g-docweb-display Portlet

Newsletter 17 - 23 maggio 2004

Stampa Stampa Stampa

 

N. 213 del 17 - 23  maggio 2004

• Imprese italiane ed export di dati personali

• Videosorveglianza: nuove garanzie per i cittadini

• Libertà e democrazia. Incontro a  Washington organizzato da Epic

 

Imprese italiane ed export di dati personali
Indagine del Garante su 50 multinazionali. I dati più trasferiti, quelli dei lavoratori e dei clienti

Sono i dati personali dei dipendenti l’oggetto prevalente dei trasferimenti di dati all’estero effettuati dalle società. Seguono, in misura minore, ma sempre rilevante, le informazioni relative a clienti, società concorrenti e fornitori. Di regola i flussi di dati sono effettuati dopo aver acquisito lo specifico consenso degli interessati. Quando la gestione delle risorse umane avviene negli Stati Uniti, in alcune ipotesi le società che “importano” i dati personali hanno aderito all’accordo del cosiddetto “Safe Harbor” (“Approdo sicuro”). Diffusa la tendenza di predisporre contratti, anche “multilaterali” nel caso di gruppi societari, da sottoporre al parere preventivo del Garante.

Questi in sintesi i primi risultati emersi dal monitoraggio effettuato dell’Autorità sul trasferimento dei dati all’estero da parte delle principali imprese italiane.

L’indagine a carattere conoscitivo, effettuata presso 50 tra le principali società  e gruppi industriali che operano in Italia, ha preso in esame operazioni ed attività di esportazione di dati con particolare riguardo al tipo di garanzie adottate per tutelare i diritti degli interessati (cittadini, lavoratori, professionisti, imprenditori ed altre società). Obiettivo dell’indagine quello di verificare, dopo un esame preliminare del rispetto delle disposizioni nazionali e comunitarie da parte di alcune importanti società che avevano inviato comunicazioni o notificazioni sul trasferimento di dati all’estero, lo stato di attuazione delle disposizioni sui flussi di dati all’estero, anche in vista di un eventuale avvio di specifici accertamenti relativi a singole società.

Stati Uniti, (20%) Asia, (14%) Europa dell’Est (13%) sono le principali destinazioni geografiche dei trasferimenti di dati. Distaccati di poco America centro meridionale, Africa, Svizzera e Medio oriente (12%). Nel 40% dei casi, i dati personali oggetto di trasferimento all’estero riguardano principalmente dipendenti o collaboratori, nel 26% clienti e nel 21% fornitori o partner commerciali. I trasferimenti sono effettuati, per un 48% dei casi dopo aver acquisito il consenso degli interessati o per l’adempimento di obblighi contrattuali (33%). In alcune ipotesi (9%) di trasferimento di dati negli U.S.A., gli importatori dei dati (società capogruppo o comunque collegate o controllate) hanno aderito all’accordo sui principi del “Safe Harbor” o hanno prospettato tale possibilità per il futuro, dichiarandosi in genere disponibili a cooperare con le Autorità di vigilanza europee. Soltanto in un numero per ora limitato dei casi esaminati (5%), le società interpellate hanno utilizzato le clausole contrattuali standard indicate dalla Commissione europea, ma il dato è in continua evoluzione considerato che risulta sempre più frequente l’utilizzazione di tale strumento.

Nel 10% dei casi esaminati si è riscontrata l’adozione da parte del gruppo societario di una declaratoria sulla protezione dei dati (la cosiddetta “privacy policy”) e di particolari misure di sicurezza e accorgimenti per la salvaguardia dei dati.

L’indagine si è incentrata dunque sull’analisi dei presupposti, delle finalità e modalità del trasferimento di dati all’estero, delle categorie di dati trasferiti e delle persone interessate, degli estremi e delle attività dei soggetti importatori, nonché degli strumenti utilizzati per la tutela dei dati personali in rapporto a ciascuna tipologia di trasferimento.

Va ricordato, infatti che il trasferimento dei dati personali da parte di una società o di una pubblica amministrazione europea è consentito, dalla normativa comunitaria ed italiana, solo se il livello di protezione garantito dal Paese di destinazione è adeguato. Si possono, invece, trasferire i dati verso Paesi che non garantiscano tale livello di protezione solo con il consenso degli interessati o sulla base di altri presupposti di liceità (esecuzione obblighi derivanti da un contratto, salvaguardia della vita e dell’incolumità di un terzo, investigazioni difensive etc.) oppure con l’autorizzazione dell’Autorità per la privacy del Paese di partenza  dei dati. Al di fuori di questi casi il trasferimento è vietato.

