Agenzie immobiliari: no alle discriminazioni
Vietato l´uso di dati su razza, religione, abitudini sessuali

È vietato schedare la clientela in base all´origine razziale, alle convinzioni religiose o alle preferenze sessuali. Il principio è stato affermato dal Garante che ha vietato ad una agenzia immobiliare di utilizzare questo genere di dati personali  perché trattati in modo illecito, al di fuori dei casi autorizzati dall´Autorità e in violazione anche delle norme sulla parità di trattamento tra le persone che vieta espressamente le discriminazioni razziali  nella fornitura di beni e servizi, con particolare riferimento all´alloggio. La società non potrà più raccogliere informazioni su razza,  religione o vita sessuale delle persone che la contattano per la compravendita o la locazione di una casa,  né utilizzare quel genere di informazioni già in suo possesso. Nel corso degli accertamenti, disposti dal Garante nell´ambito del programma di ispezioni nei confronti di alcuni settori e categorie professionali, è emerso che l´agenzia, oltre ai dati necessari per adempiere al proprio mandato (dati anagrafici, indirizzo, numero di telefono ecc.), raccoglieva, senza consenso, anche altri dati personali delicatissimi perché, a suo dire, alcuni proprietari non avrebbero gradito affittare a extracomunitari o a omosessuali, o perché alcuni condomini avrebbero preferito evitare la presenza di musulmani. Nel vietare il trattamento il Garante, con il provvedimento  di cui è stato relatore Giuseppe Chiaravalloti, ha ritenuto che la società immobiliare abbia operato in modo illecito, discriminatorio e lesivo della dignità delle persone, in contrasto con quanto stabilito dal Codice della privacy e dalle autorizzazioni generali in materia di trattamento di dati sensibili. Lecita, secondo il Garante, solo la raccolta di informazioni relative ad handicap o patologie invalidanti in quanto effettuata dall´agenzia per escludere dalle trattative immobili con barriere architettoniche o privi di ascensore.

Il Garante ha inoltre prescritto, alla società di riformulare l´informativa, in particolare quella on line, specificando chiaramente per quali finalità usa i dati personali, e di mettere in condizioni la clientela di esprimere liberamente la propria volontà sull´invio di materiale pubblicitario e sull´uso della posta elettronica a fini di marketing.

Copia degli atti è stata inviata all´autorità giudiziaria affinché valuti l´eventuale ipotesi di illecito trattamento di dati a fini di profitto.

Impronta della mano e privacy dei lavoratori

Uso dei dati biometrici per particolari esigenze di sicurezza e per tempi strettamente necessari. Il Garante ha autorizzato, con particolari cautele, l´uso dei dati ricavati dalla conformazione della mano per accedere ad un vasto complesso, nel quale sono presenti imprese che lavorano e vendono metalli e pietre preziose. Non dovrà essere creato un archivio centralizzato dei dati biometrici: l´impronta cifrata della mano dovrà essere memorizzata solo sul badge del lavoratore o del personale autorizzato all´ingresso. I dati relativi agli accessi dovranno essere cancellati automaticamente dopo sette giorni. Dovrà essere comunque garantito un sistema alternativo di accesso.

Queste le principali condizioni poste dall´Autorità, con un provvedimento  di cui è stato relatore Giuseppe Fortunato, per dare il via libera a un progetto sottoposto alla sua attenzione da un consorzio di duecentotrentacinque esercizi artigianali e commerciali, situato in un´area periferica campana ad elevato rischio di criminalità organizzata, che intende, per questo motivo, avvalersi di un sistema di riconoscimento biometrico per innalzare i propri standard di sicurezza. A chi deve accedere verrà rilasciata una smart card in cui è memorizzato il codice dell´impronta della mano. Presso i sedici ingressi del complesso, dunque, responsabili, dipendenti, visitatori autorizzati passeranno uno alla volta attraverso "bussole" automatiche con porte interbloccate, al cui interno sono installati dispositivi di lettura della geometria della mano. Un software trasformerà in un codice numerico i punti predeterminati della mano e il riconoscimento avverrà tramite il confronto con il codice memorizzato nella smart card. Chi non intende avvalersi di questo sistema potrà avere accesso tramite un ingresso dotato di telecamera per il riconoscimento facciale.

Ribadito il no ad un uso generalizzato ed incontrollato dei dati biometrici, il Garante ha ritenuto lecito e proporzionato il trattamento sottoposto al suo esame, tenuto conto della necessità della società di effettuare un accertamento rigoroso dell´identità del personale e dei visitatore. Sulla smart card potrà essere inserito il codice cifrato della mano e il profilo di autorizzazione personale (fascia oraria e giorni consentiti per l´ingresso). La smart card sarà invece priva della foto e dei dati anagrafici della persona autorizzata all´ingresso, sostituiti da un codice identificativo individuale, più sicuro in caso di smarrimento. Il consorzio dovrà comunque raccogliere il consenso del personale interessato al quale va fornita una completa informativa scritta sull´uso dei dati.

