g-docweb-display Portlet

1. Principali interventi dell'Autorità nel 2006.Relazione 2006 - Parte I - Stato di attuazione del Codice in materia di protezione dei dati pe...

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1420915]

 Indice generale

 

 Paragrafo successivo

 

 

Relazione 2006 - Parte I - Stato di attuazione del Codice in materia di protezione dei dati personali - 12 luglio 2007

 

1. Principali interventi dell´Autorità nel 2006

1.1. Provvedimenti più significativi

1.1.1. Misure di sicurezza per le attività di intercettazione legale

Con riferimento alle attività che i fornitori di servizi di comunicazione elettronica svolgono per dare esecuzione alle intercettazioni disposte dalla magistratura, il Garante ha prescritto ai medesimi fornitori, con provvedimento del 20 settembre 2006 [doc. web n. 1341009], di ultimare l´adozione delle misure di sicurezza già prescritte con il provvedimento del 15 dicembre 2005 [doc. web n. 1203890] - con il quale, dopo una complessa serie di accertamenti effettuati a partire dall´agosto 2005, l´Autorità aveva previsto l´adozione di specifiche misure tecniche e organizzative al fine di garantire un livello più elevato di sicurezza dei dati nei flussi informativi tra fornitori e uffici giudiziari- entro e non oltre 90 giorni dalla data di ricezione del nuovo provvedimento.La decisione dell´Autorità di concedere una breve ed ultima dilazione ha tenuto conto della necessità di non pregiudicare le attività di legale intercettazione in corso, nonché dell´attestazione da parte dei fornitori di essere in procinto di ultimare le procedure per adempiere a quanto richiesto. Dai riscontri acquisiti dai fornitori era emerso un quadro complessivo di mancata, parziale o ritardata attuazione delle misure già prescritte nel 2005 [doc. web n. 1348670]. Tra l´altro si era prescritta la riduzione del numero di incaricati che accedono ai dati, la predisposizione di procedure di autenticazione per l´accesso, l´approntamento di sistemi più avanzati di cifratura e di autenticazione, nonché l´utilizzo di nuovi dispositivi nelle comunicazioni con l´autorità giudiziaria nell´ambito delle attività di intercettazione.

Per quanto riguarda gli uffici giudiziari, il Garante, dopo alcune richieste rivolte, nel mese di marzo del 2006, al Ministro della giustizia e al Csm, ha invitato gli uffici delle procure della Repubblica ad apportare il corrispondente aggiornamento delle misure protettive dei flussi di comunicazione.

1.1.2. Altre misure di sicurezza per i dati di traffico telefonico

A seguito di un ricorso con il quale un abbonato aveva contestato fondatamente l´indebita acquisizione di copia dei tabulati telefonici che lo riguardavano, il Garante ha prescritto a Telecom Italia S.p.A. l´adozione di nuove misure di sicurezza a protezione dei dati degli abbonati e degli utenti (Provv. 1° giugno 2006 [doc. web n. 1296533]).

I sistemi informativi della società non risultavano in condizione di registrare il dettaglio delle operazioni svolte dagli incaricati che effettuano operazioni di gestione e manutenzione dei sistemi, esponendo perciò abbonati e utenti a seri rischi di utilizzazione illecita dei dati di traffico. In particolare, è stata accertata la violazione dell´obbligo di adottare, in aggiunta alle ordinarie misure minime di sicurezza, idonei meccanismi per identificare tutti gli incaricati che accedono ai dati.

Con contestuale provvedimento del 1° giugno 2006 [doc. web n. 1298716] l´Autorità ha prescritto alla stessa società di adottare sotto un più ampio profilo, ovvero in riferimento all´intera utenza, misure tecniche a protezione dei dati contenuti nei tabulati e volte a rendere sicuro, trasparente e controllato l´accesso ai database.

La società ha dovuto adottare misure per assicurare l´identificazione, anche a posteriori, di chi accede ai dati e il controllo delle operazioni effettuate da ciascun incaricato, quali che siano la sua qualifica e le sue competenze. Si è previsto che tutte le operazioni compiute sui dati di traffico, anche la sola consultazione, siano registrate in appositi registri informatici (audit log ) e che i profili di autorizzazione degli incaricati siano limitati ai dati e alle operazioni loro affidate in modo da non consentire di trattare dati personali diversi da quelli necessari.

Con successivo provvedimento del 7 dicembre 2006 [doc. web n. 1371041] il Garante ha differito al 31 marzo 2007 il termine stabilito nei citati provvedimenti del 1° giugno 2006 per adottare tali misure, ordinando a Telecom Italia S.p.a. di far pervenire, rispettivamente entro il 31 gennaio 2007 ed entro il 28 febbraio 2007, due report di aggiornamento sulle altre misure di adeguamento nel frattempo adottate, nonché di dare conferma all´Autorità entro il medesimo termine del 31 marzo 2007 del completamento delle misure di attuazione delle predette prescrizioni.

1.1.3. Trascrizioni di intercettazioni legali e cronaca giornalistica 

A seguito della ripetuta pubblicazione del contenuto di conversazioni telefoniche intercettate nell´ambito di procedimenti penali, con provvedimento di carattere generale del 21 giugno 2006 [doc. web n. 1299615] il Garante ha riassunto i principi da rispettare in materia di diritto di cronaca rispetto alla pubblicazione di trascrizioni di intercettazioni telefoniche, sottolineando l´importanza della valutazione responsabile del giornalista nel verificare l´essenzialità dell´informazione rispetto a fatti di reale interesse pubblico.

L´Autorità ha richiamato le precedenti pronunce nelle quali aveva già rilevato l´inosservanza da parte di testate giornalistiche delle garanzie in tema di diritto di cronaca e rispetto dei diritti della personalità, che in alcuni casi avevano anche comportato il blocco o il divieto di pubblicazione di brani strettamente privati di conversazioni telefoniche e di messaggi Sms. È stata segnalata a tutti gli operatori la necessità di garantire i diritti delle persone coinvolte, anche indirettamente, nelle conversazioni legalmente intercettate, a maggior ragione quando queste ultime riguardano terzi non indagati, persone lese dal reato o del tutto estranee ai fatti oggetto di indagine penale, ovvero relazioni o comportamenti personali o familiari.

