Newsletter 11 - 17 ottobre 1999
  
  

• Bollette telefoniche e privacy.
• Non si possono cancellare i dati delle cartelle cliniche.
• Negli Usa dietro-front sulla cifratura.
• Piccolo Fratello.

Bollette telefoniche e privacy

La misura del "mascheramento" delle ultime tre cifre può essere rivista dal legislatore solo se i gestori telefonici attivano modalità alternative di pagamento delle bollette.

Con un parere fornito al Ministero delle Comunicazioni e ad altre amministrazioni competenti, il collegio del Garante è tornato ad occuparsi di fatturazione dettagliata e di "mascheramento" delle ultime tre cifre e ha prospettato soluzioni tecniche in grado di contemperare il diritto dell’abbonato pagante di verificare la correttezza degli addebiti e il diritto alla riservatezza degli utenti chiamanti e degli abbonati chiamati.

Il Garante era già intervenuto sulla questione nell’ottobre del 1998 con un provvedimento nel quale aveva chiarito che il meccanismo del "mascheramento" delle ultime tra cifre, previsto da un decreto del 1998 a seguito del recepimento di una direttiva europea in materia di tutela della vita privata nel settore delle TLC, può essere superato già oggi in caso di telefonate controverse grazie alla legge n.675 del 1996: il gestore del servizio telefonico non può opporre un rifiuto ma deve comunicare per intero i numeri contestati quando l’abbonato richiede di identificare puntualmente alcune chiamate effettuate, non per mera curiosità ma al fine di verificare la correttezza di taluni importi addebitati e per l’eventuale tutela dei propri diritti in sede giudiziaria. Sotto questo profilo, infatti, la legge sulla privacy non ostacola l’esercizio dei diritti degli abbonati permettendo ai fornitori dei servizi telefonici di evidenziare anche le cifre mascherate laddove emergano contestazioni della bolletta e concrete esigenze di controllo sulle somme addebitate.

L’occasione per il nuovo intervento è stata offerta da alcune osservazioni, inviate da un ufficio della Commissione Europea al Ministero delle Comunicazioni, sul decreto legislativo n.171 del maggio 1998 che, obbligando i fornitori a "mascherare" le ultime tre cifre, avrebbe recepito in maniera restrittiva le norme comunitarie che disciplinano la materia. Secondo questo ufficio, le norme comunitarie sulla telefonia individuerebbero la misura del "mascheramento" in alternativa alla previsione di altre misure, quale il pagamento di singole chiamate con modalità diverse dalla "bolletta", imponendo agli operatori di telecomunicazioni (sempre nel rispetto delle norme sulla privacy) l’obbligo di fornire gratuitamente un livello base di dettaglio nelle fatture telefoniche sufficiente a permettere la verifica dei costi sostenuti dall’abbonato.

L´ufficio, pertanto, ritiene necessaria una modifica del decreto legislativo n.171/1998 in modo da consentire il "mascheramento" delle ultime tre cifre "solo su esplicita richiesta dell’abbonato".

Nella risposta al Ministero delle Comunicazioni, l’Autorità ha innanzitutto constatato che con questa presa di posizione non si contesta la conformità del decreto legislativo n.171 al diritto comunitario, ma si pone una questione di ragionevolezza e funzionalità della norma. La direttiva europea in materia di telecomunicazioni non individua precise misure per conciliare i diritti degli abbonati con il diritto alla vita privata degli utenti chiamanti e degli abbonati chiamati, ma indica unicamente alcune possibili soluzioni esemplificative utilizzabili a discrezione degli Stati membri. Tra gli esempi prospettati figurano sia le modalità di pagamento diverse dall’addebito nella fatturazione (carte di credito, carte telefoniche prepagate anche anonime ecc.) sia, in alternativa, il mascheramento di alcune cifre.

Il decreto legislativo n.171 del 1998, ha sottolineato il Garante, ha previsto entrambe queste misure, in quanto ha introdotto sia il "mascheramento" obbligatorio delle ultime tre cifre, sia l’obbligo, per i fornitori, di far sì che "i servizi richiesti e le chiamate effettuate da qualsiasi terminale possano essere pagate con modalità alternative alla fatturazione anche anonime".

