22 novembre 2002 - DOCUMENTI ON-LINE - PRIVACY: Slitta di sei mesi il Testo Unico (Articolo di M. Iaselli su StudioCelentano.it)

20 novembre 2002 - NEWSLETTER GARANTE - SANZIONI AD AMMINISTRAZIONI ED ENTI PUBBLICI PER VIOLAZIONI DELLE NORME SULLA PRIVACY

6 novembre 2002 - NEWSLETTER GARANTE - Maggiore privacy quando il telefonino è in riparazione

7 ottobre 2002 - DOCUMENTI ON-LINE - Tutela della privacy ed Internet; tutte le novità della direttiva comunitaria n. 2002/58/CE (Articolo di G. Stumpo su Diritto&Diritti)

26 settembre 2002 - DOCUMENTI ON-LINE - Qualcosa si muove contro "spammatori" e spioni (Articolo di M. Cammarata su InterLex)

23 settembre 2002 - NEWSLETTER GARANTE - I Garanti UE contro la conservazione dei dati su telefonate e e-mail

13 agosto 2002 - NEWSLETTER GARANTE - La direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche

23 luglio 2002 - GARANTE PRIVACY - Indagine del Garante sugli SMS "amorosi"

21 maggio 2002 - DELIBERA GARANTE - Il Garante promuove la sottoscrizione dei codici di deontologia e di buona condotta

22 novembre 2002 - DOCUMENTI ON-LINE
PRIVACY: Slitta di sei mesi il Testo Unico
(Articolo di M. Iaselli su StudioCelentano.it)
Clicca per vedere il documento

"Molto probabilmente non sara’ possibile per la fine di quest’anno vedere approvato il tanto atteso Testo Unico della Privacy, difatti un emendamento alla Comunitaria, ora in discussione al Senato, ha rinviato il termine ultimo per l’emanazione del provvedimento di sei mesi.

In effetti questo Testo Unico, secondo le prime indiscrezioni degli addetti ai lavori, non dovra’ solamente limitarsi a raccogliere in un corpus organico tutta la normativa in vigore in materia di privacy, ma secondo quella che ormai sta diventando una consuetudine del legislatore degli ultimi tempi, dovrebbe intervenire sulla stessa formulazione delle norme al fine di chiarire il significato di alcuni termini e semplificare, quindi, l’applicazione della normativa." [...]

20 novembre 2002 - NEWSLETTER GARANTE
SANZIONI AD AMMINISTRAZIONI ED ENTI PUBBLICI PER VIOLAZIONI DELLE NORME SULLA PRIVACY
Torna all'inizio della pagina

Sanzioni amministrative per un importo complessivo di circa 25.000 euro per due Comuni del sud e per il Consiglio nazionale delle ricerche.

Mentre sono in fase di ultimazione altri accertamenti derivanti da un ciclo di ispezioni presso diversi comuni, in materia di dati sensibili, nonché in tema di censimenti, l’Ufficio del Garante ha contestato varie violazioni della legge sulla privacy ad alcuni soggetti pubblici nel corso di verifiche scaturite da segnalazioni di cittadini: violazione delle norme sulla videosorveglianza e sulle notifiche, nei confronti del Cnr, e - salva altra valutazione sul merito - inottemperanza all’obbligo di fornire informazioni e di esibire documentazione richieste dall’Autorità nel caso dei due Comuni.

Due contestazioni per oltre 13.400 euro sono state notificate nei giorni scorsi al Cnr per aver installato, presso la propria sede, una telecamera a circuito chiuso senza fornire alcuna informativa alle persone riprese e per aver omesso alcuni adempimenti previsti dalla legge sulla privacy.

L’Ufficio del Garante, a seguito dell’esposto di un lavoratore, ha accertato la presenza di un sistema di videosorveglianza dotato di una telecamera con ampio angolo visuale, in grado di riprendere il passaggio delle persone che entrano nel campo visivo.

La presenza della telecamera, infine, seppure visibile, non era segnalata in alcun modo.

Le immagini, raccolte per motivi di sicurezza, non venivano registrate ed erano trasmesse ad un monitor collocato nel posto di guardia.

Al Cnr è stata contestata la violazione della normativa sulla privacy per non aver preventivamente informato il pubblico e i lavoratori attraverso avvisi e cartelli della presenza della telecamera.

La contestazione permette un pagamento in tempi brevi in misura ridotta di 3.098 euro.

Nel corso dell’istruttoria, inoltre, l’Autorità ha anche accertato che nella notificazione con la quale il Cnr aveva comunicato all’Ufficio i trattamenti di dati personali, l’ente non aveva specificato questo genere di attività (immagini delle persone trattate attraverso l’impianto di videosorveglianza).

