II - L´attività svolta dal Garante - par. 12-16 - Relazione 2004 - 9 febbraio 2005

12. Videosorveglianza

12.1. Protezione dei dati e videosorveglianza

Nel corso degli ultimi anni si è constatato un forte incremento dell´impiego di sistemi a circuito chiuso, di telecamere e di altri sofisticati strumenti di rilevazione di immagini da parte sia di soggetti pubblici, sia di soggetti privati. Nel corso del 2004 il Garante è ripetutamente intervenuto, intensificando altresì la propria attività ispettiva, a fronte delle sempre più frequenti segnalazioni di cittadini per presunte violazioni della normativa sulla protezione dei dati determinate dall´installazione di impianti di videosorveglianza.

Nel periodo in esame sono stati anche ribaditi i chiarimenti, a più riprese forniti in passato, relativi all´uso privato di telecamere. In particolare, in occasione di un ricorso, l´Autorità ha constatato la mancanza dei presupposti di applicazione del Codice al trattamento dei dati personali effettuato per mezzo di un impianto di videosorveglianza installato da alcuni soggetti presso il cancello di ingresso della propria abitazione (Provv. 25 febbraio 2004). Le telecamere così attivate, infatti, configuravano un trattamento effettuato per fini esclusivamente personali. Su questo tipo di trattamenti occorre peraltro verificare quanto richiamato nel citato provvedimento del 29 aprile 2004, sia in relazione alle finalità perseguite, sia in riferimento alla necessità che i dati personali così registrati non siano destinati alla comunicazione sistematica o alla diffusione (in merito v. pure par. 13.1).

Alla luce dell´evoluzione tecnologica, dei nuovi documenti elaborati in sede comunitaria ed internazionale (in particolare, il parere n. 4/2004  dell´11 febbraio 2004 fornito dai Garanti europei, nonché le linee guida espresse dal Consiglio d´Europa il 20-23 maggio 2003) e, soprattutto, delle innovazioni contenute nel Codice, si è reso necessario aggiornare ed integrare il "decalogo" sulla videosorveglianza del novembre 2000, adottando un nuovo provvedimento di carattere generale che  stabilisce  regole  più  precise  a  garanzia  dei  cittadini (Provv.  29 aprile 2004).

Il provvedimento generale sulla videosorveglianza: i principi

Con tale provvedimento sono stati richiamati i principi generali enucleati dal Codice (validi in ambito pubblico e privato) il cui rispetto assicura un equo contemperamento tra le esigenze di sicurezza ed il rispetto della normativa sulla protezione dei dati personali nella rilevazione di immagini e suoni.

Il trattamento deve ovviamente avvenire nel rispetto, oltre che della citata normativa, anche delle prescrizioni contenuti in altre disposizioni di legge che possono interessare l´installazione di apparecchi audiovisivi (come, ad es., in materia di interferenze illecite nella vita privata, tutela della dignità, dell´immagine e del domicilio, tutela dei lavoratori e intercettazioni di comunicazioni e conversazioni).

Con riferimento al principio di necessità, i sistemi di videosorveglianza e il relativi programmi informatici non possono utilizzare dati riferiti a persone identificabili quando le finalità del trattamento possono essere realizzate impiegando solo dati anonimi.

Viene inoltre ribadito che, nel rispetto del principio di proporzionalità, il titolare del trattamento, prima di installare un impianto di videosorveglianza, deve valutare se il suo impiego sia realmente proporzionato agli scopi perseguiti; l´utilizzo di tali strumenti può essere giustificato, allora, solo quando altre misure (sistemi d´allarme, altri controlli fisici o logistici, misure di protezione agli ingressi ecc.) siano insufficienti o inattuabili.

In applicazione del principio di finalità, il titolare che attiva telecamere deve perseguire scopi determinati, espliciti e legittimi e, non ultimo, di sua pertinenza. È invece emerso che finalità di pubblica sicurezza, prevenzione e accertamento dei reati, pur competendo solo ad organi giudiziari o a forze armate o di polizia, sono state indicate quali finalità perseguite da parte di soggetti pubblici e privati.

È stata ritenuta in contrasto con il principio di finalità l´attivazione da parte di un comune di impianti di videosorveglianza per propaganda turistica, nonché per rendere visibili le condizioni meteorologiche di porti e spiagge. In particolare, l´Autorità ha considerato del tutto ingiustificata l´attività di rilevazione di immagini con finalità promozionali e pubblicitarie, peraltro realizzata attraverso web cam dotate di zoom, successivamente diffuse sul sito web del comune, se in grado di rendere identificabili i cittadini ripresi (Nota 15 giugno 2004).

Attività dei comuni

Non sono invece stati rilevati profili di illiceità nell´installazione, da parte di alcuni comuni, di apparecchi in grado di scattare fotografie in prossimità di semafori, al fine di monitorare il traffico e rilevare infrazioni. L´installazione di tali apparecchi che, peraltro, se hanno la finalità di controllare gli accessi ai centri storici, sono disciplinati da un apposito regolamento che ha recepito alcune indicazioni del Garante, non deve essere autorizzata caso per caso dall´Autorità.

Nel recente provvedimento generale sono stati confermati anche gli adempimenti cui sono soggetti tutti i titolari di impianti di videosorveglianza pubblici e privati.

I cittadini che si trovano o che transitano in una zona videosorvegliata devono poter essere resi edotti dell´esistenza di sistemi di videosorveglianza, anche attraverso un modello semplificato di informativa "minima", messo a disposizione dal Garante (art. 13, comma 3, del Codice), consistente in un cartello con un simbolo che rappresenta una telecamera, valido per la videosorveglianza posta in essere in aree esterne. In tutte le altre ipotesi, devono essere altresì indicati gli elementi di cui all´art. 13 con particolare riguardo alle finalità e all´eventuale conservazione dei dati.

Informativa

Nel citato provvedimento generale, il Garante ha anche ricordato che, di regola, l´installazione di sistemi di videosorveglianza non deve essere sottoposta all´esame preventivo dell´Autorità e che non si applica il principio del silenzio-assenso. Pertanto, non può desumersi alcuna approvazione implicita dalla semplice trasmissione al Garante di progetti relativi alla intenzione di installare sistemi di videosorveglianza, peraltro spesso incompleti o comunque privi di quegli elementi che consentirebbero di valutare il rispetto del principio di proporzionalità.

Prior checking

La verifica preventiva da parte dell´Autorità è invece obbligatoria per le tecnologie particolarmente invasive, come quelle che prevedono intrecci, interconnessioni, collegamenti delle immagini con altri particolari dati personali (ad es. biometrici) o in caso di digitalizzazione o indicizzazione delle immagini o di videosorveglianza cd.dinamico-preventiva, che non si limiti a riprendere staticamente un luogo, ma rilevi percorsi, caratteristiche fisionomiche o eventi improvvisi.

Per quanto riguarda il settore privato, con il provvedimento in questione ha trovato applicazione anche la disciplina che prevede il bilanciamento di interessi (art. 24, comma 1, lett. g), del Codice) individuando i casi in cui è possibile effettuare la rilevazione di immagini anche senza il consenso dell´interessato, ritenendosi prevalente il legittimo interesse del titolare, con un impiego circoscritto dei sistemi di videosorveglianza nei limiti previsti dal provvedimento.

Bilanciamento

I trattamenti di dati nell´ambito di un´attività di videosorveglianza devono essere notificati al Garante solo se rientrano in una delle ipotesi previste dall´art. 37 del Codice; in ogni caso, non devono essere notificati i trattamenti relativi a comportamenti illeciti o fraudolenti, quando riguardano immagini o suoni conservati temporaneamente per esclusive finalità di sicurezza o di tutela delle persone o del patrimonio (v. Provv. 31 marzo 2004, relativo ai casi da sottrarre all´obbligo di notificazione, nonché il Parere 23 aprile 2004, recante chiarimenti sui trattamenti da notificare al Garante).

