Newsletter 5 - 11 novembre 2001

• Lavoratori e dati personali contenuti nelle e-mail aziendali
• Correntisti insolventi e centrale rischi
• L’Europa va a caccia dei cookies

Lavoratori e dati personali contenuti nelle e-mail aziendali

L’azienda deve consentire al dipendente che ne faccia richiesta, l’accesso a tutte le informazioni personali e le valutazioni professionali che lo riguardano, anche a quelle contenute nella posta elettronica dell’azienda. E per quanto non sia obbligata ad esibire o copiare ogni documento, l’azienda deve comunque estrarre dagli atti tutte le informazioni relative al solo interessato e comunicargliele in modo facilmente comprensibile.

I principi sono stati sanciti dal Garante, che ha accolto il ricorso di un funzionario di una società, che aveva richiesto di conoscere il contenuto di alcune e-mail indirizzate, da altri dipendenti, al dirigente del dipartimento risorse umane, e nelle quali si esprimevano giudizi professionali che erano poi stati alla base di un procedimento disciplinare nei suoi confronti. La società, su invito del Garante ad aderire alle richieste del ricorrente, ha fatto pervenire al dipendente le copie di tre messaggi, in cui erano stati cancellati i riferimenti ai mittenti e alle altre persone citate. La comunicazione è stata giudicata incompleta ed inesatta dall’interessato, che ha ribadito le istanze presentate nel ricorso.

Nel provvedimento, il Garante ha ribadito che l’ampia definizione di dato personale adottata dalla direttiva comunitaria e dalla legge sulla privacy comprende non solo dati di tipo oggettivo (nome, cognome, data di nascita etc.), ma anche altri dati personali contenuti in valutazioni soggettive, ispezioni, relazioni etc., in possesso dell’azienda. E’ quindi legittima la richiesta di accesso del dipendente per conoscere il contenuto delle e-mail che contengono tali valutazioni. In questo caso, ha poi precisato l’Autorità, non si è di fronte a trattamenti effettuati da persone fisiche per fini personali, per i quali non si applica la legge sulla privacy: i dati richiesti dall’interessato sono, infatti, contenuti in comunicazioni inoltrate al responsabile del personale, da altri dipendenti, per finalità di tipo professionale, legate all’attività dell’azienda.

Per quanto riguarda, inoltre, la comunicazione dei dati, il Garante precisa che la normativa vigente non prevede come necessario il rilascio di copie di atti, ma obbliga il titolare o il responsabile del trattamento ad estrapolare dai propri archivi, cartacei o informatizzati, i dati personali conservati e a riferirli al richiedente in modo comprensibile. L’accesso, in questo caso non obbliga quindi a fornire copia delle e-mail, che nell’intestazione possono rivelare altri dati relativi al mittente, ma a comunicare le informazioni del richiedente in esse contenute. Solo se l’estrapolazione risulti particolarmente difficoltosa si può esibire o consegnare copia della documentazione, priva però dei dati riferiti ad altri soggetti.

Correntisti insolventi e centrale rischi

La posizione di "sofferenza" di un cliente di un istituto di credito deve essere segnalata alla centrale rischi della Banca d’Italia, a prescindere dall’ammontare del debito. La banca che opera il trattamento adempie, in questo modo, a specifiche disposizioni della normativa vigente e non incorre in violazioni della privacy del correntista.

Lo ha stabilito il Garante rigettando il ricorso di un cliente che aveva chiesto, senza esito, al suo istituto bancario la cancellazione del proprio nominativo dal registro informatizzato della Banca d’Italia, che raccoglie le posizioni di insolvenza nei confronti delle banche dei singoli clienti e ne certifica l’indebitamento globale rispetto al sistema del credito. La banca, da parte sua, ha sostenuto di aver agito correttamente, perché la segnalazione alla centrale rischi sarebbe stata effettuata in conformità di una normativa specifica che obbliga gli istituti di credito alla comunicazione di tutti i soggetti passati al contenzioso. E nel caso particolare la comunicazione avrebbe riguardato, peraltro, un debito per il quale è da tempo aperto un procedimento di fronte all’autorità giudiziaria ordinaria.

Il Garante ha rigettato il ricorso ritenendolo infondato, non avendo rilevato alcun comportamento illecito da parte della banca. L’istituto bancario, ha sostenuto infatti l’Autorità, segnalando alla Centrale rischi la posizione di insolvenza del cliente, indipendentemente dall’ammontare del credito, si è attenuto alle disposizioni vigenti e alle istruzioni impartite dalla Banca d’Italia in materia.

La richiesta di cancellazione dei dati potrà, tuttavia, essere ripresentata al termine del procedimento, attualmente in corso per dirimere alcuni aspetti controversi tra le parti.

Per quanto riguarda infine la richiesta di risarcimento dei danni, il Garante precisa che, non avendo competenze in materia, potrà essere fatta valere di fronte al giudice ordinario.

L’Europa va a caccia dei cookies
(da un articolo pubblicato su WiredNews del 31 ottobre 2001)

L’impiego dei cookies - ossia, le stringhe di identificazione utilizzate da molti siti Web per riconoscere un visitatore durante la navigazione in rete - potrebbe essere dichiarato illecito se il Parlamento europeo approverà un emendamento alla proposta di modifica della direttiva sulle comunicazioni elettroniche e la privacy. Si tratta di un emendamento alla relazione parlamentare che accompagna tale proposta, e dovrebbe andare al voto dell’assemblea il prossimo 13 novembre. Se fosse approvato, il testo passerebbe all’esame del Consiglio dei ministri dell’UE per il voto finale.

In base all’emendamento - proposto dall’eurodeputato olandese W.G. van Velzen - i cookies sono equiparati a "identificatori occulti" che tengono traccia delle informazioni sulle abitudini di navigazione degli utenti di Internet. L’esistenza di questi dispositivi "può interferire gravemente con la privacy degli utenti. Pertanto il loro uso dovrebbe essere vietato in assenza del consenso esplicito, informato e libero degli utenti interessati".

E’ un punto sul quale la Commissione europea da tempo riflette; in particolare, si discute sull’opportunità che siano i singoli utenti ad avere l’ultima parola, ossia a decidere quali dati personali debbano essere raccolti nei loro riguardi (è il cosiddetto "opt-in"). Naturalmente le imprese pubblicitarie europee hanno espresso tutta la loro preoccupazione per questa eventualità; secondo l’Interactive Advertising Bureau del Regno Unito, l’emendamento potrebbe causare una perdita pari a 187 milioni di sterline (oltre 56 miliardi di lire) nel solo Regno Unito. Lo IAB ha addirittura dato corso ad un’iniziativa denominata "Save Our Cookies" per fare pressione sul mondo politico, sottolineando in modo particolare il rischio che l’emendamento vibri un altro duro colpo (in termini di occupazione e introiti) ad un settore già pesantemente provato. Inoltre, secondo lo IAB, abolire i cookies potrebbe influire negativamente sul commercio elettronico e sulle vendite di pubblicità online.

In base alla proposta di direttiva, i cookies costituiscono una minaccia per la privacy dei consumatori in quanto raccolgono dati sui loro spostamenti in rete senza chiederne il consenso. Per gli informatici si tratta invece di componenti fondamentali nell’architettura della rete; in sostanza, i cookies rappresentano la "memoria" dei siti web - e in quanto tali sono una miniera di informazioni utilissime per gli scopi più diversi. Tuttavia, è un fatto che molto spesso i cookies raccolgono e memorizzano dati senza che l’utente ne sia a conoscenza e possa esprimere il proprio consenso.