Newsletter 10 - 16 dicembre 2001 

• Visite fiscali e privacy del lavoratore
• Sanzioni pecuniarie per chi non invia i documenti richiesti dal Garante
• Una Convenzione per l´e-commerce

Visite fiscali e privacy del lavoratore

Non viola la privacy il datore di lavoro che in conformità alla disciplina normativa e contrattuale richiede agli organi competenti la visita medica fiscale per il lavoratore assente che non abbia comunicato il motivo della sua mancata presenza sul posto di lavoro.

Il principio è stato affermato dal Garante che ha dichiarato infondato il ricorso di un dipendente che lamentava quello che, a suo avviso, era un illecito trattamento dei suoi dati da parte del datore di lavoro e si opponeva al ripetersi di comportamenti dello stesso tipo. Il lavoratore riteneva infatti, che l’azienda fosse incorsa in una illegittima comunicazione di dati personali all’INPS perché aveva disposto la visita di controllo ancor prima di aver ricevuto comunicazione dei motivi dell’assenza. In questo modo, secondo il ricorrente si era determinata una indebita intromissione nella sfera della riservatezza da parte del medico fiscale.

L’azienda, invitata dell’Autorità a fornire chiarimenti sul suo comportamento, ha però sostenuto di aver comunicato i dati dell’interessato agli organi competenti dell’INPS nel rispetto della normativa in materia e nei limiti indicati dalle autorizzazioni generali del Garante. Nel caso particolare, inoltre, riteneva che esistesse una legittima presunzione sulla continuazione dello stato di malattia del lavoratore, il quale, pur essendo stato assente in precedenza, per lo stesso motivo, per diversi giorni, aveva omesso di dare comunicazione della ragione dell’ulteriore prosecuzione dell’assenza al momento della "scadenza" della certificazione precedentemente prodotta.

Nella sua pronuncia il Garante ha giudicato infondato il ricorso perché la comunicazione dell’azienda è avvenuta nei confronti dell’ente competente con modalità e tempi conformi alle disposizioni normative e contrattuali che prevedono la possibilità di controlli fin dal primo giorno di malattia ed anche per assenze di un solo giorno, ove ne ricorra la necessità.

Il trattamento dei dati, inoltre, considerate anche le esigenze organizzative e la chiarezza dei rapporti tra dipendenti e datori di lavoro, non è poi risultato avvenuto in violazione dei principi di pertinenza e non eccedenza (art. 9, legge 675/96).

Sanzioni pecuniarie per chi non invia i documenti richiesti dal Garante

L’Autorità Garante ha contestato ad alcune società la mancata produzione dei documenti e delle informazioni richieste nell’ambito di alcuni procedimenti amministrativi di verifica della corretta applicazione della legge sulla privacy.

In particolare in un caso è stato contestato ad una società che offre servizi di telefonia il non aver fornito le informazioni richieste dall’Autorità e necessarie per poter decidere un ricorso promosso nei confronti dello stesso gestore. In tale specifico caso, un cliente si era rivolto all’Autorità lamentando un illecito trattamento dei suoi dati personali, per aver ricevuto messaggi indesiderati che riteneva inviati indebitamente. L’Autorità, nel corso della trattazione del ricorso, aveva quindi invitato la società a fornire informazioni sui rapporti con utenti ed abbonati, per verificare la liceità dell’utilizzazione e della comunicazione dei dati personali.

Di fronte all’inottemperanza delle società, l’Autorità ha contestato al loro legale rappresentante la violazione delle disposizioni della legge sulla privacy, riguardo alla mancata produzione dei documenti e delle informazioni richiesti (art. 39, comma 1, legge n.675/96).

Le società potranno far pervenire al Garante, entro 30 giorni dalla notifica della contestazione, documenti, scritti difensivi e chiedere di essere sentite.

Potranno inoltre effettuare il pagamento della sanzione in misura ridotta, attualmente prevista in due milioni di lire, pari ad un terzo della sanzione massima prevista.

Una Convenzione per l´e-commerce
(Da un articolo di Joel R. Reidenberg pubblicato sulla Houston Law Review, novembre 2001)

Joel R. Reidenberg, professore di diritto presso la Fordham University School of Law degli Stati Uniti, uno dei maggiori esperti di privacy e commercio elettronico negli USA (è stato ascoltato dal Congresso americano durante l’audizione sulle implicazioni della direttiva europea in materia di privacy, lo scorso 8 marzo, alla quale è stato chiamato anche il Prof. Stefano Rodotà) ha pubblicato di recente un articolo (http://reidenberg.home.sprynet.com/Transatlantic_Privacy.pdf) in cui esamina lo stato dell’arte per quanto riguarda privacy e commercio elettronico sulle due sponde dell’Atlantico, ed avanza dubbi sulla validità giuridica dell’accordo di Safe Harbor faticosamente raggiunto lo scorso anno fra Amministrazione USA e Commissione europea per consentire i flussi di dati dall’Europa alle imprese americane.

