g-docweb-display Portlet

VI - L'attività del Garante

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

VI - L´attività del Garante - Relazione 2003 - 28 aprile 2004

45. La collaborazione fornita dal Garante alle attività del Parlamento e del Governo

451. L´Autorità e le attività di sindacato ispettivo e di indirizzo del Parlamento
Anche nel corso del 2003 l´Autorità ha seguito con attenzione l´attività di sindacato ispettivo e di indirizzo esercitata dal Parlamento, in relazione agli aspetti di specifico interesse in materia di protezione dei dati personali, fornendo al Governo, laddove richiesto, i chiarimenti e le indicazioni necessarie.

Sono stati pure inviati al Governo gli elementi richiesti in relazione ad alcuni atti di sindacato fra i quali, in particolare, un´interrogazione a risposta immediata presentata dall´on. Folena (3-02832), relativa all´acquisizione da parte degli Usa dei dati dei passeggeri conservati nella banche dati dell´Alitalia (Nota 4 novembre 2003). In tale occasione il Garante ha ricordato, fra l´altro, che la richiesta formulata dalle autorità americane alle compagnie aeree di accedere a tutti i dati contenuti nel Pnr (Passenger name record, su cui cfr. supra, parag. 36.) relativi ad individui diretti, provenienti o in transito verso gli Stati Uniti, va valutata alla stregua delle disposizioni comunitarie in materia (in particolare, l´art. 25 della direttiva n. 95/46/CE).

Va infine ricordato che due mozioni analoghe della maggioranza (1-00304 Leone ed altri) e dell´opposizione (1-00215 Folena ed altri), poi approvate all´unanimità dal Parlamento il 14 gennaio 2004, con riferimento alle problematiche inerenti alla conversione del d.l. n. 354/2003 hanno impegnato il Governo a rimuovere tutte le norme potenzialmente lesive dei diritti di riservatezza e a regolamentare in modo più efficace il trattamento dei dati di traffico della telefonia mobile, al fine di tutelare il diritto degli individui (sul punto, cfr. più diffusamente parag. 1.11.).

 

452. L´attività consultiva del Garante sugli atti del Governo
L´articolo 154, comma 4, del d.lg. n. 196/2003 (che riproduce l´art. 31, comma 2, della legge n. 675/1996) stabilisce che il Presidente del Consiglio dei ministri e ciascun ministro debbano consultare il Garante all´atto della predisposizione delle norme regolamentari e degli atti amministrativi suscettibili di incidere in materia di protezione di dati personali.

In relazione a tale competenza, nel corso dell´anno il Garante ha espresso vari pareri anche in importanti materie, fra cui, in particolare, quelli riguardanti:

  • due schemi di regolamento in attuazione della legge n. 189/2002 concernenti, l´uno, il riordino del regolamento di attuazione del testo unico in materia di immigrazione e condizione dello straniero (d.P.R. n. 394/1999) e, l´altro, lo sviluppo e la razionalizzazione dei sistemi informativi delle pubbliche amministrazioni coinvolte nell´applicazione della legge, in particolare ai fini del funzionamento dello sportello unico per il rilascio del permesso di soggiorno (Parere 4 marzo 2004);
  • lo schema di decreto interministeriale (Ministri per l´innovazione e le tecnologie e dell´interno) che disciplina il permesso di soggiorno elettronico. Dopo un primo parere del 15 ottobre 2003, a seguito di incontri tecnici tra rappresentanti dell´Autorità e del Ministero dell´interno, in cui sono stati forniti chiarimenti sul piano applicativo, il Garante ha formulato un secondo parere il 4 marzo 2004 con il quale ha, fra l´altro, indicato gli interventi necessari per garantire gli interessati in occasione della raccolta delle impronte digitali e, in particolare, nel caso di inserimento di dati biometrici nel documento elettronico. Al riguardo, l´Autorità ha anche confermato la propria disponibilità a proseguire la cooperazione con il Ministero al fine di approfondire i problemi ed i rischi derivanti dalle differenti tecniche di identificazione e di autenticazione, descritte dai Garanti europei a proposito dei dati biometrici nel parere del 1° agosto 2003 (su cui, supraparag. 38.). Ciò anche allo scopo di individuare le cautele necessarie nella fase di attivazione del documento elettronico e di consegna dei documenti o di accesso selezionato ai dati, nonché le migliori garanzie di sicurezza disponibili. L´esito di tali approfondimenti potrebbe essere trasfuso nelle misure e negli accorgimenti che, in materia di dati biometrici, devono essere individuati dal Garante ai sensi dell´art. 55 del Codice;
 
Il permesso di soggiorno eletronico
  • lo schema di decreto del Presidente della Repubblica recante il regolamento di disciplina dell´accesso al servizio di informatica giuridica del Centro elettronico di documentazione (C.e.d.) della Corte di cassazione (Parere27 febbraio 2004).
  • lo schema di regolamento (Ministri per la funzione pubblica e dell´interno) di gestione dell´Indice nazionale delle anagrafi (I.n.a.), in attuazione dell´art. 2-quater del decreto legge 27 dicembre 2000, n. 392, convertito dalla legge n. 26/2001 (Parere 13 febbraio 2004);
  • uno schema di decreto dirigenziale del Ministero della giustizia, di attuazione in via parziale e transitoria dell´art. 39 del d.P.R. 14 novembre 2002, n. 313 (testo unico delle disposizioni legislative e regolamentari in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti), concernente la consultazione del casellario giudiziale da parte delle pubbliche amministrazioni e dei gestori di pubblici servizi (Parere 28 gennaio 2004).

In occasione degli incontri di lavoro che hanno preceduto la redazione dello schema di decreto, l´Autorità aveva constatato il carattere transitorio della soluzione elaborata, in attesa di una regolamentazione definitiva della procedura di accesso diretto ai sensi dell´art. 39 del d.P.R. 313/2002. Nel parere del 28 gennaio 2004 è stata sottolineata la necessità che l´accesso ai dati giudiziari registrati nel casellario giudiziale, nonché il successivo utilizzo da parte delle pubbliche amministrazioni e dei gestori di pubblici servizi, siano consentiti nel rispetto dei limiti previsti dallo stesso d.P.R. n. 313/2002 e in misura proporzionata alle finalità da perseguire.

Le osservazioni del Garante hanno tenuto conto anche del ricorso presentato da un privato interessato all´aggiudicazione di un appalto, che lamentava l´utilizzo da parte della pubblica amministrazione, ai fini dell´esclusione dalla gara, di dati contenuti in un certificato generale del casellario, contestando che quest´ultimo potesse essere rilasciato ad un soggetto pubblico, considerata l´equiparazione dei certificati rilasciabili ai privati interessati e alle pubbliche amministrazioni. L´Autorità ha ritenuto infondate le tesi del ricorrente, alla luce della normativa vigente, che consente alla pubblica amministrazione di acquisire dal casellario i dati necessari per accertamenti d´ufficio o per il controllo delle autodichiarazioni presentate dai privati (il ricorrente ha impugnato la decisione davanti all´autorità giudiziaria: v. pure supra, parag. 27.). Tuttavia, sia nella decisione del ricorso, sia nel parere del 28 gennaio scorso, il Garante ha richiamato l´attenzione del Ministero della giustizia sulla necessità di completare al più presto ed in via definitiva la messa a punto del sistema di consultazione in via telematica del casellario da parte delle pubbliche amministrazioni e dei gestori di pubblico servizio, superando l´attuale fase transitoria così da consentire un utilizzo selettivo delle informazioni necessarie nell´ambito dello specifico procedimento avviato;

 
Consultazione ed utilizzo dei dati del casellario giudiziale da parte delle p.a.
  • lo schema di d.P.C.M. recante regole tecniche per la generazione, apposizione e verifica delle firme digitali, adottato ai sensi del testo unico in materia di documentazione amministrativa (d.P.R. n. 445/2000), in sostituzione del d.P.C.M. 8 febbraio 1999 (Parere 19 novembre 2003);
  • lo schema di regolamento recante disposizioni per il diritto di accesso agli atti delle imprese di assicurazione, in attuazione dell´art. 3 della l. 5 marzo 2001, n. 57 (Parere 13 agosto 2003). A tal proposito, si sottolinea che le indicazioni fornite dal Garante in merito alla necessità di mantenere chiara la distinzione tra il diritto di accesso agli atti delle imprese di assicurazione ed il diritto di accesso ai dati di cui al d. lg. n. 196/2003, sono state recepite nel d.m. 20 febbraio 2004, n. 74 (v. in particolare l´art. 1, comma 2);
  • lo schema del regolamento di attuazione ed organizzazione della banca dati relativa ai minori dichiarati adottabili istituita dall´articolo 40 della legge 28 marzo 2001, n. 149 (Parere 11 luglio 2003); il regolamento è stato poi adottato con d.m. 24 febbraio 2004, n. 91 in Gazzetta Ufficiale 9 aprile 2004, n. 84;
  • lo schema di d.P.R. recante il regolamento sulle caratteristiche e le modalità per il rilascio della Carta nazionale dei servizi (Parere 9 luglio 2003). In tale parere il Garante ha richiesto un´attenta valutazione, da parte dell´amministrazione procedente, circa la pertinenza dei dati da inserire nella carta, che in ogni caso non potrebbero essere dati sensibili; si è inoltre espresso in favore della loro utilizzazione da parte delle amministrazioni esclusivamente a fini di identificazione dell´interessato e di legittimazione al servizio offerto. L´Autorità ha poi richiesto che le disposizioni dello schema relative all´utilizzo dell´Indice nazionale delle anagrafi (Ina) fossero rese coerenti con la funzione propria di tale indice, che è quella di mero strumento per l´individuazione agevole del comune di residenza degli interessati e non di sostanziale anagrafe nazionale;
 
Carta nazionale dei servizi
  • lo schema di regolamento per la tenuta dei fascicoli personali della carriera diplomatica ai sensi dell´art. 113 del d.P.R. n. 18/1967 (Parere 19 giugno 2003). Il regolamento è stato poi adottato con il decreto del Ministro degli affari esteri 13 ottobre 2003, n. 311;
  • lo schema di regolamento concernente le modalità di istituzione e tenuta presso la Presidenza del Consiglio dei ministri della banca dati informatica dei componenti degli organi di amministrazione attiva, consultiva e di controllo dello Stato e degli enti pubblici a carattere nazionale e delle relative modalità di nomina (Parere 9 aprile 2003);
  • lo schema di regolamento in materia di estensione delle disposizioni antiriciclaggio ad attività non finanziarie particolarmente suscettibili di utilizzazione a fini di riciclaggio, in attuazione dell´art. 4, comma 8, del d.lg. 25 settembre 1999, n. 374 (Parere 12 marzo 2003).

 

46. La cooperazione a livello europeo

461. L´attività del Gruppo istituito ai sensi dell´art. 29 della direttiva n. 95/46/CE
Nel 2003 è proseguita la tendenza ad un ampliamento del ruolo e delle competenze del Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali, istituito ai sensi dell´art. 29 della direttiva n. 95/46/CE.

Intenso è stato il lavoro svolto da tale Gruppo per interpretare, segnalare ed indirizzare l´attività della Commissione europea in relazione all´applicazione dei principi della direttiva generale in materia. Il rischio che potrebbe presentarsi al riguardo è che il Gruppo sia però considerato, anche presso uffici comunitari, alla stregua di un gruppo di lavoro specializzato, anziché un organismo consultivo indipendente.

A causa dell´attuale esiguità della struttura di segretariato, che svolge una funzione di supporto al Gruppo, la predisposizione degli elementi per la discussione e la successiva valutazione delle proposte della Commissione è stata a volte compiuta direttamente dagli uffici della stessa Commissione che avevano chiesto l´avviso del Gruppo. I pareri sono stati, inoltre, talora sollecitati non già in fase di predisposizione di misure comunitarie, bensì a volte dopo la presentazione delle relative proposte al Consiglio.

