Tlc: cellulari intestati ad insaputa degli interessati. Interviene il Garante
Severo monito agli operatori. Riconosciuto il diritto degli interessati danneggiati di conoscere come è avvenuto l’illecito anche presso il rivenditore

Ancora un caso, piuttosto grave, in cui una persona si è ritrovata intestataria di 127 schede telefoniche per apparecchi cellulari senza che l’interessato ne avesse fatto alcuna richiesta e ne fosse informato. La gravità è emersa anche dal fatto che una di queste schede è stata oggetto di delicate indagini penali per omicidio nelle quali l’interessato è stato quindi coinvolto. La società aveva persino negato all’interessato l’accesso ai dati che lo riguardano, e per giunta continuava a mandargli pubblicità per schede mai volontariamente attivate.

È stata quindi riconosciuta la grave violazione dei diritti dell’interessato, al quale è stato anche garantito di accedere -contrariamente all’indebito rifiuto dapprima opposto al medesimo interessato- ai dati che riguardavano il numero delle utenze, la data della loro attivazione e le fonte dei dati.

Questi principi, ribaditi dal nuovo Codice entrato in vigore lo scorso 1° gennaio, sono stati fatti rispettare grazie all’intervento dell’Autorità garante che ha accolto il ricorso di un utente contro un gestore telefonico.

Non è la prima volta che cittadini ignari si rivolgono al Garante scoprendo di essere intestatari di numerose carte telefoniche da loro mai attivate, a volte usate addirittura per compiere truffe o altri reati, con ovvie conseguenze per gli intestatari almeno nella prima fase delle indagini. É stato ritenuto, quindi, illegittimo il rifiuto delle società di consentire agli interessati, in favore dei quali si era magari soltanto bloccato l’uso delle carte, di accedere ai dati personali detenuti dalle società stesse e di venire a conoscenza come e dove le schede erano state intestate. In alcuni casi si è determinata anche una conseguenza paradossale: disattivando una sim card da lui mai attivata, l’intestatario è stato a torto non ammesso ad accedere ai suoi dati d’utenza e ad utilizzarli a sua discolpa.

Il diritto di accesso ai dati personali dell’interessato, tutela invece, almeno in parte, questo rischio: conoscere informazioni riguardo all’utenza e gli estremi del dealer che ha effettuato l’attivazione delle carte telefoniche in oggetto possono essere strumenti importanti per il malcapitato, utilizzabili in sede di difesa.

È quanto si era appunto verificato al ricorrente che, a seguito di una segnalazione, aveva scoperto di essere intestatario di 127 carte telefoniche. Alla richiesta di conoscere i propri dati di utenza ha subito un netto rifiuto da parte della società telefonica che aveva motivato il diniego citando infondatamente l’art. 132 del Codice della privacy e sostenendo di non essere tenuta a fornire dati di traffico telefonico di sim card disattivate, dopo lo scadere dei sei mesi necessari alla fatturazione.

Ritenutosi leso nell’esercizio del proprio diritto d’accesso l’utente ha presentato ricorso al Garante, il quale ha rilevato che era infondata l’eccezione formulata dalla società riguardo ai termini temporali, perché la predetta disposizione del Codice si riferisce unicamente ai dati di traffico e non anche agli estremi identificativi delle utenze.

L’interessato ha diritto di conoscere l’esistenza di dati personali che lo riguardano, la loro comunicazione in forma intelligibile, l’indicazione della loro origine e dell’uso che ne viene fatto. In tal modo, sia che vi sia un dealer solo, sia che ve ne siano molti, risulta più agevole ricostruire le modalità in cui la truffa telefonica viene gestita.

Alla società di telefonia sono state addebitate le spese del procedimento, che dovranno essere liquidate direttamente a favore del ricorrente. Inoltre il Garante ha disposto ulteriori accertamenti in ordine al più generale comportamento della società e dei dealer rispetto all’illecita intestazione di carte telefoniche.

Smart card : il "decalogo" del Consiglio d’Europa
Nessuna deroga ai principi sanciti se non in casi eccezionali. Dati sulla salute solo se previsti per legge o con il consenso dell’interessato.