Si è posto così in evidenza che, anche in base al codice di deontologia relativo al trattamento dei dati personali nell´esercizio dell´attività giornalistica:

  • l´informazione, anche dettagliata, può essere diffusa quando risulta indispensabile per l´originalità dei fatti a cui si riferisce, ovvero in base alla qualificazione dei protagonisti o alla descrizione dei modi particolari in cui i fatti stessi sono avvenuti (art. 6, comma 1, del codice di deontologia relativo al trattamento dei dati personali nell´esercizio dell´attività giornalistica, Allegato A.1. al Codice [doc. web n. 487496], in G.U. 3 agosto 1998, n. 179);
  • devono essere evitati riferimenti a congiunti o ad altri soggetti non interes sati ai fatti (art. 5, comma 1, del codice di deontologia);
  • va assicurato il pieno rispetto della dignità della persona tutelandone anche la sfera sessuale e astenendosi da descrizioni su abitudini sessuali riferite a persone identificate o identificabili (art. 11 del codice di deontologia);
  • quando le informazioni riguardano soggetti che rivestono una posizione di particolare rilevanza sociale o pubblica devono essere comunque rispettati il principio dell´essenzialità dell´informazione e la dignità personale (artt. 1, 8 e 11 del codice di deontologia).

Il Garante ha anche posto in evidenza l´insoddisfacente quadro di garanzie previste dalla disciplina processuale vigente, con riferimento specifico agli effetti che si pongono rispetto alla diffusione giornalistica di dati in base all´attuale meccanismo di utilizzabilità in sede extraprocessuale degli atti che le parti conoscono nel quadro delle attività svolte nel procedimento penale, nonché alle misure di sicurezza che gli operatori della giustizia sono chiamati ad adottare a tutela della riservatezza delle informazioni processuali; in tale contesto, ha segnalato al Consiglio Superiore della magistratura l´opportunità di una revisione e di un miglioramento di tali meccanismi e garanzie, confermando il proprio impegno a collaborare con Parlamento e Governo.

In un comunicato stampa del 21 settembre 2006, in occasione della pubblicazione dei cd. "dossier illegali" legati all´inchiesta Telecom condotta dalla Procura di Milano, il Garante ha operato un fermo richiamo alle garanzie cui i mezzi di informazione devono attenersi nei casi in cui notizie e documenti possano, in base alla vigente legislazione processuale, essere legalmente conosciuti e utilizzati anche da soggetti estranei al processo. Dalle indagini penali emergono spesso delicati atti, documenti ed informazioni riguardanti numerose persone che possono subire una grave lesione della propria dignità e dei propri diritti alla riservatezza, all´identità personale, all´immagine, all´onore e alla reputazione.

1.1.4. Raccolta illecita di dati sanitari a fini di cronaca giornalistica 

Con un provvedimento del 10 ottobre 2006 [doc. web n. 1345622] il Garante ha disposto il blocco del trattamento dei dati personali consistenti in informazioni, immagini e campioni biologici raccolti presso circa 50 parlamentari all´insaputa degli interessati, finalizzato alla realizzazione di un servizio giornalistico volto a evidenziare l´eventuale uso recente di sostanze stupefacenti da parte di deputati e senatori, del quale era stata prevista la messa in onda nella trasmissione televisiva "Le Iene" di "Italia 1".

Il Garante ha rilevato, anche sulla base di quanto dichiarato dai responsabili della trasmissione riguardo alle modalità di esecuzione del test, che in tale circostanza erano stati compiuti trattamenti illeciti di dati sanitari. La violazione dei principi del Codice che riguardano il dovere di trattare i dati per scopi espliciti (art. 11, comma 1, lett. b), del Codice) e secondo correttezza nei confronti delle persone presso le quali gli stessi sono raccolti (art. 11, comma 1, lett. a), del Codice) si era verificata già al momento della raccolta scorretta dei dati, a prescindere dalle misure previste per non esplicitare singoli dati personali sanitari durante il programma televisivo.

In tale occasione, l´Autorità ha inoltre riscontrato altre due violazioni riguardanti specificamente l´attività giornalistica, relative al dovere di rendere note la propria identità e le finalità della raccolta dei dati (art. 2, comma 1, del codice di deontologia in materia giornalistica), nonché a quello di evitare l´uso di artifici (art. 2, comma 1, del codice di deontologia cit.). Il blocco è stato confermato e trasformato in divieto con provvedimento del 14 dicembre 2006 [doc. web n. 1370954] (v. anche par. 8.3).

Con un altro provvedimento, adottato il 19 ottobre 2006 [doc. web n. 1350853], il Garante ha disposto il blocco di ogni trattamento di dati personali consistenti in informazioni, immagini e risultanze di test raccolti, all´insaputa degli interessati, nella toilette di una discoteca, sulla base dei quali era stato realizzato un servizio giornalistico riguardante l´assunzione di sostanze stupefacenti da parte dei clienti, mandato in onda nella puntata della trasmissione televisiva "Le Iene" del 10 ottobre 2006. Visionato il servizio, l´Autorità ha rilevato che era stato compiuto un illecito trattamento di dati sanitari. I principi del Codice risultavano violati a prescindere dalla circostanza che nella trasmissione televisiva fossero state mandate in onda immagini di persone non identificabili perché parzialmente oscurate, in quanto la violazione dei diritti degli interessati si era concretizzata già al momento della raccolta non informata dei dati e della successiva detenzione di filmati e risultati dei test relativi a persone individuabili (v. anche par. 8.3).

1.1.5. Aggiornamento della Carta di Treviso 

L´Autorità ha dato formalmente atto dell´aggiornamento della Carta di Treviso volto ad adeguare in base all´esperienza le cautele relative alla tutela dei minori. La deliberazione del Garante del 26 ottobre 2006 [doc. web n. 1357821] ha concluso la procedura di cooperazione con il Consiglio nazionale dell´Ordine dei giornalisti prevista per i casi in cui si rende necessario modificare o integrare il codice di deontologia riguardante l´attività giornalistica, che richiama principi e limiti stabiliti a tutela dei minori rinviando alla stessa Carta di Treviso.

La Carta, risalente al 1990 e già integrata dal "Vademecum Treviso ‘95", è stata aggiornata dal Consiglio nazionale dell´Ordine anche alla luce di alcuni commenti del Garante formulati con particolare riferimento a Internet e ai media elettronici.