Infatti, secondo l’Autorità, il sistema prospettato dalle norme comunitarie mira a contemperare il diritto dell’abbonato pagante di verificare la correttezza degli addebiti e il diritto alla riservatezza degli utenti chiamanti e degli abbonati chiamati. In generale, l’istituto del "mascheramento" di alcune cifre può risultare utile, in quanto riduce il numero dei dati personali in circolazione, specie nell’attuale fase di evoluzione delle telecomunicazioni in Italia, caratterizzato da un ritardo nell’attuazione delle innovazioni tecnologiche che avrebbero già dovuto rendere facilmente accessibili al pubblico alcune modalità alternative di pagamento.

Il "mascheramento", tuttavia, non soddisfa pienamente diverse tipologie di abbonati e la stessa Autorità ha segnalato, oltre ai casi indicati dalla Commissione Europea (numeri brevi di sei cifre e traffico locale), il caso dell’abbonato unico utente dell’apparecchio, e quello di un´utenza affari presso la quale si debbano distinguere determinati tipi di chiamata.

Per ovviare a queste insoddisfazioni della clientela, dunque, è senz’altro opportuna ad avviso del Garante (che, del resto, l’aveva già indicata in un provvedimento del 5 ottobre 1998), una riflessione a livello normativo sul "mascheramento" delle ultime tre cifre, che deve però essere affiancata dal contestuale rispetto, da parte dei fornitori, dell’obbligo di introdurre le predette modalità alternative di pagamento, anche al fine di "assicurare un accesso anonimo o rigorosamente privato ai servizi di telecomunicazione offerti al pubblico, quali carte telefoniche, oppure possibilità di pagamento con carta di credito". Solo l’effettiva introduzione di tali strumenti renderebbe possibile la modifica dell’istituto del "mascheramento".

Alla luce di queste considerazioni, la soluzione proposta dalla Commissione Europea di demandare all’abbonato pagante la scelta se usufruire o meno di una fatturazione "mascherata" , appare in via di principio praticabile, ma non è concretamente attuabile se non si renderanno contestualmente effettive le modalità alternative di pagamento, poiché, altrimenti, si affiderebbe alla volontà di una sola parte (l’abbonato pagante) il bilanciamento tra diritti che sono riconosciuti anche ad utenti chiamanti e abbonati chiamati.

Al fine di un riesame delle norme nazionali, l’Autorità Garante ha quindi avviato un’indagine per verificare presso i fornitori italiani di servizi di telecomunicazioni sia lo stato di attuazione del decreto legislativo n.171 in tema di modalità alternative alla fatturazione, sia il rispetto delle indicazioni contenute nel provvedimento dell’ottobre 1998, anche relativamente all’aggiornamento, alle modalità e ai limiti delle procedure concernenti la contestazione delle fatture telefoniche e la "messa in chiaro" dei numeri relativi alle telefonate controverse.

Infine, poiché la questione sollevata dalla Commissione non può essere valutata in relazione ad un solo contesto nazionale, ma verificata all’interno dell’Unione Europea (dove, peraltro, la direttiva in materia di telecomunicazioni e privacy non risulta ancora adottata in modo omogeneo), il Garante ritiene necessario che la problematica debba essere discussa nella sede più appropriata, quella del Comitato dei Garanti europei istituito a Bruxelles proprio con il compito di verificare l’attuazione del diritto comunitario in tema di protezione dei dati anche nel settore delle TLC, analizzarne le eventuali disarmonie ed individuare le modalità più opportune per favorire il suo recepimento.

Non si possono cancellare i dati delle cartelle cliniche

I dati contenuti nelle cartelle cliniche non possono essere cancellati, ma è ammessa una loro rettifica o integrazione. Il principio è stato stabilito dal Garante per la protezione dei dati personali in un provvedimento con il quale è stato dichiarato infondato il ricorso presentato da un cittadino che aveva chiesto ad una Azienda sanitaria locale la cancellazione di tutte le informazioni personali che lo riguardavano.