In proposito, un´iniziativa della Commissione tuttora in corso di elaborazione, sulla quale il Gruppo dei garanti europei ha fornito un parere preliminare, ha riguardato la proposta di una direttiva in materia di protezione dei dati dei lavoratori. Nel settore della protezione dei dati sono inoltre da segnalare le proposte della Commissione relative all´introduzione di modelli per il rilascio di visti e permessi di soggiorno, nonché di passaporti che prevedono l´inserimento obbligatorio di dati biometrici.

In ogni caso, come detto, il ruolo dei garanti europei in ambito comunitario ha acquisito un rilievo più forte.

Il Gruppo, che fino al 16 marzo scorso è stato presieduto dal prof. Rodotà, è stato più volte coinvolto ufficialmente nell´ambito di vari incontri, seminari, audizioni e lavori parlamentari, coordinati dal Parlamento europeo per discutere ed approfondire temi di particolare rilevanza: è quanto avvenuto, ad esempio, in relazione a numerose proposte volte ad intensificare la creazione di basi di dati a livello europeo e a rendere accessibili, al di là delle previsioni delle singole convenzioni istitutive, i trattamenti di dati effettuati nell´ambito della cooperazione di polizia e giudiziaria.

Alla luce di ciò, potrebbe diventare necessario ridefinire la collocazione istituzionale del Gruppo nel quadro della complessa compagine comunitaria, come pure del suo segretariato. Questo anche in considerazione delle numerose proposte in corso di elaborazione su materie di confine tra il primo ed il terzo pilastro, la cui predisposizione compete ad uffici della Commissione diversi da quelli ai quali è affidata l´attuazione della direttiva n. 95/46/CE (D.g. mercato interno).

Nel corso del 2003, l´attività del Gruppo ha riguardato un´ampia gamma di tematiche, attinenti sia ai diversi ambiti di applicazione delle direttive n. 95/46/CE e n. 2002/58/CE, sia al trasferimento dei dati personali verso Paesi terzi.

Il Gruppo ha dedicato particolare attenzione alle richieste di alcuni Stati (Australia, Canada, Stati Uniti) di ottenere da parte delle compagnie aeree i dati personali dei passeggeri in viaggio da e verso il loro territorio. Tali richieste sono state motivate con la necessità di prevenire il terrorismo e di facilitare i compiti delle autorità doganali. Il Gruppo, nel ribadire l´esigenza di un approccio equilibrato alla lotta contro il terrorismo (v. Pareri n. 10/2001 e n. 6/2002), ha sottolineato la necessità di rispettare e di applicare correttamente anche in tale settore i principi sulla protezione dei dati personali (per maggiori dettagli sul punto, v. supra, parag. 36.).

Si ricorda, infine, un primo documento di lavoro (WP 86 del 23 gennaio 2004) sui dispositivi proposti dal consorzio Trusted Computing Group per incentivare la sicurezza delle transazioni elettroniche mediante strumenti non solo software, ma anche hardware.

 

462. La partecipazione ad altri comitati e gruppi di lavoro

Sempre nell´ambito della definizione delle forme di collaborazione e scambio tra le autorità di protezione dei dati, va ricordata l´attività dell´International Working Group on data protection in telecommunications (cd. Gruppo di Berlino), in quanto sede di discussione ed approfondimento, non solo a livello europeo, su temi quali Internet, cifratura e comunicazioni elettroniche, tra esperti in materia di tecnologie ed informazione.

 
Il Gruppo di Berlino

Nella riunione di Berlino del 2-3 settembre 2003 sono stati discussi numerosi temi, fra cui meritano di essere menzionati in particolare il media privilege, la Radio frequency identification (identificazione attraverso radio frequenze), il tempo di conservazione dei dati di traffico e lo spamming.

Con riferimento ai media, sono stati analizzati gli esiti dei questionari compilati a livello nazionale e sono state presentate le innovazioni introdotte in materia nella normativa nazionale dal d.lg. n. 196/2003.

È stato inoltre illustrato il contenuto del provvedimento del Garante relativo ai Multimedia message systems (Mms), il quale potrà contribuire all´elaborazione di una dichiarazione che il Gruppo adotterà durante la prossima riunione.

Con riguardo alla Radio frequency identification, il Gruppo ha elaborato un documento che è successivamente servito come base per la risoluzione adottata dalle autorità di garanzia riunite a Sydney nel settembre del 2003 (v. supraparag. 44.5.).

Sono proseguiti gli incontri (cd. seminari in materia di Complaints Handling) organizzati ai fini dello scambio di informazioni e della definizione di linee operative comuni per la trattazione delle segnalazioni e dei ricorsi presentati alle autorità nazionali per la protezione dei dati, con particolare riguardo ai casi che, per la loro rilevanza o per la natura delle parti interessate, travalicano l´ambito nazionale.

 
I Complaints Handling Workshop

Ai due incontri, tenutisi rispettivamente a Roma (VIII Complaints Handling Workshop, 23-24 ottobre 2003) ed a Stoccolma (IX Complaints Handling Workshop, 11-12 marzo 2004), hanno partecipato oltre quarantacinque delegati dei Paesi Ue e di quasi tutti i Paesi in via di adesione all´Unione.

Nel seminario di Roma è stata dedicata specifica attenzione al tema della biometria, con la discussione dei risultati di un questionario presentato dalla delegazione portoghese. Il tema della ricerca farmacologica e delle modalità di prestazione del consenso da parte dei pazienti e/o candidati è stato esaminato in relazione a un questionario predisposto dalla delegazione belga. La delegazione italiana ha impostato la discussione di due casi concreti di bilanciamento di interessi, evidenziando numerose difformità negli approcci seguiti dai singoli Paesi in rapporto, soprattutto, all´esistenza o meno di norme settoriali che indichino già criteri operativi. Sono stati pure presentati gli aggiornamenti relativi all´indagine conoscitiva condotta dal Garante nel 2002 sui meccanismi utilizzati dalle maggiori imprese italiane per trasferire dati personali (di clienti e/o dipendenti) verso Paesi terzi. La discussione ha poi preso in considerazione possibili linee-guida per assicurare che i seminari in materia di "Complaints Handling" continuino ad essere focalizzati su casi concreti e su positive modalità operative già in sperimentazione.

Alcuni dei temi affrontati durante l´incontro di Roma sono stati approfonditi in occasione del seminario di Stoccolma, con particolare riguardo alla biometria. Ciascuna delegazione ha, infatti, presentato un caso nazionale emblematico, prospettando le soluzioni volta per volta individuate. La delegazione portoghese ha segnalato l´esistenza di un "decalogo" emanato dall´autorità nazionale di protezione dati per regolamentare l´impiego di dispositivi biometrici ai fini del controllo dell´accesso a locali pubblici e/o privati. Sono state analizzate, inoltre, le strategie seguite dalle varie autorità nazionali per sollecitare l´attenzione dell´opinione pubblica. In particolare, l´autorità svedese e quella del Land di Brandeburgo hanno illustrato l´attività di sensibilizzazione ed educazione svolta rispetto ai cd. incaricati della protezione dei dati, cioè i soggetti che i titolari possono designare ai sensi dell´art. 18(2) della direttiva n. 95/46/CE con il compito, fra l´altro, di tenere un registro dei trattamenti, evitando così l´invio della notificazione all´autorità di controllo. I partecipanti hanno anche esaminato le priorità eventualmente individuate dalle rispettive autorità in relazione alle attività ispettive. Infine, è proseguita la discussione sulla configurazione futura dei seminari e, in particolare, sullo spostamento del nucleo centrale di attività dalla trattazione di casi che coinvolgono più Paesi al confronto su casi concreti affrontati dalle singole autorità. Un documento in merito è stato presentato per la discussione all´European Spring Conference of Data Protection Commissioners (Rotterdam, 21-23 aprile 2004).

 

463. EUROPOL: l´attività dell´Autorità comune di controllo e i primi casi di contenzioso
L´Autorità comune di controllo prevista dall´art. 24 della Convenzione Europol ha continuato la sua attività di verifica e controllo sulla gestione degli archivi Europol, che dal luglio 1999 comprendono gli archivi di analisi.

Tale Autorità ha seguito con attenzione i progetti di negoziato sottoposti dal Direttore dell´Europol per ottenere il consenso ad iniziare le trattative volte allo scambio di dati con alcuni Paesi terzi. Sono stati inoltre espressi pareri in merito all´apertura di file di analisi e alla nozione di dato personale nel contesto Europol, compresa la possibilità di includervi anche le persone decedute.

L´Autorità comune si è inoltre occupata degli sviluppi applicativi dell´accordo Europol-Stati Uniti per la trasmissione di dati personali a seguito della ristrutturazione del Department of Homeland Security ed ha espresso le sue preoccupazioni riguardo ai lavori per la revisione dei sistemi di informazione esistenti nel cd. terzo pilastro, che si svolgono presso il Consiglio dell´Unione europea ed ai quali partecipa il segretariato comune delle autorità comuni di controllo in tale ambito.

Nell´ottobre del 2003 sono stati rinnovati diversi componenti dell´Autorità comune di controllo e del Comitato ricorsi, per scadenza del rispettivo mandato, ed è iniziata un´attività di definizione delle regole per l´accesso agli atti e ai documenti detenuti dall´Autorità comune. Ciò anche in relazione all´apertura di uno specifico sito web (http://europoljsb.ue.eu.int/home/default.asp?lang=it) ed alla scelta dei documenti da mettere a disposizione del pubblico (oltre al rapporto di attività e al testo dei pareri adottati, anche informazioni sulla composizione dell´Autorità, sui compiti attribuiti, nonché sul funzionamento del comitato ricorsi).

Una discussione approfondita è stata dedicata alla bozza di accordo predisposta per lo scambio di dati ed informazioni tra Europol ed Eurojust.

Alle riunioni erano presenti, in veste di osservatori, i rappresentanti degli organismi incaricati della protezione dei dati dei Paesi in via di adesione all´Unione europea.

È stata anche svolta l´annuale ispezione alla sede dell´Europol incentrata sugli archivi di analisi e sugli sviluppi tecnologici del sistema, ed è stata effettuata una visita di controllo per verificare il grado di adempimento di Europol alle raccomandazioni impartite a seguito dell´ispezione.

La prima relazione di attività, riguardante il periodo ottobre 1998-ottobre 2002, è stata ufficialmente presentata dal Presidente agli organi competenti ed è stata resa disponibile nelle diverse versioni linguistiche, sia in formato cartaceo (cfr. l´allegato alla presente Relazione), sia in formato elettronico sul sito web dell´Autorità comune.

 
La prima relazione dell´autorità comune

Va, infine, ricordata la modifica della Convenzione Europol adottata dal Consiglio dei ministri giustizia e affari interni, che amplia il ruolo di Europol rispetto agli specifici scopi conferitigli inizialmente dalla Convenzione.

 

464. Il sistema informativo doganale
Il Sistema informativo automatizzato comune (Sistema informativo doganale-S.i.d.) è stato istituito dalla Convenzione sull´uso dell´informatica nel settore doganale del 26 luglio 1995, elaborata in base all´articolo K3 del Trattato Ue sull´uso dell´informatica nel settore doganale e ratificata dall´Italia con la legge 30 luglio 1998, n. 291.

La Convenzione mira ad intensificare la cooperazione tra le amministrazioni doganali dei diversi Paesi dell´Ue, specie attraverso lo scambio di dati personali. A tal fine è appunto prevista la creazione del Sistema informativo doganale, che dovrebbe facilitare la prevenzione, la ricerca ed il perseguimento delle infrazioni alle leggi nazionali.

La Convenzione istituisce, inoltre, un´autorità comune di controllo, composta di due rappresentanti per ciascun Paese delle autorità nazionali di protezione dei dati, che ha iniziato i suoi lavori nel corso della primavera del 2002. Nel periodo in esame l´Autorità ha definito il proprio regolamento interno e i metodi di lavoro. Ha espresso, inoltre, il parere sull´istituzione di un´archivio di identificazione dei fascicoli a fini doganali (cd. Fide). Nelle ultime riunioni, l´Autorità comune di controllo si è occupata in particolare di definire gli aspetti relativi all´effettuazione di ispezioni in loco.

