Diritti interna

Doveri interna

ricerca avanzata

25a Conferenza internazionale sulla protezione dei dati personali - Sidney, 10-12 settembre 2003

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
453919
Data:
10/09/03

DOCUMENTI CITATI


25a Conferenza internazionale sulla protezione dei dati personali
Sidney, 10-12 settembre 2003

  25a Conferenza internazione dei Garanti mondiali - SIDNEY

La 25a Conferenza internazionale delle Autorità per la protezione dei dati personali (Sidney, 10-12 settembre 2003 - http://www.privacyconference2003.org)  si è conclusa con l’approvazione di importanti Risoluzioni (traduzione non ufficiale) che richiamano l’attenzione su alcuni aspetti della vita privata dei cittadini.

Oltre alla Risoluzione sul trasferimento di dati personali dei passeggeri delle compagnie aeree negli Stati Uniti, sono state approvate tre Risoluzioni concernenti, rispettivamente, la necessità di migliorare chiarezza ed efficacia delle informative agli interessati, di tenere conto dei principi di protezione dati in tutti gli atti di organismi internazionali che producano effetti sulla privacy delle persone e di garantire un maggiore rispetto della privacy da parte dei produttori di software che offrono aggiornamenti automatici on line. Una quinta Risoluzione - approvata dopo la conclusione della Conferenza - riguarda i dispositivi Rfid, cioè le cosiddette “etichette elettroniche”.

Prima di esaminare nel dettaglio le Risoluzioni, riportiamo le considerazioni di Stefano Rodotà che ha presieduto la sessione di apertura della Conferenza internazionale il 10 settembre scorso.

“Durante l’ultimo anno – ha affermato Rodotà – si sono verificati fatti importanti diversamente significativi per la tutela della privacy. Sono cresciute le pressioni legate alla richiesta di sicurezza. Sono aumentate le opportunità offerte dalle innovazioni tecnologiche, in particolare per quanto riguarda l’utilizzazione dei dati biometrici e genetici. Si è assistito allo spettacolare rifiuto dello spamming da parte della stessa business community.

Mai, probabilmente, la privacy era stata al centro di tante attenzioni e di tante polemiche che, tuttavia, devono essere valutate tenendo conto della sempre più diffusa e marcata sensibilità dell’opinione pubblica e, soprattutto, del fatto che la privacy è sempre più largamente riconosciuta come un diritto fondamentale”.

Tre questioni, in particolare – ha sottolineato Rodotà – devono essere considerate quando si vogliono esaminare prospettive e sviluppi della tutela della privacy:

  1. la contrapposizione tra opposti modelli di tutela si sta in molti casi trasformando in un dialogo;
  2. diventa sempre più evidente l’impossibilità di costruire la protezione della privacy in un paese solo;
  3. siamo di fronte a problemi di democrazia e non solo di efficienza.

“Dal primo punto di vista – ha rilevato Rodotà – è importante sottolineare la diffusione del modello legislativo in un numero crescente di paesi.

Proprio negli Stati Uniti, patria anche ideologica della teoria della sufficienza dell’autoregolamentazione da parte dei settori interessati, molti Stati hanno approvato leggi anche più severe delle norme europee.

Lo stesso sta accadendo in Australia dove la regolamentazione proposta esige il consenso preventivo dell’interessato per la legittimità dell’invio dei messaggi di posta elettronica.

Certo, ci vorrà del tempo prima di arrivare ad accordi multilaterali, a convenzioni internazionali generali o settoriali. Intanto però è patrimonio comune la consapevolezza della necessità di muoversi nella dimensione globale e molti soggetti pubblici e privati sono al lavoro per produrre prime regole comuni. è ovvio che il concetto e le regole della privacy devono essere adattati ai mutamenti culturali, scientifici, sociali, tecnologici, economici, politici.

“Ma deve essere chiaro – ha precisato Rodotà – che il bilanciamento tra privacy e interessi diversi non può condurre ad un impoverimento, meno che mai ad un azzeramento delle garanzie necessarie per la tutela della privacy.

Si rischia altrimenti di rendere evanescente, o di far scomparire del tutto, uno degli elementi della distinzione tra Stati democratici e Stati totalitari, legato appunto alla esistenza o meno di grandi raccolte di informazioni in funzione del controllo dei cittadini.

