g-docweb-display Portlet

III - La privacy e gli altri diritti

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

III - La privacy e gli altri diritti - Relazione 2003 - 28 aprile 2004

La salute

13. Trattamento di dati idonei a rivelare lo stato di salute

Nel 2003 l´Autorità è stata nuovamente chiamata ad intervenire sul tema dei trattamenti di dati personali effettuati nell´ambito del Servizio sanitario nazionale.

Tra le questioni di maggiore rilievo affrontate si pone, in primo luogo, quella dei limiti alla comunicazione di dati sulla salute e sulla vita sessuale a soggetti diversi dall´interessato. La comunicazione di queste informazioni può, infatti, ritenersi giustificata e legittima solo se il diritto del richiedente rientra nella categoria dei diritti della personalità o è compreso tra altri diritti fondamentali e inviolabili. Tale principio è ora confermato dal Codice (artt. 26, comma 4, lett. c), 60, 71 e 92 comma 2, d.lg. n. 196/2003).

Con un provvedimento del 9 luglio 2003, del quale ci si occupa in dettaglio nel capitolo dedicato alla pubblica amministrazione, l´Autorità ha fornito ulteriori indicazioni in ordine a tale problema (cfr. parag. 19.2.).

Sempre in materia di comunicazione di dati idonei a rivelare lo stato di salute, il Garante ha indicato particolari cautele che le aziende sanitarie locali devono rispettare nell´affidare a società esterne l´attività di recupero coattivo dei crediti derivanti dal mancato pagamento dei ticket e dal mancato ritiro dei referti medici.

 
Recupero coativo dei crediti affidato a società esterne

In tali casi, le aziende debbono designare i soggetti che hanno accesso ai dati dei pazienti in qualità di responsabili o incaricati del trattamento ed informare preventivamente gli interessati sulla possibilità che le informazioni che li riguardano siano utilizzate per finalità di recupero dei crediti. Dovranno poi essere forniti alla società che collabora all´esterno i soli dati personali strettamente necessari al recupero della somma dovuta (dati anagrafici, indirizzo, importo, ecc.) e non anche ulteriori informazioni quali, ad esempio, quelle riguardanti il tipo di analisi effettuata o il relativo referto, in ossequio ai principi di pertinenza e non eccedenza nel trattamento dei dati (Nota 22 aprile 2003).

Si è invece ritenuto legittimo che gli operatori di un servizio per le tossicodipendenze segnalino alla procura della Repubblica presso il tribunale dei minorenni situazioni di abbandono o di pregiudizio. La normativa di settore riconosce infatti a chiunque la facoltà di segnalare alle autorità competenti situazioni di abbandono di minori. Sui pubblici ufficiali, gli incaricati di un pubblico servizio e gli esercenti un servizio di pubblica necessità grava, poi, l´obbligo di riferire al più presto al procuratore competente per territorio sulle condizioni dei minori in situazione di abbandono di cui vengano a conoscenza in ragione del proprio ufficio (art. 9, comma 1, legge n. 184/1983).

 
Comunicazione dei dati sulle situazioni di abbandono dei minori

In quanto espressamente prevista dalla legge, la comunicazione all´autorità giudiziaria di situazioni di abbandono o di pregiudizio ad opera dei servizi per le tossicodipendenze, pubblici o privati, non contrasta, perciò, con la disciplina sulla protezione dei dati. L´operatore deve tuttavia comunicare al tribunale i soli dati pertinenti e necessari ad illustrare la situazione di abbandono in cui versa il minore (Nota 1° luglio 2003).

Non può ritenersi invece ammessa la comunicazione, da parte della prefettura ad una amministrazione comunale che ha in assegnazione obiettori di coscienza, di provvedimenti sanzionatori relativi all´uso di sostanze stupefacenti adottati nei confronti di questi ultimi, in assenza di una specifica norma di legge che lo consenta (Nota 25 agosto 2003).

Sono poi all´attenzione dell´Autorità le procedure seguite da diversi comuni per controllare la legittimità degli accessi alle zone a traffico limitato (Ztl) ad opera dei medici che hanno necessità di visitare a domicilio i pazienti residenti in tale aree.

In argomento, l´indicazione del nominativo dell´assistito può risultare idonea a rivelare lo stato di salute del paziente, e come tale da trattare con l´adozione delle cautele previste per questo tipo di informazioni e nel rispetto dei principi di pertinenza e di non eccedenza. Si deve, pertanto, valutare con estrema attenzione se, per perseguire la finalità di accertamento delle infrazioni alla disciplina delle zone a traffico limitato, non sia sufficiente conoscere il recapito (via e numero civico) presso cui l´intervento medico è stato prestato.

Allo stesso modo è, poi, sotto esame la prassi seguita da alcune amministrazioni comunali di richiedere ai medici un´attestazione del consiglio dell´ordine con la quale si dichiari che il professionista si è recato nella zona a traffico limitato per ragioni legate all´esercizio della professione medica.

In base all´art. 74 del d.lg. n. 196/2003, i contrassegni rilasciati per il transito in zone a traffico limitato o per la circolazione e la sosta di veicoli a servizio di persone invalide devono contenere i soli dati indispensabili ad individuare il tipo di autorizzazione, ed essere privi di simboli o diciture da cui possa desumersi la speciale natura dell´autorizzazione, per effetto della sola visione del contrassegno.

Le generalità e l´indirizzo della persona fisica interessata, inoltre, devono essere riportati sui contrassegni con modalità tali da non permettere la loro diretta visibilità, se non in caso di richiesta di esibizione o necessità di accertamento.

In applicazione del divieto di diffusione dei dati idonei a rivelare lo stato di salute, ribadito ora dal Codice (art. 22, comma 8, d.lg. n. 196/2003), il Garante ha prescritto di non affiggere, nei locali di un´azienda sanitaria locale, un elenco contenente alcuni dati personali dei beneficiari di assegni di cura. Anche l´indicazione negli elenchi delle sole iniziali dei beneficiari di tali assegni può infatti consentirne l´identificazione: quindi, le esigenze di pubblicità dell´amministrazione potevano essere ugualmente soddisfatte attraverso l´apposizione di diciture generiche o codici numerici (Nota 29 agosto 2003).

 
Elenco dei beneficiari di assegni di cura

Si deve pure ricordare che, nell´ottobre del 2003, il Garante ha siglato un protocollo di intesa con l´Azienda ospedaliera universitaria "Policlinico Tor Vergata", volto a sperimentare sul campo, in una struttura di recente creazione, l´applicazione della normativa a tutela della riservatezza nel settore sanitario.

A seguito dell´entrata in vigore del Codice, l´Autorità sta poi esaminando alcune questioni relative al trattamento dei dati effettuato per la tenuta e la gestione dei registri tumori: si deve, infatti, verificare in quale misura le operazioni connesse alla tenuta ed alla gestione di questi registri possano considerarsi comprese tra le attività di rilevante interesse pubblico individuate dal Codice (in particolare, dall´art. 98).

In materia di ricerca scientifica (oltre al codice deontologico su statistica e ricerca i cui lavori sono in fase di imminente conclusione), occorre ricordare che la disciplina di favore prevista per la ricerca in campo medico, biomedico ed epidemiologico è stata confermata dal Codice (art. 110 d.lg. n. 196/2003). Per il perseguimento di queste finalità è possibile utilizzare dati personali idonei a rivelare lo stato di salute degli interessati anche a prescindere dal consenso di questi ultimi, qualora la ricerca sia prevista da un´espressa previsione di legge che contempli specificamente il trattamento, o sia compresa in un programma di ricerca biomedica o sanitaria, e ne sia data previa comunicazione al Garante (art. 39 d.lg. n. 196/2003). A queste ipotesi il Codice aggiunge il caso in cui, per particolari ragioni, non sia possibile informare l´interessato e il programma di ricerca sia oggetto di parere favorevole da parte del competente comitato etico (nonché autorizzato dal Garante, anche con provvedimenti di carattere generale: art. 40 d.lg. n. 196/2003).

 
Ricerca scientifica

Per quanto concerne il trattamento dei dati personali dei soggetti sieropositivi, si è esaminata la questione dell´attuazione di un sistema di sorveglianza epidemiologica delle infezioni da Hiv, secondo un progetto della Commissione nazionale per la lotta contro l´Aids e le altre malattie infettive emergenti e riemergenti, sottoposto all´attenzione dell´Autorità.

Sul tema è stato costituito un gruppo di lavoro, in cui, oltre all´Autorità ed alla Commissione ora indicata, sono rappresentate le regioni, la Presidenza del Consiglio dei ministri, l´Istituto superiore di sanità e le associazioni che tutelano l´interesse delle persone affette da Hiv. Nell´ambito di questo gruppo sono stati inizialmente esaminati, in particolare, i presupposti che rendono lecito il trattamento dei dati personali dei sieropositivi, i dati utilizzati, i loro flussi e le modalità con le quali rendere l´informativa agli interessati nonché le misure di sicurezza da adottare.

Le novità introdotte dal d.l. 30 settembre 2003, n. 269 in tema di monitoraggio della spesa sanitaria hanno determinato l´attivazione dell´Autorità, con riferimento al complesso meccanismo che verrebbe basato su un modello di ricetta medica a lettura ottica e sulla costituzione di una o più banche dati.