Le nuove regole trovano applicazione anche al giornalismo on-line, a quello multimediale e alle altre forme di comunicazione giornalistica che utilizzino strumenti tecnologici.

Il testo aggiornato della Carta di Treviso mira a rafforzare la tutela dei minori di fronte ai rischi di un´informazione talvolta poco attenta all´esigenza di rispettare la sfera di riservatezza di bambini e ragazzi coinvolti in fatti di cronaca.

1.1.6. Monitoraggio del contenuto di navigazioni in Internet di lavoratori 

Riguardo al controllo dei lavoratori nell´uso di strumenti elettronici, il Garante ha proseguito l´esame di casi specifici che sono stati alla base del provvedimento generale adottato il 1° marzo 2007 [doc. web n. 1387522]. In particolare, pronunciandosi su un ricorso, il Garante ha vietato a una società l´uso dei dati relativi alla navigazione in Internet di un lavoratore che, pur non essendo autorizzato, si era connesso alla rete da un computer aziendale. Il datore di lavoro, dopo aver esaminato il computer stesso, aveva contestato al dipendente di aver consultato siti a contenuto religioso, politico e pornografico, fornendone un elenco dettagliato. Il Garante ha però rilevato, nel suo provvedimento del 2 febbraio 2006 [doc. web n. 1229854], che per contestare l´indebito utilizzo di un bene aziendale sarebbe stato sufficiente verificare gli avvenuti accessi a Internet e i tempi di connessione, senza indagare sui contenuti dei siti visitati dal dipendente.

Dopo una prima istanza rivolta alla società senza ottenere alcun riscontro, il lavoratore aveva presentato ricorso al Garante contestando la legittimità dell´operato del datore di lavoro. La società aveva allegato alla contestazione disciplinare notificata al lavoratore, poi licenziato, la documentazione inerente ai file temporanei e ai cookie originati sul suo computer dalla navigazione in rete, avvenuta durante sessioni di lavoro avviate con la password del dipendente. Da queste pagine, copiate direttamente dalla directory intestata al lavoratore, erano emerse anche diverse informazioni particolarmente delicate che la società non avrebbe potuto raccogliere senza aver prima informato il lavoratore. Sebbene i dati personali fossero stati raccolti nel corso di controlli informatici volti a verificare un comportamento illecito del dipendente, le informazioni di natura sensibile, in grado di rivelare ad esempio convinzioni religiose e opinioni sindacali o politiche, avrebbero potuto essere trattate dal datore di lavoro senza consenso solo se indispensabili per far valere o difendere un diritto in sede giudiziaria (art. 26, comma 4, lett. c), del Codice). Tale indispensabilità non è emersa dagli elementi acquisiti nel procedimento. È risultato illecito anche il trattamento dei dati relativi allo stato di salute e alla vita sessuale. Secondo il Codice, infatti, tale tipo di trattamento può essere effettuato senza consenso solo se necessario per difendere in giudizio un diritto della personalità o un altro diritto fondamentale (art. 26, comma 4, lett. c), del Codice) anziché, come nel caso di specie, diritti patrimoniali legati allo svolgimento del rapporto di lavoro.

1.1.7. Invio illecito di e-mail pubblicitarie  

Il Garante è tornato ad occuparsi di casi nei quali si inviano indebitamente email per pubblicizzare un prodotto o un servizio senza prima aver ottenuto il consenso informato del destinatario, anche quando si tratta solo di un primo invio volto appunto a sollecitare il consenso stesso. Il tema si è posto tra l´altro nell´ambito di un provvedimento del 20 aprile 2006 [doc. web n. 1289884], adottato in seguito al ricorso presentato da un cittadino che aveva ricevuto posta elettronica indesiderata da parte di una società operante in Internet.

L´interessato, infastidito dalla e-mail sgradita, si era rivolto alla società per chiedere la cancellazione dei propri dati dal relativo archivio e l´adozione di misure idonee affinché non si ripetessero in futuro altri invii di messaggi promozionali; non avendo ricevuto adeguato riscontro, aveva presentato ricorso al Garante il quale ha quindi ordinato alla società di cancellare i dati personali. La società aveva sostenuto a propria difesa che si era trattato solo di un "primo invio" volto a richiedere il consenso per l´inoltro di comunicazioni promozionali. Con la citata decisione l´Autorità ha ricordato che occorre ottenere sempre il consenso preventivo del destinatario prima di effettuare qualunque uso dell´indirizzo di posta elettronica, quando l´invio è a fini di pubblicità e di marketing.

Ribadendo un principio fondamentale per l´uso degli indirizzi e-mail, l´Autorità ha nuovamente sottolineato che un indirizzo di posta elettronica, per il solo fatto di essere reperibile in rete, può essere oggetto di un uso indiscriminato.

1.1.8. Marketing "disinvolto" via fax

Con un provvedimento del 2 marzo 2006 [doc. web n. 1376148], adottato a seguito di segnalazione, il Garante ha disposto il blocco di alcuni archivi di un´agenzia che, violando le norme in materia di protezione dei dati personali, inviava sistematicamente fax pubblicitari senza il consenso dei destinatari al fine di offrire servizi di direct marketing. Dalla segnalazione, nonché dalla pubblicità dei servizi offerti dall´agenzia –che nel fax medesimo evidenziava di essere "specializzata nel fornire numeri di fax di tutte le società esistenti in Italia"– è emerso un uso sistematico e illecito dei dati dei destinatari cui i messaggi venivano inoltrati in modo massiccio senza il loro consenso. Il Codice stabilisce infatti che, per poter inviare materiale pubblicitario via posta elettronica, telefax, Sms e Mms, è necessario acquisire il consenso preventivo del destinatario.

L´Autorità ha bloccato il trattamento dei dati personali (nome, indirizzo, numero di telefono, numero di fax, ecc.) contenuti nei data-base dell´agenzia; ha, inoltre, disposto successivi accertamenti presso eventuali soggetti dai quali potrebbero provenire i dati, riservandosi di adottare ulteriori provvedimenti in merito.

Un´istanza di revoca o annullamento del blocco presentata dall´agenzia è stata rigettata con provvedimento del 23 novembre 2006 [doc. web n. 1368797].