Notificazione

Numerose segnalazioni e reclami sul trattamento di dati effettuato tramite sistemi di videosorveglianza installati da studi professionali, esercizi commerciali, società, enti no-profit, hanno reso necessario effettuare accertamenti in loco spesso in collaborazione con la Guardia di finanza. In alcuni di questi casi, precedenti all´adozione del nuovo provvedimento generale, è stato necessario contestare gli illeciti di omessa notificazione al Garante del trattamento effettuato mediante impianti di videosorveglianza e/o di mancata adozione di un´idonea informativa agli interessati circa la presenza dei predetti sistemi, comprovata dall´assenza di avvisi o cartelli recanti le indicazioni prescritte dalla vigente normativa in materia di protezione dei dati personali. I relativi titolari del trattamento sono stati, inoltre, richiamati al rispetto delle precise garanzie fissate nel provvedimento del 29 aprile e a fornire un riscontro al riguardo (Note 27 ottobre 2004). Anche a seguito dell´adozione del predetto provvedimento del 29 aprile, sono state accertate in loco e contestate alcune violazioni dell´obbligo di informativa, che i titolari del trattamento non hanno reso neanche nella forma semplificata suggerita dal Garante con il modulo allegato al provvedimento (v., al riguardo, par. 20.3). In altri casi in cui gli elementi acquisiti in sede ispettiva hanno consentito di escludere la commissione di illeciti da sanzionare, l´Autorità ha comunque richiamato i titolari al rispetto delle prescrizioni contenute nel provvedimento medesimo (Nota 29 novembre 2004).

In relazione ad un progetto sperimentale di Trenitalia S.p.A., relativo all´installazione di sistemi di videosorveglianza su taluni vagoni dei treni che transitano su specifiche tratte ferroviarie oggetto di ripetuti atti vandalici e di episodi di microcriminalità a danno dei passeggeri, l´Autorità (v. Note 11 novembre 2003 e 25 novembre 2004), preso atto di taluni accorgimenti adottati spontaneamente dalla società a protezione dei dati (effettuazione delle riprese con modalità volte ad escludere l´ingrandimento dell´immagine e la ripresa degli scompartimenti dei passeggeri; memorizzazione delle immagini riprese in forma criptata; predisposizione di un´informativa agli interessati), ha prescritto l´adozione di alcune misure: in particolare, individuare i responsabili e gli incaricati del trattamento; ridurre al minimo, ove tecnicamente possibile, i tempi di conservazione giornaliera delle immagini prima della loro cancellazione; adottare idonee misure di sicurezza dei sistemi e dei dati raccolti. Trenitalia S.p.A. ha recentemente comunicato al Garante che, per ragioni tecnico-organizzative, la sperimentazione non avrebbe avuto inizio prima della fine del 2004, impegnandosi a fornire, entro il primo semestre del 2005, una relazione dettagliata sullo stato di avanzamento del progetto.

Impianti di videosorveglianza su treni e stazioni

Sempre in relazione all´impiego di impianti di videosorveglianza nel settore del trasporto ferroviario, va segnalato un parere che il Garante ha reso ad una società del gruppo Ferrovie dello Stato circa un´iniziativa sperimentale da avviare con la collaborazione di una società telefonica (v. Nota 29 ottobre 2004). Il progetto consiste nell´installazione presso tre stazioni (Roma Fiumicino, Anzio, Taormina) di alcune telecamere con inquadratura panoramica e rilevazione di immagini a bassa definizione da trasmettere via Internet attraverso il portale web della società per finalità di carattere pubblicitario. Gli impianti, inoltre, permettono la visualizzazione delle immagini solo in presa diretta, senza possibilità per l´utente di accedere a registrazioni, né di scaricare le informazioni sul proprio computer, o di effettuare variazioni di inquadratura o di dimensioni dell´immagine visualizzata. Il Garante, confermando quanto aveva già precisato con un provvedimento del 14 giugno 2001, ha fatto presente che questo tipo di sistema di videosorveglianza non si pone in contrasto con quanto affermato nel provvedimento del 29 aprile 2004, poiché le telecamere installate non consentono di identificare (neanche indirettamente) gli interessati, in ragione della distanza dal luogo ripreso o delle altre caratteristiche tecniche.

La società ha inoltre sommariamente descritto le caratteristiche di un diverso sistema di videosorveglianza, costituito da telecamere ad alta risoluzione e utilizzato dalla Polizia ferroviaria per finalità di tutela dell´ordine e della sicurezza pubblica. Con lo stesso parere, quindi, l´Autorità ha precisato che quest´ultimo sistema rientra invece nell´ambito applicativo del Codice; e ha altresì sottolineato che il trattamento di dati personali effettuato attraverso l´impianto deve essere pienamente conforme ai principi di necessità, finalità e proporzionalità richiamati nel citato provvedimento generale, e che occorre rispettare, pur in presenza di pericoli concreti o dell´esigenza di prevenzione di specifici reati, le competenze che le leggi assegnano a tali scopi solo ad organi giudiziari e di polizia giudiziaria.

Recentemente l´Autorità ha avuto comunicazione da Trenitalia S.p.A. della messa in servizio, dal 9 settembre 2004, dei treni regionali "Minuetto", dotati di particolari sistemi di videosorveglianza. Si tratta di un´iniziativa scaturita da indicazioni emerse nel corso dei lavoro del Comitato interministeriale sulla sicurezza dei trasporti (Cist) che, ai fini di tutela dell´ordine e sicurezza pubblica, ritiene che tra le misure prioritarie da adottare vi sia anche la videosoveglianza sui treni. L´Autorità è in procinto di definire i termini della propria eventuale attivazione.

 

12.2. Videosorveglianza in ambito pubblico

Frequenti sono stati gli interventi del Garante con riferimento a sistemi di videosorveglianza posti in essere da comuni, da istituti scolastici o da luoghi di cura pubblici.

A questo riguardo, l´Autorità ha espresso il proprio avviso in ordine alla liceità dell´uso di telecamere presso alcune Asl al fine di assicurare un livello adeguato di sicurezza all´interno dei locali e fronteggiare episodi di aggressione a danno di guardie mediche (Note 15 luglio 2004).

Ambiti sanitari

L´Autorità ha così precisato che l´eventuale controllo di ambienti sanitari e il monitoraggio di pazienti ricoverati in particolari reparti od ambienti, stante la natura sensibile di alcuni dati che possono essere in tal modo raccolti, devono essere circoscritti ai soli casi di stretta indispensabilità e limitando le riprese a determinati locali e a precise fasce orarie. Deve inoltre essere adottato ogni ulteriore accorgimento necessario per garantire un elevato livello di tutela della riservatezza e della dignità delle persone malate, anche in attuazione delle misure che il Codice prescrive per le strutture sanitarie.

È stato ribadito, inoltre, che il titolare deve assicurare che l´accesso alle immagini sia limitato solo ai soggetti specificamente autorizzati, evitando che siano visionate da estranei. Rigorose cautele sono state indicate anche in relazione alla possibilità di accedere alle riprese da parte di familiari di ricoverati in reparti dove non sia consentito agli stessi di recarsi personalmente (es. rianimazione). In tali ipotesi, i familiari possono comunque visionare, con gli adeguati accorgimenti tecnici, l´immagine del proprio congiunto. Stante il divieto di divulgazione dei dati idonei a rivelare lo stato di salute, deve essere prevenuto il rischio di diffondere immagini di persone malate su monitor accessibili al pubblico.

L´Autorità ha fornito ancora chiarimenti in risposta a quesiti posti da alcuni comandi provinciali dei vigili del fuoco e dall´Istat circa la possibilità di installare sistemi di videosorveglianza presso l´ingresso, l´atrio e il vano scala della sede degli edifici, per ragioni di sicurezza e tutela del patrimonio dell´ente (Nota 30 novembre 2004), nonchè per controllare l´accesso del pubblico, onde evitare che utenti esterni possano accedere ad aree vietate (Note 15 luglio 2004).

Esigenze di sicurezza

In particolare è stato evidenziato, sulla scorta di precedenti provvedimenti dell´Autorità, che le riprese potrebbero riguardare anche i lavoratori dipendenti e configurare, pertanto, un controllo a distanza nei confronti dei medesimi. A tal proposito, si è richiamata nuovamente l´attenzione sulle garanzie da osservare nell´ambito dei rapporti di lavoro anche quando gli impianti siano utilizzati per esigenze organizzative e dei processi produttivi, ovvero siano richiesti per la sicurezza del lavoro, con particolare riguardo al principio contenuto nell´art. 4 della l.n. 300/1970 che sancisce il divieto di controllo a distanza dell´attività dei lavoratori.