Come già accennato, il Garante ha rilevato che la finalità di razionalizzazione del controllo della spesa sanitaria va perseguita nel pieno rispetto del diritto dei cittadini alla protezione dei dati personali, soprattutto in relazione alle informazioni riguardanti la salute. La banca (o le banche) dati di cui è prevista la realizzazione permetterebbe infatti di risalire, anche tramite il codice fiscale, all´identità dell´assistito ed all´intera sua storia sanitaria.

Ricordando che la legislazione vigente prevede già procedure di monitoraggio della spesa sanitaria che non richiedono banche dati nominative centralizzate, l´Autorità ha precisato che l´unico sistema di controllo conforme alla normativa sulla protezione dei dati comporta l´esclusione del trattamento sistematico di qualsiasi informazione identificativa sullo stato di salute degli assistiti. Altrimenti, si correrebbe il rischio di introdurre nel sistema forme di discriminazione dei cittadini a vantaggio di chi sia in grado di pagare direttamente i farmaci e le prestazioni specialistiche (Comunicato stampa 28 ottobre 2003).

Anche a seguito delle indicazioni fornite dall´Autorità, il sistema di monitoraggio previsto dal decreto è stato però solo in parte modificato in sede di conversione (l. 24 novembre 2003 n. 236; cfr. supra, parag. 2., lett. a)).

L´attenzione si sposta ora, anche a seguito dei primi contatti intercorsi con il Ministero dell´economia e delle finanze, sulle modalità che verranno prescritte per la concreta applicazione del d.l. n. 269/2003.

Sono infatti previsti diversi decreti per l´attuazione delle relative disposizioni e l´Autorità svolgerà al riguardo i propri compiti istituzionali con ogni dovuta attenzione all´elevato livello di garanzia assicurato dal Codice e reso indispensabile anche dagli obblighi derivanti dal quadro comunitario e dalla giurisprudenza della Corte europea dei diritti dell´uomo a proposito dell´art. 8 della Convenzione sui diritti dell´uomo.

Tra le questioni all´avanzato studio dell´Autorità in materia di dati sulla salute, meritano di essere indicate le seguenti:

  • utilizzo delle principali applicazioni telematiche (collegamenti ad Internet, e-mail, ecc.) e reti satellitari per i dati sulla salute, in particolare per l´offerta di servizi informativi sulle attività svolte da diverse strutture sanitarie, per la prenotazione di esami clinici e visite diagnostiche ed il rilascio dei relativi risultati, per le schede cliniche informatizzate, nonché per sistemi di teleconsulto, telediagnosi e telemedicina;
  • trasmissione per via telematica all´Inps dei certificati di malattia predisposti da medici di medicina generale;
  • valutazione delle procedure adottate dalle aziende sanitarie locali per il rilascio della tessera di esenzione dal pagamento del ticket.

Tra le attività ispettive svolte dal Garante, di rilievo è anche quella effettuata in una struttura sanitaria presso cui erano state abbandonate numerose cartelle cliniche, immediatamente dopo le prime notizie di stampa e in collaborazione con la Guardia di finanza. L´Ufficio del Garante ha svolto un sostanziale ruolo di coordinamento degli interventi delle autorità locali, già avviati su indicazione della Procura della Repubblica di Lecce, allo scopo di verificare che il recupero e la conservazione delle cartelle cliniche avvenissero in modo idoneo ad evitare accessi non autorizzati ai dati personali in esse contenuti (ispezione presso un´ex colonia di Santa Maria di Leuca del 12 febbraio 2004).

 
Ispezioni svolte dal Garante in materia sanitaria

Un´analoga vicenda si è verificata in Roma nel cortile di una biblioteca comunale, liberamente accessibile al pubblico, dove sono stati rinvenuti numerosi documenti sanitari (ricette e cartelle cliniche). Anche in questo caso il Garante ha ottenuto, subito dopo le segnalazioni di stampa, la rapida rimozione dei documenti, al fine di impedire la conoscibilità dei dati personali in essi contenuti da parte di terzi non autorizzati (ispezioni del 10 e 12 gennaio 2004).

È stato poi compiuto un terzo accertamento ispettivo nei confronti di un policlinico universitario, dove erano stati segnalati alcuni furti di computer. In questo caso, è stato tuttavia accertato in loco il rispetto della normativa sulla protezione dei dati personali e, in particolare, l´adozione delle "misure minime" di sicurezza (ispezione presso l´Azienda ospedaliera universitaria Policlinico Federico II).

Sempre con riferimento al trattamento dei dati in ambito sanitario, il Codice prevede modalità semplificate per l´informativa e l´acquisizione del consenso utilizzabili dai medici di medicina generale, dai pediatri di libera scelta e dagli organismi sanitari pubblici e privati. Al fine di agevolare l´applicazione di questa disciplina da parte degli operatori sanitari, il Garante completerà entro breve termine, in collaborazione con competenti organi rappresentativi, un modello semplificato di informativa utilizzabile anche dai medici e suggerirà formule sintetiche e colloquiali per raccogliere il consenso (lettera al Ministro della salute del 6 febbraio u.s.).

In materia di "misure minime" di sicurezza, l´Autorità presterà inoltre la propria collaborazione, all´interno di un gruppo di lavoro istituito con i rappresentanti degli operatori sanitari, per la redazione di un modello adattato di documento programmatico sulla sicurezza. Ulteriori chiarimenti e delucidazioni saranno, poi, fornite ai medici di medicina generale e ai pediatri a seguito del provvedimento del 31 marzo 2004 (su cui supra, parag. 12.) con cui il Garante ha introdotto alcune semplificazioni in materia di notificazione, che interessano, tra gli altri, gli operatori sanitari (Nota 1° aprile 2004).

Oltre alle norme di semplificazione, il Codice detta alcune misure di carattere organizzativo intese a garantire il rispetto della dignità e degli altri diritti dell´interessato nella fornitura delle prestazioni e dei servizi sanitari, quali ad es. la cd. distanza di cortesia, la riservatezza nei colloqui e regole di condotta analoghe al segreto professionale per gli incaricati che non vi sono già sottoposti. Specifiche cautele sono poi previste per le informazioni identificative dell´assistito riportate sulle ricette mediche (art. 87 d.lg. n. 196/2003).

 
Misure di carattere organizzativo

La necessità di rispettare tali garanzie è stata tenuta presente negli accertamenti avviati nei riguardi della prassi temporaneamente instaurata nella Regione Sicilia che, in attuazione di una legge regionale sull´introduzione di un sistema di esenzione del ticket basato sul reddito, ha adottato una procedura che rendeva conoscibili alcune informazioni personali relative a quanti intendessero usufruire dell´esenzione. In particolare, al momento dell´acquisto dei medicinali in farmacia, si richiedeva agli assistiti di autocertificare la propria situazione economica sul retro della ricetta.

Il Garante ha già completato le prime verifiche anche alla luce dell´analoga esperienza verificatasi in Abruzzo, che ha portato la relativa amministrazione regionale a modificare precedenti orientamenti.

 

Le libertà associative

14. Associazioni, movimenti politici e partiti


141. Associazioni

L´entrata in vigore del nuovo Codice ha interessato il settore delle associazioni con riferimento al trattamento sia dei dati comuni, sia dei dati sensibili.

Il trattamento di informazioni riguardanti l´adesione di associazioni od organizzazioni a carattere sindacale o di categoria ad altre associazioni, organizzazioni o confederazioni a carattere sindacale o di categoria non è più assoggettato alla specifica disciplina in materia di dati sensibili, fondata sul consenso scritto dell´interessato e sull´autorizzazione del Garante (art. 26, comma 3, lett. b), d.lg. n. 196/2003).

 
Il consenso

Inoltre, le associazioni e gli organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale (inclusi i partiti o movimenti politici) non sono più tenuti ad acquisire il consenso degli aderenti o dei soggetti che, in relazione alle finalità statutarie perseguite, hanno contatti regolari con l´ente stesso, per poter trattare i loro dati sensibili. Tutto ciò, a patto che i dati non siano divulgati a terzi e l´associazione adotti idonee misure per la loro tutela, prevedendo modalità di utilizzo dei dati con una determinazione che deve essere resa nota agli interessati all´atto dell´informativa (art. 26, comma 4, lett. a), d.lg. n. 196/2003).

Anche nel periodo considerato il Garante è stato chiamato ad occuparsi, sotto più profili, di questioni connesse al trattamento di dati personali da parte delle realtà associative.

Tra i numerosi interventi dell´Autorità è da ricordare, in primo luogo, il caso della convenzione stipulata tra una confederazione sindacale ed un´associazione di consumatori, avente ad oggetto l´iscrizione promozionale all´associazione stessa, come soci aggregati, di persone appartenenti alle rappresentanze delle varie organizzazioni aderenti alla confederazione sindacale. Si è rilevato in proposito che la convenzione non aveva comportato una comunicazione diretta e automatica dei dati personali dei potenziali soci aggregati dalla confederazione sindacale all´associazione dei consumatori, e che la raccolta di tali dati sarebbe potuta avvenire solo su iniziativa di ciascun interessato, al momento dell´eventuale richiesta di adesione all´associazione dei consumatori. Inoltre, si è richiamata l´attenzione sulla necessità di integrare l´informativa resa agli interessati, in modo da rendere più chiari gli elementi caratterizzanti il trattamento.

