Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Newsletter 9 - 15 giugno 2003

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
188992
Data:
09/06/03
Tipologia:
Newsletter

 

N. 174 del 9 - 15  giugno 2003

 

• Schede telefoniche attivate ad insaputa dei clienti

• E-government: il punto dei Garanti europei

 

 

Il Garante denuncia alla magistratura una catena di rivenditori  telefonici

Attivavano numerose schede telefoniche ad insaputa dei clienti

 

Entravano in un negozio per acquistare una scheda telefonica e ne uscivano ignari che, di lì a poco,  i loro dati personali sarebbero stati utilizzati per attivare, sempre a loro nome, altre carte telefoniche.


Con una denuncia all’autorità giudiziaria per trattamento illegittimo di dati personali, il Garante, al termine di articolate e complesse indagini, ha dato comunicazione dell’attività illecita di una società che gestisce numerosi punti vendita, situati nell’Italia centrale. I rivenditori provvedevano all’attivazione di carte telefoniche per conto di uno dei principali gestori di tlc.

L’attività di accertamento del Garante è partita dalla segnalazione di una persona che, dopo aver acquistato una scheda telefonica ricaricabile presso uno degli esercizi della società sito a Roma, era venuta casualmente a conoscenza di essere a sua insaputa intestataria anche di altre 6 utenze che risultavano attivate a suo nome, da parte del medesimo esercizio.

L’attenzione del dipartimento ispettivo del Garante si è concentrata quindi sulle attivazioni di schede telefoniche  da parte dei predetti punti vendita, in particolare, sulle modalità e le finalità del trattamento dei dati personali forniti dai clienti.

Dalle ispezioni, effettuate in collaborazione con personale appartenente al Comando unità speciali della Guardia di finanza presso la sede della società, nonché mediante riscontri incrociati con i dati in possesso della società telefonica, è emerso che, in un solo breve periodo esaminato, presso i punti vendita della società erano state effettuate - con le stesse modalità di quelle citate nella segnalazione al Garante - quasi 800 attivazioni di schede telefoniche ricaricabili nei confronti di circa 200 persone.


Il motivo per il quale la società avrebbe effettuato queste attivazioni potrebbe risiedere nei “piani di incentivazione per i rivenditori” che prevedono, al superamento di determinate soglie di attivazioni prestabilite, il riconoscimento agli stessi rivenditori di un “extracompenso” per ogni attivazione effettuata in più rispetto al plafond programmato. Utilizzando in modo del tutto illecito i dati dei propri clienti, pertanto, la società sarebbe riuscita a lucrare, pur nel solo breve periodo indicato, “premi” per oltre 80 milioni di vecchie lire.


Il controllo svolto per appurare se i titolari di tali carte telefoniche fossero a conoscenza delle  attivazioni effettuate a loro nome, ha messo in luce che le persone interessate avevano spesso acquistato una prima scheda telefonica presso uno degli esercizi della società, ed erano del tutto ignare di essere intestatarie di altre schede, utilizzabili in vari modi, anche illeciti. I dati personali erano stati usati senza il consenso espresso degli interessati e quindi in maniera illegittima.

 

In precedenza il Garante si era già occupato di ricorsi di cittadini che si erano ritrovati, ignari, sottoposti ad indagini penali a seguito di intercettazioni legali disposte su utenze telefoniche mobili di cui non erano stati mai reali intestatari.

 

Nel corso degli accertamenti è emerso, infine, che il gestore telefonico - una volta rilevato che i piani di incentivazione precedentemente adottati potevano indurre i rivenditori meno scrupolosi a comportamenti irregolari - ha introdotto incentivi legati non solo al numero delle attivazioni effettuate, ma anche al valore del traffico generato dalle carte telefoniche attivate.

Il trattamento illecito di dati, effettuato per trarne profitto per sé o per altri, è punito dalla legge con la reclusione fino a due anni, salvo che il fatto non costituisca più grave reato.

 

 

E-government: il punto dei Garanti europei

Bilancio positivo ma è necessario un maggiore coordinamento tra autorità per la privacy e governi nazionali

 

In un documento recentemente pubblicato (disponibile all’indirizzo http://www.europa.eu.int/..., per il momento soltanto in lingua inglese) i Garanti europei hanno analizzato la situazione corrente e le prospettive di sviluppo in tema di e-government, sottolineandone le implicazioni in chiave di protezione dei dati personali e richiamando l’attenzione sui possibili rischi del mancato coordinamento fra governi nazionali e autorità di protezione dati.