Con riferimento agli istituti scolastici, è stata sottoposta all´attenzione dell´Autorità la questione riguardante l´installazione di telecamere presso alcuni istituti (Note 18 agosto 2004 e 24 dicembre 2004) al fine di controllare gli accessi all´edificio e dissuadere dal compimento di atti di vandalismo.

Istituti scolastici

Al riguardo, è stato evidenziato che l´installazione di sistemi di videosorveglianza può essere giustificata nelle sole aree interessate, soltanto se strettamente indispensabile (ad esempio in caso di ripetuti atti vandalici) e, comunque, al di fuori dell´orario scolastico, quando gli edifici sono chiusi.

È necessario, in ogni caso, rispettare il diritto alla riservatezza dello studente (art. 2, comma 2, d.P.R. n. 249/1998), anche in considerazione del fatto che, frequentemente, lo studente è un minore.

In applicazione di questi principi, l´Autorità è intervenuta a proposito dell´installazione, secondo quanto segnalato da alcune notizie di stampa, di numerose telecamere all´interno e all´esterno di un edificio scolastico. L´Ufficio ha invitato l´istituto a conformarsi alle citate prescrizioni e a produrre ogni documento utile a sostegno delle iniziative assunte (Nota 10 settembre 2004), ricevendo un tempestivo riscontro sul quale sono stati però attivati ulteriori accertamenti.

Il Garante è altresì intervenuto al fine di assicurare l´intimità di chi accede a luoghi di culto, quali chiese od altri luoghi di ritrovo dei fedeli, invitando i titolari ad un uso particolarmente prudente dei mezzi di ripresa in ragione del potenziale discriminatorio dei trattamenti riguardanti tali informazioni sensibili, relative alla sfera religiosa dell´individuo, e a limitare l´utilizzo di telecamere nei luoghi di sepoltura ai casi in cui via sia concreto rischio di atti vandalici.

Luoghi di culto

Ciononostante, a seguito di un ciclo ispettivo, è stata rilevata l´installazione da parte di un comune di un sistema di videosorveglianza presso un edificio all´interno del quale vengono allestite camere ardenti per la veglia dei defunti. Tali telecamere non erano segnalate mediante le necessarie informative previste dal Codice, ed anzi erano celate alla vista del pubblico. A seguito di un invito da parte dell´Autorità ad effettuare il blocco spontaneo del trattamento, gli uffici comunali hanno sospeso le attività di videosorveglianza, sulla cui complessiva liceità e sull´eventuale applicazione di sanzioni l´Autorità si esprimerà a breve.

Camere ardenti

 

13. Condomìni e multiproprietà

13.1. Protezione dei dati e condomìni

Diversi profili di protezione dei dati personali in ambito condominiale, approfonditi negli anni precedenti, sono stati ripresi nel corso del 2004 per rispondere al rilevante numero di segnalazioni e quesiti pervenuti in materia all´Autorità.

In particolare, sono stati posti da parte degli interessati, sia da amministratori di condominio-numerosi quesiti in merito alla diffusione di dati personali riguardanti eventuali situazioni di morosità di singoli condòmini. Ciò, allo scopo di verificare se le modalità di volta in volta utilizzate in concreto, in quanto potenzialmente idonee a rendere tali informazioni accessibili ad un numero indeterminato di soggetti esterni al condominio, fossero compatibili, ed in quali limiti, con le disposizioni contenute nella normativa sulla tutela dei dati personali. Su tale argomento, l´Autorità ha confermato la posizione già assunta in provvedimenti e decisioni adottate nel corso degli anni precedenti.

Il Garante ha avuto modo di precisare che il singolo condòmino può avere conoscenza dei dati disponibili presso l´amministratore, relativi anche agli indirizzi degli altri condòmini, poiché gli indirizzi, così come i nominativi degli interessati, oltre a rendere possibile l´individuazione di ciascun proprietario, sono utili per consentire il regolare svolgimento della vita condominiale (ad esempio, in caso di convocazione dell´assemblea da parte dei condomini o per la comunicazione di avvisi).

L´Autorità ha specificato, inoltre, che i principi in materia di condominio sono applicabili anche nei confronti della gestione di edifici in multiproprietà a scopo residenziale e, con riferimento agli indirizzi di comproprietari che abbiano domicilio o residenza diversi dall´immobile in multiproprietà, qualora ciò sia necessario per particolari e reali esigenze collegate alla gestione della cosa e interessi comuni (Nota 11 agosto 2004).

Per contro, in un altro caso sottoposto alla sua attenzione, il Garante ha ribadito che il condominio deve adottare, anche tramite l´amministratore, tutte le cautele necessarie per evitare che terzi non legittimati vengano indebitamente a conoscenza dei dati relativi ai condomini (Nota 20 ottobre 2004).

In relazione al frequente impiego di sistemi di videosorveglianza nei condomìni, il provvedimento del 29 aprile 2004 ha precisato che i videocitofoni sono utilizzabili per identificare coloro che si accingono ad entrare in luoghi privati e che la loro installazione, quando non sono predisposti da persone fisiche per fini esclusivamente personali (art. 5, comma 3, del Codice), deve essere resa nota attraverso un´informativa agevolmente rilevabile.

Impianti di videosorveglianza nei condomìni

Quanto all´installazione di vere e proprie telecamere ad iniziativa di singoli condòmini all´interno di edifici in condominio e loro pertinenze (es. posti auto, box), il Garante ha precisato che l´impiego di tali sistemi, pur non rientrando nell´ambito di applicazione delle disposizioni del Codice, a meno che i dati siano comunicati sistematicamente o diffusi (art. 5, comma 3, del Codice), richiede comunque l´adozione di cautele a tutela dei terzi. In particolare, l´angolo visuale delle riprese deve essere rigorosamente limitato ai soli spazi di propria esclusiva pertinenza, ad esempio antistanti l´accesso alla propria abitazione, escludendo ogni forma di ripresa anche senza registrazione di immagini relative ad aree comuni (cortili, pianerottoli, corridoi, scale, garage comuni) o antistanti l´abitazione di altri condomini; ciò, anche al fine di evitare di incorrere nel reato di interferenze illecite nella vita privata (art. 615-bis c.p.).

Il Codice si applica, invece, in caso di installazione di sistemi di ripresa di aree condominiali da parte di più proprietari o condòmini oppure ad iniziativa di un condominio o della relativa amministrazione (comprese le amministrazioni di residence o multiproprietà). In questi casi, l´installazione di impianti è ammissibile a condizione che ricorrano determinate finalità, quali l´esigenza di preservare la sicurezza di persone e la tutela di beni in presenza di concrete situazioni di pericolo (di regola costituite da illeciti già verificatisi); la valutazione di proporzionalità, da effettuare anche nei casi di utilizzazione di sistemi di videosorveglianza che non prevedano la registrazione dei dati, va effettuata in rapporto ad altre misure già adottate o che è possibile adottare (es. sistemi comuni di allarme, blindatura o protezione rinforzata di porte e portoni, cancelli automatici).

Un caso particolarmente delicato ha riguardato l´installazione da parte di un condominio di un impianto di videosorveglianza finalizzato a garantire la sicurezza dei condòmini in seguito ad un grave delitto verificatosi in uno stabile vicino. L´Autorità ha ritenuto che, nel caso di specie, trovassero applicazione le prescrizioni e i principi richiamati nel citato provvedimento del 29 aprile, ed ha invitato l´amministrazione del condominio a fornire un riscontro dettagliato su finalità e proporzionalità del trattamento, tempi di conservazione delle immagini registrate, nonché sull´eventuale designazione del responsabile dell´impianto come "responsabile" o "incaricato" del trattamento delle immagini, il quale potrebbe accedere ai dati solo attenendosi alle istruzioni del condominio (Nota 5 ottobre 2004).

 

14. Dati biometrici

14.1. Protezione dei dati e biometria

L´impiego di sistemi di rilevazione di impronte digitali comporta chiaramente un trattamento di dati personali, intendendosi in tal senso "ogni informazione relativa a persona fisica,…, identificat[a] o identificabil[e], anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale" (art. 4, comma 1, lett. b), del Codice). Tale trattamento di dati personali può avvenire solo se proporzionato rispetto alle finalità che si vogliono perseguire: il titolare, prima ancora di dare inizio al trattamento, deve quindi valutare, obiettivamente e con un approccio selettivo, se l´utilizzazione di un sistema di rilevazione delle impronte digitali sia in concreto realmente proporzionata, anche nelle modalità prescelte, rispetto agli scopi prefissi e legittimamente perseguibili.