 

465. Eurodac
A seguito della nomina e costituzione dell´Autorità di controllo indipendente, avvenuta con la decisione del Parlamento e del Consiglio del 22 dicembre 2003, l´Autorità comune di controllo Eurodac per il confronto delle impronte digitali di coloro che richiedono l´asilo ha esaurito le sue funzioni.

Il controllo su tale sistema informativo, costituito e gestito dalla Commissione, spetterà infatti in via definitiva alla predetta autorità di controllo indipendente prevista dall´art. 286, par. 2, del Trattato di Amsterdam, che ha il compito di controllare la correttezza dei trattamenti di dati effettuati dalle istituzioni e dagli organismi dell´Ue.

 
La nuova autorità di controllo su Eurodac

La nuova cornice normativa in materia di protezione dati è stata illustrata dai servizi giuridici della Commissione nel corso dell´ultima riunione dell´Autorità comune di controllo, in cui sono state esposte, in particolare, le funzioni e i legami fra i differenti organi di controllo competenti in materia. In tale occasione sono stati pure presentati i regolamenti che stabiliscono i criteri e i meccanismi di determinazione dello Stato membro responsabile dell´esame di una domanda di asilo e le modalità attuative, in particolare il funzionamento della rete DubliNET.

È stato inoltre evidenziato che la banca dati dell´Unità centrale aumenta costantemente di dimensioni, e che vengono alla luce anche doppie e triple "identificazioni positive", ciò che prova la reale utilità del sistema. La Commissione ha sottolineato l´alta qualità dei dati contenuti nella banca dati centrale ed ha evidenziato la necessità di un´analoga qualità in ambito nazionale al momento della raccolta delle impronte digitali inviate ad Eurodac per l´accertamento.

 

47. L´attività dell´Autorità nell´ambito del Consiglio d´Europa

471. I gruppi di esperti
Il Protocollo addizionale alla Convenzione n. 108 del 1991, che prevede l´istituzione di autorità di controllo indipendenti con compiti di verifica e controllo dei trattamenti, e disciplina i flussi transfrontalieri di dati, aperto alla firma l´8 novembre 2001, avendo raggiunto il numero di ratifiche necessario, è entrato in vigore a livello internazionale il 17 marzo 2004.

L´Italia è tra i Paesi firmatari, ma non ha ancora presentato in Parlamento il disegno di legge di ratifica.

Per quanto riguarda le modifiche alla ricordata Convenzione n. 108 per consentire alle Comunità europee di aderirvi, l´Italia non ha firmato il relativo Protocollo emendativo. Essendo necessaria l´accettazione degli emendamenti da parte di tutti i Paesi dell´Unione europea, tali modifiche non sono quindi ancora entrate in vigore.

Nel quadro dell´attività del Consiglio d´Europa meritano di essere menzionati i lavori dei cd. gruppi di esperti: il Comitato CJ-PD, nato nell´ambito del Comitato per la cooperazione giudiziaria e soppresso a seguito del processo di razionalizzazione delle risorse utilizzabili, è riuscito comunque, nel corso della sua ultima riunione, svoltasi nel dicembre 2003, a portare a compimento i lavori sulle linee guida per l´uso delle carte intelligenti (smart card).

Il Comitato T-PD cd. convenzionale, in quanto costituito direttamente dalla Convenzione n. 108 e quindi non sopprimibile per decisione amministrativa, nell´unica riunione plenaria svoltasi anch´essa nel mese di dicembre 2003, si è trovato a valutare le problematiche derivanti dalla soppressione del CJ-PD e, in particolare, le modalità di prosecuzione dei lavori sul trattamento di dati biometrici, che il CJ-PD non ha potuto completare.

 
Il Comitato T-PD

Il Comitato T-PD cd. convenzionale, in quanto costituito direttamente dalla Convenzione n. 108 e quindi non sopprimibile per decisione amministrativa, nell´unica riunione plenaria svoltasi anch´essa nel mese di dicembre 2003, si è trovato a valutare le problematiche derivanti dalla soppressione del CJ-PD e, in particolare, le modalità di prosecuzione dei lavori sul trattamento di dati biometrici, che il CJ-PD non ha potuto completare.

Proprio a causa dell´inserimento nei suoi lavori delle problematiche legate alla biometria, il TP-D ha poi dovuto rivedere le priorità stabilite per il 2003 e per il 2004, programmando un approfondimento sui seguenti temi:

  • l´applicazione dei principi della Convenzione in relazione agli sviluppi tecnologici. Il Comitato si propone così di esaminare meglio, alla luce della Convenzione, come un indirizzo di posta elettronica o il numero di un telefono cellulare sia da considerare "dato personale". Intende inoltre valutare i rischi che derivano dalla diffusione di nuove tecnologie (molteplicità dei fini, conservazione dei dati da parte dei "nuovi media") come pure le opportunità che ne possono discendere in merito alla protezione dei dati personali (PETs, tecnologie non invasive, ecc);
  • l´applicazione dei principi di protezione dei dati ad Internet, in relazione ai quali il TP-D ha preparato un progetto di mandato per uno studio preliminare da far effettuare ad un consulente.

 

48. Altre iniziative in ambito internazionale: Ocse

Nel periodo di riferimento il Garante ha continuato a seguire i lavori del Working Party on Information Security and Privacy (Wpisp) dell´Ocse, sottogruppo del Committee for Information Computer and Communication Policy (Iccp).

Fra i problemi di maggior rilievo affrontati negli incontri svoltisi nel 2003 in relazione al trattamento dei dati personali, si debbono ricordare l´attuazione delle linee-guida sulla sicurezza, lo spamming, la biometria, e la creazione di un apposito gruppo che si occuperà di sicurezza nei viaggi internazionali (travel security), gruppo a cui parteciperà questa Autorità. Le conclusioni raggiunte in sede Ocse su tali temi sono già state esposte in appositi paragrafi della Relazione, ai quali pertanto si rinvia per un´analisi dettagliata (v. parag. 41.1. e 41.2.).

 

49. Il sistema di informazione Schengen (Sis)

Nel corso dell´anno sono state sottoposte al Garante, quale autorità di controllo sulla sezione nazionale del Sistema informativo Schengen (Sis), numerose richieste di verifica in merito all´eventuale o corretta registrazione, negli archivi del Sis, di dati personali dei soggetti interessati ed alla liceità dei relativi trattamenti. Si tratta, in gran parte, di domande che attengono al diniego di visto, per lo più adottato a causa di segnalazioni, ai fini della non ammissione nella cd. area Schengen, di persone nei cui confronti sono stati emessi provvedimenti amministrativi sfavorevoli in materia di ingresso e soggiorno (espulsione, respingimento alla frontiera).

Si è registrato anche quest´anno un notevole incremento delle richieste pervenute, da attribuire pure alla procedura di regolarizzazione di cittadini extracomunitari introdotta dalla legge n. 189/2002; le richieste provengono soprattutto da Paesi dell´Est europeo e, in particolare, dalla Romania.

Nell´arco temporale che va dal 1° gennaio 2003 al 31 marzo 2004 le richieste sono state 480, di cui 464 già definite.

Per svolgere al meglio i propri compiti e fronteggiare più rapidamente anche le domande di chiarimenti sulla normativa di riferimento, nel febbraio 2003 il Garante ha nuovamente riassunto l´esatto ambito delle proprie competenze: ha così precisato che gli interessati possono rivolgere a questa Autorità richieste di verifica dei dati che li riguardano inseriti nel Sis, ovvero di aggiornamento, di rettifica o di cancellazione dei medesimi dati. Al Garante, invece, non sono conferiti compiti di adozione, revoca o controllo dei provvedimenti amministrativi che sono alla base delle segnalazioni contenute nel Sis.

Per rimediare poi a problemi insorti nei casi in cui erano state segnalate usurpazioni d´identità o omonimie, è stata ulteriormente sperimentata nel 2003, in collaborazione con il Dipartimento della pubblica sicurezza, una procedura di comparazione degli elementi identificativi della persona oggetto di usurpazione d´identità con quelli, anche dattiloscopici, della persona effettivamente segnalata nel Sis.

Sempre allo scopo di rilevare più agevolmente i casi di omonimia, è stata poi rafforzata la collaborazione con il Centro visti del Ministero degli affari esteri e con le divisioni Sirene ed N.Sis del Dipartimento della pubblica sicurezza.

Su tale quadro complessivo si sono innestate, con effetto dal 1° gennaio 2004, le modifiche introdotte dal Codice circa le modalità di esercizio del diritto di accesso al Sis e degli altri diritti connessi (rettifica, integrazione o cancellazione), che possono essere ora esercitati direttamente nei confronti dell´autorità di polizia (cd. accesso diretto) e non più solo per il tramite del Garante (cd. accesso indiretto).

 
La nuova disciplina del Sis

Il d.lg. n. 196/2003 ha infatti modificato la legge n. 388/1993, lasciando sostanzialmente inalterato il sistema dei controlli del Garante attribuiti all´Autorità dalla Convenzione e dalla legge n. 675/1996 (ora, artt. 53, 154, comma 2, lett. a), e 160 d.lg. n. 196/2003), ma disciplinando in maniera innovativa il diritto dell´interessato di conoscere l´esistenza nel Sis di una segnalazione che lo riguarda ed i dati detenuti, nonché di ottenerne l´eventuale aggiornamento, rettifica o cancellazione (art. 173 d.lg. n. 196/2003).

In base alla nuova disciplina l´interessato ha il diritto di ottenere in tempi rapidi una risposta direttamente dall´autorità che ha la competenza centrale per la sezione nazionale del SIS, ai sensi dell´art. 108 della Convenzione, che in Italia è il Dipartimento della pubblica sicurezza, anziché per il tramite del Garante. Se necessario, all´esito di un intempestivo, mancato o inidoneo riscontro alla richiesta formulata al Dipartimento, l´interessato può proporre una segnalazione o un reclamo al Garante.

La scelta operata dal Codice è in linea con quella effettuata da gran parte dei Paesi dell´area Schengen ed introduce una procedura analoga a quella prevista per l´accesso diretto ai dati inseriti nel Centro elaborazione dati del Dipartimento della pubblica sicurezza.

L´Autorità ha richiamato l´attenzione del Ministero dell´interno sulla necessità di assumere ogni iniziativa utile ad assicurare a quanti richiedono l´accesso un riscontro idoneo e tempestivo, anche in relazione alla possibilità per l´interessato, confermata dal Codice, di richiedere, sulla base dei dati conosciuti, un´ulteriore tutela dei propri diritti rispetto all´aggiornamento, rettifica, o cancellazione dei dati, anche in sede giudiziaria (art. 11, comma 2, legge n. 388/1993 e art. 10, comma 5, legge n. 121/1981).

A tal riguardo il Garante ha pure indicato l´opportunità di alcuni accorgimenti per l´inoltro delle richieste e il loro riscontro, che possono risultare vantaggiosi per le stesse persone interessate.

Il Garante ha infine richiamato l´attenzione dell´Ufficio visti del Ministero degli affari esteri sulla necessità di sensibilizzare efficacemente in materia le ambasciate e le cancellerie consolari nei Paesi interessati, anche attraverso il ricorso a moduli prestampati o ad apposite diciture che orientino quanti richiedono il visto sulle modalità di esercizio del diritto di verifica delle segnalazioni esistenti nel Sis.

 

50. La trattazione dei ricorsi

501. Il ricorso come strumento diffuso di tutela
La crescita progressiva del numero dei formali ricorsi pervenuti al Garante, che già era stata registrata nelle relazioni degli ultimi anni, ha trovato conferma nel 2003, anno nel quale si può parlare addirittura di una vera e propria esplosione dell´utilizzo di questo strumento di tutela, come dimostrato dalle statistiche.

Mentre nel 2001 le decisioni sui ricorsi sono state 169, nel 2002 sono stati esaminati 390 ricorsi, per arrivare ai 608 ricorsi decisi nell´anno solare 2003 (per il periodo di riferimento 1° gennaio 2003-31marzo 2004 il numero totale dei ricorsi decisi è 775). Un esame più approfondito del contenuto dei ricorsi dimostra che ormai, grazie anche all´attenzione che molte decisioni hanno ottenuto sulla stampa, così come nella letteratura specializzata, questo strumento di tutela è entrato nella coscienza sociale e costituisce parte del bagaglio professionale degli operatori forensi.