La richiesta, avanzata dal ricorrente, di provvedere alla cancellazione o, in subordine, al blocco dei dati, traeva origine dal fatto che le informazioni contenute nella propria cartella clinica sarebbero state confuse, non chiare e fondate su valutazioni estranee al campo medico e diagnostico e, comunque, non necessarie all’attività di salvaguardia dell’incolumità pubblica e del soggetto interessato. Tali dati erano, infatti, contenuti, oltre che nella cartella clinica, anche nella corrispondenza intercorsa tra l’interessato e la Asl nonché su un registro cronologico, ad uso interno, dei contatti tra gli operatori sanitari e gli assistiti.

Inoltre, il ricorrente riteneva che la Asl avesse violato le norme sulla privacy perché aveva più volte trasmesso queste informazioni ad una Procura della Repubblica in relazione ad indagini riguardanti alcuni procedimenti giudiziari penali in cui lo stesso soggetto risultava come persona offesa.

Dopo la presentazione del ricorso, la Asl ha ribadito l’impossibilità di effettuare qualunque operazione di cancellazione della cartella clinica, documentazione che deve essere conservata perché costituisce un atto ufficiale indispensabile a garantire la certezza di una serie di vicende. Si è, però, dichiarata disponibile a procedere alla distruzione dei dati non contenuti nella cartella clinica, e cioè quelli presenti nel carteggio con l’interessato e nel registro cronologico, la cui conservazione non risultava più necessaria rispetto agli scopi del trattamento e alle disposizioni vigenti in materia di archiviazione di atti d’ufficio.

Preso atto, dunque, della disponibilità della Asl, l’Autorità ha ritenuto risolta la parte del ricorso relativa ai dati sensibili non contenuti nella cartella clinica. Ha, invece, dichiarato infondata la richiesta di cancellazione o di blocco dei dati della cartella clinica, perché il trattamento è avvenuto nel rispetto della legge e nell’ambito delle attività istituzionalmente affidate alla Asl.

L’Autorità ha precisato che è comunque consentito all’interessato di ottenere l’eventuale aggiornamento, rettifica, oppure, per motivi legittimi ed oggettivi, l’integrazione dei dati contenuti nella cartella sanitaria: ad esempio, attraverso l’inserimento di annotazioni sulle risultanze di accertamenti successivamente effettuati presso altri organismi sanitari accreditati.

Relativamente, poi, alla divulgazione all’esterno degli stessi dati, essa è avvenuta sulla base di una specifica richiesta dell’autorità giudiziaria e deriva, quindi, dall’adempimento di obblighi previsti dal codice di procedura penale.

Negli Usa dietro-front sulla cifratura
(articolo pubblicato sull’International Herald Tribune del 1 ottobre)

L´annuncio del tutto inaspettato che l´amministrazione Clinton avrebbe intenzione di allentare i vincoli all´esportazione di prodotti "robusti" per la cifratura - codici non decifrabili in grado di mascherare comunicazioni elettroniche - sembra, a prima vista, una clamorosa inversione di marcia. Per anni, nonostante le pressioni esercitate dall´industria informatica, dai sostenitori della privacy e dal Congresso, che chiedevano l´eliminazione di tutte le restrizioni alle tecniche crittografiche "forti", la Casa Bianca ha sostenuto - a nostro avviso correttamente - che era necessario un attento bilanciamento di questi interessi con i rischi per la sicurezza nazionale e pubblica derivanti dalla disponibilità di tecniche crittografiche a prova di decifrazione per terroristi e signori della droga. La Casa Bianca è rimasta fedele a questo principio generale anche ogniqualvolta venivano annunciati emendamenti alle limitazioni all´esportazione, tutti finalizzati (senza successo) ad ammorbidire un settore imprenditoriale che temeva di perdere i ricchi mercati d´oltreoceano a vantaggio di prodotti crittografici stranieri.