In questo ambito, sono pervenute all´Ufficio numerose richieste di cittadini relative all´installazione, da parte di alcune banche, di sistemi di rilevazione biometrica per l´accesso alle filiali associati ad apparecchiature di videosorveglianza. In un caso del tutto particolare, originato dalla segnalazione relativa all´utilizzo di un sistema di rilevazione dell´impronta digitale per l´accesso ad una banca, l´Autorità (Nota 29 ottobre 2004), ribadendo il chiaro orientamento già espresso che delimita l´uso a casi del tutto eccezionali, valuterà quanto dichiarato dalla banca circa le specifiche e concrete esigenze di sicurezza che hanno giustificato l´installazione dell´impianto (nell´Agenzia segnalata si erano verificati due episodi di rapina). Nel frattempo, ha segnalato interlocutoriamente alla banca la necessità di adottare talune misure: predisporre meccanismi che, in caso di libera indisponibilità dell´utente al rilascio dei propri dati biometrici, gli permettano comunque di accedere alla banca; abbinare il sistema di rilevazione ai comuni dispositivi d´ingresso già in uso, evitando il ricorso a meccanismi complicati ed ulteriori rispetto a quelli già comunemente utilizzati per l´ingresso in banca.

Sul tema dell´impiego da parte delle banche di dati biometrici, eventualmente in associazione a sistemi di videosorveglianza, è in corso un approfondimento con l´Associazione bancaria italiana che, anche a seguito di alcuni incontri con l´Ufficio, si è impegnata a far pervenire gli elementi necessari per consentire all´Autorità di esprimersi nuovamente in materia a seguito di una completa valutazione dell´entità e rilevanza del fenomeno. Uno specifico approfondimento si è avuto, inoltre, in occasione di un convegno organizzato presso la Confindustria.

Il Garante, infine, sta effettuando accertamenti specifici a seguito di alcune segnalazioni circa l´impiego, da parte di talune società, di tecniche di autenticazione biometrica (impronta palmare o facciale) per la rilevazione delle presenze del personale dipendente, in considerazione del fatto che il trattamento di dati biometrici in tale ambito è in molti casi eccedente e ingiustificato alla luce dei principi di necessità e proporzionalità.

Ulteriori interventi hanno riguardato l´installazione di impianti di rilevazione delle impronte digitali per il controllo degli accessi ai luoghi di lavoro o a servizi di mensa universitaria.

Dati biometrici in ambito pubblico

In merito all´iniziativa di un ente regionale per il diritto allo studio, volta ad installare lettori di impronte digitali in ristoranti e pizzerie convenzionati al fine di controllare che l´accesso al servizio di ristorazione avvenisse esclusivamente da parte degli aventi diritto, l´Autorità aveva già avuto modo di chiarire nei primi mesi del 2004 che tale sistema era sproporzionato rispetto alle finalità di controllo della spesa perseguite (Newsletter 12-18 gennaio 2004).

In seguito, il Garante ha accertato che tale ente regionale per il diritto allo studio ha nuovamente manifestato la concreta volontà di installare tali sistemi di rilevazione delle impronte digitali per l´accesso ai servizi di ristorazione convenzionati, avendo riscontrato un aumento degli ingressi a tali esercizi di ristorazione da parte di soggetti non autorizzati. L´Autorità ha quindi disposto il blocco del trattamento di dati personali degli studenti effettuato tramite tale sistema di rilevazione delle impronte digitali, riaffermando il principio secondo cui la raccolta generalizzata di dati biometrici di un gruppo selezionato di individui (tutti gli studenti universitari iscritti ad un ateneo) risulta sproporzionata rispetto ad un generico bisogno di "regolare l´utilizzo del servizio ristorazione" in assenza di reali esigenze di sicurezza determinate da concrete e gravi situazioni di rischio (Provv. 16 dicembre 2004).

In tale occasione, è stato anche ribadito che i sistemi di rilevazione di impronte digitali rappresentano una extrema ratio, potendo essere attivati solo quando, dopo matura riflessione, altre misure (nel caso esaminato, la vigilanza all´ingresso delle mense, ovvero l´esibizione del tesserino di riconoscimento da parte degli studenti) siano valutate del tutto insufficienti o inattuabili, e non quando tale scelta risulti semplicemente meno costosa o di più rapida attuazione ovvero risponda a mere esigenze di apparenza o di "prestigio".

Sono in corso, inoltre, vari approfondimenti in merito a diversi progetti attivati da enti pubblici diretti a sostituire il normale controllo degli accessi al luogo di lavoro (foglio firme, badge magnetico) con sistemi di rilevazione delle impronte digitali o di altri dati biometrici come la geometria della mano.

 

15. Reti di comunicazione elettronica

15.1. Notazioni introduttive

Il rapido sviluppo tecnologico degli ultimi anni ha reso sempre più urgente l´individuazione a favore degli utenti dei servizi di comunicazione elettronica di un elevato livello di protezione dei diritti della personalità, con particolare riguardo alla protezione dei dati e del segreto nelle comunicazioni.

Anche in considerazione della crescente convergenza fra i settori delle telecomunicazioni, dell´audiovisivo e delle tecnologie dell´informazione, l´Autorità è intervenuta, cooperando talora con altri soggetti istituzionali (come riferito nel par. 21.4) e con i diversi operatori del settore, svolgendo un´ampia serie di attività: adozione di provvedimenti, attività istruttorie ed ispettive (in taluni casi a seguito di ricorsi decisi dall´Autorità); intense, inoltre, le attività di studio e monitoraggio che in alcuni casi, come si vedrà più avanti, sono giunte ad uno stadio avanzato, con l´apertura di procedure di consultazione pubblica.

 

15.2. Dati di traffico

Si è già dato conto (v. Relazione 2003) delle modifiche apportate all´art. 132 del Codice, in materia di conservazione di dati di traffico per finalità di accertamento e repressione di reati (ex art. 3, decreto-legge 24 dicembre 2003 n. 354, convertito, con modificazioni, dalla legge 26 febbraio 2004, n. 45). Si può qui brevemente ricordare che, nella sua formulazione originaria, l´art. 132 prevedeva che, per le predette finalità, i fornitori di servizi di comunicazione elettronica dovessero conservare i dati relativi al traffico telefonico per trenta mesi; il citato decreto legge, approvato a ridosso dell´entrata in vigore del Codice, aveva prolungato il periodo di conservazione ad un periodo massimo di cinque anni, estendendolo anche al traffico su Internet.

Tale soluzione suscitò forti preoccupazioni anche al di fuori del circuito istituzionale; il Garante manifestò forti riserve, soprattutto alla luce della prevista estensione delle nuove regole al traffico su Internet, che avrebbe determinato una forte compressione delle garanzie della persona, anche in relazione ai principi costituzionali in materia di libertà delle comunicazioni e segretezza della corrispondenza.

La soluzione adottata in sede di conversione del decreto-legge ha portato a sopprimere ogni riferimento ai dati di traffico diversi da quello telefonico (in particolare Internet), determinando in complessivi quattro anni i tempi di conservazione dei soli dati di traffico telefonico.

Analoghe preoccupazioni, con espresso riferimento all´ipotesi di conservazione dei dati di traffico telematico, sono state ribadite dall´Autorità -nell´audizione in Commissione giustizia della Camera dei Deputati il 24 novembre 2004- in sede di esame del disegno di legge del Governo recante disposizioni in materia di lotta contro lo sfruttamento sessuale dei bambini e la pedopornografia anche a mezzo Internet (del quale si è riferito nel par. 1.2).

