Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Newsletter 6 - 12 gennaio 2003

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
1492242
Data:
06/01/03

Newsletter 6 - 12 gennaio 2003

  • I data base delle aziende devono essere aggiornati
  • Ispezione del Garante sul sistema di una banca on line
  • Telecamere in banca: ripresi solo i piedi. Precisazione del Garante
  • Libertà di espressione e Internet.Un caso in Germania
     

 

I data base delle aziende devono essere aggiornati

Aziende private e pubbliche amministrazioni devono aggiornare i propri archivi con le qualifiche professionali ed i titoli di studio acquisiti dai lavoratori. Tale operazione deve essere tempestiva ed effettuata in ogni altro pertinente data base dell’azienda. La normativa sulla privacy prevede, infatti, che i dati personali oggetto di trattamento siano esatti e aggiornati.

Il principio è stato ribadito dall’Autorità Garante che ha accolto il ricorso di un laureato insoddisfatto dell’operato della ditta alla quale aveva chiesto invano, in base alle disposizioni della legge n. 675 del 1996, l’aggiornamento dei dati relativi al titolo di studio appena conseguito e l’attestazione che la variazione fosse stata portata a conoscenza di tutti coloro ai quali i dati erano stati comunicati. L’archivio dati personali dell’azienda non risultava, infatti, allineato all’organigramma consultabile sulla intranet della societa, nel quale il dipendente veniva indicato con il titolo di "dottore". L’interessato chiedeva inoltre che le spese del ricorso venissero addebitate al datore di lavoro.

L’azienda, invitata dal Garante a soddisfare le richieste del dipendente, si dichiarava disponibile a eseguire l’operazione appena in possesso del certificato di laurea, ancora non pervenuto alla direzione competente.

In sede di istruttoria del ricorso, il Garante riconosceva anzitutto la legittimità della richiesta del ricorrente all’aggiornamento dei dati personali ed accertava, inoltre, che il certificato di laurea era stato già trasmesso all’azienda che aveva in parte adempiuto alle richieste del lavoratore. Il nominativo del ricorrente risultava, infatti, preceduto dal predetto titolo di studio nell’organigramma aziendale pubblicato via web, oltre che in altri documenti prodotti dallo stesso interessato.

Non risultava, invece, aggiornato l’archivio dati personali ove veniva indicato il solo titolo di studio di ragioniere perito commerciale.

Accogliendo l’ istanza del ricorrente il Garante ha disposto che la società ne aggiorni i dati, con particolare riferimento al conseguimento del diploma di laurea, fornendo l’attestazione che tale variazione è stata comunicata a tutti coloro ai quali erano stati comunicati i dati del dipendente. Le spese del procedimento, determinate nella misura forfettaria di 250 euro, dovranno essere versate direttamente dal datore di lavoro al ricorrente.

 

Ispezione del Garante sul sistema di una banca on line
(comunicato del 10 gennaio 2003)

Il Garante per la protezione dei dati personali ha disposto un’ispezione del sistema informatico di una importante banca on line.

La decisione è stata assunta dall’Autorità per la privacy dopo aver esaminato il ricorso di un cittadino, cliente della stessa banca, che è riuscito attraverso Internet a consultare non solo i dati del suo conto corrente, ma anche quelli di altri clienti della banca. Un fatto ritenuto grave dall’Authority, considerate anche le prospettive di sviluppo del settore dell’e-banking e il coinvolgimento di molti cittadini e operatori.

L’intento del Garante, attraverso l’ispezione, è quello di verificare i sistemi di sicurezza adottati dall’istituto di credito e il loro grado di affidabilità riguardo alla tutela della riservatezza dei dati personali della clientela.

L’ispezione dovrà accertare come si sia potuto verificare l’ingresso nella banca dati e quali diverse misure di sicurezza siano state poi adottate per assicurare la confidenzialità e l’integrità dei dati relativi alla clientela.

 

Telecamere in banca: ripresi solo i piedi. Precisazione del Garante
(comunicato del 27 dicembre 2002)

"E’ grave che continuino ad essere diffuse informazioni sull’applicazione della legge sulla privacy che ne travisano il contenuto e la presentano in modo da determinare reazioni negative nei cittadini, i quali, invece, a milioni, hanno ricevuto dal Garante tutela dei loro diritti."

Questo il commento dell’Autorità alla notizia sulle telecamere installate in una banca di Camucia e che avevano ripreso solo i piedi dei rapinatori.