1.1.9. Attivazione illecita di schede telefoniche all´insaputa dei clienti  

A seguito di numerosi reclami e segnalazioni, il Garante è intervenuto a tutela di utenti e abbonati telefonici con un provvedimento di carattere generale del 16 febbraio 2006 [doc. web n. 1242592], con il quale ha prescritto ai fornitori di servizi di comunicazione elettronica di adottare alcune misure per prevenire gravi comportamenti illeciti consistenti nell´attivazione indebita di schede telefoniche.

Le schede venivano attivate in particolare utilizzando dati anagrafici presi da un documento di identità fornito dagli interessati al momento di precedenti richieste.

In taluni casi, le attivazioni multiple delle schede sono risultate collegate a piani di incentivazione per i rivenditori.

Altre fattispecie segnalate al Garante riguardavano l´attivazione indebita del servizio di selezione automatica dell´operatore o di altri servizi non richiesti come segreterie telefoniche, tariffe speciali e linee di navigazione veloce in Internet. In tali casi, gli interessati apprendevano di essere divenuti clienti di un nuovo operatore solo al momento della ricezione della prima comunicazione dell´operatore stesso o della prima bolletta.

Il Garante ha prescritto ai predetti fornitori procedure idonee a rilevare tempestivamente le intestazioni multiple di schede ad una medesima persona: in particolare, quando le intestazioni sono superiori a 4 utenze (per le persone fisiche) o a 7 utenze (per le persone giuridiche) l´operatore deve ora chiedere espressa conferma all´intestatario.

Il provvedimento ha ribadito i diritti degli interessati riguardo all´attivazione di servizi telefonici e alla ricezione di chiamate e comunicazioni promozionali. Gli addetti ai call center sono tenuti a rendere nota agli interessati l´origine dei dati che li riguardano e devono registrare immediatamente, rispettandola, la volontà espressa dall´interessato di non ricevere il servizio e la sua contrarietà all´uso dei dati. Ai fornitori e ai gestori di call center è stato imposto di controllare anche con metodologie a campione l´attività di rivenditori e incaricati, anche allo scopo di rintracciare più rapidamente chi abbia effettuato l´attivazione indebita.

1.1.10. Ispezioni presso sistemi di informazioni creditizie e i gestori telefonici  

A completamento di un ciclo di ispezioni avviato nell´ottobre 2005 per verificare l´osservanza delle regole contenute nel codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti (Allegato A.5. al Codice [doc. web n. 1070713], in G.U. 23 dicembre 2004, n. 300), il 4 maggio 2006 il Garante ha adottato diversi provvedimenti con i quali ha prescritto a società che gestiscono "sistemi di informazione creditizie" (i cd. "Sic") e ad alcune società telefoniche misure volte a garantire il rispetto del citato codice di deontologia [doc. web n. 1302311, n. 1302326, n. 1302339, n. 1302373, n. 1302385 e n. 1302395].

Dagli accertamenti effettuati sono emerse diverse violazioni tra le quali: la comunicazione di dati contenuti nel sistema di informazioni creditizie a favore di soggetti non autorizzati, in particolare a vantaggio di società telefoniche in occasione dell´attivazione di contratti di abbonamento a servizi di telefonia (cd. "post-pagato"); l´incompletezza dell´informativa resa agli interessati; l´inadeguatezza delle misure adottate nel fornire un riscontro idoneo a istanze di accesso ai dati personali presentate dagli interessati; l´utilizzo abusivo delle liste elettorali per finalità di cd."allarme antifrode"; il trattamento ingiustificato di dati ulteriori rispetto a quelli necessari al fine di verificare la puntualità dei pagamenti.

Per quanto riguarda la comunicazione di dati personali (anche in forma di punteggi di sintesi) a vantaggio di società telefoniche, l´Autorità ha effettuato presso queste ultime alcuni accertamenti dai quali è emerso che, in sede di conclusione del contratto, venivano svolte verifiche sulla solvibilità e l´affidabilità dei clienti, avvalendosi anche di informazioni trattate da sistemi di informazioni creditizie. In tali casi è stata constatata l´illiceità del trattamento dei dati provenienti dai Sic in quanto raccolti per la diversa finalità di tutela del credito (e di contenimento del relativo rischio), vietando ai gestori telefonici e ai Sic stessi l´ulteriore trattamento illecito di tali informazioni.

1.1.11. Carte di fedeltà e diritti dei consumatori  

A seguito di accertamenti effettuati presso Ikea Italia Retail S.r.l. il Garante ha vietato (Provv. 24 maggio 2006 [doc. web n. 1298784]) a tale società il trattamento dei dati personali raccolti per il rilascio alla clientela di "carte di fedeltà" e utilizzati anche a fini di marketing in modo illecito. L´Autorità ha contestualmente prescritto alla società alcune misure per conformare al Codice i futuri trattamenti di dati.

Con il provvedimento il Garante ha constatato che l´informativa fornita ai clienti non era chiara e non consentiva agli interessati di comprendere quali effetti comportasse il trattamento dei dati. In particolare non venivano indicate, tra le finalità perseguite, l´attività di profilazione e la successiva comunicazione dei dati dei clienti ad una banca per l´eventuale sollecitazione ad avvalersi di un fido; veniva infine condizionato il rilascio della carta al consenso del cliente all´uso dei dati anche per finalità di marketing e di profilazione, non permettendo così agli interessati una scelta libera.

Il Garante, dichiarando sotto diversi aspetti illecito il trattamento dei dati effettuato dalla società e vietando l´ulteriore uso dei dati raccolti, ha prescritto l´adozione di misure per rendere i futuri trattamenti di dati personali conformi alle norme del Codice. In particolare ha stabilito che l´informativa resa agli interessati fosse riformulata indicando in modo più chiaro gli usi fatti riguardo ai dati personali dei clienti e i destinatari dei dati stessi. Si è poi affermato che gli interessati devono poter usufruire dei vantaggi connessi al rilascio delle carte di fidelizzazione, anche se non acconsentono al trattamento dei dati per comunicazioni commerciali o ricerche di mercato. Il consenso al trattamento dei dati deve, infatti, essere autonomo, libero e specifico in riferimento alle distinte finalità per le quali il trattamento stesso avviene.