I dati personali raccolti e trattati attraverso smart card devono limitarsi al minimo indispensabile e devono utilizzati solo per scopi legittimi e specifici. I dati sulla salute, in particolare, possono essere trattati solo se vi è una previsione di legge oppure con il consenso dell’interessato e dovranno essere adottate misure di garanzie come la cifratura. I cittadini devono essere informati sull’uso che viene fatto dei loro informazioni personali. Occorre procedere con cautela nell’utilizzazione di smart card come mezzo di pagamento se in esse sono registrati dati sensibili.

Questi i principi guida sanciti in un recente documento del Consiglio d’Europa riguardo all’uso dei dati personali nelle "carte intelligenti", ossia carte contenenti un microchip in grado di effettuare particolari operazioni (accesso ai servizi in rete, pagamenti on line etc.) e nel quale è possibile inserire un notevole numero di informazioni personali, dai dati identificativi a quelli biometrici, come le impronte digitali (il documento è disponibile in lingua inglese all’indirizzo   http://www.coe.int/...).

Il CoE ha sottolineato che, quando si trattano dati personali attraverso smart card, è necessario rispettare tutti i principi stabiliti nella Convenzione del Consiglio d’Europa in materia di protezione dei dati personali (Convenzione 108). Non è ammissibile venire a meno a tali principi salvo che in casi del tutto eccezionali e quando ciò sia necessario, in una società democratica, per tutelare gli interessi dello Stato (sicurezza pubblica, repressione dei reati) oppure quelli dell’interessato o le libertà ed i diritti di terzi.

I principi guida sono rivolti in via primaria ai soggetti che rilasciano le smart card in quanto titolari delle relative operazioni di trattamento, ma riguardano anche tutte le altri parti in causa (progettisti di sistemi, gestori, operatori, interessati). Ad essi non è possibile derogare se non in casi del tutto eccezionali, quando ciò costituisca "una misura necessaria, in una società democratica" per tutelare gli interessi dello Stato nel settore della sicurezza pubblica e della lotta alla criminalità, oppure per tutelare gli interessi della persona interessata o "i diritti e le libertà altrui".

Ecco, in sintesi, alcuni punti fondamentali del documento:

• i cittadini devono essere adeguatamente informati;
• i dati personali eventualmente raccolti e trattati attraverso smart card devono limitarsi al minimo indispensabile (principio di necessità );
• chi gestisce il sistema determinandone finalità e strumenti di funzionamento ha la responsabilità del trattamento dei dati personali. Dunque, nel caso di una carta multiuso, si avrà una situazione di contitolarità da parte dei soggetti che raccolgono ed utilizzano i dati;
• il trattamento di dati sensibili è ammesso solo se previsto specificamente da norme di legge, oppure con il consenso espresso dell’interessato. Devono essere previste particolari garanzie, come, ad esempio, la cifratura dei dati stessi;
• occorre stabilire a priori quali soggetti terzi possano accedere ai dati registrati sulla carta, ed a quali condizioni. Da questo punto di vista, il Consiglio d’Europa non è favorevole all’utilizzazione di smart card come mezzo di pagamento se in esse sono registrati dati sensibili (ad esempio, per il pagamento di prestazioni sanitarie), a causa del maggiore rischio di abusi.

Il Consiglio d’Europa ha precisato che oltre alla Convenzione del Consiglio n. 108, che ha costituito fonte d’ispirazione anche per i lavori che hanno portato all’adozione della   Direttiva 95/46/CE    sulla protezione dei dati personali, numerosi e importanti riferimenti sono contenuti nelle Raccomandazioni che il Consiglio d’Europa ha successivamente formulato nel corso degli anni per quanto riguarda, ad esempio, la protezione dei dati sanitari, la protezione dei dati personali nel settore dei servizi di telecomunicazione, nei rapporti di lavoro, nelle attività di marketing diretto, nella previdenza sociale, ecc.

Pubblichiamo qui di seguito, in una traduzione non ufficiale, il documento del CoE:

Principi guida elaborati dal Consiglio d’Europa rispetto al trattamento di dati personali attraverso smart card.