Varie sono le ragioni di questo incremento: la celerità della procedura, i costi contenuti, la possibilità per gli interessati di tutelare i propri diritti senza obbligo di assistenza da parte di un legale, ma soprattutto l´estrema duttilità dello strumento del ricorso che ha dimostrato di poter essere applicato ai campi più diversi. Ciò vale in particolare per il diritto di accesso ai dati personali, che trova ormai larga e comune applicazione ai settori più disparati (pubblica amministrazione, ambito sanitario, settori assicurativo, finanziario e creditizio, trattamenti connessi alla gestione del rapporto di lavoro, ecc.).

Per quanto concerne, invece, le opposizioni proposte contro le decisioni assunte dall´Autorità nell´anno trascorso, ne sono state proposte in numero estremamente contenuto, e comunque, sono state in larghissima parte rigettate dai tribunali o contraddette da una successiva giurisprudenza.

 
Le opposizioni ai provvedimenti del Garante

Sul piano della corretta instaurazione del contraddittorio, merita di essere segnalata la decisione del Tribunale di Firenze (depositata in cancelleria il 15 aprile 2003), con la quale è stata accolta l´eccezione di incompetenza territoriale sollevata dall´Autorità, confermandosi il principio secondo cui, avverso i provvedimenti espressi del Garante sui ricorsi, nonché nelle ipotesi di rigetto tacito, il titolare o l´interessato possono proporre opposizione al tribunale del luogo ove risiede il titolare del trattamento (art. 29, comma 6, legge n. 675/1996; ora, artt. 151 e 152, d.lg. n. 196/2003).

 
La competenza territoriale

Analoga eccezione, sollevata sotto altro profilo dall´Autorità in un giudizio instaurato dinanzi al Giudice di pace di Amantea con opposizione ad ordinanza di applicazione di sanzione amministrativa, è stata accolta dall´adito giudice che si è pertanto dichiarato incompetente.

Altra significativa questione definita in sede di impugnativa davanti al giudice ordinario di una decisione del Garante su un ricorso (al termine, peraltro, di un complesso iter processuale), è stata quella della riconducibilità delle valutazioni espresse nelle perizie medico-legali alla nozione di dato personale (Tribunale di Roma, sentenza 17 luglio 2003). Allineandosi agli orientamenti espressi in alcune altre sedi giudiziarie e conformi a quelli enunciati dal Garante in più occasioni (cfr. supraparag. 7.9.), l´adito giudice si è discostato da alcuni circoscritti precedenti ed ha affermato che anche i giudizi valutativi devono considerarsi dati personali, in quanto, riferendosi ad un persona determinata, sono dotati di un´efficacia informativa tale da fornire un elemento aggiuntivo di conoscenza rispetto all´interessato. Una questione di legittimità costituzionale delle disposizioni relative alla nozione di dato personale e al diritto di accesso, sollevata con riferimento agli artt. 2 e 21 della Costituzione, è stata dichiarata quindi manifestamente infondata.

 
Dati contenuti nelle perizie medico-legali

Si è pertanto riconosciuto che anche rispetto ai "dati valutativi" l´interessato può esercitare il diritto di accesso e alcuni altri diritti previsti dalla normativa in materia di protezione dei dati personali, ad esclusione dei diritti di rettificazione o integrazione (in tal senso dispone ora, come già detto, l´art. 8, comma 4, del Codice).

Con la medesima pronuncia il tribunale ha inoltre ritenuto manifestamente infondata l´eccezione di costituzionalità delle disposizioni che disciplinano l´opposizione ai provvedimenti dell´Autorità, sollevata in relazione alla riconosciuta natura di rimedio non giurisdizionale (Cass. civ. 20 maggio 2002, n. 7341) del ricorso al Garante ai sensi dell´art. 29 della legge n. 675/1996 (ora, art. 145 del Codice). Da tale natura la giurisprudenza ha fatto derivare, infatti, la legittimazione di questa Autorità ad essere parte nei giudizi instaurati a seguito di opposizione ad un suo provvedimento. Di qui la proposizione, nella vicenda in esame, della questione di costituzionalità, per asserita violazione della regola del giusto processo, in quanto la possibilità di impugnare la decisione del giudice di primo grado sull´opposizione al provvedimento del Garante solo tramite ricorso per Cassazione sarebbe stata in contrasto con la regola del doppio grado di giudizio.

 
Gradi del giudizio di opposizione

Nel respingere tale questione, il tribunale ha riconosciuto che ragioni di speditezza possono giustificare l´esistenza di procedimenti giurisdizionali semplificati in cui è previsto un unico sindacato di merito, in quanto nella Costituzione non è contenuta alcuna norma che garantisca espressamente il doppio grado di giudizio.

Va infine ricordata, sebbene non sia stata proposta avverso una decisione su ricorso, l´impugnazione del provvedimento del Garante del 19 marzo 2003 concernente la pubblicazione di foto segnaletiche. Di tale impugnazione, accolta dal Tribunale di Milano, si è già parlato in altra parte di questa Relazione (cfr. supraparag. 15.2.). Qui occorre sottolineare che, nel relativo decreto, l´adito tribunale ha invece rigettato l´eccezione dei ricorrenti nella parte in cui lamentavano di non esser stati sentiti da questa Autorità prima dell´emissione del provvedimento, ritenendo infondata al riguardo ogni doglianza di costituzionalità. Secondo il tribunale, infatti, in certe situazioni possono essere necessari interventi immediati del Garante, salva la possibilità di contestarli e di ottenerne se del caso la sospensione degli effetti. Inoltre, sono state ritenute inapplicabili in via analogica all´intervento d´ufficio dell´Autorità le regole procedurali da osservare in sede di ricorso al Garante di cui all´art. 29 della legge n. 675/1996 (ora, art. 149 del Codice).

 

502. Le novità introdotte dal Codice in materia di protezione dei dati personali
Il d.lg. n. 196/2003 è intervenuto anche sulle disposizioni relative ai ricorsi, che sono ora contenute negli artt. 145 e s. del Codice.

Alla luce dell´esperienza maturata nei primi quattro anni di vigenza delle disposizioni attuative in materia di ricorsi, sono state apportate alcune importanti modifiche riguardanti, essenzialmente, l´ampliamento dei termini di durata del relativo procedimento, in funzione di prevenzione del contenzioso.

Anzitutto, l´art. 146 ha portato a quindici giorni (aumentabili fino a trenta in caso di riscontro di particolare complessità) il termine a disposizione del titolare o del responsabile per rispondere all´interpello preventivo che l´interessato deve necessariamente formulare prima di poter presentare il ricorso.

La modifica mira a consentire al titolare e al responsabile del trattamento di poter riscontrare adeguatamente le richieste di accesso ai dati personali presentate dall´interessato; ciò anche tenuto conto che le richieste riguardano a volte una complessa serie di dati, non sempre riportati, come pure sarebbe dovuto, su documenti o supporti prontamente reperibili per l´estrazione di tutte le informazioni rilevanti.

Il termine in precedenza fissato indirettamente in cinque giorni non agevolava in questi casi un riscontro tempestivo o adeguato e favoriva talora la presentazione del ricorso.

L´art. 150, comma 2, ha anche fissato in sessanta giorni il termine per la decisione sul ricorso: tale ampio spazio temporale a disposizione delle parti e dell´Autorità permette di articolare meglio, quando è necessario, gli accertamenti istruttori e consente di dare quindi maggiore effettività al principio del contraddittorio.

In questo quadro si colloca pure la nuova possibilità per l´Autorità di disporre una proroga fino a quaranta giorni dei termini per la decisione sul ricorso, non subordinata, come la più breve proroga prevista in precedenza, all´assenso di entrambe le parti.

Il Codice è poi intervenuto su due profili procedurali che avevano dato luogo ad alcuni problemi interpretativi.

È stata in questo quadro confermata la necessità dell´autenticazione della sottoscrizione apposta dal ricorrente in calce al ricorso, superando, con l´esplicita indicazione contenuta nell´art. 147, comma 4, le perplessità insorte in alcuni circa la compatibilità di tale obbligo con la disciplina in tema di autocertificazione.

Un´altra precisazione utile è venuta infine dal comma 6 dell´art. 150 del Codice il quale, in riferimento all´eventuale pronuncia sulle spese del procedimento, ha stabilito che la decisione del Garante costituisce, per questa parte, titolo esecutivo ai sensi degli articoli 474 e 475 c.p.c.; resta invece ferma l´inammissibilità della proposizione innanzi a questa Autorità delle richieste di risarcimento dei danni.

 

503. Brevi cenni sulla casistica
Per sottolineare l´ampio spettro di questioni affrontate dal Garante in sede di decisione sul ricorso, è utile un cenno sommario ai settori in cui si è avuta la proposizione del maggior numero di ricorsi, rinviando comunque, per una trattazione più analitica delle relative problematiche, alle specifiche sezioni di questa Relazione.

Trattamenti svolti in ambito bancario e finanziario. A partire dalla seconda metà del 2003 in questo settore si è indirizzato il maggior numero di ricorsi, che si sono incentrati soprattutto sull´accesso degli interessati ai dati personali detenuti dagli istituti di credito o dalle società finanziarie. È importante notare come delicate vicende che hanno interessato il mondo finanziario nell´ultimo anno (i casi Cirio e Parmalat e la vicenda dei bond argentini) abbiano trovato immediata eco dinanzi all´Autorità, in conseguenza della presentazione di numerose richieste di accesso, mirate a conoscere l´insieme dei dati personali trattati nelle operazioni finanziarie in questione (profili di rischio, logica e modalità del trattamento, ecc.).

 
Settore bancario e finanziario

Trattamenti svolti dalle cd. centrali rischi private. è, questo, uno dei settori dove si riscontra una maggiore attenzione da parte dell´opinione pubblica, anche in conseguenza del forte impatto che ha avuto il provvedimento generale del Garante intervenuto in materia (Provv31 luglio 2002). Sono stati infatti proposti molti nuovi ricorsi in cui se ne lamentava l´inosservanza, chiedendo l´applicazione dei principi in esso affermati, con particolare riguardo ai tempi di conservazione dei dati.

 
"Centrale rischi"

Sono emersi peraltro, anche profili ulteriori, quali il problema della conservazione nelle banche dati delle "centrali rischi" private di dati concernenti le cd. segnalazioni positive o gli effetti della revoca del consenso al trattamento dei dati espressa dall´interessato nell´interpello o direttamente nell´ambito del ricorso (v., tra i tanti, Provv22 dicembre 2003).

Trattamenti di dati da parte di operatori di telecomunicazioni e problematiche relative ai trattamenti in rete. Il settore ha visto pervenire un numero elevato di ricorsi, anche in conseguenza di importanti decisioni dell´Autorità che hanno richiamato l´attenzione sulle garanzie in materia. Ciò con particolare riguardo all´invio di messaggi promozionali indesiderati e non sollecitati ad indirizzi di posta elettronica (cd. spamming), tenuto oltretutto conto che gli indirizzi di posta elettronica sono spesso acquisiti tramite rastrellamento in rete a mezzo di appositi software.

 
Comunicazioni elettroniche e telefonia

Peraltro, l´Autorità ha talora dichiarato inammissibili alcuni ricorsi in quanto formulati da soggetti non legittimati a proporli, trattandosi di persone diverse da quelle cui si riferivano i dati concernenti gli indirizzi di posta elettronica dei quali era lamentato l´illecito trattamento.

In materia di telefonia fissa e mobile, i casi più frequenti di ricorso hanno riguardato le richieste di accesso ai dati relativi al traffico in entrata e in uscita e le opposizioni al trattamento consistente nell´invio di comunicazioni promozionali e pubblicitarie (anche a mezzo di sms) in assenza di consenso dell´interessato. Con riferimento alla telefonia fissa, alcuni casi hanno riguardato anche l´opposizione alla divulgazione, da parte del gestore, di numeri telefonici per i quali era stato richiesto il carattere di numero riservato.