 
Casistica

Un altro caso significativo ha riguardato la richiesta, avanzata da un´associazione di categoria, di autorizzazione al trattamento dei dati sensibili relativi alla salute della clientela degli associati; in tale occasione -come già in vicende analoghe- la richiedente è stata invitata a verificare se i trattamenti effettuati non rientrassero tra quelli già autorizzati dal Garante in via generale e, in caso contrario, ad indicare le circostanze del tutto particolari o le situazioni eccezionali in base alle quali si sarebbe resa eventualmente necessaria un´autorizzazione specifica.

Infine, l´Ufficio si è occupato della richiesta di utilizzo dei dati degli associati ad una federazione sportiva per finalità di propaganda elettorale, in vista delle elezioni degli organi di vertice della federazione.

Al riguardo, premesso che l´attuale natura privatistica delle federazioni sportive (come stabilita dal d.lg. n. 242/1999) non consentiva di applicare alla vicenda le norme sul trattamento dei dati personali da parte degli enti pubblici, si è chiarito che occorreva individuare uno dei presupposti di liceità che la legge prevede per il trattamento dei dati da parte di soggetti privati: quindi, il consenso informato e specifico per tale operazione di trattamento (in relazione allo statuto o all´atto costitutivo), oppure uno degli altri presupposti di legge.

 

142. Movimenti politici e propaganda elettorale
Nel periodo considerato sono state analizzate problematiche assai rilevanti per il settore in esame, in connessione anche con alcuni appuntamenti elettorali.

In particolare, durante la campagna elettorale svoltasi per le elezioni amministrative tenute in alcune regioni italiane nell´estate del 2003, sono pervenute varie segnalazioni aventi ad oggetto l´invio di comunicazioni elettorali a clienti di società, da parte di dipendenti, collaboratori o agenti delle società stesse, candidati alle elezioni o comunque sostenitori di candidati.

In tali casi, in accordo con l´orientamento già espresso in precedenti occasioni dal Garante (cfr. Provv7 marzo 2001; Provv9 ottobre 2000), va rilevato che per l´uso a fini di propaganda elettorale dei dati anagrafici raccolti presso banche dati pubbliche, registri o elenchi conoscibili da chiunque, deve essere fornita una chiara informativa agli interessati.

Di recente il tema è stato già affrontato in termini generali nel provvedimento del Garante del 12 febbraio 2004 (pubblicato in Gazzetta Ufficiale 24 febbraio 2004, n. 45, e riportato negli allegati alla presente Relazione), che ha individuato i presupposti, le garanzie e i limiti per l´utilizzo di liste e indirizzari formati anche nell´ambito della prestazione di attività e servizi, al fine di inviare note di propaganda a favore di candidati interni o sostenuti da società, enti o associazioni.

 
Il provvedimento del Garante del 12 febbraio 2004

In particolare, in vista delle consultazioni elettorali europee ed amministrative indette per il 12 e 13 giugno prossimi, il Garante, nel provvedimento del 12 febbraio 2004, ha indicato i casi in cui partiti, movimenti politici, comitati promotori, sostenitori e candidati possono utilizzare dati personali a fini di propaganda elettorale a prescindere dal consenso degli interessati, fornendo loro un´adeguata informativa. Tale ipotesi può ricorrere quando si utilizzano dati estratti da registri, elenchi, atti o documenti detenuti da un soggetto pubblico e accessibili liberamente in base ad un´espressa disposizione di legge o di regolamento. Si tratta, ad esempio, delle liste elettorali comunali, degli elenchi di iscritti ad albi e collegi professionali, dell´elenco degli elettori italiani residenti all´estero per le elezioni del Parlamento europeo, delle cd. liste aggiunte dei cittadini elettori di uno Stato membro dell´Ue, dell´elenco aggiornato dei cittadini italiani residenti all´estero finalizzato alla predisposizione delle relative liste elettorali e di quello degli aventi diritto al voto per l´elezione dei Comites (su cui cfr. infra, parag. 21.).

I dati estratti dagli elenchi della telefonia fissa possono essere invece trattati a fini di propaganda elettorale sotto forma di invio di posta ordinaria o di chiamate telefoniche effettuate da un operatore, a meno che gli interessati non si siano opposti. Fuori da ipotesi di questo tipo, non è possibile svolgere attività di propaganda politica senza un consenso preventivo e specifico dell´interessato, basato su un´informativa che evidenzi chiaramente gli scopi per i quali i dati sono utilizzati. Ciò, in particolare, quando si ricorra all´invio di fax, di messaggi Sms e Mms, o di e-mail, nonché a chiamate telefoniche senza l´intervento di un operatore oppure a chiamate a terminali di telefonia mobile.

Quando si utilizzano dati di iscritti ad associazioni politiche o a partiti, il consenso specifico deve essere manifestato per iscritto, versandosi in un caso di trattamento di dati di tipo sensibile (v., per altro, quanto previsto dagli artt. 26, comma 4, lett. a) e 181, comma 1, lett. b) del Codice). L´utilizzazione di dati relativi agli iscritti ad associazioni sindacali, professionali, sportive e di categoria che non abbiano un´espressa connotazione politica è possibile invece solo quando sia disposta legittimamente in base all´ordinamento interno, le modalità di utilizzo dei dati a fini di propaganda siano compatibili con gli scopi principali perseguiti dall´associazione e ne venga fatta menzione nell´informativa resa agli iscritti al momento dell´adesione o del suo rinnovo.

Il Garante ha anche precisato che i titolari di alcune cariche elettive non sono legittimati ad ottenere dagli uffici dell´amministrazione o dell´ente la comunicazione di intere basi di dati, oppure la formazione di appositi elenchi "dedicati" da utilizzare per la propaganda anche dopo la scadenza dal mandato; gli stessi possono però utilizzare i dati personali raccolti direttamente, nel quadro delle relazioni interpersonali con cittadini ed elettori.

In ogni caso, l´informativa che chi svolge attività di propaganda elettorale è tenuto a rendere agli interessati deve essere inserita nel materiale di propaganda e può essere resa anche in forma sintetica. Limitatamente alle imminenti consultazioni elettorali, il Garante ha tuttavia esonerato a date condizioni dall´obbligo di fornire l´informativa i soggetti che utilizzano dati personali per esclusivi fini di propaganda, ritenendo tale adempimento sproporzionato nel caso in cui i dati siano estratti da elenchi pubblici e gli interessati non vengano poi contattati, nonché quando il materiale propagandistico sia di dimensioni talmente ridotte da non permettere di inserire agevolmente l´informativa (art. 13, comma 5, d.lg. n. 196/2003).

Particolare attenzione è stata prestata al requisito della specificità del consenso richiesto per l´uso dei dati a fini promozionali e commerciali e alla necessità che eventuali utilizzi ulteriori per fini di propaganda politica siano indicati in tali consensi in modo univoco. Il problema è stato affrontato anche successivamente su richiesta della Federazione delle concessionarie di pubblicità e di un operatore del settore ai quali, con note del 25 marzo e del 6 aprile 2004, sono state rappresentate le necessarie garanzie che consentono o precludono l´invio di e-mail di propaganda o l´inserzione di pubblicità elettorale all´interno di newsletter richieste dagli interessati per altri fini.

 
Uso dei dati a fini promozinali e commerciali

 

143. Confessioni religiose
Per quanto riguarda il trattamento di dati sensibili in ambito religioso, occorre sottolineare l´importante novità normativa introdotta sul punto dal Codice.

Nel sistema previgente, in parziale applicazione dei principi comunitari in materia di associazioni e di altri organismi senza scopo di lucro, era infatti prevista una disciplina particolare per la Chiesa cattolica e per le altre confessioni religiose che avessero stipulato accordi o intese con lo Stato italiano.

Questa disciplina si basava sulla possibilità di prescindere dal consenso degli interessati e dal rispetto dell´autorizzazione del Garante per trattare i dati sensibili degli aderenti e degli altri soggetti che avessero contatti regolari con le confessioni, purché fossero rispettate certe condizioni, tra le quali l´osservanza di idonee garanzie che le confessioni stesse avrebbero dovuto introdurre nei propri ordinamenti.

Il Codice estende ora questa specifica disciplina alle altre confessioni religiose, purché i dati non siano diffusi o comunicati al di fuori delle confessioni e vengano osservate idonee garanzie di cui le stesse devono dotarsi, nel rispetto dei principi contenuti in un´autorizzazione del Garante (art. 26, comma 3, lett. a), d.lg. n. 196/2003).

 
La modifica introdotta dal Codice

L´art. 181, comma 6, del d.lg. n. 196/2003 consente poi alle confessioni religiose che, prima dell´entrata in vigore del Codice, abbiano già adottato le garanzie richieste nell´ambito dei propri ordinamenti, di proseguire il trattamento nel rispetto delle medesime.

Nella materia in esame, il Garante ha tra l´altro affrontato la questione del trattamento di dati idonei a rivelare convinzioni religiose, effettuato da un´associazione per avviare le pratiche di annullamento di matrimoni religiosi. In proposito, l´Autorità ha ribadito che i dati raccolti dovevano essere trattati soltanto per le procedure rivolte all´accertamento della nullità del matrimonio davanti al tribunale ecclesiastico e non anche per scopi ulteriori (Nota 10 aprile 2003).