Flussi di dati fra Europa ed Usa: Swift e Pnr sotto la lente dei Garanti

Continua intenso il dibattito rispetto ai flussi di dati transatlantici. Dopo il parere adottato dal Gruppo di lavoro delle Autorità europee per la protezione dei dati lo scorso novembre , relativamente all´operato di Swift (la società, con sede in Belgio, di cui si servono da decenni le banche ed i soggetti operanti nel settore finanziario di tutti i Paesi europei per i trasferimenti internazionali di valuta, anche in Paesi al di fuori dell´Ue come gli Stati Uniti – v. Newsletter del 18 dicembre 2006), i Garanti hanno continuato a seguire gli sviluppi del caso. In particolare, il Gruppo di lavoro ha contribuito ad un seminario pubblico che il Parlamento europeo ha organizzato nel pomeriggio del 26 marzo, per fare il punto della situazione complessiva e valutare iniziative future. Durante il seminario sono stati affrontati tutti i temi attualmente sul tappeto rispetto ai flussi di dati fra Ue ed Usa: oltre a Swift, il trasferimento dei dati Pnr (i dati dei passeggeri che le compagnie aeree sono tenute a comunicare alle autorità Usa prima della partenza di voli diretti o in transito verso gli Stati Uniti) e l´accordo di  Safe Harbor (che consente di trasferire dati personali dall´Ue agli Usa per specifiche finalità). L´obiettivo era disporre di un quadro informativo completo per individuare possibili soluzioni condivise, anche sulla base dei contributi  forniti dalle Autorità di protezione dati. Gli interventi hanno visto, fra gli altri, quelli di Stefano Rodotà e di Yves Poulet.

Per quanto riguarda il "caso" Swift, segnaliamo inoltre che, all´inizio di marzo, il Gruppo di lavoro ha inviato una lettera al Vicepresidente della Commissione europea, Franco Frattini, al Presidente del Parlamento Europeo ed al Presidente del Consiglio dell´Unione Europea. La lettera è intesa anche a fornire elementi di valutazione al Vicepresidente Frattini nel quadro dei negoziati condotti da quest´ultimo con le autorità Usa per conto della Commissione relativamente ad una possibile soluzione paneuropea. Tale soluzione, hanno sottolineato i Garanti, non potrà semplicemente limitarsi a "legalizzare" l´esistente, ma dovrà individuare tutte le necessarie garanzie, affinché lo scambio di informazioni sia conforme alla disciplina in tema di protezione dei dati. Ad ogni modo, il Gruppo manifesta alcune perplessità in merito ai risultati conseguiti nei mesi successivi all´adozione del parere sopra descritto. Per quanto concerne le banche, ad esempio, si constata che queste non hanno ancora provveduto ad informare la clientela in merito al trasferimento dati verso gli Usa; né Swift sembra avere adottato un programma preciso di misure di medio-lungo termine tese a favorire il rispetto delle prescrizioni indicate dal Gruppo di lavoro e dall´Autorità belga per la protezione dei dati (competente territorialmente rispetto alle attività di Swift).

La questione sembra complicarsi ulteriormente alla luce del ruolo che Swift sarà chiamato a svolgere nell´ambito del nuovo sistema unico europeo dei pagamenti (SEPA) - in particolare perché l´utilizzo di Swift anche in tale ambito potrebbe comportare, in prospettiva, la possibilità per le autorità Usa di accedere ad informazioni su trasferimenti interbancari effettuati all´interno del territorio Ue o del territorio dei singoli Stati Membri.

Naturalmente i Garanti intendono contribuire ai negoziati in corso e supportare la Commissione nell´individuazione delle opportune soluzioni.

Oltre al seminario pomeridiano, il Gruppo di lavoro ha affrontato le questioni, anche tecniche, connesse specificamente ai dati Pnr attraverso un seminario organizzato nella mattinata del 26 marzo, sempre presso il Parlamento europeo. Sono stati invitati anche rappresentanti delle associazioni di categoria (compagnie aeree), rappresentanti dei ministeri competenti, dei Parlamenti nazionali e del Parlamento europeo. Al seminario ha partecipato l´on. Sandro Gozi, presidente del Comitato parlamentare di controllo sull´applicazione dell´Accordo di Schengen e della Convenzione Europol e in materia di immigrazione, il quale ha sottolineato la necessità di un maggiore coinvolgimento dei parlamenti nazionali nel processo decisionale che riguarda l´accordo Pnr. Il Gruppo di lavoro ha pubblicato un comunicato stampa il cui testo è disponibile sul sito del Garante (www.garanteprivacy.it doc. web n. 1395080).

[v. anche Parere 10/2006 del 22 novembre 2006, Comunicato stampa Gruppo Articolo 29 del 23 novembre 2006  e  PDF]