Diritti interna

Doveri interna

ricerca avanzata

Newsletter 29 settembre - 5 ottobre 2003

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
332073
Data:
29/09/03
Tipologia:
Newsletter

 

N. 185 del 29 settembre -  5 ottobre 2003


• Spamming: bloccate altre sette società in internet
• Accesso ai dati personali e riconoscimento 
• In aumento negli USA i “furti d’identità”


Spamming: bloccate altre sette società in Internet

Inviavano sistematicamente e-mail pubblicitarie  e commerciali senza il consenso degli interessati

Nuovo intervento del Garante contro lo spamming. “Bloccati” i data base di altre sette società che operano in Internet per gravi violazioni della legge sulla privacy. Le società inviavano sistematicamente e in modo massivo, utilizzando anche software di raccolta e creazione automatica di indirizzi e-mail, comunicazioni commerciali e pubblicitarie indesiderate, senza aver prima acquisito il consenso informato dei destinatari. Gli indirizzi e-mail sono infatti da considerarsi dati personali ed il loro utilizzo a fini di pubblicità è consentito solo dopo aver ottenuto il consenso del destinatario.

L’intervento del Garante si è reso necessario per prevenire ulteriori possibili illeciti nei confronti di migliaia di  naviganti in Internet i cui nominativi sono presenti negli archivi delle sette società. Le violazioni nell’uso degli indirizzi e-mail, che hanno portato all’adozione dei provvedimenti di blocco, sono emerse dall’esame dei ricorsi di alcuni utenti che si erano rivolti al Garante denunciando l’invio di posta elettronica indesiderata. L’Autorità , all’esito dei ricorsi, oltre ad adottare  i provvedimenti di blocco notificati in questi giorni alle società, ha aperto autonomi procedimenti per verificare possibili ulteriori violazioni della legge sulla privacy.

Entro un termine stabilito le società dovranno fornire al Garante una serie di informazioni utili alla valutazione dei casi. 

Dovranno precisare, in particolare, modalità di raccolta ed utilizzo degli indirizzi e-mail, anche attraverso l’uso di eventuali software; i tipi di trattamenti effettuati sui dati raccolti e la loro eventuale diffusione a terzi; modalità e forme attraverso cui viene fornita l’informativa agli interessati e ove necessario, richiesto il consenso; i provvedimenti adottati per consentire l’esercizio dei diritti riconosciuti dalla legge sulla privacy: accesso, rettifica, cancellazione, opposizione al trattamento dei dati personali. Durante il “blocco” le società  devono sospendere ogni trattamento dei dati personalieffettuato in modo illecito e non corretto e conservare i dati nello stato in  cui si trovano. La violazione  del provvedimento di blocco prevede la reclusione da tre mesi a due anni.

Di recente il Garante era intervenuto con un provvedimento generale contro lo spamming  ribadendo che inviare e-mail pubblicitarie senza il consenso del destinatario è vietato dalla legge e se questa attività è effettuata a fini di profitto si viola la norma penale e il fatto può essere denunciato all’autorità giudiziaria.  
 


Accesso ai dati personali e riconoscimento
Se la persona è conosciuta può non esibire il documento di identità

Si può chiedere di accedere ai propri dati personali senza bisogno di esibire un documento di riconoscimento, se chi detiene i dati ha la possibilità di accertare l’identità dell’interessato attraverso la conoscenza personale o altri concreti elementi.

Il principio, già affermato in passato dall’Autorità, è stato ribadito nel provvedimento con il quale il Garante ha accolto il ricorso di un cittadino che lamentava da parte della sua agenzia di assicurazione di non aver ottenuto riscontro a due istanze, formulate ai sensi dell’art. 13 della legge n. 675/1996, con le quali aveva chiesto la comunicazione in forma intelligibile dei dati personali riferiti ai premi assicurativi corrisposti in relazione a due polizze a lui intestate.

La società resistente, invitata dal Garante a fornire chiarimenti asseriva di non aver ottemperato alla richiesta poiché l’interessato non aveva dimostrato la propria identità allegando copia del documento di riconoscimento, né il legale dello stesso aveva allegato, neanche successivamente, copia della procura o della delega rilasciata dall’interessato. Comunicava di aver comunque ottemperato alla richiesta chiedendo quindi la compensazione delle spese del procedimento.

L’Autorità ha però disatteso il rilievo formulato dal titolare del trattamento. L’art. 17, comma 2, del d.P.R. n. 501/1998 precisa infatti che l’interessato “deve dimostrare la propria identità anche esibendo o allegando copia di un documento di riconoscimento”. L’esibizione di un documento di riconoscimento, dunque, è solo una delle possibili modalità di dimostrazione dell’identità personale, peraltro né esclusiva, né obbligatoria, essendo sufficiente appurare l’identità personale dell’interessato anche attraverso altre adeguate circostanze quale la conoscenza personale o altri concreti ed effettivi elementi risultanti al titolare come, ad esempio, quelli che emergevano, nel caso specifico, del rapporto epistolare che era  intercorso tra le parti prima che il caso fosse sollevato davanti l’Autorità.