Nel corso del 2003 sono anche pervenuti ricorsi e segnalazioni tesi ad ottenere l´aggiornamento e l´integrazione di dati personali contenuti nei registri dei battezzati presenti negli archivi parrocchiali, con specifico riferimento al dato sull´appartenenza religiosa degli interessati che non risulti più rispondente alla realtà.

 
I registri dei battezzi

Al riguardo, il Garante ha confermato la legittimità delle richieste intese a far annotare, a margine del dato da aggiornare, la volontà degli interessati di non appartenere più alla Chiesa cattolica, reputando l´annotazione compatibile con la necessaria documentazione del fatto storico dell´avvenuto battesimo.

L´Autorità ha poi chiarito che la conservazione dell´istanza presentata dall´interessato in allegato al registro dei battesimi non è sufficiente a far risultare in modo inequivoco e permanente la volontà del medesimo interessato di non appartenere più alla Chiesa cattolica. In presenza di una richiesta di integrazione e aggiornamento del dato relativo all´appartenenza religiosa, occorre quindi effettuare un´apposita annotazione a margine sul registro dei battesimi (Provv19 marzo 2003).

In una decisione su un ricorso, l´Autorità ha infine precisato che, per presentare la richiesta finalizzata ad aggiornare ed integrare i dati personali del richiedente con specifico riferimento al dato relativo all´appartenenza religiosa, non è necessario recarsi personalmente presso determinati uffici (ad esempio, quelli del Vicariato) al fine di dimostrare e controfirmare la dichiarazione di non voler essere più considerato appartenente alla Chiesa cattolica. La normativa sulla protezione dei dati personali non prevede, infatti, che il richiedente debba presentarsi di persona presso la sede del titolare per esercitare i propri diritti e, nel caso esaminato, confermare la menzionata volontà. È stata invece ritenuta legittima ogni eventuale attività della Curia volta a richiamare l´attenzione dell´interessato sugli effetti che l´istanza produce (Newsletter 10-16 novembre 2003 ).

In tema di questioni concernenti il trattamento dei dati religiosi, l´Autorità si sta occupando anche del regime di pubblicità delle anagrafi parrocchiali e della raccolta di dati idonei a rivelare convinzioni religiose in occasione di visite specialistiche o ricoveri ospedalieri.

 

La libertà di informazione

15. Attività giornalistiche e mezzi di informazione
Continuano a pervenire numerosi quesiti, segnalazioni e reclami in ordine alle problematiche relative al trattamento di dati personali effettuato nell´esercizio dell´attività giornalistica. Parallelamente è cresciuta, nei confronti di tali temi, l´attenzione degli operatori dell´informazione, che hanno interpellato il Garante chiedendo chiarimenti sul corretto utilizzo delle informazioni, nel quadro delle vigenti norme in materia di protezione dei dati personali e del codice di deontologia relativo al trattamento dei dati personali nell´esercizio dell´attività giornalistica (Provv29 luglio 1998, in Gazzetta Ufficiale 3 agosto 1998, n. 179).

Nel corso dell´anno è stato avviato un nuovo confronto tra il Garante ed il Consiglio nazionale dell´ordine dei giornalisti. In tale contesto, si è costituito un gruppo di lavoro comune incaricato, tra l´altro, di elaborare documenti utili a fornire un concreto contributo al lavoro di chi opera nel mondo dell´informazione e ad esaminare alcuni aspetti applicativi del d.lg. n. 196/2003. Sulla base dei primi spunti di riflessione pervenuti dall´ordine, il Garante ha fornito da ultimo un quadro di approfondite indicazioni circa la liceità e la correttezza della raccolta e diffusione di specifiche fonti di informazione.

Allo scopo di dare un utile riscontro a tale accresciuta attenzione, il Garante ha poi pubblicato una raccolta dei più significativi provvedimenti adottati dall´Autorità in materia di giornalismo e tutela dei dati personali. Il volume, curato da Mauro Paissan, componente del collegio, è stato presentato a Roma il 6 novembre 2003 alla presenza del Presidente della Camera e di diversi esponenti del mondo politico e dell´informazione. La raccolta -organizzata per macroargomenti (tutela dei minori, rapporti tra cronaca e giustizia, uso dei dati relativi a personaggi pubblici, trasparenza delle fonti pubbliche, tutela dei dati relativi alla salute ed alla sfera sessuale, uso di fotografie)- è preceduta da un quadro di sintesi delle disposizioni del codice di deontologia dei giornalisti e da una generale riflessione del curatore dell´opera sulle principali problematiche che emergono nella delicata opera di bilanciamento tra tutela della persona e libertà di manifestazione del pensiero (cfr. pure infra).

 

151. Tutela dei minori
Il Garante è nuovamente intervenuto a tutela dei diritti dei minori coinvolti in fatti di cronaca, vietando, tra l´altro, con un provvedimento d´urgenza diretto a diversi editori e direttori di quotidiani, nazionali e locali, l´ulteriore diffusione di informazioni relative a due bambini vittime di atti di violenza. Nel caso di specie, pur non essendo stata resa apertamente nota l´identità dei minori e dei genitori, sono state diffuse varie informazioni (tra cui anche la foto segnaletica dell´adulto ritenuto responsabile di dette violenze) giudicate, oltre che eccedenti e non indispensabili a rappresentare la vicenda, tali da rendere comunque immediatamente riconoscibili i minori all´interno della cerchia familiare, degli amici e dei conoscenti. In questo modo risultavano violate le garanzie normative, nazionali e internazionali (art. 13 della Convenzione sui diritti del fanciullo; art. 734-bis c.p.; art. 13 d.P.R. 22 settembre 1988 n. 448; art. 7 codice deontologico; Carta di Treviso) poste a tutela della sfera privata dei minori, riaffermate ed ampliate anche dal Codice (artt. 50 e 52).

La vicenda presenta sviluppi ancora in fase di svolgimento, come dimostrano, ad esempio, le note con le quali il direttore di una delle testate oggetto di divieto, si è poi attivato per prevenire analoghe infrazioni, mentre un consiglio dell´ordine locale ha chiesto al Garante di fornire i nomi dei giornalisti autori degli articoli pubblicati ai fini della loro convocazione.

 

152. Foto segnaletiche e cronache giudiziarie
L´Autorità è intervenuta in maniera incisiva nei confronti della prassi diffusa presso organi di informazione di pubblicare fotografie di persone arrestate o indagate.

È stata più volte riscontrata la violazione degli specifici divieti, riaffermati anche dal codice deontologico per l´attività giornalistica, a tutela delle persone coinvolte nei fatti oggetto della notizia. Il Garante ha osservato che, fermo restando il divieto di pubblicare immagini di persone con ferri o manette ai polsi, ovvero sottoposte ad altri mezzi di coercizione fisica, senza il consenso dell´interessato, la diffusione di fotografie di individui in stato di detenzione è ammessa solo per comprovati fini di giustizia e di polizia e in ogni caso nel rispetto della dignità personale (Provv19 marzo 2003). Limitatamente ad una delle testate interessate dal divieto, il provvedimento è stato caducato con decreto del 26 giugno 2003 del Tribunale di Milano, dinanzi al quale era stata proposta la relativa impugnazione. Il tribunale, pur ritenendo in punto di fatto non interamente comprovata la constatazione dell´Autorità (provenienza delle immagini da foto "segnaletiche" oppure da documenti di identità) e quindi accogliendo il ricorso, ha comunque confermato il principio di diritto affermato dal Garante, in base al quale, come si è detto, la diffusione di fotografie riguardanti persone sottoposte a misure restrittive della libertà personale è ammessa, in mancanza del consenso delle persone ritratte, per il perseguimento di esclusive finalità di giustizia e di polizia e nel rispetto della disposizione del codice deontologico sull´attività giornalistica (art. 8) che vieta le riprese in stato di detenzione.

 
Il provvedimento del Garante del 19 marzo 2003

Tale principio è stato ribadito di recente con riguardo alla diffusione di foto "segnaletiche" di alcune persone coinvolte in un´indagine su stupefacenti e prostituzione avviata dalla magistratura romana (Provv26 novembre 2003). In questo caso l´Autorità, rilevando l´assenza dei presupposti di legge, ha vietato l´utilizzazione delle foto "segnaletiche" ed ha segnalato al Capo della polizia le illiceità rilevate. Ha inoltre provveduto a richiedere informazioni agli uffici di polizia interessati dalle operazioni di trattamento oggetto del divieto, anche con riferimento alla diffusione di altri dati (dettagli relativi al contenuto di conversazioni telefoniche, estremi identificativi di utenze telefoniche) inerenti all´indagine in corso.

In relazione alle problematiche generali riguardanti le cronache giudiziarie, l´Autorità ha più volte ricordato agli organi di informazione che l´esigenza di informare l´opinione pubblica su vicende giudiziarie non deve recare pregiudizio alla vita privata delle persone. Ha quindi ribadito che la diffusione di tale tipo di informazioni, anche in mancanza del consenso dell´interessato, non è preclusa; deve tuttavia essere assicurato il rispetto dei limiti previsti per l´esercizio del diritto di cronaca, in particolare quello dell´essenzialità dell´informazione riguardo a fatti di interesse pubblico, oltre che l´osservanza degli specifici divieti posti dagli ordinamenti penale e processualpenale.

