposta ai principali interrogativi di ciascun settore; favorire le pratiche virtuose; segnalare gli errori più frequenti.
Già molti mesi fa erano stati pubblicati la "Guida pratica e misure di semplificazione per le piccole imprese" e una Linea guida sul rapporto di lavoro privato. Nel corso di quest'anno sono stati approvate altre tre Linee guida in materia di: "Rapporto di lavoro in ambito pubblico"; "Rapporti con la clientela in ambito bancario"; "Pubblicazione e diffusione di atti e documenti di enti locali". Presto sarà pubblicata quella sul "Trattamento dati nell'ambito delle sperimentazioni cliniche di medicinali".
Si intende inoltre incentivare il c.d. prior checking, vale a dire l'esame preliminare relativo a trattamenti dati di particolare delicatezza, specie sensibili o biometrici.

Semplificazione e comunicazione

Sarà incentivato l'uso di simboli grafici che rendano più comprensibile la presenza di un trattamento di dati personali. Si promuoverà l'uso di due nuovi simboli, consistenti in un lucchetto chiuso e in un lucchetto aperto: il primo, per indicare che il trattamento dei dati deve avvenire nei limiti ristretti delle finalità per le quali essi sono stati forniti; il secondo per consentirne un uso per finalità di altra natura, indicate nell'apposita informativa.

Il tema della "buona trasparenza"

La seconda tematica al centro dell'attenzione, è la trasparenza.
La "trasparenza" nell'azione dei poteri pubblici non significa necessariamente pubblicare una grande quantità di dati e di informazioni.

Possono esserci casi in cui, in base alle finalità da perseguire, i dati e le informazioni sono troppi e troppo generici e possono quindi indurre in errori di comprensione o ledere gravemente la dignità delle persone. Si verifica qui una significativa e inedita alleanza tra privacy e trasparenza. I principi fondamentali della nostra disciplina dicono che i dati forniti devono essere definiti sulla base dello scopo che ci si propone, secondo criteri di necessità, proporzionalità e finalità. Gli stessi principi possono essere posti con pari utilità alla base di una trasparenza autentica ed efficace. Del resto non a caso in alcuni Paesi come il Regno Unito una unica Autorità è competente sia a proteggere la privacy sia a garantire l'informazione pubblica. Una alleanza virtuosa, che forse potrebbe condurre anche in Italia ad attribuire a una medesima Autorità sia la tutela della riservatezza sia la garanzia del diritto di accesso. In ogni caso è certamente falso ritenere che la privacy sia per principio contro la trasparenza. È vero invece che essa ama la "buona trasparenza".
Una trasparenza che, in virtù della sua genericità e inutile pervasività, ecciti soltanto giudizi superficiali è una "trasparenza opaca", dannosa per la società e per la convivenza democratica. Anche per questo l’Autorità non mancherà di vigilare e di far sentire sempre la sua voce al servizio di una "trasparenza davvero trasparente" e in ultima analisi, di una "democrazia fondata su una opinione pubblica correttamente informata".

L'Amministrazione digitale e la protezione delle reti

Il Garante condivide l'obiettivo di "tagliare" la carta, snellire le procedure, digitalizzare l'Amministrazione. Occorre, però, garantire che la digitalizzazione delle informazioni e la loro messa in rete non ne comprometta la sicurezza, la correttezza, l'affidabilità. La protezione dei sistemi di trasmissione telematica utilizzati dall'Amministrazione è essenziale, tanto più nei numerosi settori in cui vengono trattati dati sensibili. Un esempio per tutti: la sanità on line. Rendere accessibili e magari modificabili, a un numero elevato di operatori i dati contenuti in una cartella clinica elettronica può determinare rischi gravissimi per il paziente a causa di errori o peggio, di manipolazioni. Ciò può avvenire ovviamente anche per un gran numero di altri dati: da quelli anagrafici, a quelli relativi a transazioni economiche e finanziarie tra cittadini e amministrazioni, a partire dall'accredito e dal pagamento delle pensioni.
Per questo, pur apprezzando l'intento di facilitare a tutti l'accesso ai servizi on line, moltiplicando gli sportelli telematici anche attraverso il ricorso a quelle che sono state definite "reti amiche", l’Autorità chiede di essere sentita per quanto atterrà alle modalità di attuazione.