La privacy incarna un valore “pubblico” ed è del tutto fuorviante una impostazione che continui a contrapporre la privacy, vista unicamente come un interesse individuale, ad altri valori nei quali invece si manifesterebbe l’interesse pubblico.

La privacy è al tempo stesso un diritto fondamentale della persona e un valore su cui si fonda la società democratica, dove si manifesta sempre più chiaramente come una componente essenziale della moderna cittadinanza, come la condizione per non essere discriminato, per tutelare efficacemente altri diritti fondamentali come quello alla salute, per sviluppare liberamente la propria personalità”.

Le autorità garanti, allora, non possono essere trasformate in mere stanze di compensazione tra interessi diversi, perché ad esse è in primo luogo affidata la tutela di un diritto fondamentale.

Non si può chiedere ed esse soltanto di essere responsabili di farsi carico di ogni altro interesse legato alla sicurezza, all’economia, allo sviluppo tecnologico.

Su questa scena agiscono anche altri attori, pubblici e privati, dai quali si deve pretendere pari consapevolezza del fatto che stanno confrontandosi con un nuovo, essenziale diritto fondamentale.

“Proprio perché viviamo in tempi difficili – ha concluso Rodotà – il compito delle autorità si fa sempre più complesso e sempre più indispensabile. Sono chiamate a contribuire alla produzione di valori comuni, a disegnare l’ambiente nel quale si fa concreta la tutela della privacy.

Non sono cavalieri solitari. Sono istituzioni alle quali le opinioni pubbliche guardano con attenzione e fiducia crescenti, non solo perché siano rispettati legittimi interessi dei cittadini, ma anche perché siano salvaguardati valori essenziali di democrazia”.

 

LE DECISIONI DI SIDNEY
Ecco i punti salienti delle Risoluzioni sulle quali i rappresentanti di oltre 40 Paesi presenti alla Conferenza hanno deciso di impegnarsi.


Trasferimenti dei dati dei passeggeri aerei diretti negli Usa
La questione è al centro di un lungo e laborioso confronto tra gli Stati Uniti e l’Unione Europea, dopo le richieste americane di poter accedere ai dati dei passeggeri del trasporto aereo a fini di sicurezza nazionale e di lotta al terrorismo.

La Risoluzione, votata all’unanimità, chiede che i dati dei viaggiatori diretti in Usa possano essere acquisiti e trasferiti soltanto all’interno di un “contesto che tenga conto della protezione dei dati” e “sulla base di un accordo internazionale”.

La Conferenza teme che le misure allo studio in alcuni paesi per contrastare il terrorismo possano minacciare diritti e libertà fondamentali, in particolare il diritto alla privacy, con il rischio di minare la democrazia e la libertà attraverso misure finalizzate a difenderle.

Ad avanzare la richiesta di adottare un documento formale sulla necessità di garantire la correttezza e la certezza delle finalità nell´ acquisizione dei dati di chi viaggia sono stati, in particolare, quattro Stati, attraverso i rispettivi organismi preposti alla garanzia della privacy: Svizzera, Repubblica Ceca, Finlandia e Germania.

 

Miglioramento dell´informativa
L’informativa ai cittadini deve essere quanto più possibile chiara e concisa.

I Garanti intendono mettere a punto un modello standard che soggetti pubblici e privati possano utilizzare per fornire le informazioni essenziali sul trattamento, con un linguaggio “semplice, inequivocabile e diretto”.

Deve essere specificato chi tratta i dati e per quali finalità, come contattare tale soggetto, quali sono le opzioni di cui dispongono gli interessati ed i diritti riconosciuti loro, nonché l’esistenza di un’autorità di controllo alla quale rivolgersi.

Nell’informativa sintetica saranno poi forniti gli elementi (ad esempio, un link ad una pagina web) per reperire informazioni ulteriori, secondo le esigenze del singolo interessato.

Questa informativa deve essere fornita prima di richiedere qualsiasi dato personale e, per quanto riguarda il mondo on line, possibilmente in modo automatico (su questo punto la Conferenza si è richiamata espressamente al lavoro svolto in materia dal Gruppo dei Garanti europei).

Le Autorità per la privacy hanno ribadito di essere pronte a collaborare con tutti i soggetti impegnati a migliorare la comunicazione fra imprese, pubblica amministrazione e cittadini, in un’ottica di trasparenza e rispetto per la vita privata.