In questa occasione sono stati richiamati, oltre al quadro normativo europeo e nazionale e alla giurisprudenza costituzionale in materia di segretezza delle comunicazioni, anche le conclusioni cui è pervenuto lo stesso Parlamento, in particolare nel corso della discussione del decreto-legge n. 354/2003 (cfr. par. 1.2). Nell´ambito dei dati di traffico telematico è stata altresì sottolineata la difficoltà di distinguere, anche sul piano tecnico, i dati "esteriori" (tutelati anch´essi dalla garanzia costituzionale, ma acquisibili sulla base di un ordine di esibizione da parte dell´autorità giudiziaria, senza le garanzie previste dal codice di procedura penale in materia di intercettazioni) da quelli di "contenuto". Infatti, vi sono diversi casi in cui dati apparentemente "esteriori" sono idonei a rivelare il contenuto della comunicazione (ad esempio, i messaggi allegati alle e-mail, i contenuti di chat e newsgroup), le scelte della persona e, in alcuni casi, anche dati sensibili (è il caso di dati di accesso ai siti web).

Fermo restando il potere-dovere dell´autorità giudiziaria e di polizia di accedere a fonti di prova eventualmente disponibili in base alla legge (ad es. i dati di traffico telefonico), è stato evidenziato il rischio che un eventuale obbligo di (indiscriminata) conservazione di tutti i dati di traffico telematico configuri già, esso stesso, una sostanziale limitazione della libertà e segretezza della corrispondenza e di ogni altra forma di comunicazione.

Con riferimento alla conservazione dei dati di traffico telefonico, il Garante, conformemente alla previsione dell´art. 132, comma 5, del Codice, ha avviato i lavori necessari a individuare le misure e gli accorgimenti al cui rispetto è subordinato il trattamento per le finalità di accertamento e repressione dei reati. A tale scopo sono stati acquisiti elementi utili nel corso di incontri con diversi operatori telefonici, al fine della verifica preliminare dei sistemi attualmente utilizzati, in conformità con quanto stabilito dall´art. 17, comma 2, del Codice, cui l´art. 132, comma 5, fa espresso richiamo.

Per quanto concerne l´accesso ai dati personali relativi alle comunicazioni telefoniche "in entrata", l´Autorità  ha  più  volte  sottolineato  (v., da ultimo, Provv. 18 febbraio 2004) come il Codice realizzi al riguardo un primo bilanciamento tra il diritto dell´interessato di conoscere i dati che lo riguardano e il diritto alla riservatezza di terzi (utenti chiamanti e soggetti chiamati diversi dall´abbonato), circoscrivendo il diritto del chiamato di accedere ai dati identificativi di telefonate in entrata alle sole informazioni la cui mancata conoscenza possa comportare "un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397" (art. 8, comma 2, lett. f), del Codice).

Accesso ai dati di traffico

L´Autorità ha ricordato che l´interessato può presentare la propria richiesta di accesso anche prima che sia instaurato un procedimento penale: l´attività investigativa può essere svolta, ai sensi dell´art. 391-nonies c.p.p., anche dal difensore che ha ricevuto apposito mandato dalla persona offesa dal reato, per l´eventualità che si instauri un procedimento penale (Provv. 15 aprile 2004). Il Garante, pertanto, ha accolto una richiesta di accesso a dati personali relativi al traffico telefonico "in entrata", avendo ritenuto che sussistesse un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive che poteva derivare al ricorrente dalla mancata identificazione del numero telefonico chiamante.

Come evidenziato già nella Relazione 2003, il diritto d´accesso ai dati relativi al traffico telefonico può essere esercitato dall´interessato soltanto nei confronti dei dati che lo riguardano, risultando inammissibile la richiesta volta a identificare utenze diverse da quella dell´interessato medesimo.

In relazione a ciò, e in particolare all´accesso ai dati relativi alle chiamate nella telefonia mobile, l´Autorità ha valutato con esito positivo la risposta fornita da un operatore ad una richiesta formulata ai sensi dell´art. 157 del Codice. Il Garante, in particolare, aveva chiesto di conoscere la procedura predisposta dalla società e le misure di sicurezza adottate al fine di identificare i soggetti che richiedono l´accesso stesso utilizzando il telefono mobile o i servizi on-line.

 

15.3. I nuovi elenchi telefonici

La disciplina degli elenchi è stata oggetto di significative modifiche. Scopo peculiare degli elenchi è di consentire la ricerca degli abbonati per le comunicazioni interpersonali; ciò è ora previsto espressamente dall´art. 129, comma 2, del Codice che sancisce, in relazione a tale finalità, il principio della massima semplificazione per l´inserimento degli abbonati negli elenchi e, per le finalità ulteriori, la necessità del preventivo consenso specifico ed espresso degli interessati.

In applicazione di tale principio, e in esito ad un´intensa attività svolta anche in collaborazione con l´Autorità per le garanzie nelle comunicazioni, il Garante ha individuato le modalità da osservare per il corretto inserimento e successivo utilizzo dei dati personali degli abbonati nei nuovi elenchi telefonici (Provv. 15 luglio 2004).

Nei nuovi elenchi telefonici possono essere pubblicati anche i dati relativi alle utenze mobili, nonché informazioni ulteriori quali l´indirizzo di posta elettronica, la professione e il titolo di studio. Nel caso in cui l´interessato abbia manifestato il proprio consenso a ricevere informazioni commerciali o promozionali, l´indirizzo o il numero telefonico saranno contrassegnati da uno speciale simbolo: in tal modo l´abbonato potrà ricevere pubblicità telefonica tramite operatore o materiale pubblicitario a domicilio. Diversamente, nel caso di iniziative pubblicitarie realizzate mediante sistemi automatizzati (fax, chiamate senza operatore, messaggi sms o di posta elettronica), è comunque necessario raccogliere a parte il consenso specifico dell´interessato. Le scelte espresse dagli interessati possono essere modificate in ogni momento e senza alcun onere.

Il Garante ha altresì predisposto, con la cooperazione dell´Autorità per le garanzie nelle comunicazioni e la collaborazione delle associazioni dei consumatori, un modulo di informativa e richiesta di consenso che gli operatori telefonici devono inviare ai propri clienti entro il 31 gennaio 2005.

Successivamente all´adozione del provvedimento, si sono svolti presso l´Autorità ulteriori incontri con rappresentanti degli operatori telefonici e delle associazioni di consumatori. Nel corso di tali incontri, e principalmente dall´esame dei primi moduli predisposti dalle diverse compagnie, sono emersi alcuni elementi che hanno reso necessario un nuovo intervento del Garante, volto a fornire agli operatori stessi prescrizioni integrative di quelle già impartite, nonché a dare l´avvio alla campagna informativa prevista nel provvedimento stesso.

L´Autorità ha curato una prima campagna di informazione attraverso un apposito depliant, che, su sua autorizzazione, verrà inviato dai gestori al domicilio degli abbonati. Un´apposita conferenza stampa si è tenuta il 26 gennaio 2005.

 

15.4. Spam

È costantemente all´attenzione dell´Autorità il fenomeno dell´invio ad indirizzi di posta elettronica di comunicazioni non sollecitate, non solo di contenuto commerciale, ma anche riconducibili all´ambito del cd. marketing politico (cfr. Provv. 12 febbraio 2004, oltre al più recente provvedimento del 12 ottobre 2004, presi in considerazione nel par. 8.2).

Gli utenti della Rete hanno manifestato un´accresciuta sensibilità in relazione al fenomeno spam, desumibile dall´intenso contenzioso che ha investito l´Autorità anche nel 2004 (come ricordato nel par. 18.3), oltre che dalle azioni proposte dinanzi all´autorità giudiziaria ordinaria.

Sono proseguite le attività di controllo e verifica effettuate presso i fornitori di servizi di comunicazione elettronica (individuati grazie alle segnalazioni pervenute) al fine di accertare eventuali violazioni dell´art. 130 del Codice e delle prescrizioni contenute nel provvedimento di carattere generale emanato dal Garante il 29 maggio 2003.

Per arginare il fenomeno, il Garante ha partecipato ad alcuni incontri tenuti presso il Ministero delle comunicazioni, cui sono intervenuti operatori di telefonia fissa e mobile, e associazioni di fornitori dei servizi Internet e dei consumatori.

In tali incontri si è lavorato alla possibile stesura di un codice di autoregolamentazione in relazione al quale è stata chiesta la collaborazione di questa Autorità, che fornirà il proprio contributo tenendo però presente il valore cogente delle norme che saranno contenute nel codice di deontologia e di buona condotta per Internet (v. par. 15.8).