1.1.12. Principi generali per i condomìni  

Con un provvedimento generale del 18 maggio 2006 [doc. web n. 1297626] il Garante ha prescritto a tutti i condomìni, anche in riferimento ai trattamenti effettuati dall´assemblea e dall´amministratore, alcune misure necessarie per una corretta gestione dei dati personali. Il provvedimento ha tenuto conto delle osservazioni di associazioni di categoria e di singoli condomìni che hanno partecipato alla consultazione pubblica aperta l´8 febbraio 2006.

Il condominio, in quanto titolare del trattamento, può trattare solo le informazioni personali pertinenti e necessarie per la gestione e l´amministrazione delle parti comuni. Le informazioni possono riguardare il condominio stesso (dati relativi a consumi collettivi) o singoli partecipanti (dati anagrafici, indirizzi e quote millesimali).

Per verificare l´esattezza degli importi dovuti ciascun condomino può essere informato, in sede di rendiconto annuale o su richiesta, delle somme dovute dagli altri condomini e di eventuali inadempimenti.

È vietata la diffusione di dati personali mediante l´affissione di avvisi di mora o di sollecitazioni di pagamento in spazi condominiali aperti al pubblico, in cui è consentita l´affissione di avvisi generali (quali convocazioni di assemblea o comunicazioni urgenti).

I dati sanitari possono essere trattati quando siano indispensabili ai fini dell´amministrazione del condominio (come in caso di danni a persone anche diverse dai condomini o per particolari deliberazioni, ad es. per l´abbattimento delle cd. "barriere architettoniche").

La comunicazione di dati personali è consentita con il consenso dell´interessato o se ricorrono gli altri presupposti di legge.

La partecipazione di estranei all´assemblea condominiale è consentita con l´assenso dei partecipanti e nei casi previsti dalla legge, come nel caso di tecnici o consulenti chiamati ad intervenire su problemi all´ordine del giorno. È possibile videoregistrare l´assemblea con il consenso informato dei partecipanti.

Per prevenire illecite comunicazioni e diffusioni di dati personali l´amministratore deve adottare le idonee misure di sicurezza previste dal Codice. L´amministratore può esercitare il diritto di accesso ai dati riferiti al condominio nel suo complesso (ad es., alle informazione relative al consumo globale di energia ed acqua); il singolo condomino può accedere ai dati che lo riguardano, rivolgendosi all´amministratore.

1.1.13. Semplificazioni per medici di base e pediatri  

In collaborazione con rappresentanti di categoria dei medici di medicina generale e dei pediatri il Garante ha indicato, in un modello di informativa, gli elementi essenziali da fornire all´interessato relativamente al trattamento dei dati personali, al fine di semplificare il rispetto delle norme del Codice da parte di medici di base e pediatri al momento di informare gli assistiti sull´uso dei dati e sui diritti loro riconosciuti dalla legge (Provv. 19 luglio 2006 [doc. web n. 1318699]; v. par. 4.1.2).

1.1.14. Profilazione illecita di clienti negli alberghi  

Con un provvedimento del 9 marzo 2006 [doc. web n. 1252220], il Garante ha vietato alla società alberghiera Italjolly Compagnia italiana dei Jolly hotels S.p.a. l´utilizzo di alcuni dati personali della clientela trattati in violazione di legge.

Dagli accertamenti è risultato che i clienti della catena alberghiera non venivano adeguatamente informati sull´uso dei dati e sottoscrivevano moduli con formule di consenso generiche. I dati personali venivano trattati dalla catena alberghiera italiana non solo per fornire i servizi richiesti, ma anche per definire "profili" dei clienti stessi allo scopo di proporre servizi mirati in caso di ulteriori visite. Inoltre, la società utilizzava, per finalità di marketing e per l´invio di comunicazioni commerciali e sempre senza consenso specifico, altre informazioni (professione, recapiti, frequenza dei pernottamenti, pasti) di clienti che avevano aderito ad un´operazione a premio con "carta di fedeltà", usufruendo di vantaggi (bonus, premi, sconti) correlati ai volumi di spesa. I dati di questo gruppo di clienti venivano comunicati ad altre società (società di noleggio, compagnie aeree).

Il Garante, oltre a disporre il divieto del trattamento dei dati raccolti illecitamente, ha impartito alla catena alberghiera una serie di prescrizioni disponendo, in particolare:

  • di riformulare i modelli di informativa alla clientela su carta e on-line, specificando per quali scopi e per quanto tempo vengono usati i dati personali dei clienti;
  • di predisporre modelli che consentissero alla clientela di decidere liberamente se autorizzare o meno l´uso dei dati a fini di "profilazione" o di invio di materiale pubblicitario;
  • di individuare precisi tempi di conservazione dei dati e di cancellare o trasformare in forma anonima quelli non più necessari.

1.1.15. Propaganda elettorale tramite manifesti e diritto all´identità personale  

Riconosciutasi in una fotografia pubblicata sui manifesti utilizzati da un partito politico per la campagna di tesseramento 2006, una donna, non simpatizzante del partito medesimo, ha presentato ricorso al Garante chiedendo di adottare ogni misura opportuna rispetto ai manifesti che ritraevano indebitamente la sua immagine.

La foto risaliva a circa 18 anni prima e ritraeva la donna, ancora facilmente riconoscibile, mentre partecipava ad una manifestazione pubblica. Secondo la donna, l´associazione della sua immagine con la campagna pubblicitaria del partito l´esponeva ad un giudizio del pubblico lesivo della sua identità personale attribuendole una fede politica che non ha.

Queste ragioni sono state riconosciute legittime nel provvedimento adottato il 9 marzo 2006 [doc. web n. 1269316], con il quale l´Autorità ha stabilito che, pur non essendo in termini generali necessario ottenere previamente il consenso della persona fotografata quando la riproduzione è collegata ad avvenimenti di interesse pubblico o che si svolgono in pubblico, l´uso della foto che ritraeva l´interessata nel corso di una manifestazione di parecchi anni prima, associata alla corrente campagna di tesseramento di un partito, aveva portato a rappresentare al pubblico la personalità della donna in modo non rispettoso dei suoi diritti.

