Newsletter 2 - 8 settembre 2002

  

• Banche e finanziarie: maggiore privacy sui prestiti non concessi
• Sistemi informatici: Ocse, promuovere una cultura della sicurezza

Banche e finanziarie: maggiore privacy sui prestiti non concessi

Viola la privacy la centrale rischi privata che conserva e diffonde nel circuito bancario e finanziario informazioni relative a prestiti richiesti e non concessi, oppure oggetto di rinuncia da parte dello stesso richiedente.

Lo ha stabilito il Garante accogliendo in parte il ricorso di un interessato che lamentava l´inerzia della società privata alla quale si era rivolto chiedendo di cancellare e di non diffondere ulteriormente, senza il proprio consenso, alcune informazioni che lo riguardavano, relative ad operazioni di finanziamento personale detenute nella banca dati della centrale rischi. Il ricorrente attribuiva alla diffusione di queste informazioni il rifiuto, senza motivazione, della concessione di altri piccoli prestiti o fidi da parte di alcuni istituti bancari.

Nel corso dell´istruttoria il Garante ha accertato che, presso la centrale rischi, al nominativo del ricorrente risultavano annotati non solo due prestiti, uno regolarmente estinto ed un altro in corso, ma anche diversi altri report relativi a prestiti non concessi o a quelli "rinunciati", con l´indicazione delle società e dei periodi in cui erano state effettuate queste operazioni non andate a buon fine.

Nel provvedimento che definisce il ricorso - e che si collega ad una decisione di carattere più generale adottata di recente - l´Autorità ha riconosciuto la liceità del trattamento "interno" limitatamente ai dati relativi ai due prestiti, ma non ha ritenuto giustificata la diffusione a tutti i soggetti aventi accesso alla centrale rischi delle informazioni riferite a rapporti contrattuali mai instaurati per indisponibilità della banca o della finanziaria o per la rinuncia dell´interessato. Anche nel caso in cui la società finanziaria - ha sottolineato il Garante - fosse stata in grado di produrre una documentazione idonea dalla quale risultasse il consenso del ricorrente a mettere in circolazione nell´intero circuito della centrale rischi questi dati, il principio di pertinenza e non eccedenza dei dati personali non avrebbe comunque consentito, nel caso concreto, di ritenere giustificata e proporzionale tale diffusione.

La pluralità di questi dati, pur non facendo riferimento alla puntualità e alla correttezza dei pagamenti, può, ha affermato il Garante, ingenerare un concreto pregiudizio nei confronti del ricorrente poiché lo espone, presso banche o finanziarie, al dubbio che i rifiuti derivino non tanto da valutazioni discrezionali sulla propria capacità patrimoniale o al rischio di un sovraindebitamento, quanto, invece, da scorrettezze o inadempimenti risultanti agli atti delle singole banche, ma non documentati nella centrale rischi.

Il Garante ha quindi ordinato alla centrale rischi l´immediata cancellazione dei dati del ricorrente relativi ai prestiti non concessi o rinunciati.

Sistemi informatici: Ocse, promuovere una cultura della sicurezza

Sui sistemi informatici e telematici l´OCSE chiede agli Stati di promuovere una cultura della sicurezza. L´organizzazione per la cooperazione e lo sviluppo economici ha pubblicato lo scorso 25 luglio una serie di raccomandazioni (v. link sulla home page del nostro sito) con le quali intende sensibilizzare Stati, governi, imprese e utenti rispetto alla necessità di fare della sicurezza delle reti informatiche e telematiche un obiettivo primario, attraverso la cooperazione e lo scambio di informazioni fra tutti i soggetti in causa. Queste raccomandazioni sostituiscono le precedenti, del 1992, per tenere conto degli sviluppi intercorsi nell´ultimo decennio (soprattutto per quanto riguarda Internet e reti wireless) e intendono fornire un quadro comune di riferimento al fine di promuovere una "cultura della sicurezza".

La parola-chiave del documento OCSE è "interconnettività". E´ proprio l´aumento delle opportunità e modalità di interconnessione che comporta maggiori rischi e una più alta vulnerabilità per tutti quelli che l´OCSE definisce "partecipanti alla nuova società dell´informazione". Per questo è necessario sensibilizzare tutte le parti in causa rispetto all´esigenza di inserire la sicurezza fra i requisiti primari di ogni sistema informativo - a partire dalla sua progettazione. Il documento sottolinea a più riprese che i principi affermati valgono per l´intera struttura sociale: soltanto la partecipazione più ampia possibile delle singole componenti sociali può garantire l´efficacia di una politica mirante a garantire la sicurezza delle interconnessioni.

I nove principi indicati nella Raccomandazione , elaborati con il concorso di rappresentanti italiani anche dell´Autorità Garante, non sono vincolanti (nel senso stretto del termine) per governi o imprese, né rappresentano l´unico approccio possibile - come viene ribadito nel Preambolo; tuttavia, essi rappresentano un´esortazione autorevole e impegnativa e riflettono chiaramente un orientamento condiviso da tutti i maggiori Paesi industrializzati (compresa l´Italia), che non potrà essere ignorato dai governi e dal mondo politico nel definire o modificare l´assetto normativo e regolamentare del settore. Importante è anche il fatto che i nove principi sono reciprocamente complementari, e quindi strettamente connessi; inoltre, nella Raccomandazione si indica chiaramente che qualunque strategia mirante a potenziare la sicurezza dei sistemi informatici e telematici dovrà essere in linea con i valori delle società democratiche - che comprendono la libera circolazione delle informazioni ed il rispetto della privacy dell´individuo (v. al riguardo le Linee-Guida OCSE in materia di privacy e flussi transfrontalieri di dati personali http://www.europa.eu.int/comm.....).

Quali sono, dunque, i principi che l´OCSE raccomanda di applicare in materia di sicurezza?

• Conoscenza dei rischi e delle contromisure disponibili, anche rispetto ai danni eventualmente arrecabili a terzi.
• Assunzione delle rispettive responsabilità, in rapporto al ruolo e alle funzioni svolte, con particolare riguardo (per chi progetta e fornisce prodotti o servizi informatici e telematici) all´informazione tempestiva e aggiornata degli utenti.
• Rapidità nell´affrontare eventuali problemi, attraverso un approccio cooperativo fondato anche sulla condivisione di informazioni - se necessario fra Stati diversi.
• Rispetto per gli interessi legittimi dei terzi: la Raccomandazione parla di un "comportamento etico" da parte di tutti i soggetti in causa (governi, Stati, imprese)
• Rispetto per i valori riconosciuti dalle società democratiche: sicurezza non deve significare compressione della libertà di espressione, della circolazione delle informazioni, della riservatezza delle comunicazioni, della tutela della privacy.
• Analisi dei rischi, quale presupposto fondamentale per individuare pericoli e punti deboli.
• Considerazione primaria degli aspetti di sicurezza nella progettazione e realizzazione di sistemi informatici e telematici, attraverso soluzioni che siano proporzionate al valore delle informazioni contenute nella rete e/o nei sistemi del singolo organismo.
• Adozione di un approccio organico alla gestione della sicurezza, fondato sull´analisi dei rischi e su una visione dinamica che tenga conto di tutti i livelli di attività e di tutte le componenti delle singole operazioni.
• Valutazione periodica della sicurezza dei sistemi informatici e telematici, con attuazione delle modifiche necessarie.