 

Videosorveglianza: nuove garanzie  per i cittadini
La tutela dei diritti si concilia con una efficace azione di sicurezza e prevenzione

L’installazione di telecamere è lecita solo se è proporzionata agli scopi che si intendono perseguire. Gli impianti di videosorveglianza devono essere attivati solo quando altre misure siano insufficienti o inattuabili. La proliferazione di questi sistemi rischia di rendere meno efficace la tutela della sicurezza dei cittadini. L’eventuale conservazione delle immagini deve essere limitata nel tempo. I cittadini devono sapere sempre e comunque se un’area è sottoposta a videosorveglianza.

Per proporre un uso ponderato ed efficace della videosorveglianza, l’Autorità Garante (Stefano Rodotà, Giuseppe Santaniello, Gaetano Rasi, Mauro Paissan) ha deciso di intervenire con nuove regole che riguardano il settore pubblico e quello privato. Numerosi sono stati i reclami e le segnalazioni al Garante che lamentano un utilizzo crescente e non conforme alla legge di apparecchiature che rilevano immagini e suoni relative a persone identificabili.

Il diritto alla protezione dei dati personali non pregiudica l’adozione di misure efficaci per garantire la sicurezza e l’accertamento degli illeciti. L’installazione di sistemi di videosorveglianza non deve però violare la privacy dei cittadini e deve essere conforme al recente Codice in materia di dati personali.

Rispetto alle prime linee guida sull’installazione di telecamere, emanate nel  novembre del 2000, l’odierno  provvedimento generale (consultabile sul sito www.garanteprivacy.it) stabilisce regole più precise, che tengono conto anche delle indicazioni emerse in sede internazionale e comunitaria.

L’uso illecito di sistemi di videosorveglianza espone all’impossibilità di utilizzare le immagini raccolte, a provvedimenti di blocco e divieto fino a sanzioni amministrative o penali. L’Autorità effettuerà doverosi controlli.

Principi generali per soggetti pubblici e privati

  • I sistemi di videosorveglianza possono riprendere persone identificabili solo se, per raggiungere gli scopi prefissati, non possono essere utilizzati dati anonimi.
  • La raccolta e l’uso delle immagini sono consentiti solo se fondati su presupposti di liceità:  cioè, per i soggetti pubblici, quando siano necessari allo svolgimento di funzioni istituzionali e, per i privati, quando siano necessari per adempiere ad obblighi di legge o effettuati per tutelare un legittimo interesse.
  • Prima di installare un impianto di videosorveglianza occorre valutare se la sua utilizzazione sia realmente proporzionata agli scopi perseguiti o se non sia invece superflua. Gli impianti devono cioè essere attivati solo quando altre misure (sistemi d’allarme, altri controlli fisici o logistici, misure di protezione agli ingressi ecc.) siano realmente insufficienti o inattuabili.
  • I cittadini che transitano nelle aree sorvegliate devono essere informati della rilevazione dei dati.
  • L’informativa (della quale il Garante ha anche messo a disposizione un modello semplificato: un cartello con un simbolo ad indicare l’area videosorvegliata) deve essere chiaramente visibile ed indicare chi effettua la rilevazione delle immagini e per quali scopi.
  • In caso di registrazione, il periodo di conservazione delle immagini deve essere limitato: a poche ore o al massimo 24 ore, fatte salve speciali esigenze di ulteriore conservazione in relazione a indagini. Per attività particolarmente rischiose (es. banche) è ammesso un tempo più ampio, che non può superare comunque la settimana.
  • Chi installa telecamere deve perseguire finalità determinate e di propria pertinenza. Si è invece constatato che, da parte di amministrazioni comunali, vengono indicate indebitamente, come scopo della sorveglianza, finalità di sicurezza pubblica, prevenzione e accertamento dei reati che competono invece solo ad organi giudiziari o a forze armate o di polizia.
  • Quando si intende installare sistemi di videosorveglianza che prevedono un intreccio delle immagini con altri particolari (es.dati biometrici, voce) o in caso di digitalizzazione delle immagini o di sorveglianza che valuti percorsi e lineamenti (es.riconoscimento facciale) è obbligatorio sottoporre tali sistemi alla verifica preliminare del Garante.
  • Va valutata, inoltre, da parte di chi installa telecamere una serie di aspetti: se sia realmente necessario raccogliere immagini dettagliate; la dislocazione e la tipologia delle apparecchiature (fisse o mobili).
  • Va limitata rigorosamente la creazione di banche dati quando è sufficiente installare un sistema a circuito chiuso di sola visione delle immagini senza la loro registrazione (monitoraggio del traffico, controllo del flusso ad uno sportello ecc.).
  • Non risulta comunque giustificata un’attività di rilevazione a fini promozionali, turistici o pubblicitari, attraverso web cam o cameras-on-line che rendano identificabili i soggetti ripresi.