1.1.16. Limiti all´uso di messaggi Sms per propaganda elettorale  

Senza il consenso specifico dei destinatari partiti, liste e candidati alle elezioni non possono inviare messaggi di propaganda via cellulare o via e-mail. Il Garante lo ha ribadito con un provvedimento del 24 maggio 2006 [doc. web n. 1298743] dando conto dell´esito dell´indagine compiuta sull´invio di messaggi Sms nel corso della campagna elettorale per le elezioni politiche 2006.

Gli accertamenti, avviati dopo il voto del 9 e 10 aprile 2006, sono stati svolti con la collaborazione anche del servizio di Polizia postale e delle comunicazioni e hanno riguardato sia una forza politica committente, sia le società di servizi che avevano inviato i messaggi.

In alcune fattispecie è risultato che i segnalanti, i quali lamentavano la ricezione di messaggi indesiderati, avevano sottoscritto contratti accettando la ricezione di messaggi promozionali anche di tipo politico in cambio di una "ricarica" del credito sul proprio cellulare. L´Autorità non ha, quindi, ravvisato in questi casi un fatto illecito.

Alcune formule di informative o di consenso non sono però risultate integralmente conformi alla disciplina vigente. L´Autorità ha inoltre sottolineato il ruolo e le responsabilità del committente che si avvale di soggetti esterni che inviano note per posta, messaggi telefonici o e-mail. Con l´occasione, anche in relazione a successive consultazioni elettorali, il Garante ha ritenuto doveroso richiamare nuovamente l´attenzione sulle garanzie stabilite nel provvedimento generale in materia di utilizzo dei dati personali a fini di propaganda elettorale del 7 settembre 2005 [doc. web n. 1165613], evidenziando i principi da rispettare quando si utilizzano strumenti di comunicazione elettronica che prevedono anzitutto la necessaria acquisizione del consenso preventivo dei destinatari per l´inoltro di telefonate preregistrate, fax, e-mail, Sms e Mms. Il medesimo principio deve essere rispettato nel caso si utilizzino dati raccolti automaticamente su Internet o ricavati da forum o newsgroup, liste abbonati ad un provider, ovvero dati presenti sul web per altre finalità.

 

1.2. Rapporti con il Parlamento e altre istituzioni 

1.2.1. Le audizioni del Garante in Parlamento  

Anche nel 2006 il Garante ha partecipato ad alcune audizioni presso commissioni della Camera o del Senato o altri organismi anche bicamerali su temi di interesse all´esame del Parlamento, nell´ambito di indagini conoscitive o nel corso dei lavori per l´approvazione di proposte di legge aventi riflessi in materia di protezione dei dati personali.

In questo quadro si collocano, in particolare:

  • il 29 novembre 2006, un´audizione presso la Commissione affari costituzionali del Senato proseguita il successivo 13 dicembre, nell´ambito dell´indagine conoscitiva sui rapporti fra libertà di informazione, sviluppo delle comunicazioni e tutela dei diritti della persona e sicurezza pubblica;
  • il 28 novembre 2006, presso il Comitato parlamentare per i servizi di informazione e sicurezza e per il segreto di Stato, un´audizione che ha riguardato la problematica delle intercettazioni anche illegali e delle relative implicazioni sui diritti fondamentali della persona;
  • il 13 luglio 2006, presso la Commissione giustizia del Senato, un´audizione nell´ambito dell´indagine conoscitiva sul fenomeno delle intercettazioni telefoniche. L´audizione si è sviluppata fondamentalmente su tre temi: l´attività dei gestori di telecomunicazioni o comunicazioni elettroniche, con particolare riferimento alle attività richieste dall´autorità giudiziaria; il rispetto delle misure di sicurezza che l´autorità giudiziaria è tenuta anch´essa ad assicurare per proteggere i dati in suo possesso; il giusto equilibrio per il corretto utilizzo extraprocessuale dei risultati di intercettazioni e di atti giudiziari;
  • in data 11 luglio 2006, innanzi agli uffici di presidenza delle Commissioni bilancio e finanze del Senato riunite, un´audizione (informale) nell´ambito della discussione del disegno di legge di conversione del decreto-legge n. 223/2006, recante disposizioni urgenti per il rilancio economico e sociale, con particolare riguardo a taluni profili critici che presentavano le norme previste per contrastare l´evasione fiscale. In tale occasione il presidente del Garante ha svolto anche una riflessione più generale sulla tematica del trattamento dei dati personali a fini fiscali e sul ruolo che l´Autorità auspica di poter svolgere in questo settore in collaborazione con le competenti istituzioni.

All´inizio dell´anno in corso, ulteriori audizioni su cui si darà maggior conto nella prossima Relazione hanno riguardato l´esame di varie questioni attinenti all´evoluzione del Sistema informativo Schengen, cd. "Sis II", allo scambio crescente di informazioni e di dati tra le forze di polizia, al trattato di Prüm, ai rapporti dell´Unione europea con gli Stati Uniti in relazione al cd. "Pnr" (Passenger name record ) e al recente caso Swift (Comitato parlamentare di controllo sull´attuazione dell´Accordo di Schengen, di vigilanza sull´attività di Europol, di controllo e vigilanza in materia di immigrazione, 16 gennaio 2007), nonché un´audizione informale sui disegni di legge in materia di "testamento biologico" (Commissione igiene e sanità del Senato, 23 gennaio 2007).

1.2.2. L´Autorità e le attività di sindacato ispettivo e di indirizzo del Parlamento  

Anche nel 2006 l´Autorità ha fornito suoi contributi conoscitivi in riferimento ad atti di sindacato ispettivo e ad attività di indirizzo del Parlamento riguardanti aspetti di specifico interesse in materia di protezione dei dati personali.