Dati conservati nelle perizie medico legali in ambito assicurativo. L´argomento, esaminato dal Garante fin dal 1999 ed oggetto anche di significative pronunce giurisprudenziali, si è riproposto in misura più contenuta rispetto agli anni precedenti. Nei casi esaminati l´Autorità è stata chiamata più volte a decidere sull´applicabilità della disposizione che, a certe condizioni, consente di differire l´esercizio del diritto di accesso in caso di pregiudizio all´esercizio del diritto di difesa del titolare del trattamento. Una riduzione del contenzioso al riguardo è probabilmente derivata pure dalla più motivata e condivisibile giurisprudenza alla quale si è fatto riferimento poc´anzi (cfr. supraparag. 501.), e dalle precise scelte operate dal Codice, cui ha fatto rinvio il d.m. 20 febbraio 2004, n. 74 sull´accesso agli atti delle imprese assicurative.

 
Ambito assicurativo

Trattamenti effettuati dalle pubbliche amministrazioni. I ricorsi proposti nei confronti delle pubbliche amministrazioni coprono una serie molto vasta e differenziata di ipotesi di trattamento dei dati, che sono già state ampiamente analizzate nei capitoli II e IV. In questa sede merita comunque di essere ricordato che in tale settore hanno assunto specifico rilievo alcune opposizioni formulate dagli interessati.

 

51. Attività ispettive e applicazione di sanzioni amministrative

511. Profili generali - Tipologia degli accertamenti ispettivi e criteri adottati
L´art. 154 del Codice consolida, in capo al Garante, il compito di controllare se i trattamenti siano effettuati nel rispetto della disciplina applicabile e in conformità alla notificazione. A tal fine, l´Autorità continua ad esercitare anche una funzione ispettiva per mezzo del Dipartimento vigilanza e controllo, il cui personale riveste, nell´esercizio dei poteri attribuiti dalla legge, la qualifica di ufficiale/agente di polizia giudiziaria.

Le attività ispettive sono costituite anzitutto da accertamenti effettuati nei luoghi dove si svolgono i trattamenti, utilizzando i poteri previsti dal Codice (artt. 157-160).

In generale, le ispezioni possono essere originate da segnalazioni o reclami ricevuti dall´Autorità, da esigenze di approfondimento emerse nell´ambito dell´esame di ricorsi, d´iniziativa dell´Autorità in relazione, ad esempio, alle verifiche degli adempimenti da parte di determinate categorie di titolari o, ancora, sulla base di notizie comunque acquisite direttamente dal Garante.

Anche nella vigenza del Codice, l´esercizio dell´attività di controllo resta informato ai principi di proporzionalità, adeguatezza e gradualità, tenendo presente, di volta in volta, il contesto operativo di riferimento (rischio di dispersione o di alterazione degli elementi di prova) e la disponibilità o meno del soggetto controllato ad una collaborazione per lo svolgimento delle verifiche.

I controlli possono essere effettuati pure mediante richieste, sul posto o meno, di informazioni o di esibizione di documenti; possono inoltre svolgersi anche mediante accessi a banche di dati o altre ispezioni e verifiche nei luoghi dove si svolge il trattamento o nei quali occorre effettuare rilevazioni comunque utili al controllo stesso.

Le ispezioni previste dall´art. 158 del Codice sono disposte quando, per acquisire gli elementi necessari alla definizione della vicenda, non sia idonea una mera richiesta di informazioni o di esibizione di documenti, nonché nei casi in cui non siano state fornite tempestivamente le informazioni o i documenti richiesti (o, se pervenuti, siano incompleti o non veritieri).

 
Ispezioni

Si tratta di una potestà con caratteri inquisitori e i soggetti interessati agli accertamenti sono quindi tenuti a farli eseguire: l´accertamento è infatti eseguito anche in caso di rifiuto e in tale ultima ipotesi le eventuali spese sono poste a carico del titolare. Durante l´accertamento il titolare o il responsabile possono farsi assistere da persone di loro fiducia.

L´autorizzazione da parte dell´autorità giudiziaria, diversamente da quanto stabilito dalla previgente disciplina, che contemplava in ogni caso tale autorizzazione, è oggi opportunamente richiesta dal Codice solo nel caso di accessi "svolti in un´abitazione o in un altro luogo di privata dimora o nelle relative appartenenze" (art. 158 cit.).

 
Autorizzazione dell´a.g.

All´autorizzazione è equiparato l´assenso informato, che viene anche documentato per iscritto (cfr. Provv. n. 2 del 30 gennaio 2001).

Le attività effettuate durante l´ispezione sono riportate in un sommario verbale, nel quale sono registrati tutti gli elementi rilevanti occorsi durante le operazioni e menzionate le informazioni e la documentazione eventualmente acquisita.

Nel corso o al termine del procedimento nel cui ambito vengono svolte le ispezioni, l´Autorità: 

  • prescrive ai titolari o responsabili del trattamento dei dati le modificazioni necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti (la disciplina previgente contemplava un potere analogo in forma di segnalazione);
  • adotta ove necessario uno dei provvedimenti di divieto o blocco del trattamento (v. artt. 143, 144 e 154 del Codice);
  • contesta le violazioni amministrative eventualmente constatate;
  • nei casi più gravi previsti dalla legge, procede alla comunicazione di notizia di reato all´autorità giudiziaria per l´accertamento delle violazioni costituenti reato.
 
Esiti del procedimento ispettivo

 

512. La collaborazione con gli organi dello Stato
Nello svolgimento dell´attività ispettiva, il Garante può avvalersi della collaborazione di altri organi dello Stato. Già da tempo si sono avute molteplici occasioni di collaborazione con le forze di polizia ed in particolare con la Guardia di finanza, in ragione delle peculiari competenze di quest´ultima nel campo delle attività di controllo in ambito amministrativo.

Nell´ottica del potenziamento dell´attività di vigilanza e controllo, pertanto, nel mese di ottobre 2002 il Garante e la Guardia di finanza hanno siglato un protocollo d´intesa in base al quale è stata potenziata l´attività di collaborazione tra le due istituzioni (cfr. Relazione 2002, p. 145).

 
Collaborazione con la Guardia di finanza

Successivamente al perfezionamento del protocollo di intesa, nel mese di gennaio del 2003 è stata effettuata un´intensa attività di formazione del personale del Corpo destinato a svolgere in via continuativa l´attività di collaborazione (venti unità circa tra ufficiali, ispettori e sovrintendenti). Ciò ha consentito di avviare più rapidamente la collaborazione con la Guardia di finanza, che si è dimostrata estremamente proficua sia nella fase preparatoria degli interventi più delicati, grazie alle capacità investigative proprie del Corpo, sia nella fase realizzativa. Sono stati eseguiti, in particolare, 33 interventi, di cui 7 congiuntamente a personale dell´Autorità.

La collaborazione ha investito anche gli sviluppi investigativi dei casi oggetto di segnalazione all´autorità giudiziaria, i quali hanno comportato, nel 2003, l´esecuzione di 177 sommarie informazioni testimoniali, la ricezione di 12 querele e la segnalazione di 5 persone all´autorità giudiziaria.

I risultati raggiunti e l´esigenza di rispondere in maniera sempre più adeguata alle istanze di tutela provenienti da cittadini hanno indotto l´Autorità a chiedere per il 2004 un ulteriore rafforzamento del rapporto di collaborazione con la Guardia di finanza, allo scopo di potersi avvalere anche di personale, adeguatamente formato, in ogni regione.

Assai significative sono risultate pure le collaborazioni con la Polizia di Stato (specie per accertamenti nelle reti telematiche) e l´Arma dei carabinieri.

La collaborazione con le forze di polizia si è quindi confermata come un elemento essenziale di incremento dell´efficacia dell´azione di tutela dei diritti dei cittadini, che passa anche attraverso una più intensa attività di vigilanza e controllo.

 

513. I casi più significativi

Un caso rilevante tra quelli emersi ha portato alla segnalazione all´autorità giudiziaria dell´illecito trattamento di dati personali connesso all´attivazione di carte telefoniche effettuato da una società che gestisce numerosi punti vendita, situati nell´Italia centrale.

 
Attivazione di schede telefoniche

L´attività di accertamento dell´Autorità è partita dalla segnalazione di una persona che, dopo aver acquistato una scheda telefonica ricaricabile, era venuta casualmente a conoscenza di essere intestataria di altre sei utenze attivate a suo nome presso il medesimo esercizio commerciale.

L´attenzione del Garante si è concentrata quindi sulle attivazioni di schede telefoniche da parte di tali punti vendita, e in particolare sulle modalità e sulle finalità del trattamento dei dati personali forniti dai clienti.

Dalle ispezioni presso la sede della società, nonché da riscontri incrociati con i dati in possesso della società telefonica, è emerso che, nel solo breve periodo esaminato, presso i punti vendita erano state attivate quasi 800 schede telefoniche ricaricabili nei confronti di circa 200 persone, a loro insaputa. Tale prassi illecita è stata seguita nel quadro dei "piani di incentivazione per i rivenditori" che prevedevano, al superamento di determinate soglie di attivazioni prestabilite, il riconoscimento ai rivenditori stessi di un ulteriore compenso per ogni attivazione effettuata in più rispetto a quanto programmato. La società sarebbe pertanto riuscita a lucrare, pur nel solo breve periodo preso in esame, premi per oltre quarantamila euro.

Gli interessati avevano spesso acquistato una prima scheda telefonica presso uno degli esercizi della società ed erano ignari di essere intestatari di altre schede, utilizzabili in vari modi, anche illeciti. I dati personali erano stati ovviamente trattati senza il loro consenso espresso.

La vicenda, sulla quale l´autorità giudiziaria competente ha effettuato poi ulteriori accertamenti, si lega ad un´analoga indagine svolta dalla Guardia di finanza di Rovigo sotto la direzione della locale procura della Repubblica, i cui esiti sono stati comunicati al Garante. Dalla stessa emerge che, almeno in un certo periodo di tempo, rivenditori poco scrupolosi hanno adottato comportamenti lesivi dei diritti di molte persone, a nome delle quali sono state attivate migliaia di carte telefoniche.

Un altro dei settori rilevanti dell´attività ispettiva del Garante è quello relativo al cd. spamming. 

 
Spamming

In uno degli accertamenti effettuati in tale settore è stato denunciato alla magistratura il titolare di un´impresa operante nel campo delle arti grafiche.

Alcuni cittadini avevano presentato ricorso al Garante lamentando di essere stati raggiunti da e-mail commerciali inviate dal titolare della tipografia senza il previo consenso informato dei destinatari. Nell´accogliere tutti i ricorsi pervenuti, il Garante ha ordinato al titolare dell´impresa di cancellare i nominativi dei ricorrenti e ha disposto il blocco dei dati personali trattati illecitamente, per prevenire ulteriori possibili violazioni della legge. L´Autorità ha poi disposto che l´impresa fornisse informazioni sull´origine dei dati, sull´avvenuta cessazione degli illeciti e sui nominativi dei responsabili del trattamento eventualmente designati.

Acquisiti elementi che dimostravano la continuazione dei comportamenti illeciti da parte del titolare del trattamento successivamente alla notifica del blocco, l´Autorità ha comunicato alla competente procura della Repubblica la notizia di reato in relazione all´inosservanza alle prescrizioni del Garante e all´illecito trattamento dei dati personali.

Un ulteriore settore di intervento ha riguardato le misure di sicurezza delle banche dati, con particolare riguardo ai servizi di e-banking. Tali servizi consentono a ogni cliente abilitato, previo inserimento di codici di autenticazione, di consultare via Internet i movimenti del proprio conto corrente e di visualizzare i dati che lo riguardano e gli estratti conto, creando un prospetto delle ultime operazioni effettuate da memorizzare o stampare.