Alla società resistente, avendo in ogni caso provveduto a soddisfare adeguatamente alle richieste dell’interessato, sono state pertanto imputate solo parte delle spese del procedimento, fissate in misura forfetaria in 125 euro, da liquidarsi direttamente a favore del ricorrente.



In aumento negli Usa i “furti d’identità”
Negli ultimi cinque anni le vittime sono state 27 milioni. Il numero dei furti rispetto al 2002 è cresciuto dell’80 per cento

Il furto di identità, cioè la sottrazione  di dati personali dell’interessato (carta di credito, numero di carta sanitaria etc.), è negli Usa un fenomeno in crescita preoccupante che comporta per le vittime costi economici e psicologici sempre più alti (www.privacyrights.org/...).

Alcuni recenti studi, pubblicati tra il luglio e il settembre 2003, hanno posto in  evidenza la necessità di una maggiore attenzione e di un impegno più concreto da parte dei legislatori, amministrazioni pubbliche, banche e società finanziarie. Oltre ai profili quantitativi, alcune di queste ricerche hanno esaminato anche l’impatto psicologico sulle vittime e le onseguenze a lungo termine.

La FTC, ad esempio, ha valutato un campione di oltre 4.000 famiglie intervistate fra marzo e aprile 2003, dal quale risulta che almeno 27 milioni di americani hanno subito un furto di identità negli ultimi cinque anni.  La metà di essi se ne è accorta solo al momento di ricevere l’estratto conto. Nella maggioranza dei casi (67%) i criminali si erano impadroniti surrettiziamente dei dati relativi alla carta di credito, mentre in altri (25%) il problema era sorto dopo che le vittime avevano smarrito documenti personali (carte di credito, libretti per assegni) o ne avevano subito il furto. La FTC stima che i costi per le imprese e le istituzioni finanziarie siano stati pari a oltre 47 miliardi di dollari nel solo 2002, mentre i consumatori vittime di questi furti hanno dovuto sostenere spese a vario titolo per oltre 5 miliardi di dollari. Secondo un altro studio, condotto dalla Gartner (una società di consulenza) su 2.445 nuclei familiari in USA, il numero di furti di identità è salito dell’80% circa rispetto al 2002. Secondo Privacy & American Business, che ha pubblicato il proprio studio in materia alla fine di luglio 2003, sono oltre 30 milioni gli americani che hanno subito furti di identità dal 1990 ad oggi, e di questi ben 13 milioni ne sono stati vittime negli ultimi 2 anni con un costo pari a 1.5 miliardi di dollari/anno; anche in questo caso, l’aumento registrato nell’incidenza del fenomeno fra il 2002 e il 2001 risultava pari all’81%. E’ interessante osservare che, secondo uno studio condotto precedentemente dalla stessa società  nel 2002, il 91% degli intervistati non ritiene probabile alcun miglioramento. La metà di essi, inoltre, non sa come tutelarsi dal furto di identità, mentre una percentuale ridotta (16% circa) si è munita di dispositivi pro-privacy che consentono, ad esempio, di navigare in rete o di fare acquisti online in forma anonima – spendendo in media 75$, per un totale di circa 2.5 miliardi di dollari. Vale la pena di citare, infine, lo studio più recente pubblicato il 23 settembre scorso dall’Identity Theft Resource Center (www.idtheftcenter.org/...), che ricostruisce minuziosamente anche le conseguenze psicologiche del furto di identità analizzando le vicende personali di 173 vittime. Solo nel 15% dei casi sono state le finanziarie o le imprese coinvolte a segnalare il furto di identità al titolare della carta di credito o del conto corrente bancario, che generalmente se ne è invece accorto soltanto a posteriori. Ogni vittima ha dovuto spendere mediamente 600 ore del proprio tempo per eliminare le conseguenze negative (soprattutto per quanto riguarda le informazioni sulla solvibilità), con un costo pari a 16.971 dollari (ore di lavoro perdute, impegni mancati, ecc.), oltre agli oneri legati al furto vero e proprio (in media, pari a 1.495 dollari).

Inoltre, a distanza di oltre 2 anni dalla scoperta del furto, il 41% delle vittime non è ancora riuscita a regolarizzare la propria posizione. L’impatto emotivo della vicenda è stato paragonato dagli intervistati a quello di un crimine violento; in effetti, nelle spese sostenute dalle vittime occorre anche considerare i costi dell’assistenza sanitaria, che non sono indifferenti (stati d’ansia, crisi di panico, collassi nervosi). L’analisi condotta dall’Identity Theft Resource Center si conclude con una serie di raccomandazioni per le parti in causa, con particolare riguardo alle cosiddette “centrali rischi” – che hanno il dovere di trattare correttamente le informazioni relative ai soggetti che siano vittime comprovate di un furto di identità, evitando di venderle o trasferirle ad altre società o imprese e di aggiornare i propri archivi tempestivamente non appena la situazione si regolarizzi – ed ai legislatori, che sono invitati a garantire la sicurezza dei dati personali imponendo il ricorso a meccanismi corretti per la gestione delle informazioni.


 

NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma.
Tel: 06.69677.1 - Fax: 06.69677.785
Newsletter è consultabile sul sito Internet www.garanteprivacy.it