 

153. Privacy dei personaggi pubblici
Il Garante, con una decisione adottata su ricorso, ha rilevato i limiti entro cui può considerarsi legittima l´informazione su fatti di cronaca coinvolgenti persone che godono di una certa notorietà in ragione del ruolo o della funzione ricoperti. Un caso ha riguardato, ad esempio, il trattamento di dati relativi ad un ingegnere, noto in ambito locale per la sua attività di progettista e direttore dei lavori di un piano di riassetto territoriale. L´Autorità ha ritenuto lecita la pubblicazione dei dati relativi alla posizione del professionista, ai suoi impegni e agli onorari percepiti, in ragione della rilevanza pubblica della notizia (giustificata anche da esigenze di trasparenza sull´utilizzo del denaro pubblico), nonché della notorietà del ricorrente, impegnato a vario titolo e con ruoli di responsabilità in un´operazione urbanistica ed economica di primario rilievo locale. Si è ritenuto invece che fosse fonte di illiceità sia la diffusione, nell´ambito dello stesso servizio giornalistico, di dati attinenti alla sfera privata ed allo stato salute del ricorrente (disagi psicologici per i quali era ricorso ad una specifica terapia psicoanalitica), sia il collegamento effettuato con le vicende personali del fratello, in gravi condizioni di salute psicofisica. In tale caso il Garante ha pure prescritto all´editore di unire copia della propria decisione inibitoria agli esemplari del servizio giornalistico oggetto della decisione, conservati presso lo stesso editore, e di dare conferma all´Autorità dell´avvenuto adempimento (Provv29 dicembre 2003).

I principi richiamati dal Garante trovano conferma nella Dichiarazione del Consiglio d´Europa del 12 febbraio 2004, nella quale viene precisato, fra l´altro, come l´esigenza di bilanciare libertà di espressione e diritto al rispetto per la vita privata imponga di non rivelare particolari della vita privata delle figure pubbliche, a meno che tali informazioni non siano di diretto interesse pubblico per le modalità con cui tali soggetti svolgono o hanno svolto le funzioni alle quali sono state chiamati, e venga tenuta in debita considerazione la necesssità di non danneggiare terze persone.

 
La Dichiarazione del Consiglio d´Europa del 12 febbraio 2004

Da ultimo merita di essere ricordato che, nella nota vicenda relativa all´On. Bettino Craxi, l´Italia è stata condannata dalla Corte europea dei diritti dell´uomo di Strasburgo per violazione del diritto al rispetto della vita privata sancita dall´art. 8 della Convenzione europea dei diritti dell´uomo (Decisione 17 luglio 2003). La vicenda concerneva la diffusione di contenuti di intercettazioni telefoniche a carattere personale relative a conversazioni intrattenute dal leader del Partito socialista italiano nell´ambito di un procedimento penale a suo carico presso il Tribunale di Milano. I contenuti delle intercettazioni e i nomi degli interlocutori, infatti, erano stati letti in udienza dal pubblico ministero e successivamente diffusi dai giornali.

 
La decisione della Corte europea dei diritti dell´uomo sul "caso Craxi"

La Corte europea ha osservato che, nel caso in esame, le autorità italiane non hanno tutelato la riservatezza delle intercettazioni, né hanno svolto indagini efficaci sulle modalità con cui le conversazioni telefoniche private sono divenute di pubblico dominio. Secondo la Corte, inoltre, nell´ambito del processo, si sarebbe dovuto provvedere, in sede di udienza preliminare, ad escludere i passaggi delle conversazioni non necessari ai fini del procedimento. La pubblicazione degli stralci di intercettazioni a contenuto strettamente personale, infine, è apparsa non necessaria rispetto alla legittima finalità di informare il pubblico.

 

154. Essenzialità dell´informazione
Anche nel periodo considerato, il Garante ha riscontrato violazioni delle norme deontologiche in relazione alla diffusione, nel contesto di una notizia di possibile rilevanza generale, di dati personali non essenziali, eccedenti e non pertinenti rispetto alla finalità del trattamento. In particolare, nel caso di un giornale che, riferendo di un delitto commesso in un appartamento, aveva pubblicato le generalità di colui che risultava essere proprietario dell´immobile, il Garante ha ritenuto insussistenti i presupposti -originalità del fatto, descrizione dei modi particolari in cui è avvenuto e qualificazione dei protagonisti (art. 6, comma 1, codice deontologico)- che consentono la divulgazione di informazioni anche dettagliate (Provv23 gennaio 2003).

Pure nella vicenda di un´emittente radiofonica che, commentando l´operato di un´agente della polizia municipale, ha diffuso, oltre alle generalità dell´agente, altri dettagli (e cioè l´età, il comune di residenza, l´indirizzo, nonché i nomi dei suoi genitori) si è constatata l´inosservanza del principio di non eccedenza rispetto al legittimo esercizio del diritto di critica e di cronaca sulla vicenda (Nota 23 febbraio 2004).

 

155. Dati idonei a rivelare lo stato di salute ovvero le opinioni politiche o filosofiche
Ripetuti sono stati i richiami del Garante al rispetto delle specifiche garanzie a tutela della riservatezza e della dignità delle persone malate, dettate dal codice deontologico per l´attività giornalistica (artt. 5 e 10). Ne è esempio emblematico la vicenda, di ampio clamore nei media, che ha avuto come protagonista una donna rifiutatasi di sottoporsi ad un intervento chirurgico ad una gamba ritenuto dai medici necessario per salvarle la vita. In tale occasione il Garante ha richiamato gli organi di informazione alla salvaguardia della dignità della persona malata, nonché al rispetto delle esigenze di riservatezza espresse dalla sua famiglia. L´Autorità ha inoltre evidenziato come la diffusione di indirizzi e dati personali dell´interessata, e l´insistenza nella ricerca di particolari sulla vicenda, finisse per lederne non solo la riservatezza, ma la stessa libertà di autodeterminazione nel maturare in silenzio e tranquillità una difficile scelta personale (cfr. Comunicato stampa 3 febbraio 2004).

Il Garante è stato chiamato ad occuparsi anche della pubblicazione -su taluni quotidiani e riviste- di elenchi di iscritti ad associazioni massoniche, nonché di altre informazioni ad essi relative (luogo di residenza e professione). Al riguardo, sono state chieste informazioni ai responsabili dei giornali, al fine di valutare la liceità e correttezza del trattamento, in special maniera sotto il profilo dell´essenzialità dei dati personali diffusi rispetto alla finalità di informare su fatti di interesse pubblico (Note 13 agosto 2003).

 

156. Esercizio dei diritti e giornalismo on line
Come già accennato più sopra (cfr. parag. 7.11.), il Garante ha chiarito che i diritti spettanti agli interessati in base all´art. 13 della legge n. 675/1996 (ora, art. 7 del Codice) possono essere esercitati anche laddove il trattamento consista nella diffusione di fotografie e di altri dati personali attraverso pubblicazioni consultabili tramite Internet.

In particolare, nell´esaminare due ricorsi concernenti la stessa pubblicazione disponibile anche via web, nei quali le ricorrenti contestavano l´autenticità delle dichiarazioni di consenso acquisite dalla società che aveva originariamente raccolto i dati, il Garante ha posto l´accento sulla necessità che l´editore si accerti della genuina identità degli inserzionisti e dell´affidabilità del materiale informativo che intende utilizzare. L´Autorità ha ritenuto pertanto necessario approfondire in altra sede i presupposti di liceità del trattamento effettuato dall´editore e dalle altre società coinvolte nella vicenda.

La diffusione di dati personali tramite siti Internet può essere effettuata anche nell´ambito di attività di manifestazione del pensiero diverse dal giornalismo, compiute da soggetti che non esercitano professionalmente l´attività giornalistica, ma finalizzate anch´esse alla pubblicazione o diffusione occasionale di articoli, saggi ed altre manifestazioni del pensiero. Ai trattamenti di dati svolti nell´ambito di queste attività, secondo la disciplina della legge n. 675/1996 confermata dal Codice, si applicano le disposizioni previste per l´attività giornalistica. Si tratta di regole semplificate in materia di informativa e consenso, nonché di altre prescrizioni, contenute anche nel codice deontologico, volte a contemperare i diritti della persona con il diritto all´informazione ed alla libertà di espressione. Il principio è stato ribadito dall´Autorità nell´esaminare un ricorso relativo ad una vicenda in cui la pubblicazione di dati personali via web era stata effettuata tramite la riproduzione di una pagina originariamente creata dal ricorrente (Provv16 gennaio 2004). Il Garante ha inoltre precisato che la medesima disciplina è applicabile anche alla diffusione di dati derivanti da attività che si caratterizzano come modalità di esercizio del diritto di critica, con riferimento a personaggi conosciuti nell´ambito della "rete" (Provv10 dicembre 2003).

 
Pubblicazione occasionale di articoli o saggi

 

La libertà di iniziativa economica

16. Settore del credito finanziario e assicurativo

161. Credito
Nel 2003 il settore del credito è stato oggetto di particolare attenzione da parte del Garante, in special modo a seguito dei numerosi ricorsi, segnalazioni e reclami da parte di clienti di istituti di credito e di associazioni di consumatori, concernenti specialmente l´impropria divulgazione di dati personali da parte di uffici o dipendenti di banche.

Diversi cittadini si sono ad esempio lamentati delle particolari modalità con cui sono stati contattati telefonicamente da impiegati di istituti bancari per esigenze connesse allo svolgimento del rapporto bancario. In varie occasioni, infatti, addetti di istituto di credito, per mezzo del telefono, hanno comunicato a persone diverse dal diretto interessato informazioni relative al rapporto in essere o hanno addirittura sollecitato la regolarizzazione di situazioni di sofferenza, anche di lieve entità.

In altri casi, alcuni clienti hanno lamentato l´invio di comunicazioni bancarie in busta aperta (che ne ha reso conoscibile il contenuto da parte di terzi), oppure l´erroneo invio ad estranei di comunicazioni bancarie relative invece ai segnalanti e ad altri clienti.

In merito alle predette vicende, l´Autorità ha sottolineato in varie occasioni la necessità, per gli istituti di credito, di impartire precise istruzioni ai propri dipendenti ed incaricati e di predisporre apposite procedure per limitare al minimo indispensabile la divulgazione anche accidentale a terzi di dati personali dei clienti, non necessari per espletare le comunicazioni bancarie.

Per ciò che concerne, invece, l´esercizio dei diritti previsti dall´art. 13 della legge n. 675/1996 (ora, art. 7 del Codice), le questioni più rilevanti affrontate dall´Autorità nel settore del credito, anche in relazione alle novità normative, hanno riguardato il diritto di accesso ai dati personali del defunto e la gratuità dell´accesso, come già illustrato nella parte di questa Relazionespecificamente dedicata al diritto di accesso ai dati personali (v. supraparag. 7.7.).

 

162. Intermediazione finanziaria
Anche il settore dell´intermediazione finanziaria ha visto presentare, nel 2003, vicende di rilevante interesse per l´Autorità.

In particolare, merita di essere ricordato un caso che ha riguardato il trattamento di alcuni dati personali (compresi quelli relativi a rapporti bancari e finanziari) da parte di un promotore finanziario, pure incaricato in termini generali del trattamento da parte della banca titolare. Il promotore ha trattato i dati in discorso prima che gli fosse formalmente richiesto di curare clienti già seguiti da altri promotori. Questo trattamento era finalizzato alla presa di contatto con i clienti per conto della banca, così da consentire la continuità del rapporto contrattuale.

 
Trattamento di dati da parte di promotore finanziario

In tale occasione il Garante ha segnalato alla banca la necessità e l´urgenza di specificare meglio ai promotori finanziari della propria rete di distribuzione l´ambito e le modalità del trattamento nella fase antecedente alla formale assegnazione dei clienti già seguiti da altri promotori, assicurando la puntuale osservanza delle istruzioni e dei compiti impartiti in proposito e rispettando i principi di necessità e pertinenza. L´Autorità ha inoltre prescritto alla banca di fornire ai clienti maggiori chiarimenti in ordine all´ambito ed alle modalità del trattamento in questione, con particolare riferimento alla possibile comunicazione dei loro dati personali ad un promotore finanziario, anche prima della sua formale investitura, nonché al ruolo rivestito dal promotore medesimo in tale fase.

 

163. "Centrali rischi" e società finanziarie
Nel 2003 si è registrato un ulteriore e significativo incremento delle istanze riguardanti il trattamento di dati personali relativi a richieste o a rapporti di finanziamento da parte di banche, società finanziarie e "centrali rischi" private. I numerosi ricorsi, segnalazioni e reclami hanno messo in luce soprattutto il mancato rispetto dei principi e degli obblighi richiamati nel provvedimento generale adottato in materia dal Garante il 31 luglio 2002.

La delicata materia del trattamento dei dati relativi ai sistemi di informazione gestiti da soggetti privati, ed utilizzati per il rilascio di crediti al consumo e la valutazione dell´affidabilità e puntualità nei pagamenti, è destinata a trovare nel più breve periodo una compiuta regolamentazione con il codice deontologico di cui è imminente la sottoscrizione.

I lavori di tale codice hanno richiesto un notevole impegno soprattutto per la definizione dello schema delle nuove regole di comportamento che, dopo un ampio confronto con gli operatori interessati, è stato sottoposto alle valutazioni di soggetti e organismi controinteressati, in particolare delle associazioni dei consumatori e degli altri soggetti partecipanti ai lavori del codice. Lo schema, dopo la temporanea diffusione del suo contenuto anche tramite il sito web del Garante, verrà presto formalmente sottoscritto.

 
Il codice deontologico

Le linee essenziali del codice deontologico riguarderanno in particolare:

  • l´ambito soggettivo, con la precisazione delle categorie degli enti partecipanti e delle modalità con le quali gli stessi potranno accedere caso per caso alle singole tipologie di informazioni;
  • le modalità con cui viene resa l´informativa agli interessati e le procedure adottate per consentire loro l´esercizio dei diritti di accesso e degli altri diritti ora previsti dall´art. 7 del Codice (d.lg. n. 196/2003);
  • le modalità di trattamento relative all´utilizzo di tecniche o sistemi cd. di credit scoring, nonché le misure di sicurezza adottate per la protezione dei dati e dei sistemi informativi;
  • i tempi di conservazione dei dati nei sistemi di rilevazione del rischio creditizio, con particolare attenzione alla distinzione tra le informazioni di tipo positivo e i cd. dati negativi (relativi, ad esempio, a morosità o sofferenze), nel rispetto dei principi in tema di consenso degli interessati e relativi casi di esclusione (tra cui, il bilanciamento degli interessi: v. art. 24, lett. g), d.lg. n. 196/2003).
 
I c.d. dati negativi

Proprio con riferimento a quest´ultimo aspetto, l´Autorità, a seguito dei ricorsi presentati da alcuni consumatori, ha ribadito la necessità di cancellare entro un anno dall´avvenuta regolarizzazione le segnalazioni relative a "sofferenze" successivamente sanate senza alcuna perdita per l´ente finanziatore, confermando l´illiceità di ogni ulteriore conservazione dei dati relativi a finanziamenti così estinti da un termine più lungo.

 
Cancellazione delle "sofferenze"

Non è stata poi ritenuta conforme ai principi espressi nel citato provvedimento generale del luglio 2002 l´annotazione da parte di una società, in via temporanea, della dicitura "regolarizzato", accanto al nominativo della ricorrente, per documentare l´integrale estinzione del debito: anche in tal caso si deve comunque procedere alla cancellazione integrale dei dati relativi a ritardi di pagamento regolarizzati senza debiti residui, che non possono essere ulteriormente conservati rispetto ai tempi indicati dal Garante (Provv. 12 marzo 2003 e 5 novembre 2003).

È stata quindi affrontata la questione della conservazione ed ulteriore comunicazione dei dati cd. positivi, che evidenziano un andamento regolare dei pagamenti degli interessati. Anche per questo tipo di dati è stato rivendicato il "diritto all´oblio": nelle decisioni adottate a seguito dei numerosi ricorsi presentati in proposito, si è confermato che, a prescindere dalla mancanza di specifiche annotazioni "negative" per l´interessato, i dati riferiti a tali posizioni estinte da tempo non possono essere ulteriormente trattati in assenza di un idoneo presupposto del trattamento, e in particolare del consenso dell´interessato (Provv. 5 novembre 2003 e 22 dicembre 2003).

 
Il "diritto all´oblio" per i dati positivi

Nonostante quanto puntualmente indicato nel citato provvedimento del 2002, la condotta di alcune finanziarie o "centrali rischi" private non è risultata in vari casi conforme alle relative prescrizioni e ciò ha determinato l´accoglimento anche parziale di innumerevoli ricorsi che continuano a caratterizzare buona parte del contenzioso pendente presso il Garante. L´Autorità si è anche costituita in giudizio in tutti i procedimenti instaurati dai predetti operatori allorché questi hanno impugnato decisioni del Garante, e seguirà con estrema attenzione l´affermazione dei principi di diritto già evidenziati, confidando comunque che il nuovo codice deontologico possa porre rapidamente fine in modo condiviso ad un quadro che non è ancora tranquillizzante per i cittadini interessati.

Numerose sono state le istanze relative alle segnalazioni obbligatorie effettuate da banche e società finanziarie, anche a quelle riguardanti il sistema di centralizzazione dei rischi gestito dalla Banca d´Italia. In particolare, è stata lamentata la comunicazione di dati effettuata da parte di alcuni istituti di credito a tale centrale, erroneamente inseriti nella categoria di censimento "sofferenze". L´Autorità ha osservato che la comunicazione, da parte delle banche, alla centrale rischi gestita dalla Banca d´Italia dei dati di clienti relativi all´indicazione di un particolare stato contabile del rapporto, come quello ascrivibile alla categoria di "sofferenza", deve essere effettuata attenendosi scrupolosamente a quanto prescritto dalla stessa Banca d´Italia nelle proprie istruzioni rivolte agli intermediari creditizi. In particolare, le istruzioni prevedono che la segnalazione di una sofferenza sia preceduta da un´attenta valutazione, da parte dell´intermediario, della complessiva situazione finanziaria del cliente e non possa invece scaturire automaticamente da un mero ritardo nei pagamenti.

 
Comunicazione dei dati alla centrale rischi gestita dalla Banca d´Italia

In base a tali considerazioni, l´Autorità ha pertanto sollecitato gli istituti di credito ad adottare misure ed accorgimenti, anche organizzativi, idonei ad assicurare il pieno rispetto dei principi di correttezza, pertinenza e non eccedenza dei dati, nonché delle istruzioni per gli intermediari creditizi impartite dalla Banca d´Italia, in relazione alla comunicazione dei dati alla centrale rischi gestita da quest´ultima.

 

164. Anagrafe degli assegni bancari e postali
Anche l´archivio informatizzato degli assegni bancari e postali e delle carte di pagamento istituito ai sensi della legge n. 205/1999 e del d.lg. n. 507/1999 presso la Banca d´Italia, e in funzione dal giugno 2002, è interessato dalle novità introdotte dal d.lg. n. 196/2003, in materia, ad esempio, di trattamento dei dati giudiziari, dei diritti degli interessati e di misure di sicurezza.

L´archivio, denominato Centrale d´allarme interbancaria (Cai), è composto, in primo luogo, da una sezione centrale presso la Banca d´Italia, che, oltre ai dati anagrafici degli interessati, contiene ulteriori segmenti relativi agli strumenti di pagamento presi in considerazione, assegni o carte di pagamento, ad informazioni rilevate riguardanti, ad esempio, smarrimenti o revoche, nonché ad eventuali sanzioni amministrative e penali. La Cai è inoltre composta da sezioni remote che riproducono, in tutto o in parte, l´intero archivio presso le banche, gli uffici postali e gli intermediari finanziari vigilati emittenti carte di pagamento, abilitati alla loro consultazione ed interessati all´individuazione di situazioni anomale od irregolari, anche rispetto alla propria clientela.

 
Centrale d´allarme interbancaria

La Banca d´Italia e tali soggetti dovranno adeguarsi alle nuove disposizioni del Codice, con particolare riferimento alle attività di trasmissione e ricezione dei dati, nel rispetto del livello minimo di sicurezza previsto per i trattamenti di dati effettuati con l´ausilio di strumenti elettronici e per la gestione dei dati giudiziari (ciò per la parte dell´archivio relativa a sanzioni anche di natura penale).

Come ricordato nelle precedenti relazioni annuali, l´archivio risponde alla finalità di interesse generale di assicurare il regolare funzionamento del sistema dei pagamenti e viene alimentato da soggetti pubblici (autorità giudiziaria e Ministero dell´interno) e privati (banche, uffici postali, società emittenti carte di credito), tenuti a trasmettere i provvedimenti o le segnalazioni riguardanti sia persone che hanno emesso assegni senza autorizzazione o provvista, sia titolari di carte di pagamento revocate (per mancato pagamento o costituzione di fondi), sia, ancora, carte di pagamento o assegni sottratti, smarriti, o bloccati.

Nei confronti delle persone i cui nominativi risultano iscritti nella Cai, vi è un obbligo, per la banca, di revoca dell´autorizzazione ad emettere assegni, con un divieto che si estende anche agli altri istituti di credito per non meno di sei mesi.

Nel 2003 sono pervenute all´Autorità diverse segnalazioni relative al trattamento dei dati personali effettuato da alcune banche, uffici postali e società di carte di pagamento nell´ambito della Cai. è aumentato anche il numero delle istanze presentate dagli interessati al fine di ottenere l´accesso, la rettificazione o la cancellazione dei dati iscritti nell´archivio. In particolare, è stato lamentato che la segnalazione nell´archivio avviene spesso senza rispettare i termini previsti per il dovuto preavviso, oppure a fronte di meri errori o disguidi nei pagamenti.

In relazione all´utilizzo di carte di pagamento, si rileva che taluni automatismi segnalati, relativi all´iscrizione in Cai anche per scoperti di conto corrente di lieve importo, rischiano di penalizzare i clienti che non riuscirebbero a tutelare in maniera tempestiva i propri diritti anche a causa dell´assenza (diversamente da quanto accade per gli assegni) di precise indicazioni circa le modalità di preavviso dell´eventuale revoca della carta di pagamento. Tali profili saranno oggetto d´esame nei prossimi mesi, anche nell´ambito della collaborazione avviata con la Banca d´Italia in questa materia sin dalla fase di istituzione dell´archivio.

 
Segnalazione di scoperti di lieve importo

 

165. Assicurazioni
Il settore assicurativo continua ad essere interessato da novità normative che si riflettono sulla materia della protezione dei dati personali. A tal proposito si può fare accenno, in primo luogo, al d.m. n. 74/2004 sull´accesso agli atti delle imprese di assicurazione (v. infra, parag. 45.2.). Merita pure di essere ricordato l´art. 120 del Codice, il quale riproduce le disposizioni dell´art. 2, commi 5-quater e 5-quinquies, della legge n. 137/2000, recanti l´istituzione, presso l´Isvap, di una banca dati dei sinistri relativi all´assicurazione obbligatoria per i veicoli a motore immatricolati in Italia, al fine di rendere più efficace la prevenzione ed il contrasto di comportamenti fraudolenti in tale settore (per le procedure e le modalità di funzionamento della banca dati, nonché di accesso alle informazioni in essa contenute, cfr. il provvedimento Isvap n. 2179 del 10 marzo 2003, già menzionato nella Relazione 2002).

Anche l´annunciata emanazione di un "Codice delle assicurazioni private", allo studio del Ministero per le attività produttive, potrebbe offrire l´occasione per approfondire alcuni aspetti dell´attività assicurativa che hanno delle implicazioni sulla protezione dei dati personali.

L´Autorità ha avviato una nuova riflessione con l´associazione di categoria, per esaminare alcune problematiche del settore connesse all´entrata in vigore del Codice, nonché per risolvere questioni da tempo evidenziate dagli operatori.

In particolare, questi ultimi hanno sostenuto che la formulazione dell´informativa agli interessati dovrebbe tenere in considerazione le peculiari caratteristiche dei trattamenti effettuati in questo settore e la complessa struttura della "catena assicurativa". In proposito si deve peraltro osservare che, anche nel 2003, l´Autorità ha avviato l´esame di numerosi reclami e segnalazioni riguardanti carenze nelle informative fornite dalle società di assicurazioni a clienti o a soggetti cui liquidare i sinistri, carenze che -si ricorda- si riflettono sulla validità del consenso manifestato dagli interessati. La necessità di rivedere i modelli di informativa si pone anche nei casi, frequenti, in cui l´impresa di assicurazioni intenda acquisire, con uno stesso modulo, il consenso ai diversi trattamenti effettuati da altri autonomi titolari dei trattamenti.

 
l problema della "catena assicurativa"

L´Autorità ha comunque confermato la propria disponibilità a fornire un ausilio per la predisposizione di un idoneo modulo standard di informativa delle imprese alla clientela (in analogia con quanto avvenuto per le banche), nonché ad affrontare alcuni delicati problemi interpretativi concernenti i presupposti di liceità del trattamento di dati sensibili, in particolare quelli sanitari.

Sempre nel merito dell´attività svolta dall´Autorità nel settore, va inoltre ricordata la segnalazione di un assicurato che aveva chiesto il rimborso della penale prevista per l´annullamento di un viaggio prenotato anche per conto di altre persone e poi annullato per la malattia di un congiunto di un compagno di viaggio. L´impresa di assicurazioni ha negato il rimborso a causa della mancata acquisizione della cartella clinica del malato, il cui esame, sarebbe stato a suo avviso necessario per verificare se la patologia che aveva determinato l´annullamento del viaggio rientrava o meno tra i rischi assicurati.

Al riguardo l´Ufficio del Garante ha in primo luogo richiamato la disposizione (art. 3 legge n. 675/1996, ora, art. 5, comma 3, d.lg. n. 196/2003), in base alla quale il trattamento di dati effettuato da persone fisiche per fini esclusivamente personali è soggetto all´applicazione della normativa sulla protezione dei dati solo se i dati sono destinati alla comunicazione sistematica o alla diffusione. Nel caso esaminato, si è pertanto constatata l´inapplicabilità di tale normativa alla raccolta ed al trattamento di dati personali anche sensibili relativi a compagni di viaggio -e relativi familiari- del segnalante, effettuati da quest´ultimo, pure per conto di altri, per prenotare il viaggio. Ad identica conclusione si è giunti per quanto riguarda la comunicazione all´impresa di assicurazione della documentazione necessaria al rimborso della penale conseguente all´annullamento del viaggio, visto il carattere non sistematico della comunicazione.

Inoltre, l´Autorità ha ritenuto indebita la peculiare forma di acquisizione dei dati consistente nell´esercizio, da parte del segnalante o di altri soggetti, del diritto di accesso alla cartella clinica detenuta dalla struttura ospedaliera presso cui la persona interessata è stata ricoverata. Infatti, alla luce dell´art. 60 del Codice e dei principi richiamati dal Garante nel provvedimento del 9 luglio 2003 (su cui v. infra lo specifico paragrafo 19.2.), l´accesso alle cartelle cliniche detenute presso strutture sanitarie deve ritenersi consentito solo se la situazione giuridica che si intende tutelare con la richiesta di accesso è di rango almeno pari ai diritti dell´interessato, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale o inviolabile. Ciò non si era invece verificato nel caso segnalato, in cui il diritto fatto valere aveva ad oggetto unicamente la pretesa al rimborso della penale pagata al tour operator in seguito all´annullamento del viaggio. A breve, l´Autorità valuterà nuovamente la questione all´esito del riscontro chiesto all´impresa assicurativa.

Infine, l´Autorità è tornata ad esaminare il problema dei limiti di ammissibilità del trattamento di dati idonei a rivelare lo stato di salute da parte delle imprese di assicurazione, in relazione alla gestione del contratto assicurativo ed all´acquisizione dei dati di assicurati o di terzi.

 
Trattamento di dati idonei a rilevare lo stato di salute

Sul punto, si è ribadita la liceità della raccolta di dati sanitari contenuti in cartelle cliniche degli assicurati qualora tali dati siano strettamente necessari per fornire le specifiche prestazioni richieste dagli interessati. Si è tuttavia osservato che, in ossequio a quanto stabilito dalla legge (art. 26, comma 1, del Codice) e dalle autorizzazioni generali nn. 2/2002 e 5/2002 (efficaci sino al 30 giugno 2004), la previsione contrattuale dell´onere di fornire, ai fini del rimborso, copia della cartella clinica in caso di ricovero, è comunque subordinata anche all´acquisizione del consenso scritto dell´interessato al quale si riferiscono i dati contenuti nella cartella. Il consenso deve essere preceduto da idonea informativa e deve avere specifico riguardo al trattamento dei dati sanitari. Rispetto alla vicenda analizzata, sono state pertanto ritenute inoperanti le ipotesi equipollenti al consenso individuate dalla normativa (v. l´art. 26, comma 4, del Codice).

In ogni caso, come si è detto, la raccolta ed il successivo trattamento dei dati sanitari devono essere effettuati in conformità ai principi di indispensabilità, pertinenza e non eccedenza dei dati rispetto alle finalità perseguite (art. 11 del Codice) e ciò proprio con riguardo alla stretta necessità per l´impresa di assicurazione di acquisire copia integrale di una cartella clinica ai fini della liquidazione di un sinistro. La stessa acquisizione dell´intera cartella clinica può non essere rispettosa di tali principi poiché tale documento, insieme ad elementi che potrebbero essere necessari ai fini delle verifiche effettuate dalla società di assicurazione per procedere al rimborso richiesto dall´assicurato (riguardo, ad esempio, ad informazioni che permettono di stabilire la natura della malattia, documentabile in modo idoneo con modalità alternative), contiene ulteriori dati di carattere sanitario che possono non avere alcun rilievo ai fini delle verifiche e che devono essere quindi stralciati.

Va ricordato anche in questo paragrafo che il Garante ha riaffermato più volte il principio (ora confermato anche nel citato d.m. del 2004) secondo cui le informazioni personali comprese nelle valutazioni e negli altri elementi di giudizio riportati nelle perizie medico-legali delle compagnie di assicurazione rientrano nella sfera dei dati personali e vanno pertanto comunicate all´interessato quando questi ne faccia richiesta. La questione è stata affrontata in dettaglio nella parte della Relazionespecificamente dedicata al diritto di accesso ai dati personali, cui si fa rinvio (parag. 7.9.; cfr. pure parag. 50.1.)

 
Comunicazione dei dati contenuti nelle perizie medico-legali

 

17. Marketing

Numerosi reclami e quesiti hanno confermato la forte sensibilità di consumatori rispetto alle intrusioni nella propria vita privata derivanti dall´adozione di nuovi strumenti e strategie di commercializzazione di prodotti o servizi.

In particolare, nel corso dell´anno sono stati sottoposti al Garante diversi episodi di ricezione di lettere, telefonate ed altre comunicazioni indesiderate da parte di operatori di direct marketing, soprattutto nell´ambito di attività di promozione di carte di credito.

Per quanto riguarda, poi, la prassi, diffusa tra gli operatori commerciali, di attingere dati personali da pubblici registri, elenchi, atti o documenti conoscibili da chiunque per intraprendere operazioni di marketing, il Garante ha evidenziato alcune importanti novità introdotte nel settore in esame dal Codice. L´art. 177, comma 5, del d.lg. n. 196/2003 ha, infatti, modificato le norme relative all´utilizzabilità delle liste elettorali, prevedendo che tali liste possano essere accessibili e rilasciate in copia solo "in applicazione della disciplina in materia di elettorato attivo e passivo, di studio, di ricerca scientifica o storica, o a carattere socio-assistenziale" o, ancora, per la tutela di un interesse collettivo o diffuso. Perciò, le liste elettorali, sebbene di formazione "pubblica", non possono più essere sfruttate per scopi commerciali o pubblicitari, a differenza di quanto era consentito alla luce della disciplina in vigore fino al 31 dicembre scorso, che dava invece la possibilità a chiunque di copiarle, stamparle o metterle in vendita.

 
Utilizzo delle liste elettorali a fini di marketing

In ambito diverso, oggetto anch´esso di approfondita analisi, il Garante ha poi autorizzato una casa editrice, previa fissazione di limiti e garanzie, a trattare eventuali dati sensibili forniti spontaneamente all´atto della formulazione di quesiti rivolti ad esperti di vari settori, da parte delle persone che richiedono servizi di consulenza on line offerti a pagamento attraverso siti e pagine web di testate giornalistiche.

L´Autorità, nel richiamare la casa editrice al rispetto dell´autorizzazione generale n. 2/2002 riguardante i dati idonei a rivelare lo stato di salute e la vita sessuale, ha autorizzato il trattamento di altri dati sensibili, eventualmente rilasciati, soltanto se realmente pertinenti all´argomento trattato o al quesito posto, oltre che indispensabili per fornire il servizio di consulenza on line. Alla società istante è stato, quindi, prescritto di inserire in modo visibile, nell´informativa fornita agli utenti, l´invito a non indicare nei quesiti dati di carattere sensibile non strettamente necessari per la risposta.

 
Consulenze on line e dati personali

Nell´eventualità, poi, che la domanda e la risposta siano inserite, previo consenso dell´utente, negli spazi consultabili liberamente dal pubblico (ad esempio in una rubrica delle domande più frequenti, cd. faq), l´Autorità ha imposto alla società di verificare prima della loro pubblicazione che, oltre al nome ed all´indirizzo e-mail dell´interessato, non vi compaiano altri dati, anche diversi da quelli sensibili, che possano rendere identificabile l´utente. Gli esperti on line -designati responsabili del trattamento- devono perciò controllare che nelle risposte pubblicate non vi sia alcun elemento che permetta di risalire all´identità della persona che ha richiesto la consulenza. Essi devono ricevere poi adeguate istruzioni in merito alla necessità di verificare la pertinenza dei dati sensibili riportati nei quesiti, in vista della loro eliminazione ove non necessari per la prestazione del servizio.

Nel periodo di riferimento, sono stati anche completati gli accertamenti (v. Relazione 2002, p. 104) riguardanti la raccolta e il trattamento dei dati personali nell´ambito della distribuzione nei supermercati di carte di fidelizzazione della clientela per promuovere operazioni a premi o sconti. È quindi imminente l´adozione di un provvedimento di carattere generale su tale tematica, per richiamare l´attenzione di quanti ricorrono a tali iniziative sulla necessità di riformulare alcuni modelli di informativa agli interessati e di richiesta del consenso, e di adottare altre misure necessarie per conformare alle leggi i trattamenti di dati.

Dall´istruttoria svolta è già emersa la necessità di far assicurare il rispetto della normativa sulla privacy nei casi di trattamento dei dati con finalità di profilazione della clientela, quando, cioè, sulla base dei volumi di spesa e delle tipologie di prodotti acquistati dai singoli clienti, vengono predefinite determinate categorie o gruppi di consumatori abituali o meno, per procedere poi alla realizzazione di promozioni ed offerte ad essi mirate (volte a premiare la frequenza di visita, a promuovere l´acquisto di determinati prodotti, ecc.).

 
Profilazione della clientela

È stata peraltro già rilevata la tendenza di alcune società ad effettuare in tutto o in parte il trattamento dei dati dei clienti in forma prevalentemente anonima.

Particolare rilevanza riveste poi, per il settore in esame, la prossima definizione del codice di deontologia relativo al trattamento dei dati personali a scopo di marketing diretto e di invio di materiale pubblicitario, ovvero per il compimento di ricerche di mercato o di comunicazione commerciale. Tale codice dovrà, infatti, prevedere a breve forme semplificate per la manifestazione del consenso da parte dell´interessato, ovvero per rendere meglio conoscibile la sua eventuale opposizione all´invio di determinate comunicazioni commerciali.

A livello europeo si segnala infine l´approvazione, a seguito della consultazione delle parti interessate, del codice di condotta proposto dalla Federazione europea del marketing diretto. Nel Parere 3/2003 del 13 giugno 2003, il Gruppo istituito dall´art. 29 della direttiva n. 95/46/CE ha ritenuto il codice di condotta conforme alla direttiva sulla protezione dei dati ed alle disposizioni nazionali di attuazione. Il codice in questione affronta i problemi specifici della protezione dei dati nel settore del marketing diretto e propone alcune soluzioni.

 
Codice di condotta proposto dalla Fedma

Scheda

Doc-Web
1051420
Data
28/04/04

Tipologia

Relazione annuale

Documenti citati