Specifici settori

  • Divieto assoluto di controllo a distanza dei lavoratori rispettando le garanzie previste in materia di lavoro, sia all’interno degli edifici, sia in altri luoghi di prestazione del lavoro. Inammissibili le telecamere in luoghi non destinati all’attività lavorativa (bagni, spogliatoi, docce, armadietti, luoghi ricreativi).
  • Negli ospedali e nei luoghi di cura è ammesso il monitoraggio di pazienti ricoverati in particolari reparti (es. rianimazione). Potranno accedere alle immagini solo il personale autorizzato e i familiari dei ricoverati.
  • Negli istituti scolastici l’installazione di sistemi di videosorveglianza è ammissibile solo quando strettamente indispensabile (es. atti vandalici) e solo negli orari di chiusura.

Soggetti  pubblici

  • Un soggetto pubblico può effettuare attività di videosorveglianza solo ed esclusivamente per svolgere funzioni istituzionali. Anche quando un’amministrazione è titolare di compiti in materia di pubblica sicurezza o prevenzione dei reati, per installare telecamere deve comunque ricorrere un’esigenza effettiva e proporzionata di prevenzione o repressione di pericoli concreti. Non è quindi lecita, senza tale valutazione, una capillare videosorveglianza di intere aree cittadine.
  • Sono ammesse, nel rispetto di principi specifici, telecamere su alcuni mezzi di trasporto pubblici, nei luoghi di culto e sepoltura. Sono ingiustificati gli impianti installati al solo fine di controllare il divieto di fumare, di calpestare aiuole, di depositare sacchetti dell’immondizia etc.

Soggetti privati

  • Si possono installare telecamere senza il consenso degli interessati, sulla base delle prescrizioni indicate dal Garante, quando  chi intende rilevare le immagini deve perseguire un interesse legittimo a fini di tutela di persone e beni rispetto a possibili aggressioni, furti, rapine, danneggiamenti, atti di vandalismo, prevenzione incendi, sicurezza del lavoro ecc.
  • Le riprese di aree condominiali  da parte di più proprietari o condomini, di studi professionali, società ed enti sono ammesse esclusivamente per  preservare,  da concrete situazioni di pericolo, la sicurezza di persone e la tutela dei beni. L’installazione da parte di singoli condomini richiede comunque l’adozione di cautele: angolo visuale limitato ai soli spazi di propria pertinenza, nessuna ripresa di aree comuni o antistanti le abitazioni di altri condomini ecc. I videocitofoni sono ammessi per finalità identificative dei visitatori.

(Comunicato stampa del 20 maggio 2004)



Libertà e democrazia
Il segretario generale del Garante presente all’incontro di Washington organizzato da Epic

Sorveglianza, trasparenza della pubblica amministrazione, diritto di voto, libertà di espressione ed Internet: su questi quattro temi, varie Ong americane si sono confrontate insieme ad esperti del mondo accademico e rappresentanti politici di alto livello nel corso di una conferenza organizzata a Washington dall’Electronic Privacy Information Center (EPIC) (20-22 maggio) per celebrare il decennale della propria attività. Alla conferenza ha partecipato il Segretario Generale del Garante italiano, Giovanni Buttarelli, con una relazione su libertà e democrazia in Europa.