Il Garante precisa che non esiste alcuna norma della legge sulla privacy che vieti di installare telecamere che non siano in grado di individuare il volto di una persona presente nella filiale di una banca.

Al contrario, come più volte ribadito dal Garante, la legge n. 675 del 1996 non ostacola affatto l’installazione di telecamere a fini di sicurezza, come dimostra l’elevato numero di sistemi di videosorveglianza attualmente in uso presso banche, esercizi commerciali, enti pubblici, aziende, semplici privati. Ciò risulta chiaro non solo dalla stessa normativa sulla privacy, ma dalle diverse pronunce con le quali l’Autorità Garante ha indicato anche i precisi criteri per contemperare il diritto alla riservatezza delle persone con le esigenze di sicurezza della collettività.

Il Garante ha indicato, infatti, fin dal dicembre 2000, le garanzie con le quali le installazioni di impianti di videosorveglianza sono non solo possibili, ma consentite a fini di tutela della sicurezza dei cittadini e dei clienti delle banche.

Non avrebbe alcun senso, anche logico - del resto - installare un sistema di videosorveglianza per la sicurezza dei clienti che riprenda solo il tronco e la parte inferiore della persona e non anche il volto.

Il Garante chiederà alla banca notizie sulle modalità di installazione del sistema di videosorveglianza.

 

Libertà di espressione e Internet. Un caso in Germania

Un recente caso avvenuto in Germania (v. www.heise.de/...) ha riproposto il tema della libertà di espressione su Internet e della responsabilità dei provider in caso di affermazioni e/o dichiarazioni diffamatorie o pericolose da parte di chi utilizza i rispettivi servizi (v. in particolare, per quanto riguarda l’Italia, Newsletter 30 ottobre-5 novembre 2000). Il caso ha sollevato anche interrogativi sulla conservazione dei dati di traffico - in questo caso, dei dati di connessione - da parte dei provider, al di là di quanto necessario per scopi di fatturazione.

La vicenda riguarda le affermazioni comparse in un gruppo di discussione nel quale veniva commentato il massacro di Masar-i-Sharif in Afghanistan. Alcune affermazioni di un commentatore sono state ritenute una forma di istigazione alla violenza da un altro partecipante al gruppo di discussione, che ha denunciato la cosa alla procura di Münster. La procura ha aperto un procedimento legale contro il "responsabile" con l’accusa, appunto, di istigazione alla violenza e ad attività terroristiche.

Il caso è stato discusso l’8 gennaio scorso dal tribunale di Münster, che ha prosciolto l’imputato dall’accusa dopo aver approfondito i termini della questione - in pratica, sottolineando la natura ironica delle affermazioni e l’assenza di una volontà criminosa. Non si è spenta però l’eco delle polemiche che in Germania hanno accompagnato questa vicenda, la quale presenta almeno due profili interessanti.

In primo luogo, si ripropone il tema della responsabilità dei provider per i contenuti presenti nei siti da essi gestiti. L’orientamento prevalente in Germania è che i provider siano comunque responsabili per i contenuti pubblicati, ad esempio, su un gruppo di discussione, qualora, pur essendone a conoscenza e valutandone la potenziale illiceità (ad esempio, in caso di affermazioni diffamatorie), non provvedano ad eliminarli. Questo anche alla luce della legislazione tedesca in materia di telecomunicazioni. Pertanto, il consiglio pratico rivolto ai gestori di gruppi di discussione virtuali è di indicare con chiarezza le regole di comportamento, e di verificare regolarmente i contenuti presenti - anche per quanto riguarda i cosiddetti "registri degli ospiti" (guest books), nei quali possono essere contenute affermazioni offensive e/o diffamatorie.

In secondo luogo, c’è il profilo della conservazione dei dati di connessione da parte dei provider. Il caso ha mostrato, infatti, che il provider aveva conservato i dati di connessione dell’imputato molto più a lungo di quanto necessario per scopi di fatturazione - fornendoli alla Procura, secondo l’imputato, senza autorizzazione giudiziaria. Soprattutto, l’imputato era titolare di un

abbonamento a tariffa "flat", il che escluderebbe ogni calcolo dell’effettiva durata delle connessioni. Sorge dunque il sospetto che le prassi adottate da molti provider di servizi di telecomunicazione non siano in linea con quanto richiesto, fra l’altro, dalla direttiva europea in materia di telecomunicazioni e privacy (97/66, presto sostituita dalla nuova direttiva 2002/58; v. anche Newsletter 2-8 luglio 2001).