E´ per questo che l´annuncio fa nascere purtroppo il sospetto, peraltro familiare, che la Casa Bianca faccia politica su una questione che investe la sicurezza nazionale. In fin dei conti, appena due mesi fa il direttore dell´FBI, Louis Freeh, dichiarava dinanzi al Congresso che le forze dell´ordine "concordano in modo unanime sul fatto che la disponibilità e l´uso diffusi di tecniche crittografiche robuste finiranno per avere effetti dirompenti sulle nostre capacità di combattere il crimine e prevenire il terrorismo." E la posizione dell´amministrazione sulle tecniche crittografiche è stata oggetto di un aspro confronto fra il vicepresidente Al Gore e la comunità high-tech di prevalente estrazione californiana.

E´ anche vero, però, che sette anni di dibattito hanno indebolito un po´ alla volta la validità del principio per cui controllando le esportazioni si sarebbe riusciti ad evitare che la criminalità internazionale mettesse le mani su tecniche crittografiche forti. Nel 1996, esperti della sicurezza nazionale riconoscevano che nessun vincolo all´esportazione era a prova di elusione, ma ritenevano di disporre ancora di una "finestra" di due anni per rallentare la diffusione delle tecniche crittografiche forti ed impedirne l´adozione su vasta scala - una finestra che oggi è probabilmente chiusa. Chi analizza l´operato dei servizi segreti, necessariamente a distanza, dice che questi servizi operano già in un contesto caratterizzato dalla disponibilità diffusa di tecniche crittografiche forti provenienti da paesi stranieri e da fonti illecite. Questi stessi analisti sembrano indicare, tuttavia, che siano in via di definizione contromisure adeguate.

La proposta dell´amministrazione intende supportare queste contromisure. Ma si tratta di iniziative minime per combattere quelli che restano rischi potenzialmente enormi. L´amministrazione oggi fa proprie le tesi dei difensori della privacy, affermando che l´utilizzazione diffusa di tecniche comunicative sicure permetterà di prevenire più atti criminali di quelli che deriveranno dalla disponibilità per i responsabili di queste tecnologie. E´ un´osservazione corretta, ma non affronta il tema chiave: se la Casa Bianca continui a prendere sul serio i gravi rischi contro i quali ha messo in guardia per tanto tempo.

Piccolo Fratello
(articolo di di Thomas L. Friedman pubblicato sul New York Times del 26 settembre)

La scorsa estate mi sono recato a Chicago e sono sceso ad un hotel che fa parte di una grossa catena. La mattina sono sceso a nuotare in piscina, e ho messo la chiave della camera nella tasca del costume da bagno. Dopo di che ho perso la chiave in piscina. Allora sono andato al banco della reception e ho chiesto una nuova chiave.

"Può mostrarmi un documento d´identità con fotografia?" mi ha chiesto l´impiegata.

"No", ho risposto. "Sono in costume da bagno! Non ho con me nessun documento di identità".

"Nessun problema", ha detto l´impiegata. Ha digitato qualcosa sul suo computer, poi mi ha guardato e mi ha chiesto "Quanti anni hanno le sue due figlie?"

Le mie due figlie non erano con me, ma l´anno prima ero stato in quello stesso hotel insieme a loro. Ho dato la risposta corretta alla domanda che l’impiegata mi aveva posto, e lei mi ha dato una nuova chiave. Però non ho potuto fare a meno di domandarmi: cos’altro hanno su me e la mia famiglia in quel computer, e a chi vendono queste informazioni?

Chi si occupa del cyberspazio?

La scorsa settimana ho ricevuto una lettera da un vecchio amico, Richard Day, che ho conosciuto a Beirut nel 1982 e con il quale avevo perso i contatti. Richard, che oggi fa il consulente, vive a Dubai e nella lettera mi scriveva quanto segue: "Ho trovato il tuo indirizzo su un sito Internet che offre informazioni su chiunque. Sono rimasto meravigliato quando ho scoperto che per appena 59 dollari potevo ordinare una ricerca completa sul tuo conto, comprendente, fra l’altro, un elenco completo dei tuoi beni patrimoniali. Non ho speso quei 59 dollari, ma mi sono chiesto a cosa arriveremo di questo passo. Le tue figlie e i miei figli possono controllarsi a vicenda in modi che tu e io non avremmo mai pensato possibili."