Sono stati forniti al Governo elementi di valutazione in relazione ad atti di sindacato ispettivo fra i quali si ricordano, in particolare:

  • un´interrogazione a risposta scritta presentata al Ministro della giustizia in materia di intercettazioni (n. 4-341), con la quale l´on. Napoli chiedeva di conoscere quali iniziative legislative il Governo intendesse adottare "per ridefinire … il ruolo del Garante per la protezione dei dati personali … visti i costi che esso comporta per i cittadini che pagano e passano ore a firmare documenti che dovrebbero garantire la riservatezza degli atti" (Nota 15 dicembre 2006). L´Autorità ha ricordato che l´istituzione del Garante corrisponde ad un obbligo previsto dall´ordinamento comunitario a garanzia dei diritti fondamentali della persona e che l´Autorità, proprio in tema di intercettazioni, ha svolto complessi accertamenti ed ha adottato provvedimenti per la tutela dei diritti dei cittadini, anche rispetto alla pubblicazione del contenuto di intercettazioni e alla sicurezza delle informazioni registrate in banche di dati, segnatamente ove si tratti di archivi di grandi dimensioni o nei quali siano registrate informazioni di particolare delicatezza;
  • un´interpellanza al Ministro delle comunicazioni presentata dall´on. Volontè (n. 2-17), riguardante i provvedimenti e gli accertamenti in corso presso l´autorità giudiziaria nei confronti di Telecom Italia S.p.a. e di altri soggetti per azioni contrarie alla concorrenza in relazione a clienti acquisiti da altri operatori telefonici, nonché in merito a dossier recanti informazioni anche sensibili su imprenditori, professionisti e uomini politici (Nota 24 novembre 2006). L´Autorità ha avviato un procedimento istruttorio sulle attività di "profilazione" a seguito delle notizie di stampa sull´ordinanza della Corte di appello di Milano cui faceva riferimento l´interpellanza, acquisendo informazioni presso i soggetti interessati e la stessa Corte di appello; si è anche data informazione in ordine alle iniziative assunte dal Garante a seguito all´indebita consultazione di tabulati telefonici di un abbonato, accertata nell´ambito di una delicata vicenda (Provv. 1° giugno 2006 [doc. web n. 1296533]);
  • un´interrogazione a risposta scritta presentata al Ministro delle comunicazioni dall´on. Pepe (n. 4-380), riguardante l´utilizzo da parte di diversi operatori del settore delle comunicazioni di tecniche di marketing invasive come, in particolare, la promozione telefonica diretta alla vendita di servizi o alla proposta di speciali tariffe (Nota 3 novembre 2006). Nell´occasione l´Autorità ha informato il Ministero che le problematiche della comunicazione commerciale con modalità invasive e della "profilazione" sono state portate più volte all´attenzione del Garante mediante segnalazioni, reclami e ricorsi, a seguito dei quali l´Autorità ha anche adottato, nel febbraio 2006, un provvedimento generale con il quale ha fornito indicazioni circa i servizi telefonici non richiesti (Provv. 16 febbraio 2006 [doc. web n. 1242592]);
  • un´interrogazione a risposta immediata dell´on. D´Agrò (n. 5-5167) presso la IX Commissione della Camera, concernente la richiesta di autorizzazione dei soggetti esercenti servizi di radiotaxi a fornire l´informativa agli interessati in forma semplificata ai sensi dell´art. 13, comma 4, del Codice, e il pagamento al Garante dei relativi diritti di segreteria. L´Autorità ha richiamato i principi stabiliti nel provvedimento generale del 26 luglio 2005 [doc. web n. 1151997] con il quale ha individuato le regole per tutelare la riservatezza dei clienti dei servizi di radiotaxi (Nota 10 febbraio 2006).

1.2.3. L´attività consultiva del Garante sugli atti del Governo   

Nel quadro dell´attività consultiva nei riguardi del Presidente del Consiglio dei ministri e di alcuni ministri prevista dal Codice in relazione a norme regolamentari e ad atti amministrativi suscettibili di incidere sulla protezione dei dati personali (art. 154, comma 4, del Codice), il Garante ha espresso anche nel 2006 diversi pareri i quali hanno riguardato, in particolare:

  • uno schema di decreto trasmesso dal Ministero dell´università e della ricerca riguardante le preiscrizioni universitarie per l´anno accademico 2007-2008 (Parere 28 dicembre 2006 [doc. web n. 1376427]);
  • uno schema di decreto predisposto dal Ministero dell´ambiente e della tutela del territorio e del mare concernente l´istituzione dell´Osservatorio sui crimini ambientali (Parere 16 novembre 2006 [doc. web n. 1365989]);
  • uno schema di regolamento predisposto dal Ministero dell´economia e delle finanze in attuazione della legge 17 agosto 2005, n. 166, recante "Istituzione di un sistema di prevenzione delle frodi sulle carte di pagamento" (Parere 19 ottobre 2006 [doc. web n. 1353472]);
  • uno schema di provvedimento dell´Istituto superiore di sanità sulle modalità di raccolta e di conservazione dei dati nel registro nazionale delle strutture autorizzate ad applicare tecniche di procreazione medicalmente assistita, previsto dall´articolo 11 della legge 19 febbraio 2004, n. 40 e istituito con il decreto del Ministro della salute 7 ottobre 2005 (Parere 26 luglio 2006 [doc. web n. 1323060]);
  • quattro schemi di provvedimento del direttore dell´Agenzie delle entrate recanti termini e modalità per la comunicazione telematica di dati e informazioni all´anagrafe tributaria (denunce di inizio attività; contratti di somministrazione di energia elettrica, di servizi idrici e del gas) o ai comuni (Parere 26 luglio 2006 [doc. web n. 1321668]);
  • uno schema di regolamento, trasmesso dal Ministro della difesa, recante modificazioni al d.P.R. 8 agosto 2002, n. 213, in materia di documenti caratteristici del personale dell´Esercito, della Marina, dell´Aeronautica e dell´Arma dei carabinieri (Parere 20 aprile 2006 [doc. web n. 1272207]);
  • uno schema di decreto del Ministro delle comunicazioni che individua i servizi abilitati in base alla legge a ricevere chiamate d´emergenza, in attuazione dell´art. 127, comma 4, del Codice (Parere 6 aprile 2006 [doc. web n. 1269343]);
  • due schemi di decreto del Ministro dell´istruzione, dell´università e della ricerca riguardanti le modalità e i contenuti delle prove di ammissione ai corsi di laurea specialistica programmati a livello nazionale per l´anno 2006-2007 (Parere 6 aprile 2006 [doc. web n. 1269403]);
  • uno schema di regolamento recante la disciplina in materia di accesso ai documenti amministrativi, adottato ai sensi dell´articolo 23 della l. n. 15/2005 di modifica e integrazione della l. n. 241/1990, volto ad aggiornare le disposizioni del d.P.R. n. 352/1992 (Parere 23 marzo 2006 [doc. web n. 1259632]);
  • uno schema di decreto del Ministro dell´interno che, in attuazione del regolamento per la razionalizzazione e l´interconnessione tra amministrazioni pubbliche in materia di immigrazione (d.P.R. n. 242/2004), deve stabilire regole tecniche per i collegamenti telematici fra i sistemi informativi e gli archivi automatizzati delle amministrazioni coinvolte in procedimenti previsti dal testo unico in materia di immigrazione (Parere 16 marzo 2006 [doc. web n. 1410351]);
  • uno schema di decreto del Ministro per i beni e le attività culturali, emanato ai sensi dell´art. 2-ter del d.l. n. 63/2005, convertito, con modificazioni, dalla l. n. 109/2005, in materia di sviluppo e di coesione territoriale, che ha poi individuato i criteri per la tenuta di un elenco degli istituti e dei dipartimenti archeologici universitari, nonché dei soggetti in possesso della qualificazione necessaria per verificare preventivamente "l´impatto archeologico" di opere pubbliche (Parere 16 marzo 2006 [doc. web n. 1268778]);
  • uno schema di decreto del Ministro degli affari esteri, emanato ai sensi dell´art. 7-vicies ter della l. 31 marzo 2005, n. 43, che ha individuato istruzioni operative per il rilascio del passaporto elettronico (Parere 27 gennaio 2006 [doc. web n. 1225864]);
  • uno schema di decreto del Presidente del Consiglio dei ministri relativo alla destinazione per l´anno finanziario 2006, a titolo sperimentale, della quota pari al cinque per mille dell´imposta sul reddito delle persone fisiche, in base alla scelta del contribuente per finalità di volontariato, ricerca scientifica e universitaria, ricerca sanitaria e attività sociali. Il decreto adottato (d.P.C.M.20 gennaio 2006, in G.U. 27 gennaio 2006, n. 22) ha recepito le indicazioni dell´Autorità (Parere 18 gennaio 2006 [doc. web n. 1225964]).