 
Servizi di
e-banking

Il Garante si è attivato a seguito del ricorso di un cliente di una banca on line che, nel consultare via Internet la propria posizione contabile, aveva avuto accidentalmente accesso ad informazioni riservate di altri correntisti ignari. Il caso, che ha assunto un notevole interesse per i suoi riflessi sul rapporto dei clienti con la banca, è stato già analizzato in altra parte di questa Relazione (cfr. supraparag. 11.). Qui occorre solo puntualizzare che il Garante ha inoltrato denuncia alla magistratura ordinando contestualmente, con apposito provvedimento, di adottare adeguate misure di sicurezza per prevenire il ripetersi di tali illeciti. L´adempimento di tale prescrizione ha consentito alla banca di beneficiare dell´ammissione al pagamento di una ammenda con conseguente possibilità di beneficiare dell´estinzione del reato, così come previsto dal Codice (art. 169).

 

514. Riferimenti statistici
Grazie all´apporto fornito anche dalla collaborazione con la Guardia di finanza, l´attività ispettiva effettuata nel periodo fino al 31 marzo 2004 ha avuto un incremento significativo rispetto a quella svolta nel precedente periodo di riferimento.

Nell´ambito delle centinaia di procedimenti di controllo avviati dall´Autorità, 69 sono stati svolti anche mediante necessari accertamenti ispettivi in loco.

Le attività ispettive sono state avviate sulla base di:

  • segnalazioni pervenute all´Ufficio (45%);
  • autonomi accertamenti a seguito di ricorsi presentati al Garante (36%);
  • accertamenti avviati di iniziativa (19%).

Gli accertamenti eseguiti hanno riguardato in prevalenza verifiche concernenti:

  • le modalità di acquisizione del consenso, in molti casi connesse ad attività effettuate sulla rete Internet mediante l´invio di sollecitazioni commerciali non richieste via e-mail;
  • il rispetto delle disposizioni di legge in relazione al trattamento di dati mediante sistemi di videosorveglianza;
  • l´accertamento dell´origine dei dati oggetto di trattamento;
  • le misure di sicurezza.

Le ispezioni sono state effettuate:

  • in 61 casi mediante richieste di informazioni ed esibizione di documenti, formulate sul posto;
  • in 8 casi mediante accessi a banche dati.

Con riferimento all´ambito territoriale la ripartizione è stata:

  • nord (41%);
  • centro (43%);
  • sud (16%).

L´incidenza delle violazioni penali sui procedimenti amministrativi di controllo avviati è pari circa al 16%. Le violazioni segnalate riguardano ipotesi di trattamento illecito di dati personali, omessa adozione di misure di sicurezza, inosservanza dei provvedimenti del Garante e false dichiarazioni al Garante.

In generale le ispezioni hanno consentito di rilevare che nel settore privato le aziende più grandi stanno assumendo specifiche iniziative per adeguarsi alla normativa e agli indirizzi dell´Autorità, anche attraverso la costituzione di unità organizzative con deleghe specifiche e veri e propri "uffici privacy", mentre le aziende medio-piccole dimostrano un livello inferiore di adeguamento.

Nella pubblica amministrazione stenta di più ad affermarsi una vera e propria cultura della privacy applicata ai processi di lavoro e alla gestione delle pratiche di ufficio. Talvolta, ad un assetto formalmente corretto non corrisponde una piena consapevolezza dei doveri e delle responsabilità connesse al trattamento dei dati personali. Alcune delle attività ispettive hanno rivelato ancora preoccupanti fenomeni di superficialità nel trattamento dei dati, soprattutto per quanto riguarda la gestione degli archivi e le connesse misure di sicurezza.

Si è pure rilevata, nelle amministrazioni pubbliche, la frequente mancanza di articolazioni dedicate all´attuazione della normativa, dotate di autonomie decisionali e gestionali indispensabili per tradurre in pratica i programmi formalmente delineati.

 

515. L´attività sanzionatoria del Garante
Anche nel settore delle sanzioni amministrative il Codice in materia di protezione di dati personali ha introdotto novità di assoluto rilievo.

In modo significativo, il d.lg. n. 196/2003 inserisce nella Parte III, "Tutela dell´interessato e sanzioni" un apposito titolo dedicato alle "Sanzioni", a sua volta suddiviso nel Capo I ("Violazioni amministrative") e nel Capo II ("Illeciti penali", distinguibili in delitti e contravvenzioni).

 
Le novità introdotte dal Codice

Le violazioni amministrative previste dal Codice sono: 1) omessa o inidonea informativa all´interessato (art. 161); 2) cessione dei dati in violazione dell´art. 16, comma 2, o di altre disposizioni in materia di disciplina dei dati personali (art. 162, comma 1); 3) violazioni delle disposizioni in tema di comunicazione dei dati personali idonei a rivelare lo stato di salute, di cui all´art. 84, comma 1 (art. 162, comma 2); 4) omessa o incompleta notificazione del trattamento (art. 163); 5) omessa informazione ed esibizione di documenti al Garante (art. 164).

La nuova normativa mostra così di voler rafforzare ulteriormente, in termini di effettività della tutela degli interessati, gli strumenti idonei a sanzionare una serie di comportamenti illeciti sul piano amministrativo, che possono essere commessi sia nei confronti degli interessati, sia nei confronti del Garante.

Si è scelto quindi, da un lato, di dare maggior risalto (anche visivo) rispetto al passato ai comportamenti, omissivi e non, da cui può conseguire la contestazione solo di una violazione amministrativa, concentrandoli in un apposito capo, distinti da altri tipi di illeciti; dall´altro, di aggiornare gli importi delle relative sanzioni nei limiti consentiti dalla delega legislativa conferita al Governo.

Nel caso di omessa o incompleta notificazione, oltre alla sanzione pecuniaria amministrativa, è stata prevista specificamente la pena accessoria della pubblicazione dell´ordinanza-ingiunzione. Per le altre violazioni, l´applicazione della pena accessoria della pubblicazione è invece in facoltà dell´Autorità che può disporla quando il suo utilizzo risulti opportuno per le modalità e le finalità del trattamento, oltre che per la natura dei dati, ai fini della tutela dei diritti degli interessati.

Per quanto attiene al procedimento di applicazione, il Codice non ha invece apportato nessuna modifica rispetto a quanto già stabilito dalla disciplina previgente, fatto salvo il conferimento ex novo all´Autorità della competenza a contestare e applicare la sanzione amministrativa già prevista in materia di vendite a distanza (art. 179, comma 3, in riferimento al d.lg. n. 185/1999).

L´attività operativa svolta nel corso del 2003 relativamente alle contestazioni di violazioni amministrative è stata caratterizzata da un intenso ricorso allo strumento sanzionatorio. Ciò anche a seguito di indagini effettuate dall´Autorità in specifici settori e che hanno coinvolto, in qualità di titolari, soggetti pubblici e privati. Di rilievo sono stati anche gli autonomi procedimenti di verifica del rispetto della normativa sui dati personali avviati a seguito di decisione sui ricorsi proposti innanzi all´Autorità, all´esito dei quali è stata spesso prevista la preliminare contestazione di violazione amministrativa.

L´analisi in dettaglio delle violazioni contestate permette di individuare le operazioni di trattamento e le modalità che sono state oggetto di constatazione di infrazioni.

 
Tipologia delle violazioni amministrative contestate

L´informativa all´interessato, in particolare, nelle attività effettuate per mezzo dei nuovi strumenti multimediali di comunicazione, è stata spesso omessa o è risultata incompleta al momento del raffronto con le modalità e finalità del trattamento perseguite di fatto in concreto dal titolare. Significativo, in proposito, è ad esempio il caso nel quale, a seguito della segnalazione di un interessato, si è accertato che i dati raccolti per mezzo della prenotazione ed acquisto di biglietteria marittima (per le operazioni effettuabili sul sito della compagnia di navigazione) venivano utilizzati anche per attività ulteriori rispetto a quelle per le quali era stata fornita l´informativa presente sul sito stesso. Altre violazioni in tema di informativa sono poi state accertate nell´ambito delle attività di promozione commerciale per mezzo di strumenti di comunicazione elettronica, a causa di trattamenti effettuati in modo difforme dalla previsione normativa, che prevede in argomento il rispetto del principio di opt-in (cfr. ora, art. 130, comma 4).

Per quanto riguarda invece i trattamenti di dati personali effettuati per mezzo di sistemi di videosorveglianza, si continuano ad accertare e sanzionare violazioni connesse ad informative assenti o carenti di qualsiasi riferimento alle modalità e finalità del trattamento in tal maniera effettuato.

A seguito di un ricorso proposto dall´interessato, è stata anche accertata e contestata la violazione, da parte di imprese assicuratrici, del principio più volte affermato dal Garante (ora disciplinato in modo parzialmente diverso dal Codice), in base al quale i dati personali in possesso delle imprese stesse e contenuti nelle perizie medico-legali dovevano essere comunicati all´interessato esclusivamente tramite un medico, designato dall´interessato stesso o dall´impresa che detiene i dati (art. 23, comma 2, legge n. 675/1996).

In tema di mancato riscontro alle richieste di informazioni ed esibizione di documenti, rivolte dall´Autorità (ora, ai sensi dell´articolo 157 del Codice), i soggetti pubblici -quali titolari del trattamento- sono risultati purtroppo spesso inadempienti e sono stati pertanto oggetto di varie contestazioni di violazione amministrativa ora prevista dall´articolo 164 (omessa informazione o esibizione al Garante). Merita di essere quindi ribadito in questa sede che la richiesta di informazioni o documenti in tali casi va inquadrata, nell´ambito dei rapporti tra istituzioni pubbliche, come attività strumentale all´imparzialità dell´azione amministrativa: per ben operare l´Autorità ha infatti necessità, nel valutare la fondatezza delle segnalazioni che ad essa pervengono ed al fine di accertare l´eventuale violazione degli obblighi di legge, di assumere una serie completa di elementi, tali da consentire una corretta decisione.

Sempre con riferimento ai trattamenti effettuati da soggetti pubblici, sono state pure accertate, all´esito della verifica presso il registro dei trattamenti sulla notificazione inviata all´Ufficio, violazioni concernenti l´omessa od incompleta notificazione; di conseguenza, sono state predisposte anche in questo caso alcune contestazioni di violazioni amministrative.

Per quanto attiene poi ai provvedimenti di ordinanza-ingiunzione al pagamento di somme, nell´anno 2003 si sono predisposte, ai sensi dell´articolo 17 della legge n. 689/1981, alcune decine di rapporti necessari all´eventuale e successiva adozione del provvedimento medesimo.

Tale dato lascia prevedere che per il futuro, così come si è già verificato per il periodo preso in considerazione, sia ipotizzabile un ulteriore aumento delle attività relative al contenzioso amministrativo dell´Autorità, tra le quali anche quella di obbligatoria audizione delle parti (art. 18 l. n. 689 cit.).

 

52. L´attività di informazione e comunicazione

521. Profili generali
Il rischio di muoversi rapidamente verso una società della classificazione e della sorveglianza, la permanente attenzione ai problemi della sicurezza collettiva, nazionale ed internazionale, il ricorso sempre più massiccio a tecnologie di raccolta e conservazione di dati, il potenziale uso indiscriminato delle informazioni più delicate relative alle persone, hanno indotto il Garante, nel corso del 2003, ad intensificare la sua azione di informazione e comunicazione specie su queste tematiche. Un compito non facile, ma necessario in considerazione dell´obiettivo istituzionale di promuovere un diritto, quello alla protezione dei dati personali, che si è andato affermando come uno dei cardini della nuova cittadinanza elettronica fino ad essere riconosciuto nella sua piena autonomia dalla Carta dei diritti fondamentali dell´Unione europea e, in due disposizioni (artt. I-50 e II-8), dal progetto di Costituzione europea.

L´Autorità ha cercato di raggiungere un livello sempre più alto di produzione informativa riguardo all´intero spettro delle tematiche sulle quali si incentra la sua azione: la tutela della libertà e della dignità della persona, la gestione trasparente delle banche dati, l´uso non discriminatorio delle informazioni personali, specie di quelle sanitarie, fornendo al contempo a cittadini, imprese e istituzioni contributi esplicativi ed indicazioni operative per l´attuazione delle norme, specialmente in presenza del Codice entrato in vigore il 1° gennaio 2004.