EPIC è una delle principali organizzazioni no-profit attive negli Usa nel settore dei diritti civili e della difesa della privacy (www.epic.org). La conferenza ha dato l’opportunità a molti dei più autorevoli studiosi in materia (Amitai Etzioni, Pamela Samuelson, Paul M. Schwartz, Deborah Hurley) di fare il punto della situazione rispetto ai rischi per libertà e diritti civili negli Usa ed in altri Paesi, confrontandosi anche con rappresentanti dell’Amministrazione americana, quali il responsabile privacy (Chief Privacy Officer) dell’Homeland Security Department, ed il senatore Rush Holt, autore di una proposta di legge sul voto elettronico.

I due giorni di dibattito hanno visto interventi molto accesi e partecipati. Nel suo contributo, il  Segretario Generale dell’Autorità italiana, Giovanni Buttarelli,  ha fornito anche significative informazioni e aggiornamenti sulla situazione europea, non sempre familiare al pubblico americano anche degli addetti ai lavori. L’intervento di Buttarelli ha chiuso la prima giornata ed ha quindi costituito il punto di arrivo di tutta una serie di considerazioni riprese e approfondite in chiave europea. Buttarelli ha sottolineato la novità della “costituzionalizzazione” del diritto alla protezione dei dati, sancito dalla Carta dei diritti fondamentali dell’Ue e destinato a fare parte integrante della futura Costituzione europea. Da questa importante novità discende l’obbligo per tutti i soggetti interessati di garantire il rispetto della privacy quale diritto fondamentale, e dunque da tutelare indipendentemente dalla gravità materiale del danno alla sfera privata eventualmente subito. Le Direttive europee in materia costituiscono un denominatore comune che garantisce un livello elevato di tutela del diritto alla protezione dei dati personali, anche in vista della creazione di uno spazio comune di libertà, sicurezza e giustizia.

Su quest’ultimo punto, Buttarelli ha posto in evidenza  vari punti critici in relazione ad alcuni recenti sviluppi, in particolare connessi alla vicenda del trasferimento dei dati di passeggeri di voli aerei verso gli Usa (APIS-PNR) ed all’accordo recentemente concluso dalla Commissione europea con l’Amministrazione americana, nonostante l’opposizione del Parlamento europeo e le tre pronunce contrarie del Gruppo che riunisce i Garanti.

Buttarelli ha sottolineato, inoltre, la contraddizione fra la rapidità con cui si è giunti a tale accordo e la riluttanza con cui gli Stati sembrano volersi fare carico degli obblighi previsti dalla Convenzione del Consiglio d’Europa sulla criminalità informatica, firmata da 38 Paesi (fra cui Usa, Giappone, e Italia) nel 2001, ma attualmente ratificata soltanto da 6 Paesi tutti appartenenti all’Europa orientale (Albania, Croazia, Estonia, Ungheria, Lituania e Romania).

Questa doppia velocità è un rischio che Buttarelli ha illustrato anche in rapporto al differente impatto che i principi delle Direttive europee sembrano avere in Europa nel settore pubblico e nel settore privato. Tendenzialmente, il settore privato sembra infatti più disponibile a recepire le indicazioni ed i principi sanciti dalla legislazione europea, mentre i soggetti pubblici appaiono restii a fare propri tali principi, come segnala anche la recente indagine condotta dall’Eurobarometro (v. Newsletter 23-29 febbraio 2004). Particolare interesse ha suscitato il riferimento fatto da Buttarelli al dibattito in Europa ed in Italia sulla conservazione obbligatoria dei dati di traffico, un campo nel quale assume evidenza la necessità da parte dei soggetti pubblici di tenere maggiormente conto del valore della privacy come diritto fondamentale all’autodeterminazione informativa.

EPIC e le altre Ong presenti alla Conferenza hanno mostrato vivo interesse alla proposta, formulata da Buttarelli, di promuovere una collaborazione più stretta fra le Autorità europee per la protezione dei dati ed i soggetti che si occupano di tutela dei diritti civili negli Usa ed in altri Paesi extraeuropei. Quale primo passo verso tale più stretta collaborazione, si è anche proposto di istituire un forum nel quale fare confluire tutti i contributi provenienti dai vari soggetti coinvolti, al fine di garantire una maggiore circolarità delle informazioni e studiare iniziative comuni.


 

NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma.
Tel: 06.69677.1 - Fax: 06.69677.785
Newsletter è consultabile sul sito Internet www.garanteprivacy.it