A fronte dei diversi pareri sopra menzionati continuano però a registrarsi casi di mancata consultazione dell´Autorità.

Con una nota inviata a tutti i ministri (Nota 10 luglio 2006) il Garante ha espresso l´auspicio che anche durante la nuova legislatura continui il rapporto di proficua collaborazione con il Governo che ha portato più volte ad adottare misure normative dopo un attento vaglio a garanzia dei diritti fondamentali dei cittadini, ed ha sottolineato l´esigenza di una puntuale applicazione della normativa che prevede appunto la consultazione preventiva del Garante sugli schemi di atti normativi e amministrativi suscettibili di incidere sulla protezione dei dati personali.

Di seguito si riportano i casi più significativi di mancata consultazione:

  • decreto del Ministro degli affari esteri 18 ottobre 2006 (G.U. 15 novembre 2006, n. 266) su "Passaporto di servizio a lettura ottica elettronico, nelle tipologie di passaporto di servizio, passaporto di servizio-funzionario internazionale e passaporto di servizio-corriere diplomatico";
  • decreto dell´Agenzia delle entrate 10 maggio 2006 (G.U. 17 maggio 2006, n. 113) recante "Modalità operative di registrazione telematica degli atti giudiziari ed approvazione delle relative specifiche tecniche";
  • decreto del Ministro dell´ambiente e della tutela del territorio e del mare 2 maggio 2006 (G.U. 11 maggio 2006, n. 108) sul "Registro delle imprese autorizzate alla gestione dei rifiuti, ai sensi dell´art. 212, comma 23, del d.lg.3 aprile 2006, n. 152" ; - decreto del Ministro del lavoro 31 marzo 2006 (G.U. 14 aprile 2006, n. 86) recante "Modalità di conservazione e trasferimento dati dal tachigrafo digitale introdotto dal regolamento (Ce) n. 2135/98";
  • decreto del Ministro per l´innovazione e le tecnologie 7 marzo 2006 (G.U. 12 giugno 2006, n. 134) in materia di "Pc alle famiglie"; - decreto del Ministro delle comunicazioni 2 marzo 2006, n. 145 (G.U. 10 aprile 2006, n. 84) concernente il "Regolamento recante la disciplina dei servizi a sovrapprezzo" nell´ambito della telefonia;
  • decreto del Presidente del Consiglio dei ministri 23 febbraio 2006, n. 185 (G.U. 19 maggio 2006, n. 115) recante "Modalità e criteri per l´individuazione dell´alunno come soggetto in situazione di handicap, ai sensi dell´art. 35, comma 7, della legge 27 dicembre 2002, n. 289";
  • decreto del Ministro delle comunicazioni 17 febbraio 2006 (G.U. 14 marzo 2006, n. 61) recante "Disposizioni in merito alla fornitura del servizio di posta elettronica ibrida";
  • decreto del Ministro per l´innovazione e le tecnologie 8 febbraio 2006 (G.U. 12 giugno 2006, n. 134) in materia di "Pc ai giovani";
  • decreto del Ministro dell´economia e delle finanze 12 gennaio 2006 (G.U. 13 marzo 2006, n. 60) recante "Autorizzazione all´invio per via telematica, all´indirizzo di posta elettronica assegnato a ciascun dipendente, del cedolino per il pagamento delle competenze stipendiali del personale di cui all´articolo 1, del decreto legislativo 12 febbraio 1993, n. 39" .

Il Garante non ha espresso parere per altri provvedimenti che pure presentano aspetti di interesse in materia di protezione dei dati personali fra i quali si ricordano, in particolare, i decreti direttoriali adottati nell´ambito del Ministero dell´economia e delle finanze per la regolamentazione delle scommesse e lotterie "a distanza" (decreto 21 marzo 2006 recante "Misure per la regolamentazione della raccolta a distanza delle scommesse, del bingo e delle lotterie", in G.U. 24 marzo 2006, n. 70; decreto 28 settembre 2006 recante "Caratteristiche tecniche ed organizzative a valere per la sperimentazione delle lotterie con partecipazione a distanza", in G.U. 9 novembre 2006, n. 261).

Scheda

Doc-Web
1420915
Data
12/07/07

Tipologie

Relazione annuale

Documenti citati