Reidenberg sostiene, infatti, l’opportunità di una convenzione globale sulla privacy da negoziare nell’ambito dell’OMC - quale unica risposta possibile ed efficace in un quadro di globalizzazione delle informazioni e delle comunicazioni.

L’analisi di Reidenberg è assai articolata e parte dalla constatazione dello sviluppo di attività legate al commercio elettronico negli USA, e più in generale a livello mondiale. Secondo Reidenberg, lo sviluppo del commercio elettronico non ha comportato l’emergere di problemi qualitativamente nuovi in termini di tutela della privacy; piuttosto, è aumentata l’importanza delle questioni connesse alle garanzie per i consumatori in un contesto imprenditoriale sempre più aggressivo. L’autore cita alcuni esempi delle tecniche di profilazione utilizzate da molte società per individuare meglio il proprio "target". Vi sono stati alcuni casi recenti (vedi Newsletter del Garante, n. 33 del 13-19 marzo 2000), nei quali alcune imprese hanno provato a fondere database "fisici" (elenchi telefonici) con i dati raccolti attraverso le transazioni online - suscitando reazioni sdegnate ed esponendosi a strascichi giudiziari (si veda il caso Doubleclick). In altri casi il patrimonio informativo delle aziende è stato usato come fonte di guadagno per fare fronte ad uno stato fallimentare, tentando di vendere il database della clientela al migliore offerente - come nella vicenda ToySmart (v. Newsletter n. 63 del 27 novembre-3 dicembre 2000.). La tendenza che Reidenberg vede emergere negli USA è quella di un potenziamento delle tecnologie che facilitano la raccolta delle informazioni a danno della trasparenza nei confronti dei cittadini. Vi sono state società come la Acxiom che si sono vantate di poter offrire elenchi di cittadini appartenenti a minoranze etniche (ispanici, afroamericani) i quali "parlano da stranieri" ma "pensano da Americani". Ed è molto forte anche la pressione delle lobby anti-privacy che sottolineano i costi eccessivi di una seria politica di tutela; di uno degli "studi" pubblicati in materia e della sua pseudoscientificità abbiamo riferito anche su questa Newsletter (n. 83, 14-23 maggio 2001).

Tuttavia, Reidenberg sottolinea che le argomentazioni di natura economica non tengono conto di quello che è il danno sociale derivante dalla perdita di fiducia nella lealtà e trasparenza dei comportamenti informativi. "La privacy riguarda il tessuto democratico della nostra società", e non è dunque gestibile con un approccio puramente economico o di mercato. Il problema, tuttavia, è che l’approccio prevalente negli USA è tradizionalmente fondato sull’autoregolamentazione e su soluzioni di natura tecnologica. A questo proposito, l’autore contesta l’efficacia delle politiche di autoregolamentazione proprio perché negano la natura politica della privacy e ne fanno un valore gestibile esclusivamente attraverso le leggi del mercato. Per citare Reidenberg, "la privacy è fondamentale per la libertà di associazione e la capacità di autorealizzazione delle persone all’interno della società. Si tratta di diritti politici basilari in una società democratica, che rappresentano valori fondamentali per l’America". L’autoregolamentazione da parte delle imprese non può garantire la tutela di questi diritti fondamentali, perché si basa su un approccio parziale - limitandosi a garantire (non di rado in modo fittizio) il diritto di essere informati e di scegliere, e dimenticando tutti gli aspetti legati all’esigenza di minimizzare il ricorso ad informazioni personali, di garantire l’accesso ai propri dati, di prevedere limiti per la conservazione dei dati raccolti. Neppure i programmi basati sul conferimento di "certificazioni di qualità" (come TrustE) offrono una valida alternativa, secondo Reidenberg, perché garantiscono una tutela soltanto parziale: ad esempio, nessuno di essi prevede fra le condizioni di certificazione che l’impresa di e-commerce riconosca un risarcimento alle vittime di abusi informazionali. Terzo aspetto affrontato da Reidenberg in questo contesto è quello delle soluzioni tecnologiche, ossia i software teoricamente in grado di garantire il rispetto delle disposizioni in materia di privacy. Il problema, in questo caso, è che per essere efficaci queste tecnologie devono essere incorporate in tutti i principali browser per il Web, e devono essere applicate su larga scala dai siti Web; entrambi gli obiettivi appaiono assai remoti anche per il candidato più promettente in questo campo, ossia P3P (Platform for Privacy Preferences).

Dall’analisi del quadro americano Reidenberg passa quindi all’esame della situazione esistente in Europa dopo l’approvazione della direttiva sulla protezione dei dati. Frutto della necessità di armonizzare la normativa degli Stati membri, che in alcuni casi risaliva agli anni ’70, la direttiva è uno strumento che Reidenberg giudica molto superiore a quelli esistenti negli USA, pur rilevando la sussistenza di discrepanze ed ambiguità nelle leggi con cui essa è stata recepita nei singoli Stati membri. Soprattutto, la direttiva ha avuto come effetto quello di "mettere in mora" gli Stati Uniti e di spingerli ad ottenere la valutazione di "adeguatezza" del livello di protezione dei dati personali che, in base alla direttiva, è un requisito indispensabile affinché si possano trasferire dati dall’Europa a paesi terzi. E’ innegabile, infatti, che la direttiva sulla protezione dei dati stia diventando un modello per gli altri Paesi, in particolare per l’Europa dell’Est e per nazioni quali l’Australia, il Canada o la Nuova Zelanda, proprio per il fascino concettuale insito in un insieme organico di norme che garantiscono la protezione dei dati in un contesto internazionale.

