Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Newsletter del 16 gennaio 2009

N. 318 del 16 gennaio 2009

• Informazioni commerciali: si possono trattare solo dati  pertinenti
• Telecamere con le orecchie: stop del Garante
• Protezione dei dati personali e cooperazione giudiziaria in Europa

Informazioni commerciali: si possono trattare solo dati pertinenti
A rischio la reputazione di aziende e professionisti

Nei data base di Cerved solo informazioni corrette e pertinenti che non ledano la reputazione commerciale e l'identità dei soggetti censiti. E poi: no all'uso delle liste elettorali e dei dati ricavati dai redditi del 2005 finiti on line lo scorso anno.
 
Il Garante privacy, intervenuto a seguito di numerose segnalazioni, ha vietato a Cerved, società che opera nel settore della c.d. business information, il trattamento illecito di alcune categorie di dati personali e le ha prescritto una serie di misure per conformarsi al Codice sulla riservatezza.
 
Cerved è la più ampia banca dati di informazioni necessarie per il mondo degli affari e fornisce a istituti bancari, finanziarie, professionisti, operatori economici ecc. informazioni sulla affidabilità dei soggetti censiti. Attualmente nei data base della società sono presenti diversi milioni di imprese e di persone fisiche.
 
I dati che la società tratta per realizzare i servizi che offre (dossier, report su persone fisiche o imprese) provengono in larga parte da fonti lecite, quali i registri pubblici (informazioni camerali, di conservatoria, catastali, registro dei protesti ecc.) o altre fonti accessibili (liste delle imprese certificate Iso, notizie di stampa ecc.). Tuttavia, durante gli accertamenti ispettivi effettuati dal Garante, è emerso che Cerved, oltre a dati pubblici riferiti ai soggetti censiti si serve anche di altre informazioni sulla cui base vengono strutturati i dossier e i report. Cerved, infatti, non si limita alla semplice riproposizione delle informazioni estratte da fonti pubbliche, ma vi associa altri eventi o fatti riferiti a terzi facendoli confluire in un unico contesto. In tal modo, ad alcuni soggetti censiti si associano informazioni che non li riguardano direttamente (es. partecipazioni a società in seguito fallite per responsabilità altrui), con una conseguente violazione della loro reputazione commerciale e identità personale.
 
Inoltre, il Garante ha accertato che tali dati, anche quelli riferiti a terzi, sono utilizzati per fornire valutazioni sintetiche che non derivano da dati personali estratti da pubblici registri, ma sono autonomi giudizi elaborati sulla base di criteri unilateralmente fissati dalla società.
 
Il Garante ha ritenuto tale modalità non corretta e ha vietato a Cerved l' uso di questi dati, prescrivendo anche l'adozione di ogni accorgimento per evitare il ripetersi di simili associazioni.
 
Nel corso degli accertamenti è emerso, tra l'altro, che la società, non solo trattava informazioni eccessive e non pertinenti, ma raccoglieva anche dati personali da fonti dalle quali non poteva attingere, come le liste elettorali, o addirittura le dichiarazioni dei redditi del 2005, acquisite in occasione delle loro messa on line da parte dell'Agenzia delle entrate (diffusione dichiarata dall'Autorità illegittima). Oltre a vietare l'uso di questi dati il Garante ha ordinato a Cerved di cancellare quelli relativi ai contribuenti.
 
Telecamere con le orecchie: stop del Garante
Una telecamera posta all'interno di un locale registra suoni e memorizza voci. Interviene il Garante ne vieta l'uso e ordina la cancellazione delle registrazioni. Il provvedimento inibitorio (relatore Mauro Paissan) è stato adottato a seguito delle segnalazioni di diversi cittadini che lamentavano l'installazione, da parte di un negoziante, di numerose telecamere esterne che riprendevano mezzi, persone in transito e accessi agli immobili posti nel loro angolo di visuale. I segnalanti contestavano anche l'assenza di cartelli o comunicazioni visibili che informassero dell'esistenza del sistema di videosorveglianza. Il titolare del negozio, chiamato dal Garante a dar conto del proprio operato, si giustificava affermando che le telecamere, quattro esterne e tre interne, erano state installate, con un'angolazione rivolta verso la porta e le finestre del locale, per finalità di sicurezza, dopo aver subito alcuni atti vandalici e intimidatori. Sosteneva, inoltre, che il sistema fosse adeguatamente segnalato da cartelli.
 
