Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Newsletter 4 - 10 novembre 2002

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
41268
Data:
04/11/02

Newsletter 4 - 10 novembre 2002
 
  

  • Raffica di sanzioni ad amministrazioni pubbliche
  • Export di dati personali extra UE. La situazione in Canada

 

Raffica di sanzioni ad amministrazioni pubbliche

Sanzioni amministrative per un importo complessivo di circa 25.000 euro per due Comuni del sud e per il Consiglio nazionale delle ricerche. Mentre sono in fase di ultimazione altri accertamenti derivanti da un ciclo di ispezioni presso diversi comuni, in materia di dati sensibili, nonché in tema di censimenti, l’Ufficio del Garante ha contestato varie violazioni della legge sulla privacy ad alcuni soggetti pubblici nel corso di verifiche scaturite da segnalazioni di cittadini: violazione delle norme sulla videosorveglianza e sulle notifiche, nei confronti del Cnr, e - salva altra valutazione sul merito - inottemperanza all’obbligo di fornire informazioni e di esibire documentazione richieste dall’Autorità nel caso dei due Comuni.

Due contestazioni per oltre 13.400 euro sono state notificate nei giorni scorsi al Cnr per aver installato, presso la propria sede, una telecamera a circuito chiuso senza fornire alcuna informativa alle persone riprese e per aver omesso alcuni adempimenti previsti dalla legge sulla privacy. L’Ufficio del Garante, a seguito dell’esposto di un lavoratore, ha accertato la presenza di un sistema di videosorveglianza dotato di una telecamera con ampio angolo visuale, in grado di riprendere il passaggio delle persone che entrano nel campo visivo. La presenza della telecamera, infine, seppure visibile, non era segnalata in alcun modo. Le immagini, raccolte per motivi di sicurezza, non venivano registrate ed erano trasmesse ad un monitor collocato nel posto di guardia. Al Cnr è stata contestata la violazione della normativa sulla privacy per non aver preventivamente informato il pubblico e i lavoratori attraverso avvisi e cartelli della presenza della telecamera. La contestazione permette un pagamento in tempi brevi in misura ridotta di 3.098 euro.

Nel corso dell’istruttoria, inoltre, l’Autorità ha anche accertato che nella notificazione con la quale il Cnr aveva comunicato all’Ufficio i trattamenti di dati personali, l’ente non aveva specificato questo genere di attività (immagini delle persone trattate attraverso l’impianto di videosorveglianza). Omissione per la quale all’ente è possibile pagare in misura ridotta 10.329 euro.

In altri procedimenti, invece, il Comune di Lecce (che si è già avvalso della facoltà di pagare in tempi brevi in misura ridotta solo 5.164 euro), è stato "multato" per non aver fornito informazioni richieste dall’Ufficio nel corso di accertamenti svolti a seguito della segnalazione di una dipendente comunale. L’interessata aveva denunciato la possibile violazione della normativa sulla privacy, poiché l’assessore al personale avrebbe diffuso, nel corso di un’intervista ad un’emittente locale, informazioni relative allo stato di salute della dipendente e alle sue assenze per malattia. Constatata l’inerzia dell’amministrazione locale, che non aveva fornito alcun chiarimento su quanto lamentato, l’Autorità ha provveduto a sanzionare il comportamento omissivo del Comune, riservandosi ogni altro provvedimento sul merito della vicenda.

Caso analogo quello del Comune di Bari, al quale il Garante si era rivolto per conoscere informazioni sull’istallazione di telecamere nelle auto della polizia municipale finalizzate al controllo delle infrazioni compiute dai cittadini. Oltre ogni elemento utile sulla vicenda, segnalata da un abitante, l’Autorità chiedeva all’ente locale, in particolare, se l’installazione fosse avvenuta nel rispetto dei principi dettati in materia di videosorveglianza. Trascorso il termine fissato senza aver ricevuto alcuna comunicazione, l’Autorità, riscontrando la violazione dell’art. 32 della legge 675/1996, ha applicato al Comune la sanzione amministrativa del pagamento di 5.164 euro.

Entro 30 giorni dalla notifica delle sanzioni Cnr e Comune di Bari potranno ancora far pervenire scritti difensivi o chiedere di essere sentiti dall’Autorità. Trascorso questo termine dovranno provvedere all’effettivo pagamento delle somme.

 

Export di dati personali extra UE. La situazione in Canada

Il Canada è fra gli Stati cosiddetti "terzi" che offrono un livello adeguato di tutela dei dati personali, secondo quanto stabilito dalla Commissione europea in base alla decisione adottata lo scorso 20 dicembre 2001 (http://www.europa.eu.int/comm/....).