A questo punto l’analisi di Reidenberg si concentra chiaramente sull’accordo di Safe Harbor ("porto sicuro") fra Europa e USA. L’accordo raggiunto lo scorso anno, la cui validità in termini di adeguatezza della protezione offerta è stata riconosciuta dalla Commissione europea in una sua decisione (v. GUCE L215 del luglio 2000) è stato anche il frutto di pressioni politiche su entrambe le sponde dell’Atlantico. Secondo Reidenberg il punto fondamentale, tuttavia, è che l’applicazione dell’accordo negli USA incontra gravi ostacoli di natura giurisdizionale. I poteri della Federal Trade Commission, che in base all’accordo si farà carico di applicare i principi di "porto sicuro" qualora cittadini europei lamentino violazioni, riguardano la concorrenza sleale e le pratiche ingannevoli, ma in nessun caso la legislazione o la giurisprudenza federale estendono i poteri della FTC alle questioni inerenti il commercio estero o la tutela di consumatori stranieri. Anzi, la Corte Suprema degli USA ha stabilito espressamente che soltanto attraverso emendamenti di legge approvati dal Congresso USA sia possibile ampliare la giurisdizione della FTC. Dunque, l’affermazione fatta dal Ministero del Commercio secondo cui le clausole del Safe Harbor rientrano nella giurisdizione della FTC appare quantomeno opinabile. Peraltro, Reidenberg sottolinea che dubbi sulla validità giuridica del Safe Harbor sono stati avanzati anche dal Parlamento Europeo, in una risoluzione approvata alla vigilia della decisione della Commissione. Il Parlamento aveva rilevato che, in base alla direttiva sulla privacy, le decisioni concernenti l’adeguatezza della protezione dei dati in un Paese terzo devono basarsi sulla normativa esistente e su altre regole o principi in vigore in tale Paese; tuttavia, il pacchetto di regole del Safe Harbor non era ancora in vigore quando la Commissione ne ha deciso l’adeguatezza. In sostanza, secondo Reidenberg questo difetto procedurale lascia alle autorità di garanzia dei singoli Stati membri la possibilità di impugnare i termini dell’accordo dando un’interpretazione rigida della decisione assunta dalla Commissione europea. Bisogna infine ricordare che, come è noto, moltissimi settori di attività sono esclusi dal campo di applicazione del Safe Harbor perché a loro volta non sono soggetti alla giurisdizione della FTC - ad esempio, il settore bancario e quello delle TLC. Si tratta dunque di uno strumento che garantisce una tutela molto parziale.

C’è poi da considerare un altro aspetto: la FTC ha assicurato che darà priorità alle questioni connesse alla tutela di consumatori europei. E’ un’affermazione difficilmente accettabile, secondo Reidenberg, sia perché la FTC non ha mai dato prova di particolare aggressività nel far rispettare la normativa di sua competenza, sia perché sarebbe incongruo che un ente americano, finanziato dai cittadini americani, si adoperasse in via preferenziale per tutelare cittadini non americani contro abusi potenzialmente perpetrati da imprese americane - abusi rispetto ai quali i cittadini americani non godrebbero, fra l’altro, di un’analoga protezione.

Nasce da questa serie di considerazioni sui difetti ed i rischi degli approcci attualmente adottati negli USA, e sull’inadeguatezza delle risposte offerte dal Safe Harbor, la proposta secondo cui gli Stati Uniti dovrebbero promuovere la negoziazione di una "Convenzione generale sulla privacy delle informazioni" nel quadro dell’OMC. Fra i compiti dell’Organizzazione Mondiale per il Commercio è compresa infatti anche la regolamentazione del commercio elettronico, e solo ad un livello sopranazionale sarà possibile, secondo l’autore, affrontare i problemi fondamentali posti dalla regolamentazione della privacy in questo campo. L’OMC potrebbe dunque definire un nucleo di principi fondamentali in materia di protezione dei dati, sul modello di quelli elaborati relativamente alla proprietà intellettuale; questi principi verrebbero quindi incorporati in un accordo commerciale multilaterale sul modello di quello definito attraverso l’Uruguay Round. In tal modo le parti firmatarie dell’accordo si impegnerebbero al riconoscimento reciproco dei principi stabiliti in materia di privacy e commercio elettronico. Per Reidenberg questa strada avrebbe maggiori probabilità di facilitare lo sviluppo del commercio elettronico rispetto ad approcci esclusivamente nazionali o bilaterali come l’accordo di Safe Harbor.