Particolare significato ha assunto l´impegno costante rivolto dall´Autorità alla definizione di regole per il corretto utilizzo dei nuovi sistemi di comunicazione, così come l´attenzione posta ai rischi che possono derivare per la libertà delle persone dalle indagini genetiche, dall´uso sproporzionato delle tecniche biometriche, dalla raccolta dei dati on line, dalla localizzazione, dall´elaborazione dei profili dei consumatori.

Non è mancata l´attenzione alla promozione della privacy come "valore aggiunto" per imprese e pubbliche amministrazioni, al fine di instaurare un rapporto nuovo con cittadini, clienti, utenti e consumatori.

La ricerca di un corretto equilibrio tra diverse esigenze e tra diritti equivalenti ha caratterizzato, anche nel 2003, gli interventi del Garante, con particolare riguardo al diritto di cronaca e alla dignità delle persone.

Trasparenza, correttezza, tempestività, esaustività sono valori ai quali il Garante ha da sempre improntato la sua azione di informazione.

In linea con questi obiettivi, l´Autorità ha confermato la scelta di affidare la sua informazione ad un linguaggio rigoroso, ma attento ad una funzione divulgativa. Nel dar conto della propria attività e delle tematiche all´ordine del giorno, l´Autorità ha richiamato l´attenzione di quanti trattano dati personali sugli obblighi da attuare, sui rischi di violazione e sugli illeciti messi in atto.

 

522. I prodotti informativi ed editoriali del Garante
La tipologia dei prodotti informativi ed editoriali è ampia e differenziata, ma comunque nettamente caratterizzata, alla luce della precisa connotazione istituzionale dell´Autorità, e si fonda su una strategia integrata di comunicazione, nella quale spicca anche un aumentato utilizzo di mass media tradizionali, come radio e tv, nonché di media on line.

Nel periodo dal 1° aprile 2003 al 15 marzo 2004, sulla base della rassegna stampa prodotta dall´Ufficio, le pagine dei maggiori quotidiani e periodici nazionali ed internazionali e dei media on line che hanno dato spazio alle tematiche riguardanti generalmente la privacy sono risultate circa 7500, delle quali oltre 1700 dedicate specificamente all´attività del Garante. Le prime pagine dedicate ai temi della protezione dei dati personali sono state circa 700 (di cui oltre 300 riguardanti la sola Autorità). Numerose sono state le interviste pubblicate sulla carta stampata (83), su tv e radio nazionali e locali (130 nel complesso), e diverse su pubblicazioni on line.

I prodotti informativi hanno offerto un ventaglio ampio di risposte alle esigenze informative dei cittadini. 

 
I prodotti informativi

La Newslettersettimanale, al suo quinto anno di pubblicazione (per un totale complessivo di 205 numeri), è diventata ormai lo strumento di riferimento dell´attività di comunicazione del Garante. In particolare, essa riesce a coniugare un´illustrazione, in chiave giornalistica, dei provvedimenti e dell´attività dell´Autorità con l´esigenza di un´informazione di tipo più ampio ed approfondito. Nel corso degli anni, la Newsletter ha infatti dedicato una crescente attenzione a quanto avviene in campo comunitario ed internazionale, riguardo non solo ai temi della protezione dei dati, ma anche al più ampio ambito della tutela dei diritti fondamentali, fornendo un vasto panorama di questioni e problematiche.

 
La Newsletter

La possibilità di consultare laNewsletter on line ha facilitato la diffusione delle informazioni.

Le Newsletter diffuse tra il 1° gennaio 2003 e il 31 marzo 2004 sono state 54, mentre i comunicati stampa 39.

Nel 2003 è giunto alla sua decima edizione l´archivio digitale ipertestuale "Cittadini e Società dell´informazione", che contiene in forma integrale e nell´originale veste editoriale i provvedimenti del Garante, il Codice, la documentazione relativa alla normativa nazionale ed internazionale di riferimento e le pubblicazioni realizzate. Il Cd-Rom, che consente una consultazione con funzioni di ricerca full-text, rappresenta uno strumento ormai conosciuto e costantemente richiesto da parte di amministrazioni pubbliche, imprese, liberi professionisti e cittadini. Le recenti edizioni presentano caratteristiche di multimedialità, con l´inserimento di video divulgativi e dello spot televisivo e radiofonico, trasmesso dalle tre reti Rai nel marzo 2003, nonché miglioramenti tecnici e di contenuto che ne rendono ancora più funzionale l´uso.

 
Il Cd-Rom

Tra le attività di comunicazione resta il Bollettino che raccoglie i provvedimenti del Garante, la normativa emanata in materia, i comunicati stampa ed altra documentazione significativa, e che dal gennaio 2004 ha aggiornato la propria veste editoriale.

 
Il Bollettino

La necessità di sviluppare una sempre maggiore conoscenza delle norme sulla privacy e dei diritti oggi riconosciuti ai cittadini, ha spinto l´Autorità a sviluppare nuove modalità di informazione: oltre agli strumenti di comunicazione già utilizzati -da quelli tradizionali (comunicati, Newsletter, conferenze stampa, incontri periodici con la stampa) a quelli multimediali ed interattivi- l´Autorità ha realizzato nuovi significativi prodotti.

L´impegno per una comunicazione agile, immediata e diretta in primo luogo al cittadino ha trovato concreta attuazione nella realizzazione di depliant divulgativi in grado di illustrare, secondo un percorso ben preciso, i diversi aspetti connessi con la protezione dei dati. I pieghevoli finora pubblicati sono dedicati: il primo all´esercizio dei diritti riconosciuti dalla normativa; il secondo, all´attività e al ruolo del Garante; il terzo a come difendere la privacy in Internet.

Il progetto di comunicazione istituzionale proseguirà con la realizzazione di un quarto depliant sulla privacy nella telefonia.

Notevole sviluppo hanno avuto poi, nel periodo considerato, i prodotti editoriali dell´Autorità. 

 
I prodotti editoriali

Il notiziario bimestrale, "Garanteprivacy.it", che ha preso avvio nel dicembre 2002, è giunto al suo settimo numero. Il bimestrale è una pubblicazione destinata in particolare a personalità del mondo istituzionale ed imprenditoriale, caratterizzata da una comunicazione agile ed essenziale, in grado di sottolineare l´attività dell´Autorità nei diversi settori di intervento.

 
Il notiziario bimestrale

Allo scopo, inoltre, di contribuire all´approfondimento dei temi legati alla privacy e ai principi posti dalla normativa nazionale e comunitaria, il Garante ha deciso di dar vita ad un nuovo prodotto editoriale, la collana "Contributi". Sono attualmente disponibili i primi due volumi, il "Massimario 1997-2001", a cura di Luigi Pecora e Giuseppe Staglianò, relativo ai provvedimenti adottati dal Garante nel primo quadriennio di attività, e "Privacy e giornalismo", a cura di Mauro Paissan.

Nel primo libro, l´attività di massimazione in chiave tecnico-giuridica dei provvedimenti assunti nel corso degli anni è stata preordinata alla formazione di una rassegna di "giurisprudenza" del Garante che, attraverso un´articolazione in voci e sottovoci, permetta la rapida e corretta individuazione degli argomenti trattati e delle decisioni assunte. L´opera, che arricchisce il panorama delle pubblicazioni curate dal Garante e la cui edizione è imminente anche su supporto informatico, si indirizza in particolar modo ad una platea di utenti costituita da giuristi, operatori del diritto, ordini professionali, imprese ed istituzioni pubbliche e private.

 
"Massimario 1997-2001"

Il secondo volume raccoglie, invece, un´ampia scelta delle decisioni adottate dall´Autorità in materia di tutela della persona e libertà di manifestazione del pensiero. I provvedimenti sono organizzati per grandi temi e preceduti da un breve sommario che ne riassume i contenuti e mettendo in luce gli aspetti più significativi. Come in una sorta di manuale pratico per i giornalisti, ma anche per i cittadini, si possono agilmente rintracciare le decisioni riguardanti la tutela dei minori, i rapporti tra cronaca e giustizia, l´uso dei dati di personaggi pubblici, la trasparenza delle fonti pubbliche, i divieti e i rischi derivanti dalla diffusione dei dati sulla salute e sulla vita sessuale, l´uso di fotografie e foto segnaletiche.

 
"Privacy e giornalismo"

È in preparazione un terzo volume, che affronterà il tema della protezione dei dati nelle attività produttive, a cura di Gaetano Rasi.

 

523. La partecipazione a manifestazioni e conferenze
L´attività dell´Autorità collegata con seminari, convegni ed altre iniziative ha visto, nel corso del 2003 e nei primi mesi del 2004, la conferma di un grande interesse da parte del pubblico. In linea con l´obiettivo di promuovere la conoscenza della legge e di diffonderla presso cittadini ed operatori pubblici e privati, il Garante ha confermato la sua presenza in importanti manifestazioni con il proprio stand e con la partecipazione dei suoi rappresentanti a dibattiti e convegni.

Nell´ambito del Forum P.A.-edizione 2003, svoltosi a Roma dal 5 al 9 maggio, il Garante è stato chiamato ad affrontare il tema dei rapporti tra sicurezza e privacy, del rispetto delle norme sulla riservatezza da parte delle pubbliche amministrazioni, delle misure organizzative e tecnologiche da adottare per garantire la sicurezza dei dati personali. Gaetano Rasi, componente dell´Autorità, è intervenuto al convegno dedicato a "La sicurezza dei cittadini nello Stato federale". Affrontando il tema dei rapporti tra sicurezza e privacy, Rasi ha sottolineato che la tutela della collettività e le garanzie di libertà del singolo individuo sono certamente conciliabili, come sta a dimostrare, in particolare nel campo della videosorveglianza, la fattiva collaborazione con il Ministero dell´interno.

 
Forum P.A. 2003

Il segretario generale dell´Autorità, Giovanni Buttarelli, ha tenuto un corso su "La gestione dei dati sensibili e la tutela della privacy nei rapporti tra cittadini e amministrazioni". Il corso al quale hanno partecipato centinaia di persone, si è articolato in una prima parte, a carattere illustrativo, dedicata alla evoluzione normativa e in una seconda parte, a carattere pratico, nella quale si è effettuata una verifica dell´applicazione della normativa sulla privacy nei diversi settori della p.a.

L´Autorità garante è stata presente anche al Com-p.a. 2003, Salone della comunicazione pubblica di Bologna (dal 17 al 19 settembre). Nell´ambito della manifestazione dedicata al tema "Per il buon Governo. Dieci anni di Comunicazione Pubblica", il vice presidente del Garante, Giuseppe Santaniello, ha partecipato al convegno su "Comunicazione e diritto" con un intervento sul tema della protezione dei dati in quanto elemento costitutivo dell´informazione.

 
Com-p.a. 2003

Il Com-p.a. ha offerto l´occasione per affrontare i temi legati alla protezione dei dati come elemento costitutivo dell´informazione resa al cittadino e per approfondire le novità più significative introdotte dal recentissimo Codice in materia di protezione dei dati personali.

Nell´ambito della manifestazione, l´Autorità garante ha ricevuto anche quest´anno, per la seconda volta consecutiva, il "Premio Qualità". Il premio è stato assegnato per "i progetti integrati di comunicazione al cittadino".

L´Autorità ha partecipato inoltre alla 40a edizione di Smau 2003, Esposizione internazionale di ICT & Consumer Electronics, che si è tenuta alla Fiera di Milano dal 2 al 6 ottobre.

L´Autorità è stata presente in tutte e tre le manifestazioni con un proprio stand presso il quale è stato programmato un video esplicativo sull´attività del Garante e sulle tematiche della privacy, e sono state distribuite le pubblicazioni curate dall´Ufficio, i depliant divulgativi e la nuova edizione del Cd-Rom "Cittadini e Società dell´informazione", aggiornata con il Codice.