Proprio in questo settore, grande rilievo sugli organi di informazione ha avuto la vicenda relativa all´indagine giudiziaria curata dalla Guardia di finanza nei confronti di una società quotata in borsa in relazione all´utilizzo di migliaia di indirizzi e-mail per finalità di marketing, in assenza del consenso informato degli interessati.

Sulla vicenda, per la quale sono indagati due responsabili della società per reati che vanno dall´illecito trattamento dei dati personali alla frode informatica ed all´accesso abusivo a sistemi informatici, il Garante ha ricevuto di recente copia di alcuni atti e valuterà a breve l´eventuale adozione dei provvedimenti di competenza.

 

15.5. Sms istituzionali

In occasione delle elezioni del 12 e 13 giugno 2004, gli utenti di telefonia mobile hanno ricevuto Sms "firmati" dalla Presidenza del Consiglio dei ministri con i quali si comunicavano orari e modalità di voto delle imminenti consultazioni elettorali.

A seguito di più di 4500 reclami e segnalazioni il Garante, al fine di acquisire ogni elemento idoneo a valutare la questione, ha richiesto informazioni al Ministero dell´interno (che aveva disposto l´invio degli Sms con proprio d.m. del 9 marzo 2004) ed agli operatori di telefonia mobile.

Pur prendendo atto dell´esistenza nel caso specifico di un formale provvedimento del Ministro che ravvisava ragioni contingibili e urgenti, l´Autorità ha sottolineato in termini generali il rischio che impropri riferimenti all´eccezionalità,  all´emergenza  e  alle  calamità  possano  condurre  ad  una  "banalizzazione"  dell´invio  di  messaggi   Sms   da  parte  di  diversi  soggetti  istituzionali, anche  a  livello  locale (Provv. 7 luglio 2004).

Il Garante aveva peraltro già individuato nella eccezionalità e straordinarietà delle circostanze le condizioni per l´invio di comunicazioni via Sms, anche in mancanza di previo consenso dell´interessato (Provv. 12 marzo 2003).

In relazione alla decisione del Ministero dell´interno di indicare la Presidenza del Consiglio dei ministri come firmataria del messaggio, l´Autorità ha rilevato come nel caso di specie non operasse una disposizione della legge n. 150/2000 sulla comunicazione istituzionale, che riguarda l´invio di messaggi da parte della concessionaria del servizio pubblico radiotelevisivo (art. 3). Con riferimento all´invio di Sms in caso di disastri o calamità naturali o per ragioni di tutela dell´ordine pubblico, il soggetto istituzionale "mittente" delle comunicazioni deve poi essere sempre identificabile.

Nel medesimo provvedimento è stata altresì evidenziata la necessità per gli operatori telefonici di integrare l´informativa fornita ai cittadini inserendo la previsione dell´eventualità che, tra i vari trattamenti di dati legati alle utenze, vi sia quello dell´invio di Sms istituzionali per effetto di provvedimenti d´urgenza. Tutte le compagnie telefoniche interessate hanno integrato il modello di informativa come richiesto dal Garante.

È stata da ultimo richiesta la cooperazione del Garante da parte della Presidenza del Consiglio dei ministri e del Ministero degli affari esteri ai fini dell´acquisizione dalle compagnie di telefonia di alcuni dati relativi all´utenza mobile di cittadini italiani che si trovavano nelle zone colpite dal maremoto in Asia del 26 dicembre 2004; ciò, in particolare, al fine di consentire al Ministero di inviare un Sms agli interessati, invitandoli a dare notizie di sé (cfr. anche par. 1.3 e 15.10).

 

15.6. Videochiamate

Ha formato oggetto di esame da parte dell´Autorità il fenomeno delle cd. videochiamate, ossia le chiamate attualmente tramite la rete Umts-nel corso delle quali vengono trasmesse, oltre ai suoni, anche immagini dei soggetti coinvolti nella conversazione. La caratteristica peculiare dei trattamenti realizzati in occasione delle videochiamate consiste nel fatto che, a differenza di quanto accade con l´invio degli Mms (in relazione al quale si veda il Provv. 12 marzo 2003), le immagini vengono trasmesse contestualmente all´effettuazione della chiamata e coinvolgono il chiamante, il chiamato ed eventuali persone situate nelle loro vicinanze.

Ferma restando la generale liceità dell´utilizzo di tali nuove applicazioni tecnologiche, sono di tutta evidenza anche i potenziali pericoli insiti nelle stesse: le videocamere, infatti, oltre ad essere normalmente di dimensioni assai ridotte, il più delle volte non sono dotate di dispositivi acustici o visivi atti a rivelarne il funzionamento all´esterno.

Al fine di acquisire ulteriori elementi di valutazione, il Garante ha attivato una consultazione pubblica preordinata ad un provvedimento che fornirà indicazioni di carattere generale sul corretto utilizzo dei nuovi telefoni mobili c.d. di terza generazione.

 

15.7. Servizi di comunicazione elettronica offerti a titolo gratuito

Non di rado viene rappresentata da parte di utenti dei servizi gratuiti di accesso ad Internet ed alla posta elettronica l´impossibilità di esprimere un consenso specifico e differenziato con riferimento alle diverse finalità del trattamento operato dai fornitori dei medesimi servizi. In particolare, viene talvolta negata la stessa opportunità di usufruire dei predetti servizi nel caso in cui l´utente non presti il consenso al trattamento dei dati per finalità pubblicitarie e commerciali.

In occasione della trattazione di uno specifico ricorso (Provv. 12 ottobre 2004) il Garante ha chiarito che è improprio richiedere un ampio e generalizzato consenso anche quando lo stesso Codice permette di prescindere da esso, come, ad esempio, per l´eventuale comunicazione dei dati all´autorità giudiziaria (cfr. art. 24, comma 1, lett. a), del Codice)-associandovi finalità pubblicitarie e di profilazione per le quali non è lasciata all´utente alcuna libertà nella manifestazione di volontà. La mancata richiesta di consensi differenziati (e limitatamente ai casi in cui sono necessari) determina un quadro confuso che non permette all´utente di esprimere scelte libere, consapevoli e non contraddittorie fra loro.

In questa prospettiva, l´Autorità ha riaffermato la necessità che il consenso sia realmente espresso senza condizionamenti che ne influenzino sotto vari profili la libera manifestazione (art. 23, comma 3, del Codice).

Quanto all´eventuale trattamento dei dati dell´interessato per finalità di profilazione, è stato precisato che tale trattamento potrebbe risultare lecito in determinate circostanze qualora, per i rapporti contrattuali, la società preveda l´assegnazione di un accesso gratuito ad Internet dietro "corrispettivo" di una profilazione lecita, corretta e proporzionata dell´interessato medesimo.

 

15.8. Il codice deontologico

Nell´ambito delle iniziative promosse in vista della predisposizione del codice deontologico e di buona condotta sui trattamenti dei dati personali effettuati dai fornitori dei servizi di comunicazione ed informazione offerti per via telematica (art. 133 del Codice), è stata avviata la consultazione delle organizzazioni rappresentative degli operatori del settore e dei consumatori che hanno aderito all´invito a partecipare formulato in precedenza dall´Autorità. Ciò è stato ritenuto opportuno al fine di identificare, congiuntamente ai soggetti a vario titolo interessati, gli aspetti che presentano particolari criticità sotto il profilo della protezione dei dati.

Alla luce dei primi contributi pervenuti, nonché degli studi da tempo avviati dalla stessa Autorità, sono state individuate alcune specifiche questioni che potranno essere oggetto di disciplina nell´adottando codice. Tra queste si ricordano, ad esempio, le modalità ed i contenuti dell´informativa; i profili relativi all´acquisizione del consenso ed ai diritti degli interessati; l´adozione di particolari misure di sicurezza; gli strumenti tecnici e giuridici di contrasto del fenomeno dello spamming, ivi compresa l´adozione di procedure di filtraggio o altre misure praticabili; l´individuazione di bollini di qualità per il trattamento dei dati posti in essere dagli operatori del settore; i problemi relativi alla registrazione dei nomi a dominio.

La definizione del codice in questione potrà fornire, sia agli operatori, sia agli utenti delle reti di comunicazione elettronica, riferimenti più precisi per assicurare il rispetto della normativa sulla protezione dei dati personali e, in particolare, dei principi generali di cui all´art. 11 del Codice.