1. La raccolta ed il trattamento di dati personali attraverso smart card devono avvenire in modo lecito e leale. Si deve prevedere di raccogliere e memorizzare sulla carta soltanto i dati personali necessari a raggiungere gli scopi per i quali la carta stessa è utilizzata. I sistemi che utilizzano smart card devono essere trasparenti per gli interessati i cui dati personali siano oggetto di trattamento.
2. I dati personali devono essere raccolti e memorizzati su una smart card soltanto per scopi legittimi, specifici ed espliciti. Non devono essere utilizzati successivamente secondo modalità che siano incompatibili con tali scopi.
3. Gli obblighi attinenti la protezione dei dati personali pertengono al soggetto che determina gli scopi del sistema e gli strumenti utilizzati per raggiungere tali scopi. Ciò comporta, nel caso di carte multifunzionali, che titolari diversi siano responsabili ciascuno per la parte che gli compete.
4. Qualora una smart card sia utilizzata per scopi di tipo diverso, il trattamento deve essere organizzato in modo da non utilizzare i dati per scopi diversi da quelli per cui sono stati raccolti. Qualora gli stessi dati siano utilizzati per scopi di tipo diverso, essi devono limitarsi a quelli strettamente necessari.
5. La raccolta di dati personali sensibili da registrare nella memoria della carta deve essere effettuata soltanto se prevista da norme di legge, oppure se l’interessato vi ha acconsentito esplicitamente. Tali dati devono essere trattati soltanto nel rispetto di opportune garanzie previste per legge. [Ciò può avvenire, a giudizio del CoE, attraverso la cifratura dei dati] Qualora la raccolta ed il trattamento dei dati in questione si fondino sul consenso esplicito, l’interessato deve avere il diritto di ritirare tale consenso in qualsiasi momento. Il rifiuto o il ritiro del consenso non devono comportare conseguenze negative per l’interessato.
6. I dati registrati su una smart card devono essere tutelati da accessi, alterazioni e/o cancellazioni non autorizzati o accidentali. La carta deve assicurare un livello adeguato di sicurezza alla luce delle conoscenze tecnologiche, della natura sensibile o non sensibile dei dati registrati, del numero e della tipologia delle applicazioni, e della valutazione dei possibili rischi. É necessario stabilire in anticipo, relativamente a ciascuno dei diversi scopi per i quali la carta viene utilizzata, a quali condizioni sia consentito a soggetti terzi di accedere ai dati registrati sulla carta stessa. [Da questo punto di vista, il CoE giudica che il rischio di abusi aumenti se la smart card è dotata di funzioni di pagamento, e sconsiglia l’associazione fra tali funzioni ed applicazioni che comportino la registrazione di dati sensibili sulla card]
7. Qualora si raccolgano e memorizzino dati personali su una smart card, l’interessato deve essere informato delle finalità del trattamento, dell’identità del titolare, delle categorie di dati in oggetto e dei destinatari, o delle categorie di destinatari, dei dati memorizzati. L’interessato deve ricevere ulteriori informazioni se ciò è necessario per garantire la lealtà del trattamento di dati personali.
8. All’atto del rilascio della carta, il titolare deve essere informato adeguatamente delle modalità di utilizzazione e dei passi da compiere in caso di frode o comunicazione non autorizzata.
9. Ogniqualvolta si realizzi uno scambio di dati personali fra una smart card ed il sistema, l’interessato deve esserne informato, a meno che sia già in possesso di tale informazione. Ciò riveste particolare importanza con riguardo alle carte "contactless", ossia qualora l’interessato non debba provvedere direttamente all’inserimento o alla presentazione della carta al sistema.
10. Gli interessati devono avere il diritto di accedere ai dati personali che li riguardano contenuti nella carta, e devono avere il diritto di farli correggere o, se necessario, aggiornare.
11. I dati derivanti dall’utilizzazione di una smart card [ad esempio, le informazioni concernenti data e luogo di utilizzazione] devono essere cancellati se non sono più necessari per lo scopo specifico in rapporto al quale la carta è stata utilizzata.