Il tema della  "sicurezza sicura"

Per gli eventi a tutti noti, questo inizio di secolo si è aperto con l'affermarsi di una drammatica esigenza di sicurezza e con l'incubo di vecchie e nuove paure. In Italia come in tutta Europa, si assiste a un continuo proliferare di misure normative e organizzative per rafforzare i controlli a tutela delle persone e delle comunità. La moltiplicazione sul territorio delle strutture istituzionali e organizzative competenti in materia di sicurezza pubblica, e la nuova, importante tendenza a costruire il "federalismo della sicurezza" o, se si preferisce, una "sicurezza federale", rendono urgente l'adozione di misure tecniche di protezione dati, in particolare di quelli contenuti nelle grandi banche dati di polizia. Dopo i ripetuti accessi abusivi degli anni passati, l'Autorità ha speso molte energie per aiutare il C.e.d. del Dipartimento di P.S. a mettere in sicurezza i suoi dati.
Purtroppo, le prescrizioni dell’Autorità Garante non sono ancora diventate tutte pienamente operative. La recentissima estensione a tutti gli agenti di polizia urbana e locale non solo dell'accesso ai dati (cosa che in parte già era prevista) ma anche della possibilità di inserire informazioni direttamente nel C.e.d., rende più urgente che mai dare piena attuazione a tali prescrizioni, con gli adeguamenti che si rendessero necessari. Bisogna evitare accessi illeciti, inserimento di dati falsi o volutamente errati, utilizzazioni improprie.
Al Ministro dell'Interno il Garante chiede di essere coinvolti nell'attuazione della nuova normativa che ricorda ancora una volta che la protezione dei dati non è mai un limite alla sicurezza, ma anzi, è funzionale a una "sicurezza sicura".
Purtroppo, rileva il Garante "ogni volta che apriamo una verifica su una grande banca dati, pubblica o privata, constatiamo la carenza delle misure protettive. Da alcuni mesi siamo impegnati con l'Anagrafe tributaria e le sue banche dati e in questi giorni stiamo svolgendo un'intensa attività di verifica presso le banche dati di cui si avvalgono le Agenzie che fanno capo al Ministero dell'Economia. Purtroppo continuiamo a riscontrare non poche criticità."
Un Paese che non conosce neppure quali e quante sono le sue banche dati e che non sa proteggerle è un Paese arretrato, che espone a gravi rischi non solo i cittadini ma anche gli operatori della giustizia, della sicurezza, dell'amministrazione finanziaria, solo per citare alcuni tra i settori più delicati nei quali in questi anni si sono verificati rilevanti furti o usi illeciti di dati.

Videocamere e altre forme di acquisizione dei dati personali

Nel 2004 l'Autorità ha dedicato a questo tema un provvedimento con prescrizioni diverse per le videocamere installate dai soggetti privati, dai comuni e dagli altri enti territoriali, dalle strutture di sicurezza e di polizia. A distanza di pochi anni il panorama è mutato. Con la legge finanziaria 2008 sono stati previsti sgravi fiscali a favore dei commercianti che installino videocamere a protezione dei loro esercizi. I comuni e le regioni danno contributi e sostegni economici e organizzativi ai privati che colleghino le loro videocamere con le questure. Con il recente decreto sicurezza, infine, si sono estese anche in questa materia le competenze del sindaco. È dunque necessario aggiornare le indicazioni date dal Garante solo quattro anni fa.
Il caso delle videocamere si inquadra in un fenomeno più generale: l'uso crescente da parte delle forze di polizia e sicurezza di dati prodotti nell'ambito di attività del tutto private. Il caso più recente e più noto riguarda i dati dei passeggeri delle linee aeree, che anche in Europa devono essere disponibili in qualunque momento a richiesta delle forze di polizia.
Di fronte a questo l'Autorità non può restare silenziosa. Da tempo il Garante si sforza di far capire che l'espansione di queste nuove forme di controllo deve rispondere davvero a effettive necessità; che i dati raccolti devono essere conoscibili solo dai soggetti che ne hanno titolo; che devono essere protetti da accessi e utilizzazioni illecite; che devono essere conservati solo per il tempo strettamente necessario; che i cittadini devono essere informati delle garanzie sulle quali possono contare.