 

15.9. La televisione digitale: i servizi interattivi

L´Autorità ha ultimato uno specifico studio sulle caratteristiche della televisione satellitare e interattiva individuando alcuni primi aspetti di rilevanza per la normativa sulla protezione dei dati personali.

Grazie allo sfruttamento delle potenzialità offerte dalla tecnologia digitale, è possibile offrire attraverso la televisione anche servizi caratterizzati dall´interattività: attraverso il collegamento di un apposito apparecchio (decoder) alla linea telefonica, l´utente può, ad esempio, partecipare a sondaggi, giochi, test o usufruire di particolari servizi di pubblica utilità erogati dalle amministrazioni pubbliche (cd.  T-government), o ancora, usufruire di servizi cd. transattivi, previa identificazione ed autorizzazione, grazie all´inserimento nel decoder medesimo di particolari "carte identificative" (smart card).

Agli indubbi vantaggi derivanti da questa tecnologia, si affiancano, tuttavia, alcune criticità con riguardo alla tutela della sfera privata degli utenti: l´uso dei servizi e programmi interattivi può determinare un´esposizione, anche inconsapevole, dei gusti, delle abitudini ed in generale della personalità dell´utente. Questi dati, opportunamente raccolti e trattati, potrebbero dare luogo al monitoraggio delle preferenze e dell´attività dell´utente medesimo. La circostanza che la raccolta dei dati avvenga in un ambito tipicamente "privato" (come quello familiare, nel quale l´individuo nutre la ragionevole aspettativa di essere al riparo da forme di controllo esterne) suscita ulteriori preoccupazioni. Inoltre, ad uno stesso apparecchio televisivo corrispondono di regola più fruitori (appartenenti o estranei al nucleo familiare dell´abbonato), i quali debbono essere messi in grado di compiere liberamente le proprie scelte in merito al trattamento dei dati personali che li riguardano.

Proprio al fine di approntare idonee cautele onde evitare che siano svolte illecite operazioni di profilazione ed invasive forme di controllo sulle abitudini delle persone, l´Autorità ha avviato una consultazione pubblica in vista della predisposizione di un provvedimento a carattere generale.

 

15.10. Dati relativi all´ubicazione

Negli ultimi anni si è assistito ad una rapida diffusione dei servizi basati sull´ubicazione. Tali servizi, pur presentando aspetti di indubbia utilità, possono comportare seri rischi per le libertà civili dell´interessato, potendo determinare un´esposizione, anche inconsapevole, dello stesso ad un controllo sistematico dei suoi spostamenti ovvero dei gusti e delle abitudini manifestati in occasione di specifiche richieste.

In questa prospettiva assume una particolare importanza il fatto che l´interessato sia pienamente a conoscenza delle caratteristiche del trattamento di dati che lo riguarda, nonché dei soggetti che svolgono il trattamento medesimo; ciò, anche al fine di prestare un consenso libero, specifico ed informato.

Proprio in ragione della particolare delicatezza di tali trattamenti, l´Autorità intende offrire indicazioni e chiarimenti ai soggetti che vogliano fornire tali tipologie di servizi. Al riguardo si segnala che il Garante sta ultimando la predisposizione di un provvedimento di carattere generale a completamento di quanto già disposto in materia dall´art. 126 del Codice.

Uno sviluppo di queste problematiche si è avuto con la menzionata richiesta della Presidenza del Consiglio dei ministri di acquisire dai vari gestori di telefonia mobile i dati di cittadini italiani che, in relazione alle informazioni sull´ubicazione dell´apparecchio disponibili presso i gestori stessi, risultavano trovarsi negli stati colpiti dal maremoto in Asia (v. par. 1.3 e 15.5).

Ferma restando la necessità di bilanciare la tutela della riservatezza con esigenze di salvaguardia della vita e dell´incolumità delle persone, questa vicenda pone (su un piano più generale) l´interrogativo se i dati relativi all´ubicazione degli apparecchi di telefonia mobile (e quindi, indirettamente, delle persone che li detengono), allorché siano diversi dai dati relativi al traffico telefonico -assistiti, questi ultimi, dalle garanzie costituzionali di libertà e segretezza della corrispondenza- godano comunque di una tutela costituzionale, e quale, anche alla luce del principio della libertà di circolazione (art. 16 Cost.).

 

15.11. Radio Frequency Identification

Il Garante ha seguito con grande attenzione lo sviluppo delle tecniche di identificazione via radiofrequenze (Radio Frequency Identification-Rfid).

Tali tecnologie si fondano sull´utilizzo di micro-processori che, collegati ad un´antenna ed impiegati come etichette di riconoscimento (cd. etichette intelligenti), sono in grado di trasmettere -attraverso onde radio- segnali leggibili da appositi lettori dotati di un´antenna di attivazione/ricezione.

La Rfid rappresenta uno strumento utile in numerosi settori e per diverse finalità: essa può essere impiegata, ad esempio, per il "tracciamento" di singole unità di prodotto nella catena di distribuzione dell´industria; per la prevenzione di furti e di contraffazioni dei prodotti; per garantire una maggiore rapidità nelle operazioni commerciali; per il controllo degli accessi ad aree riservate. L´utilizzo di questa tecnologia può, in alcuni casi, comportare un trattamento di dati personali rendendo necessaria l´applicazione della relativa normativa. Attraverso le cd. "etichette intelligenti" si possono trattare, anche senza che l´interessato ne sia a conoscenza, innumerevoli dati personali che lo riguardano, compresi quelli di natura sensibile; raccogliere dati sulle abitudini del medesimo ai fini di profilazione attraverso l´aggregazione con altre informazioni di carattere personale; verificare prodotti (vestiti, accessori, medicine, ecc.) indossati o trasportati; tracciare i percorsi effettuati.

Il Garante ha svolto una prima attività di approfondimento della materia in questione, rivolgendo l´attenzione al possibile impatto che le tecniche di identificazione via radio possono già avere sulle condizioni di esercizio delle libertà delle persone e alle problematiche che la loro introduzione è destinata a sollevare relativamente all´applicazione della normativa sulla tutela dei dati personali.

Tutto questo anche in vista del fatto che, se attualmente il terreno di elezione della Rfid appare ancora il settore industriale (soprattutto all´interno della catena di distribuzione, dove però la sua applicazione non comporta, il più delle volte, un trattamento di dati personali), tale tecnologia presenta enormi potenzialità: in prospettiva, anche in vista dell´ulteriore sviluppo tecnologico, dell´abbattimento dei costi di produzione, della possibilità di integrazione con altre infrastrutture di rete (telefonia, Internet, ecc.), le tecniche di identificazione via radio-frequenza potranno avere un impiego sempre maggiore e nei più diversi settori.

Occorre tenere altresì presente che più gravi pericoli per gli interessati possono derivare dal prevedibile incremento della potenza dei sistemi di Rfid (i quali potrebbero rendere fattibile una "lettura" delle etichette a maggiori distanze) nonché in ragione dell´adozione di standard tecnici comuni-dalla possibilità che terzi non autorizzati "leggano" i contenuti delle etichette o intervengano sugli stessi (mediante, ad esempio, "riscrittura").

L´attività istruttoria compiuta dall´Autorità in merito al trattamento dei dati nell´ambito della Rfid si è svolta anche attraverso contatti in Italia e all´estero con alcuni operatori del settore, che hanno portato ad un proficuo scambio di informazioni.

Al medesimo scopo è stata indetta una specifica consultazione pubblica cui è stata data ampia visibilità anche attraverso il sito web www.garanteprivacy.it. A completamento delle informazioni già acquisite, l´Autorità si è così potuta avvalere degli ulteriori elementi di valutazione provenienti da osservazioni e commenti inviati dalle associazioni di utenti, consumatori, operatori dei settori interessati e singoli cittadini.

Consultazione pubblica

Uno dei più recenti ambiti di utilizzo di questa tecnologia riguarda l´impianto sottocutaneo di dispositivi Rfid anche su persone. Si ha già notizia dell´avvio, anche in Italia, di tecniche di inserimento di microchip nel corpo umano per diverse finalità: ad esempio, allo scopo, di conservare e rendere all´occorrenza disponibili informazioni sullo stato di salute del paziente; al fine di verificare l´accesso a determinati luoghi riservati; ancora, per garantire pagamenti rapidi in transazioni commerciali di vario tipo.