 

Il documento dei Garanti prende spunto dalle indicazioni del piano di azione “e-Europe” approvato nel giugno 2000 durante il Consiglio europeo di Feira, in Portogallo. In esso lo sviluppo di forme di e-government era citato fra le priorità di intervento dei governi europei, e si forniva anche una lista di 20 procedure che nei prossimi anni dovranno essere disponibili on-line: dalla creazione di “portali” unificati di accesso alla pubblica amministrazione, alla possibilità di effettuare pagamenti online o ottenere certificati e copie di documenti ufficiali, fino all’introduzione di veri e propri “documenti di identità elettronici”. Attraverso un questionario diffuso fra tutte le autorità nazionali di protezione dati, si è cercato di capire quale fosse lo stato dell’arte in Europa, quali di queste iniziative fossero già state realizzate o fossero in via di realizzazione, e quali fossero i principali problemi evidenziati dalle autorità nazionali – non sempre consultate così come previsto dalla legislazione interna.

 

- Un primo punto da sottolineare è proprio l’attenzione non sempre elevata che i governi dei 15 sembrano prestare al tema della protezione dei dati in questo contesto. Per quanto l’obbligo di consultare l’autorità competente sia previsto per legge nella quasi totalità dei Paesi UE (in Italia dall’art. 31(2) della Legge 675/96), la consultazione non appare sistematica. In vari Paesi si è verificato, infatti, che alcune iniziative di e-government siano state attuate senza avere sentito l’autorità nazionale per la protezione dei dati. Tuttavia, il bilancio tratto è sostanzialmente positivo: attraverso consultazioni pubbliche (come in Francia o nel Regno Unito), procedimenti formali (a livello parlamentare, come in Italia), lettere aperte o altro, su molti temi connessi all’e-government i garanti europei hanno potuto far sentire la propria voce.

 

- Un altro punto fermo è l’esistenza di un grande numero di progetti in via di realizzazione in tutti i Paesi UE, molti dei quali hanno implicazioni significative sui trattamenti di dati personali dei cittadini: citiamo, in particolare, la possibilità di presentare dichiarazioni dei redditi online e di effettuare pagamenti specifici (IVA), notificare cambiamenti di residenza, consultare offerte di lavoro, e tutta una serie di servizi (prestiti bibliotecari, rilascio di permessi edilizi o certificati anagrafici, esami universitari, rimborsi di spese sanitarie, ecc.). In questi casi le autorità consultate hanno sottolineato, naturalmente, l’esigenza di specifiche misure di sicurezza (identificazione e autenticazione, cifratura dei dati trasmessi) e di un’adeguata informazione dei cittadini – in particolare, rispetto ai diritti riconosciuti dalla direttiva e dalle leggi nazionali (accesso, rettifica, cancellazione).

 

- Nella maggioranza dei Paesi UE sono già disponibili (o lo saranno presto) veri e propri portali della pubblica amministrazione, ossia punti di accesso unici dai quali è possibile raggiungere più amministrazioni (centrali o periferiche) e, in alcuni casi, ottenere vari servizi (secondo il modello dello “sportello unico”). Ciò comporta l’esigenza di raccogliere e conservare dati personali, e nei Paesi ove queste iniziative sono in fase più avanzata (ad esempio, nei Paesi Bassi) l’autorità per la privacy ha richiamato l’attenzione sull’esigenza di specificare chiaramente compiti e responsabilità delle singole amministrazioni che accedono al portale, e di garantire idonee misure di sicurezza. Un’altra questione rilevante riguarda la possibilità di servirsi di soggetti privati per la gestione di alcune di queste procedure amministrative. Sul tema le opinioni divergono: alcuni Paesi, fra cui l’Italia, non ritengono possibile che soggetti privati accedano ai dati personali dei cittadini che si rivolgono alla pubblica amministrazione (anche se in molti di tali Paesi i portali sono stati sviluppati con tecnologie messe a disposizione da soggetti privati); in altri (ad esempio in Francia o in Belgio) ciò è invece ritenuto possibile, ma i soggetti privati devono dare idonee garanzie di affidabilità soprattutto in termini di tutela della privacy dei cittadini. Ad ogni modo, i requisiti individuati da varie autorità per consentire il coinvolgimento di soggetti privati nella gestione dei portali della pubblica amministrazione comprendono la previsione di adeguate garanzie contrattuali; l’indicazione precisa dei compiti affidati; la definizione di misure di sicurezza; il divieto di utilizzare i dati per finalità diverse da quelle per cui sono stati raccolti e di comunicarli a terzi; la specificazione dei dati conservati, e l’eventuale previsione di una commissione indipendente di controllo.