Per quanto riguarda l´attività internazionale, va ricordata anzitutto la partecipazione del Garante alla Conferenza di primavera delle autorità europee per la privacy, svoltasi dal 3 al 4 aprile 2003 a Siviglia. I temi affrontati nella Conferenza hanno riguardato il settore delle telecomunicazioni; il trasferimento internazionale dei dati; il ruolo delle Autorità di garanzia l´attuazione della direttiva "madre" sulla privacy del 1995; la situazione dei Paesi che entreranno a breve a far parte del Gruppo dei garanti Ue.

 
La partecipazione alle conferenze internazionali

Stefano Rodotà, in qualità di presidente del Gruppo dei garanti europei, ha fatto il punto sull´attuazione della direttiva-madre europea e sul lavoro svolto dalle Autorità in un periodo che ha visto sul tappeto questioni rilevanti, quali la conservazione dei dati di traffico telefonico, i sistemi di autenticazione on line, la richiesta di accesso da parte delle autorità statunitensi alle banche dati delle compagnie aeree europee, nonché, ancora, sulle iniziative che il Gruppo intende prendere in futuro.

Giuseppe Santaniello ha tenuto un´articolata relazione sul nuovo Codice e sulla specifica novità, nel quadro delle fonti, dei codici deontologici italiani.

Mauro Paissan ha tenuto una relazione sulle più importanti decisioni adottate dal Garante in materia di telecomunicazioni, in particolare sull´uso di Sms e Mms, sul fenomeno dello spamming e sulle nuove tecnologie di comunicazione.

Infine, dal 10 al 12 settembre del 2003, l´Autorità ha partecipato alla 25a Conferenza internazionale delle Autorità Garanti, svoltasi a Sydney. Della Conferenza, conclusasi con l´approvazione di cinque risoluzioni (riguardanti rispettivamente: il trasferimento dei dati dei passeggeri di voli aerei diretti negli Usa; il miglioramento delle informative ai cittadini; la protezione dei dati personali e il ruolo degli organismi internazionali; gli aggiornamenti automatici dei software; Rfid), si è già parlato in modo approfondito nei paragrafi. 44.-44.5., ai quali si rinvia.

 

524. Il sito Internet dell´Autorità, il progetto NormeInRete e le attività editoriali
Per quanto riguarda il sito Internet del Garante, nell´anno appena trascorso si è consolidata la piattaforma tecnologica del nuovo sito e sono stati attivati alcuni nuovi servizi per il cittadino.

Va in primo luogo segnalata la procedura web per la notificazione per via telematica con firma digitale e per la connessa operazione di transazione con carta di credito ai fini del pagamento dei diritti di segreteria. A tale scopo sono state stipulate convenzioni con quattro tra i maggiori emettitori di carte, che potranno essere in futuro utilizzate anche in altre circostanze.

Come annunciato nella Relazione per l´anno 2003, l´Autorità ha poi aderito al progetto intersettoriale nazionale NormeInRete promosso dal Cnipa (Centro nazionale per l´informatica nella pubblica amministrazione, su proposta del Ministero della giustizia.

Il portale www.normeinrete.it offre un punto di accesso unitario alla normativa italiana ed europea pubblicata sui siti delle istituzioni aderenti e che (una volta marcata sulla base delle regole espresse in vari Dtd-Document type definition -utilizzando il linguaggio informatico Xml-Extensible markup language-), oltre a valorizzare ciascun documento per il suo contenuto giuridico, assegna una Urn (Uniform resource names), ovvero un "nome" univoco al singolo documento. Dal portale nazionale l´utente è così indirizzato verso i siti istituzionali che pubblicano l´informazione richiesta e risulta quindi amplificata la distribuzione della documentazione d´interesse per i cittadini.

 
Il portale w.normeinrete.it

La redazione del sito web del Garante si è posta peraltro l´ulteriore obiettivo di contribuire fattivamente al progetto NormeInRete studiando -in collaborazione con il gruppo di lavoro di NormeInRete- un nuovo e specifico standard Dtd per marcare i provvedimenti del Garante con modalità che potranno essere all´occorrenza utilizzate da altre autorità indipendenti, al fine di sfruttare l´amplificazione del portale NormeInRete ed incrementare le potenzialità del motore di ricerca interno.

Il sito web del Garante costituisce inoltre uno strumento volto ad offrire, in conformità all´art. 154, comma 1, lettera h) del Codice, la massima conoscenza tra il pubblico della disciplina del trattamento dei dati personali. Per questo, attraverso le sintetizzate tecniche di marcatura, verranno diffusi i testi normativi di riferimento nella versione consolidata.

La pubblicazione sul sito delle norme, dalla versione originaria della legge n. 675/1996 al Codice e agli ulteriori sviluppi normativi, consentirà di ottenere una rappresentazione completa delle modifiche intervenute sulle norme stesse nel tempo, nonché di visualizzare, sempre all´interno del sito, il link del provvedimento pubblicato con la versione vigente della norma alla data del documento.

A tal fine, l´anno appena trascorso ha visto la redazione del sito impegnata in uno studio di fattibilità per la piena integrazione tra la piattaforma tecnologica del sito e le peculiari necessità tecniche dettate da NormeInRete, nella predisposizione di un apposito capitolato tecnico-esecutivo e nella ricerca e selezione di un partner scientifico in grado di fornire un competente ausilio nella marcatura di un volume così alto di documenti. Il partner istituzionale ora individuato è il Cirsfid (Centro interdipartimentale di ricerca in storia del diritto, filosofia e sociologia del diritto e informatica giuridica) dell´Università di Bologna che ha acquisito una consolidata esperienza scientifica nel trattamento dell´informazione giuridica in Internet.

Corollario di questo piano di lavoro è, poi, la completa messa off-line della precedente versione del sito web e il completamento del trasferimento di tutta la copiosa documentazione già disponibile.

Sul piano internazionale è stato inoltre progettato, realizzato e arricchito di contenuti normativi e documentali, il sito dell´Autorità di controllo comune Schengen, durante il periodo di presidenza italiana di tale organismo. Progettato per ospitare contenuti in tutte le lingue dei Paesi che applicano la Convenzione Schengen, il sito è già disponibile in lingua inglese (indirizzo attuale, in vista di nuovi domini in ambito comunitario: www.schengen-jsa.dataprotection.org). Nello stesso contesto è stata anche prodotta la versione grafica, sempre in lingua inglese, della "Newsletter JSA-ACC Schengen" e del depliant della campagna informativa dell´Autorità Schengen.

 
Il sito dell´Acc Schengen

Presso la redazione web continua ad essere infine seguita, oltre ai prodotti dell´editoria tradizionale con particolare riferimento alle relazioni annualli e al Bollettino ufficiale dell´Autorità, la cura editoriale -sino alla pre-stampa tipografica- delle pubblicazioni dell´Autorità (con particolare riferimento ai volumi cui si fa cenno in altre parti di questa Relazione, cfr. parag. 522).

 

525. Il rapporto con il pubblico: l´Urp e l´attività di formazione
Il rapporto diretto con la società riveste un´importanza fondamentale per l´Autorità che, fin dall´inizio della sua attività, ha inteso presentarsi come un´istituzione vicina ai cittadini, attenta alle nuove frontiere della protezione dei dati personali e dei nuovi diritti della persona. La messa a disposizione sul sito di una notevole quantità di documentazione, con continui aggiornamenti e dossier tematici, ha rappresentato uno strumento di informazione e "formazione" del pubblico.

L´interesse che suscita il diritto alla privacy è sempre maggiore e, per conseguenza, i motivi di contatto con il pubblico si moltiplicano: da tale riflessione è derivata la scelta dell´Autorità per un modello organizzativo che consenta di tenere adeguatamente conto della funzione di comunicazione, anche come momento di confronto e di dialogo continuo con i cittadini.

In questo quadro, ha assunto un rilievo fondamentale l´entrata in funzione a pieno regime, nel corso del 2003, dell´Ufficio per le relazioni con il pubblico, istituito nell´ambito della segreteria generale, che ha rivestito da subito un ruolo centrale nell´attuazione del progetto di sviluppo della comunicazione tra il Garante ed il pubblico: la sua centralità dipende, in effetti, dal rilevante fabbisogno degli utenti e dalla costante crescita delle aspettative ed esigenze degli utilizzatori di questo tipo di comunicazione ed informazione.

L´attivazione di tale Ufficio ha pure contribuito a garantire la qualità dell´azione amministrativa, permettendo all´Autorità di percepire il grado di soddisfazione dell´utenza per le risposte da essa date alle molteplici problematiche avanzate. Inoltre, ha creato un canale che permette di cogliere con immediatezza quali sono le tematiche di cui è più avvertita l´importanza da parte della collettività.

In proposito, le materie che nel periodo preso in esame hanno formato più spesso oggetto di quesiti rivolti all´Ufficio (o per le quali più di frequente è stato richiesto materiale informativo) sono state lo spamming, il trattamento dei dati da parte delle "centrali rischi" private, l´esercizio dei diritti previsti dall´art. 13 della legge n. 675/1996 (ora, dall´art. 7 del d.lg. n. 196/2003), la videosorveglianza, il trattamento dei dati nell´ambito del rapporto di lavoro e il trasferimento di dati all´estero.

Per le pubbliche amministrazioni, particolare rilievo dominante ha assunto il rapporto tra la normativa in materia di privacy e la legge n. 241/1990, nonché, per gli enti locali, quella del diritto di accesso dei consiglieri comunali e provinciali.

Peraltro, sebbene l´attività dell´Ufficio sia stata rivolta prevalentemente a fornire elementi su questioni per le quali si era già formato un consolidato orientamento del Garante, non sono mancate risposte a quesiti su aspetti di novità.

Nel corso del 2003 l´affluenza del pubblico in cerca di un contatto diretto con l´Autorità è aumentata in modo costante. I mezzi di comunicazione utilizzati per le risposte sono stati le lettere, l´invio di fax, le risposte telefoniche e le e-mail: questi ultimi due strumenti sono stati privilegiati, laddove possibile, per la loro agilità e speditezza.

In particolare, sono pervenuti allo specifico indirizzo di posta elettronica dell´Ufficio diverse migliaia di quesiti e richieste di documentazione; allo stesso modo, i riscontri forniti a mezzo e-mail, fax o lettera sono quantificabili in svariate migliaia. Ancora più numerosi sono stati i contatti telefonici (stimabili in oltre dodicimila), per brevi questioni o richieste di chiarimenti ed informazioni, cui è stata sempre data puntuale e rapida risposta.

Vi sono stati, poi, momenti di "picco" nei contatti del pubblico con l´Urp, che si sono verificati anche in occasione dello spot televisivo e radiofonico trasmesso nel marzo 2003 dalle reti Rai o di trasmissioni televisive su profili di interesse.

Rilievo particolare ha poi assunto il nuovo Codice che, sin dalla sua emanazione (giugno 2003), ha dato luogo ad un´intensa attività di comunicazione incentrata su aspetti interpretativi e applicativi, soprattutto per quanto riguarda le misure di sicurezza e gli adempimenti connessi alla notificazione. Tale attività, via via incrementatasi con l´avvicinarsi della data di entrata in vigore della nuova normativa, ha portato l´Ufficio a fornire sempre più spesso risposte, pur se con la necessaria prudenza, a questioni di carattere innovativo.

Infine, proprio attraverso il contatto diretto con i cittadini ha assunto ulteriore incisività il potere del Garante di intervenire tempestivamente in occasione di situazioni particolarmente lesive della privacy (ad esempio, con la misura cautelare del blocco dei dati trattati in violazione di legge, oppure con accertamenti e controlli).

L´impegno, infine, di contribuire in maniera fattiva alla promozione della cultura della protezione dei dati presso aziende e pubbliche amministrazioni, nonché all´applicazione delle norme e alla corretta attuazione degli adempimenti nell´attività quotidiana, ha portato il Garante ad avviare un´attività di formazione. L´iniziativa si è concretizzata nel primo corso, organizzato con successo il 2 aprile 2004, rivolto al mondo dell´impresa, al quale seguiranno presto quelli dedicati ad amministrazioni pubbliche e sanità da un lato, e alle comunicazioni elettroniche dall´altro.

 
I corsi di formazione

 

Scheda

Doc-Web
1050781
Data
28/04/04

Tipologia

Relazione annuale

Documenti citati