Impianto sottocutaneo di etichette Rfid

La delicatezza di tali interventi è di tutta evidenza, sì da sollevare interrogativi circa le ripercussioni che i relativi trattamenti possono avere sulla dignità della persona (art. 2, comma 1, del Codice).

 

16. Sicurezza dei dati e dei sistemi

16.1. Le misure minime di sicurezza

L´Autorità -a seguito di numerose richieste di proroga e di chiarimenti pervenute circa il nuovo quadro normativo in materia di misure minime di sicurezza introdotto dal Codice- ha precisato che l´applicazione delle misure minime (artt. 33-35 del Codice e allegato B), la cui omessa adozione costituisce reato (art. 169 del Codice), va graduata a seconda che i trattamenti di dati personali, sensibili e giudiziari, siano effettuati con o senza l´ausilio di strumenti elettronici. Queste misure rappresentano, però, solo i requisiti minimi ai quali tutti i titolari del trattamento (anche a mezzo del responsabile, ove designato) devono attenersi nella protezione dei dati. Vi è, infatti, il dovere piò generale di adottare misure preventive idonee (art. 31 del Codice), la cui mancata predisposizione può esporre il titolare a responsabilità civile per eventuali danni cagionati a terzi (Nota 22 marzo 2004).

Nella stessa sede il Garante ha ricordato anche che la redazione del Documento programmatico sulla sicurezza (Dps) rientra tra le misure minime di sicurezza e che qualsiasi titolare pubblico o privato deve redigerlo se effettua un trattamento di dati sensibili e/o giudiziari con strumenti elettronici.

Inoltre, le misure minime già previste dal d.P.R. n. 318/1999 e riprodotte nell´allegato B) restano obbligatorie senza differimenti. Il termine transitorio, di recente nuovamente prorogato al 30 giugno 2005 (decreto-legge 9 novembre 2004, n. 266, convertito, con modificazioni, con legge 27 dicembre 2004, n. 306; salva l´ulteriore proroga al 30 settembre 2005, da riferire al solo caso in cui obiettive ragioni tecniche non consentano di adottare subito alcune misure) riguarda, infatti, solo le "nuove" misure minime che non erano già previste dal citato d.P.R. n. 318/1999 (art. 180, comma 1 e 3, del Codice).

L´Autorità ha inoltre precisato che è sostenibile ipotizzare che la redazione del Dps sia una "nuova" misura minima, con la conseguenza che, anche per questo adempimento, vale il termine del 30 giugno 2005. Il Garante ha poi messo a disposizione degli operatori, sul proprio sito web, una guida utilizzabile per agevolarne la redazione soprattutto presso le realtà medio-piccole.

Gli stessi principi sono stati tra l´altro confermati dall´Autorità nel già richiamato parere reso al Consiglio nazionale forense (Nota 3 giugno 2004) sui principali adempimenti in materia di protezione di dati personali nello svolgimento dell´attività forense, con il quale si è anche precisato che, per quanto riguarda l´organizzazione del lavoro quotidiano di studio, non occorre affatto depennare il nome delle parti dalla copertina dei fascicoli cartacei ed utilizzare solo numeri identificativi. Resta invece necessario seguire opportune modalità per rendere i fascicoli e la relativa documentazione accessibili agli incaricati del trattamento nei casi e per le finalità previsti.

L´orientamento del Garante è stato inoltre ribadito con un recente parere, anch´esso già menzionato (Nota 3 dicembre 2004), in materia di trattamento dei dati personali da parte dei notai rilasciato al Consiglio nazionale del notariato (v. pure par. 10.2).

Su richiesta di un dipendente di un ufficio legale comunale, l´Autorità ha rilevato i limiti entro i quali un dirigente può utilizzare la password del dipendente per accedere ai dati contenuti nel suo computer in caso di assenza di quest´ultimo.

Profili applicativi

L´adozione di un sistema di "autenticazione informatica" per gli incaricati del trattamento effettuato con strumenti elettronici rientra tra le misure "minime" di sicurezza aggiornate dal Codice. Secondo le modalità tecniche specificate nell´allegato B) del Codice, tale sistema deve basarsi sull´attribuzione all´incaricato di credenziali di autenticazione che possono consistere anche in un codice per l´identificazione associato ad una parola chiave riservata conosciuta solamente a quest´ultimo (regole nn. 1 e 2).

In particolare, quando i dati sono accessibili soltanto attraverso l´uso di parole chiave è possibile rendere disponibili le medesime informazioni solo in caso di prolungata assenza o impedimento dell´incaricato, sempre che l´intervento si rilevi indispensabile e indifferibile e sia altresì esclusivamente motivato da esigenze di operatività o di sicurezza del sistema. Proprio in vista di tali evenienze, è necessario individuare con chiarezza le modalità attraverso le quali il titolare può assicurare la disponibilità dei dati mediante idonee e preventive indicazioni fornite per iscritto. In tal caso, l´incaricato deve essere tempestivamente informato dell´intervento effettuato (regola n. 10 dell´allegato B).

Tali accorgimenti, oltre a consentire di proteggere i dati personali contenuti nella memoria dell´elaboratore dalla possibile intrusione di soggetti non autorizzati se si tratta di dati giudiziari, come del caso sottoposto all´esame dell´Autorità-, permettono contestualmente di renderli disponibili in particolari casi di necessità e urgenza per trattamenti consentiti ed effettuati secondo modalità predeterminate chiaramente per iscritto dal titolare (Nota 16 luglio 2004).

A conclusione degli accertamenti svolti in seguito ad alcune segnalazioni relative alla raccolta e al trattamento di dati personali di clienti effettuato da una società nell´ambito di un servizio sperimentale di gestione on-line di polizze assicurative, l´Autorità ha ritenuto soddisfacente il riscontro fornito circa le misure tecniche ed organizzative adottate a protezione delle transazioni effettuate sul proprio server web. Gli accessi alle banche di dati personali relativi alle polizze assicurative, consentiti solo ad utenti registrati in apposite aree riservate del sito web della società, sono risultati protetti tramite specifiche misure di sicurezza (cd. protocollo https).

Si è comunque ricordato alla società che, per il trattamento di dati personali sensibili e/o giudiziari effettuato con strumenti elettronici, devono essere comunque adottate preventivamente idonee misure di sicurezza (art. 31 del Codice), oltre a quelle minime prescritte dal Codice (Nota  22 ottobre 2004).

L´Autorità sta concludendo accertamenti a seguito di un reclamo con il quale si segnalata la diffusione di dati personali causata dall´asserito abbandono di documenti, da parte di una filiale della banca, in occasione del rilascio dei locali ove si svolgeva la sua attività (Nota 29 luglio 2004).

Il Garante si è inoltre pronunciato sul reclamo di un lavoratore che contestava le modalità di consegna di una lettera di sanzione disciplinare da parte del datore di lavoro (Nota 23 novembre 2004). Il dipendente aveva ricevuto una comunicazione di sanzione disciplinare contenuta in un foglio non spillato, né racchiuso in busta sigillata, consegnatogli a mano e recante la chiara indicazione dell´oggetto della lettera e della sanzione comminata. Dando attuazione ai principi di proporzionalità, pertinenza e non eccedenza dei dati, è stato chiesto alla società di prevedere che la comunicazione della sanzione all´interessato venga in ogni caso inserita in busta chiusa e sigillata; è stato inoltre prescritto di impartire precise istruzioni a tutti gli uffici e dipendenti formalmente incaricati di tali trattamenti di dati, volte all´adozione di modalità e misure idonee a garantire la sicurezza e la riservatezza di comunicazioni contenenti dati relativi ai lavoratori interessati e ad evitare un accesso, anche casuale, da parte di terzi non autorizzati ai dati riportati al loro interno.

Ricevuta la segnalazione di un dipendente di una società che, alla ripresa del servizio dopo un prolungato periodo di assenza dal lavoro, non aveva trovato alcuni documenti personali lasciati in un armadio aziendale, l´Autorità dovrà valutare se sussistono o meno profili di violazione della normativa di protezione dei dati, anche in relazione alla circostanza che i documenti in questione siano relativi a trattamenti effettuati per ragioni di servizio.