 

- Il problema del codice di identificazione unico. In molti paesi esiste già un “identificatore” unico utilizzato dai cittadini per i contatti con la pubblica amministrazione. Può trattarsi di un identificatore settoriale (codice fiscale italiano) oppure di un numero unico nazionale (Svezia, Finlandia). La riflessione dei Garanti si è concentrata su due temi fondamentali: a) il fatto che l’impiego su scala generale di identificatori originariamente settoriali necessita di adeguate garanzie (in pratica, di un fondamento di legge così come richiesto dalla direttiva 95/46). E’ il caso dell’Italia e del previsto ampliamento delle possibilità di utilizzazione del codice fiscale (va ricordato, inoltre, che, ad esempio, in Portogallo esiste un divieto costituzionale di introdurre un identificatore unico nazionale); b) i rischi di un’interconnessione “selvaggia” fra database diversi attraverso, appunto, l’identificatore unico. Anche in questo caso devono esistere idonee garanzie legislative che vietino ai soggetti pubblici di utilizzare per finalità diverse i dati raccolti e conservati, tranne nei casi previsti specificamente dalla legge.

 

- Per quanto riguarda, più in generale, i rischi connessi all’interconnessione fra banche dati della pubblica amministrazione, tutte le Autorità si oppongono a forme indiscriminate di interconnessione. Tutte hanno sottolineato che le opportunità di semplificazione e razionalizzazione offerte dallo sviluppo dell’e-government non devono tradursi in un aumento dei controlli sui cittadini. In molti Paesi sono stati istituiti specifici gruppi di lavoro, ai quali partecipano le autorità di protezione dati per valutare esattamente questi aspetti. Ancora una volta, i principi che devono essere fatti valere ai fini dell’interconnessione (regolamentata per legge) sono quelli della qualità dei dati (i dati personali devono essere adeguati, pertinenti, non eccedenti), della legittimità dei trattamenti, dell’informazione agli interessati e di un elevato livello di sicurezza. Particolare interesse rivestono i risultati di uno studio condotto dal Governo del Regno Unito, che ha evidenziato come i benefici attesi dalla condivisione delle informazioni pubbliche non debbano essere considerati prevalenti sulle attese dei cittadini rispetto alla tutela della loro privacy.

 

- Piuttosto limitata risulta nei 15 Paesi europei l’esperienza legata all’attuazione della firma digitale. Sono pochi i settori nei quali è possibile servirsi della firma digitale, per motivi di vario genere (costi elevati, assenza di norme regolamentari, complessità dei sistemi esistenti). Ad ogni modo, tutti i Garanti hanno giudicato positivamente la firma digitale in quanto possibile ausilio per offrire una migliore tutela dell’identità personale; hanno però sottolineato che è fondamentale prevedere un’adeguata e chiara informazione degli utenti da parte dei servizi di certificazione (destinatari delle informazioni raccolte, misure di sicurezza etc.).

 

- Carta di identità elettronica: nella maggior parte dei Paesi UE esistono carte elettroniche di identità di natura settoriale, utilizzate per servizi specifici (generalmente di tipo sanitario). In tutti questi Paesi è previsto un ampliamento dell’uso di tali carte, anche se non sempre esse serviranno ai fini dell’identificazione dei cittadini su base generalizzata. Le autorità nazionali sono state consultate in varia misura (come sopra ricordato) rispetto a tali progetti, ed hanno segnalato alcuni aspetti problematici: definizione delle categorie di dati registrabili sulla carta, procedure da utilizzare per il trattamento di tali dati, definizione dei soggetti autorizzati ad accedere alle diverse categorie di dati, rispetto dei diritti delle persone, possibilità di utilizzare la carta elettronica per finalità commerciali (pagamenti on line, “portafogli elettronico”). E’ interessante osservare che l’Italia risulta essere, insieme alla Finlandia, il Paese nel quale la sperimentazione di questo tipo di carta di identità è maggiormente avanzata.

 

 

NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma.
Tel: 06.69677.1 - Fax: 06.69677.785
Newsletter è consultabile sul sito Internet www.garanteprivacy.it