La decisione si riferisce alle salvaguardie previste dal Personal Information Protection and Electronic Documents Act (PIPEDA), ossia dalla legge federale approvata il 13 aprile 2000 che estende al settore privato una serie di disposizioni che in precedenza valevano soltanto per i trattamenti di dati personali effettuati da soggetti pubblici. Dunque, in base a tale decisione e all’articolo 25(6) della direttiva, il trasferimento di dati personali dall’Unione Europea (e quindi dall’Italia) al Canada è sempre consentito, a meno che non sussistano particolari circostanze (ad esempio, qualora il destinatario risulti non offrire garanzie sufficienti, sulla base di accertamenti condotti dalle autorità canadesi, oppure se è ragionevole ritenere che l’autorità canadese competente a vigilare in materia non adotti misure adeguate per fare fronte ad eventuali abusi). Il Garante è in procinto di emanare un’autorizzazione al trasferimento dei dati personali in Canada, analoga a quelle già emanate, in seguito alle decisioni assunte dalla Commissione europea sull’adeguatezza della protezione dei dati personali in Svizzera ed Ungheria (vedi "Newsletter" , 8-14 ottobre 2001).

Va sottolineato, tuttavia, che il Canada è uno stato federale e le singole province di cui si compone hanno autonomia legislativa. L’applicazione del PIPEDA, pertanto, non è immediata né uniforme. Vi sono settori (ad esempio, la sanità) che sono riservati alla regolamentazione delle singole province. Per tale motivo, un articolo della Legge prevede la possibilità di esentare singoli enti o singole attività (o categorie di attività) dall’applicazione delle disposizioni della Legge federale in materia di raccolta, utilizzazione e comunicazione di dati personali purché il Governatore della rispettiva provincia accerti e dichiari che la legislazione in vigore nella provincia è "sostanzialmente simile" a quella contenuta nella Legge federale (PIPEDA). Naturalmente l’esenzione si riferisce soltanto ai trasferimenti di dati fra soggetti all’interno di una stessa provincia; per i trasferimenti interprovinciali si applicano le disposizioni della Legge federale.

Una circolare pubblicata di recente dal Ministero dell’industria canadese, che ha competenza in materia, ha chiarito quali siano i termini di riferimento per valutare questa "somiglianza sostanziale" fra norma provinciale e norma federale. L’importanza di questa circolare è legata anche al fatto che l’applicazione integrale del PIPEDA a tutti i soggetti privati avrà effetto soltanto a partire dal 1 gennaio 2004, secondo un processo graduale che esclude, in ogni caso, l’applicazione della legge ai trattamenti per scopi non commerciali (dunque, ad esempio, il trattamento dei dati personali di dipendenti di un’azienda non è soggetto all’applicazione del PIPEDA). Per tutti questi motivi, già sottolineati nel Parere che i Garanti avevano espresso sull’adeguatezza del testo di legge (http://www.europa.eu.int/comm/....), può essere utile riportare brevemente quanto previsto dalla circolare del Ministero dell’industria canadese. Inoltre, la decisione stessa della Commissione è soggetta a riesame ogni tre anni anche alla luce "delle esperienze relative al suo funzionamento o di modifiche della legislazione canadese, compresi provvedimenti che riconoscano che una provincia canadese dispone di una legislazione sostanzialmente simile."

I criteri adottati dal Governatore della singola provincia, che può agire su richiesta di singoli enti o imprese, oppure su indicazione del Ministro dell’industria, devono essere i seguenti:

a) si terrà conto dell’intero assetto normativo esistente nella provincia, per quanto riguarda le garanzie offerte rispetto al trattamento di dati personali nel settore privato (va detto che, ad esempio, nel Quebec esiste una legge onnicomprensiva riferita alla protezione dei dati personali, mentre in altre province non è così);

b) della procedura di valutazione sarà data notizia pubblica (sulla Gazzetta Ufficiale canadese), e si inviterà chi lo desidera a far pervenire osservazioni o commenti;

c) sarà obbligatorio sentire il parere del Privacy Commissioner, ossia dell’autorità federale competente in materia di protezione dei dati personali; al riguardo il Privacy Commissioner ha già chiarito che per "sostanzialmente simile" intende una norma pari o superiore alla legge federale in termini qualitativi e di efficacia;

d) il Ministro dell’industria formulerà una serie di raccomandazioni che il Governatore della singola provincia dovrà adottare, nel segnalare la somiglianza della normativa provinciale al PIPEDA, sulla base di alcuni criteri: il rispetto nella normativa provinciale dei dieci principi fondamentali in materia di protezione dati previsti dal PIPEDA, con particolare riguardo al diritto di accesso e rettifica ed ai meccanismi per la prestazione del consenso; l’esistenza di meccanismi/sistemi di riparazione e controllo efficaci e indipendenti; la previsione che la raccolta, l’uso e la comunicazione di dati personali siano consentiti soltanto per scopi legittimi o opportuni.

Sarà interessante verificare il funzionamento di questo sistema di valutazione "incrociata".