Da più accertamenti svolti sul posto è emersa invece una situazione diversa. Innanzitutto, all'epoca della prima ispezione mancavano del tutto cartelli che informassero della presenza del sistema di videosorveglianza e quelli apposti in seguito non sono risultati comunque idonei, perché non ben visibili. Ma una circostanza ha richiamato maggiormente l'attenzione degli ispettori del Garante e ha fatto scattare il divieto: una delle tre telecamere interne, collocata vicino al registratore di cassa, risultava, infatti, dotata di registratore audio. Il negoziante dovrà rimuovere la "telecamera con le orecchie" e cancellare i dati (suoni, voci) finora raccolti. L'Autorità ha ritenuto, infatti, illecita la registrazione delle voci perché non conforme al principio di finalità, secondo cui il trattamento deve essere effettuato per finalità determinate, esplicite e legittime. Finalità che non risultano ricorrere nel caso esaminato. Il Garante, inoltre, ha prescritto al titolare del negozio di designare quale responsabile del trattamento e unica persona autorizzata ad accedere alle immagini registrate, il soggetto che ha la manutenzione dell'impianto, disponendo fino ad allora il blocco della comunicazione delle immagini.
 
Protezione dei dati personali e cooperazione giudiziaria in Europa
Bilancio positivo per il Working Party on Police and Justice (WPPJ), il Gruppo dei Garanti europei per la protezione dei dati personali costituito nel 2007 con l'obiettivo di affrontare le problematiche connesse all'attività di collaborazione giudiziaria e di polizia (il cosiddetto "Terzo Pilastro").
 
Fra le questioni che più hanno impegnato nel 2008 il WPPJ, presieduto da Francesco Pizzetti, vanno segnalate innanzitutto le attività connesse al processo di adozione della Decisione quadro del Consiglio Ue in materia di protezione dati nel III Pilastro (avvenuta nel mese di novembre 2008) e le problematiche attinenti l'attuazione del Trattato di Prüm (che prevede l'obbligo per le autorità responsabili delle indagini penali negli Stati membri Ue di scambiarsi informazioni basate sull'utilizzo del Dna). In entrambi i casi il WPPJ ha richiamato la necessità di rispettare alcuni principi fondamentali e di garantire un adeguato raccordo fra le autorità nazionali di protezione dati al fine di consentire controlli realmente efficaci.
 
In numerose occasioni nel corso del 2008 il WPPJ ha sollecitato le istituzioni europee (anche attraverso incontri bilaterali con le più alte cariche istituzionali) ad offrire chiarimenti sulla natura delle molte iniziative adottate o proposte nel settore del Terzo Pilastro, che a giudizio del Gruppo non risultavano essere sufficientemente coordinate e non tenevano nel dovuto conto le esigenze di protezione dei dati e della privacy.
 
Sotto la presidenza italiana, il Gruppo di lavoro europeo si è anche adoperato in un'attività di analisi per valutare le prassi attualmente in essere rispetto alle attività di controllo nel settore della cooperazione giudiziaria e di polizia, con l'obiettivo ultimo di predisporre un manuale operativo comune da utilizzare in tutta Europa. E' stata, inoltre, avviata la creazione di un inventario degli accordi bilaterali in vigore fra i Paesi europei e Paesi non-europei, con lo scopo di elaborare indicazioni utili a garantire l'armonizzazione fra le disposizioni in materia di protezione dei dati, contenute in tali accordi, e quelle presenti negli strumenti vigenti e cogenti a livello europeo (in particolare, la Convenzione 108/1981 del Consiglio d'Europa).
 
Per quanto riguarda il piano d'azione 2009, il Gruppo ha come obiettivo primario quello di continuare a dare un fattivo contributo ai Paesi membri ed alle Istituzioni Europee soprattutto in vista della entrata in vigore del trattato di Lisbona, che rivoluzionerà l'architettura istituzionale dell'Unione europea e renderà necessaria un'ulteriore armonizzazione delle disposizioni in materia di protezione dei dati anche nel settore del "Terzo Pilastro".
 

L'ATTIVITÁ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall'Autorità

• Giovanni Buttarelli nominato Garante europeo aggiunto – 23 dicembre 2008 [doc. web n. 1576420]
• Persone disperse in montagna: si può localizzare il cellulare per rintracciarle – 24 dicembre 2008 [doc. web n. 1576595]
Dati genetici: autorizzato il trattamento per l'anno 2009 - 29 dicembre 2008 [doc. web n. 1577619]

 

NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma.
Tel: 06.69677.752 - Fax: 06.69677.755
Newsletter è consultabile sul sito Internet www.garanteprivacy.it