E questo è solo l’inizio. La regola n. 1 su Internet è questa: Siamo tutti in rete, ma nessuno controlla. Ossia: Internet è orwelliano quanto a dimensioni, ma non esiste alcun Grande Fratello. Invece di un Grande Fratello, ci sono tanti Piccoli Fratelli. Guardatevi dai Piccoli Fratelli. Sono loro il vero problema. Internet dà ai singoli, ai siti Web, alle imprese ed anche agli hotel - i Piccoli Fratelli - poteri enormi, permettendo loro di accumulare gigantesche quantità di informazioni senza alcun controllo da parte dello Stato. Alcuni Piccoli Fratelli utilizzeranno questi dati personali in modo responsabile; altri no.

Uno studio del Center for Democracy and Technology ha rilevato che meno del 10% di tutti i siti Web rispetta le linee direttrici dell’OCSE in materia di privacy - secondo le quali le persone hanno il diritto di attendersi che i dati personali forniti attraverso Internet non siano utilizzati senza il loro consenso, hanno il diritto di rettificare eventuali errori e di presumere che i dati saranno tutelati nei confronti di eventuali utilizzi impropri.

Come comportarsi con i Piccoli Fratelli dovrebbe diventare il tema di una vera e propria campagna. Tante sono le idee in proposito. Una delle più ponderate è stata formulata da Lawrence Lessig, professore di diritto ad Harvard, nel libro di prossima pubblicazione dal titolo "Code, and Other Laws of Cyberspace". Lessig afferma che la gente è vittima di una concezione errata: quella secondo cui, quali che siano oggi le caratteristiche del ciberspazio, esse non potranno che essere sempre quelle. Non lo si può cambiare. E’ un luogo da scoprire, non da plasmare. Ma il ciberspazio non è una creazione divina. La sua architettura è definita da persone che hanno determinati interessi, persone che "progettano l’hardware del ciberspazio in modi che definiscono la libertà e la privacy di cui voi ed io potremo beneficiare in quello spazio", afferma Lessig.

L’architettura del ciberspazio dipende in misura considerevole dal commercio e dall’attività degli Stati, "ed entrambi hanno interesse a sapere il più possibile cosa fa la gente e dove lo fa", dice Lessig. "Per cui non è certo casuale che l’architettura di Internet si vada configurando in modi che facilitano l’identificazione delle persone e la raccolta di dati personali, visto che identificare le persone piace particolarmente agli Stati, e raccogliere dati personali piace particolarmente alle imprese commerciali".

Lo Stato, secondo Lessig, non può regolamentare per legge la privacy su Internet, però può creare degli incentivi per inserire in Internet filtri a tutela della privacy ed altre forme di protezione.

"Mettiamo che lo Stato dica che i dati sul vostro conto sono un bene di vostra proprietà, e l’unico modo per un terzo di sottrarvi questo bene è quello di negoziare con voi le condizioni", ha affermato. "Questo costituirebbe un incentivo per i progettisti del Web a facilitare la negoziazione delle attività che coinvolgono i nostri dati personali - quello che siamo disposti a cedere gratuitamente, quello che possiamo concedere a pagamento, e quello che non vogliamo cedere affatto".

Non so se la risposta di Lessig sia quella giusta, ma sono sicuro che la sua domanda è quella giusta: come si può ottenere una migliore regolamentazione del ciberspazio dato che non esiste alcun regolamentatore statale cui spetti farlo in questo contesto?

Temi come il diritto alla privacy costituiscono valori fondamentali derivanti dalla Costituzione e dallo spirito dei Padri fondatori. Stiamo per entrare in un’epoca in cui questi valori saranno rispettati solo sulla terra, ma non nel ciberspazio?

Se la Costituzione finisce dove comincia il Web, allora guardatevi dal Piccolo Fratello.