L'uso dei dati biometrici

Ancor più delicato il tema della raccolta, conservazione e uso di dati biometrici e in particolare del DNA. Urge una legislazione chiara in materia di banche del DNA. Il legislatore deve definire i tempi di conservazione; le finalità per le quali tali campioni o i loro marcatori possono essere conservati; il tempo entro il quale essi devono essere distrutti; le regole che devono presiedere al loro utilizzo.
Un'ulteriore considerazione, infine, sull'uso dei dati biometrici.
L'utilizzo di questi dati, anche nella forma del prelievo delle impronte digitali, si va diffondendo a macchia d'olio, sia nel mondo del lavoro sia in altri ambiti. Il Garante ripete un fermo e chiaro invito alla moderazione nell'uso di questi strumenti, in quanto potenzialmente lesivi della dignità delle persone. È assolutamente necessario che si eviti di fare ricorso a queste tecniche secondo criteri discriminatori, specialmente di natura etnica o religiosa, che contrastino con la nostra Costituzione e con le Carte dei diritti fondamentali dell'uomo e del cittadino che il nostro Paese ha siglato.
Quando poi si tratta di minori le cautele devono essere moltiplicate. Soprattutto deve sempre essere chiarito, al di là di ogni dubbio, che a questo si fa ricorso solo quando non è possibile usare altri strumenti e comunque sempre e soltanto al fine, dimostrato, di proteggere i minori e la loro integrità, anche fisica. Questo è ciò che vuole la tradizione italiana del rispetto del diritto e della persona. Questo ci impongono l'Europa e i vincoli internazionali.

La protezione dati negli uffici giudiziari

Le verifiche svolte sul Tribunale di Roma, anche se circoscritte alle Sezioni civili e del lavoro, hanno confermato che la protezione dei dati negli uffici giudiziari è ancora quasi all'anno zero.
Difficoltà organizzative, scarsezza di risorse, problemi di organico: tutti i ben noti nodi della giustizia sono stati invocati per ritardare la adozione delle misure richieste, anche se qualche timido segnale di attenzione lo abbiamo potuto registrare, specialmente da parte dei magistrati che svolgono periodicamente le attività ispettive presso i diversi Uffici e distretti.
Il Garante ribadisce la sua richiesta che non siano ulteriormente lesinate le risorse. Anche questo significa avere a cuore l'efficienza della giustizia e la tutela effettiva dei diritti.

La difesa dei diritti di fonte alle nuove tecnologie

Anche durante lo scorso anno le tecnologie hanno costituito il settore che più ha sfidato l'impegno dell'Autorità che sente il dovere di dare al più presto su tutte queste novità indicazioni chiare, anche per consentirne agli utenti un uso più attento e informato.
Dice Pizzetti: "Il futuro, anche quello che solo qualche anno fa ci sembrava lontanissimo, è già presente. Lo testimonia il diffondersi sempre più veloce della cosiddetta "pubblicità comportamentale" che utilizza la nostra navigazione in Internet per inviarci pubblicità mirata sulla base dei nostri gusti, interessi e comportamenti. Lo stesso avviene per il geomarketing che, sfruttando il controllo satellitare, è in grado di seguire i nostri spostamenti e di offrirci in ogni località i prodotti e i servizi da noi preferiti. È il mondo affascinante e difficile in cui viviamo. È il mondo del cybercrime contro il quale si è appena data vita ad una Convenzione internazionale che anche noi dobbiamo rispettare, ma è anche il mondo di una libertà virtuale senza confini, che permette di entrare in contatto con gente di tutti i continenti. È il mondo della ipervelocità, che mette sempre più in crisi le tradizionali dimensioni dello spazio e del tempo, con le quali l'uomo ha sempre convissuto. Per noi, Autorità di protezione dati, è la frontiera più avanzata. Quella sulla quale dobbiamo trovare ogni giorno il giusto punto di equilibrio. "

Poteri sanzionatori

Il Garante ha completato il suo intervento chiedendo che siano rafforzati i propri scarsissimi poteri sanzionatori.

Link

Chi è Panfilo Marcelli?

L’ingegner Panfilo Marcelli ha lavorato per oltre vent’anni presso primarie aziende informatiche e di consulenza (IPACRI, Euros Consulting, OASI) con incarichi, anche direttivi, in ambito Information Technology, Privacy e Protezione dei dati personali, Qualità e Certificazione ISO9000 e ISO27001, Workflow Management e Business Process Reengineering, Internet, Intranet e gestione di siti con sistemi CMS. Attualmente é socio di CMa Consulting società specializzata in servizi, consulenza e formazione in ambito Compliance, Privacy, Qualità e Sicurezza. Può essere contattato via email: p.marcelli@cmaconsulting.it 

Altri articoli di Panfilo Marcelli

ComplianceNet: