Gli "spammer" rischiano il risarcimento danni
Il Garante ha riaffermato il principio riguardo ad un caso di invio di fax non richiesti

Il destinatario di fax, e-mail, sms e mms indesiderati può rivolgersi al giudice civile e chiedere un risarcimento per la lesione dei propri diritti. Lo ha affermato in un recente provvedimento il Garante, di cui è stato relatore Giuseppe Fortunato, che prosegue in questo modo nell´azione di contrasto allo spam. L´Autorità ha vietato l´uso illecito di dati personali  a fini di marketing  ad una società che inviava in modo sistematico e ad una molteplicità di persone, materiale pubblicitario e comunicazioni commerciali senza il consenso dei destinatari. La società raggiunta dal provvedimento di divieto non potrà più utilizzare i dati personali in suo possesso. Numerose irregolarità erano infatti emerse nel corso degli accertamenti svolti a seguito di alcune segnalazioni nelle quali si lamentava l´invio di fax indesiderati da parte di una società che promuoveva prodotti e servizi per conto di altre aziende. Nel definire il procedimento il Garante ha ribadito che inviare fax commerciali, senza aver prima ottenuto il consenso informato dei destinatari, comporta un trattamento illecito. Non solo: lo spam può causare danni al destinatario. Nel caso di invio via fax, tale danno può consistere, tra l´altro, nella perdita di tempo, nell´uso indebito della carta, del toner del suo apparecchio e nel disturbo provocato dalla comunicazione indesiderata che tiene occupato l´apparecchio.

La società, dal canto suo, si era giustificata asserendo di inviare fax commerciali solo a soggetti economici i cui numeri sarebbero reperibili sugli elenchi categorici (es. Pagine gialle, Pagine utili). Il Garante ha spiegato che, anche nel caso si utilizzino tali elenchi, non vi è possibilità di un invio senza consenso quando le comunicazioni commerciali sono effettuate con particolari modalità (via fax, posta elettronica, sms o mms o chiamate vocali mediante operatore automatico).

"Le comunicazioni non desiderate, siano esse quelle effettuate via telefono, fax, o quelle elettroniche via sms, mms, e-mail –afferma Giuseppe Fortunato – rappresentano oggi le forme più invasive di disturbo nella vita quotidiana di utenti e consumatori. È un fenomeno che va combattuto per liberare le reti di comunicazione da chi le ingolfa solo per proprio profitto. In questa battaglia di civiltà il Garante ha proceduto ad ispezioni tramite Guardia di Finanza, ha denunciato alla magistratura i responsabili, ha comminato notevoli sanzioni e su questa strada proseguirà nella difesa dei cittadini in maniera sempre più incisiva." 

Sicurezza siti archeologici e uso dei dati biometrici
Una Soprintendenza archeologica potrà usare l´impronta della mano dei dipendenti per l´accesso ad una sala operativa

Per la prima volta una Soprintendenza archeologica potrà usare l´impronta della mano dei dipendenti per l´accesso ad una sala operativa. Il Garante per la protezione dei dati personali ha autorizzato, con un provvedimento di cui è stato relatore Giuseppe Chiaravalloti, una Soprintendenza archeologica al trattamento di dati biometrici per consentire ad  un numero limitato di dipendenti di accedere alla propria sala operativa, una area riservata particolarmente sensibile.

Il sistema di riconoscimento biometrico, di cui la Soprintendenza intende avvalersi, si basa solo sul rilevamento delle caratteristiche geometriche della mano e non su altri dati biometrici. Il dispositivo è finalizzato a controllare l´accesso alla sala operativa "ove confluiscono segnalazioni afferenti alla sicurezza anticrimine e antincendio dei siti archeologici" di competenza della Soprintendenza: obiettivo principale, contrastare l´elevato rischio di aggressione dei dipendenti da parte di ladri e tutelare i beni archeologici dichiarati dall´Unesco patrimonio dell´umanità.

Il funzionamento del sistema prevede che alle caratteristiche geometriche della mano venga associato un algoritmo crittografico poi archiviato nella memoria interna del dispositivo biometrico. Tale dispositivo non è collegato in rete e può essere attivato per effettuare l´accesso solo attraverso una parola chiave numerica scelta dal dipendente.

Il trattamento dei dati è stato ritenuto lecito dal Garante e proporzionato allo scopo. Le caratteristiche geometriche della mano di un individuo, spiega infatti l´Autorità,  a differenza delle impronte digitali utilizzabili anche in altri contesti con effetti sugli interessati, non sono descrittive al punto tale da risultare uniche; possono eventualmente non garantire l´identificazione univoca e certa di una persona, ma sono sufficientemente dettagliate per essere impiegate in circoscritti ambiti ai fini della verifica di identità. La geometria della mano appartiene a quella categoria di dati biometrici, evidenzia l´Autorità, che non lasciano tracce suscettibili di essere utilizzate per scopi diversi da quelli perseguiti da chi le raccoglie ed usa.

Inoltre, l´attività di identificazione rientra nelle finalità istituzionali  della Soprintendenza, la quale, dovendo garantire nel caso di specie elevati standard di sicurezza, ha necessità di un rigoroso accertamento dell´identità dei dipendenti.

Nell´autorizzare l´uso del sistema, il Garante ha comunque prescritto di integrare l´informativa da fornire ai dipendenti riguardo al trattamento dei loro dati personali, specificando quali possano essere le modalità alternative di accesso per i dipendenti che non vogliono o non possano avvalersi del sistema di rilevazione delle caratteristiche della mano.

Tutela della privacy e informazioni commerciali

Le modalità con cui vengono resi noti e gestiti i dati personali tratti da registri pubblici aggregati in un database, devono rispettare i principi di liceità, correttezza e non eccedenza nel loro trattamento e nei tempi di conservazione. È quanto ribadito dal Garante nell´accogliere il ricorso di una persona che aveva chiesto invano ad una società di business information di cancellare alcuni dati relativi alla propria attività non perché falsi, ma perché riportati in maniera incompleta e quindi lesivi della propria immagine all´esterno. In particolare, si trattava di dati inerenti al fallimento, avvenuto più di vent´anni prima e poi chiuso per assenza di passivo, di una società di cui il ricorrente era socio. Il database gestito dalla società viene utilizzato da coloro che operano nel mondo degli affari per ottenere informazioni circa l´affidabilità e la solvibilità di persone o società con le quali eventualmente instaurare rapporti commerciali.

L´Autorità ha ritenuto che le informazioni presenti nella banca dati venivano messe a disposizione di un amplissimo numero di persone in maniera incompleta e fuorviante: in particolare, non erano indicate infatti le ragioni che avevano portato alla chiusura del fallimento, pure presenti nei registri pubblici  e, soprattutto, si continuava ad associare l´interessato ad un evento, peraltro avvenuto ventidue anni prima, relativo ad un altro soggetto giuridico, cioè la società fallita.

Il Garante ha perciò disposto la sospensione della visibilità dell´informazione relativa al fallimento laddove figuri associata direttamente al ricorrente.

L´Autorità ha ricordato di aver già deciso, in vista dell´elaborazione del previsto codice deontologico in materia, di avviare un procedimento di verifica riguardo all´uso dei dati per finalità di informazione commerciale.