 

Protezione dei dati e organismi internazionali
I Garanti invitano gli enti internazionali e sopranazionali ad impegnarsi formalmente al rispetto di principi compatibili con quelli fissati in vari strumenti internazionali relativi alla tutela della privacy (Direttive UE, Raccomandazioni del Consiglio d’Europa, Linee-Guida OCSE), e a definire meccanismi di tutela della privacy, quali la creazione di autorità di controllo, interne ed effettivamente indipendenti sul piano operativo. è poi necessaria, a giudizio dei Garanti, una valutazione preliminare dell’impatto-privacy di qualsiasi norma o regolamento elaborata da un organismo internazionale che abbia riflessi sulla legislazione dei singoli Stati.

 

Aggiornamenti automatici di software
Le società produttrici di software che offrono aggiornamenti automatici on line devono garantire un maggiore rispetto della privacy degli utenti, anche per non esporre questi ultimi al rischio di commettere involontariamente un illecito (ad esempio, per il mancato rispetto delle misure di sicurezza previste dalla normativa nazionale e comunitaria).

La Conferenza rileva con preoccupazione che le case produttrici fanno sempre più ricorso a meccanismi non trasparenti per trasferire aggiornamenti di software nel computer degli utenti. In questo modo sono in grado di leggere e raccogliere dati personali memorizzati nei computer dei singoli utenti senza che questi abbiano la possibilità di accorgersene, intervenire o impedirlo; possono modificare il software installato nel computer e possono provocare malfunzionamenti senza che sia possibile individuarne la causa nell’aggiornamento.

Dunque: aggiornamenti on line solo su richiesta dell’utente, secondo procedure trasparenti; nessun trattamento di dati personali a meno che sia effettivamente necessario per effettuare l’aggiornamento, e in tal caso solo con il consenso informato dell’utente; messa a disposizione di forme alternative (off line) di distribuzione del software (ad esempio, attraverso specifici Cd-rom).

 

Etichette intelligenti. La posizione dei Garanti
Le etichette cosiddette “intelligenti” (basate sulla tecnologia in radiofrequenza, RFID) non devono servire per la raccolta di dati personali, a meno che ciò sia assolutamente necessario. In tal caso, i consumatori devono esserne informati adeguatamente, e i dati non possono essere utilizzati per altri scopi. Inoltre, deve essere possibile disattivare o distruggere le etichette RFID una volta che l’acquirente sia entrato in possesso dell’articolo sul quale esse sono applicate.

Sono queste le indicazioni principali che emergono dalla risoluzione (“Risoluzione sulla RFID – Radio Frequency Identification”) approvata dalle autorità di protezione dati di quasi 50 Paesi lo scorso 9 dicembre, successivamente alla Conferenza internazionale tenutasi a Sydney nel mese di settembre . La risoluzione è la quinta ad essere adottata dalla Conferenza, dopo le quattro già pubblicate (v. Newsletter 15 - 21 settembre 2003) concernenti il trasferimento di dati dei passeggeri di voli aerei verso gli USA, la formulazione di informative standard, l’impatto-privacy delle disposizioni contenute in normative internazionali e i rischi associati agli aggiornamenti automatici di software.

Ricordiamo che le etichette RFID contengono un minuscolo dispositivo, simile ad un microchip, in cui è memorizzato un identificativo (ad esempio, un numero di serie) che è possibile riconoscere attraverso un lettore funzionante in radiofrequenza. Dispositivi del genere sono particolarmente utili per seguire gli spostamenti (e, quindi, le vendite) di singoli oggetti e prodotti, anche ai fini di inventario. Tuttavia, essi comportano alcuni rischi, in particolare per la facile associabilità a dati personali (come quelli ricavabili dall’acquisto del prodotto effettuato con carta di credito), tanto che si è parlato di una possibile profilazione occulta dei consumatori (v. Newsletter 26 maggio - 1 giugno 2003).

Attraverso l’International Working Group on Data Protection in Telecommunications, del quale fa parte, il Garante seguirà gli sviluppi tecnologici e regolamentari in questo campo. Come ha sottolineato Malcom Crompton, direttore dell’Autorità federale australiana per la protezione dei dati, “Ignorando i principi a tutela della privacy, si rischia di compromettere il futuro di questa tecnologia, con un danno sia per le imprese, sia per i consumatori”.


 

ADOPTED RESOLUTIONS
(traduzioni in italiano a cura dell´Ufficio del Garante)