Omissione per la quale all’ente è possibile pagare in misura ridotta 10.329 euro.

In altri procedimenti, invece, il Comune di Lecce (che si è già avvalso della facoltà di pagare in tempi brevi in misura ridotta solo 5.164 euro), è stato "multato" per non aver fornito informazioni richieste dall’Ufficio nel corso di accertamenti svolti a seguito della segnalazione di una dipendente comunale.

L’interessata aveva denunciato la possibile violazione della normativa sulla privacy, poiché l’assessore al personale avrebbe diffuso, nel corso di un’intervista ad un’emittente locale, informazioni relative allo stato di salute della dipendente e alle sue assenze per malattia.

Constatata l’inerzia dell’amministrazione locale, che non aveva fornito alcun chiarimento su quanto lamentato, l’Autorità ha provveduto a sanzionare il comportamento omissivo del Comune, riservandosi ogni altro provvedimento sul merito della vicenda.

Caso analogo quello del Comune di Bari, al quale il Garante si era rivolto per conoscere informazioni sull’istallazione di telecamere nelle auto della polizia municipale finalizzate al controllo delle infrazioni compiute dai cittadini.

Oltre ogni elemento utile sulla vicenda, segnalata da un abitante, l’Autorità chiedeva all’ente locale, in particolare, se l’installazione fosse avvenuta nel rispetto dei principi dettati in materia di videosorveglianza.

Trascorso il termine fissato senza aver ricevuto alcuna comunicazione, l’Autorità, riscontrando la violazione dell’art. 32 della legge 675/1996, ha applicato al Comune la sanzione amministrativa del pagamento di 5.164 euro.

Entro 30 giorni dalla notifica delle sanzioni Cnr e Comune di Bari potranno ancora far pervenire scritti difensivi o chiedere di essere sentiti dall’Autorità.

Trascorso questo termine dovranno provvedere all’effettivo pagamento delle somme.

6 novembre 2002 - NEWSLETTER GARANTE
Maggiore privacy quando il telefonino è in riparazione

"I centri di assistenza che ricevono in consegna gli apparecchi devono attenersi scrupolosamente ad opportune cautele di riservatezza per evitare o ridurre al minimo la possibile circolazione dei numeri telefonici memorizzati.

Per prevenire l’eventuale diffusione di questi dati, i centri di assistenza possono anche suggerire ai clienti di cancellarli prima di consegnare il cellulare da riparare.

Questa l’indicazione dell’Ufficio del Garante che è intervenuto sui problemi derivanti dalla prassi di consegnare, in sostituzione temporanea di apparecchi in riparazione, telefonini appartenuti o utilizzati da altri clienti e dell’eventuale utilizzo, da parte di estranei, dei numeri telefonici su di essi memorizzati.

L’occasione è stata fornita dalla segnalazione di un professionista che lamentava la possibile violazione della legge sulla privacy da parte del responsabile del centro di riparazione al quale aveva affidato il suo telefonino per un intervento tecnico e che se lo era visto sostituire, peraltro in via definitiva perché il suo era andato smarrito, con uno della stessa marca e dello stesso modello sul quale erano presenti numeri telefonici precedentemente memorizzati.

Nella segnalazione l’interessato chiedeva al Garante di accertare eventuali doveri del centro di assistenza nel garantire la riservatezza dei dati contenuti nel proprio cellulare e aveva, nel contempo, reso in ipotesi conoscibili numeri di telefono e nominativi contenuti nell’apparecchio consegnato in sostituzione.

Per prevenire l’indebita conoscenza o l’abusivo utilizzo dei numeri di telefono memorizzati nei telefonini, l’Ufficio ha richiamato l’attenzione sull’esigenza di adottare opportuni accorgimenti per ridurre al minimo la possibile circolazione di tali dati.

Ha invitato, pertanto, la società che produce e rigenera gli apparecchi e il singolo esercente il servizio di assistenza a suggerire ai clienti di cancellare i dati in memoria e, ove ciò non venga effettuato dal cliente, ad applicare, comunque, la normativa sulla privacy, la quale prevede di fornire ai clienti un’adeguata informativa sull’uso dei dati personali, quali sono i numeri di telefono, di raccogliere il loro consenso per il trattamento di questi dati e di predisporre idonee misure di sicurezza.

L’Autorità ha ricordato, inoltre, l’obbligo di non utilizzare indebitamente i dati memorizzati durante la fase di riparazione, se non è necessario per uno specifico intervento tecnico e solo nella misura strettamente necessaria, e di non cedere, neanche temporaneamente, a terzi o altri clienti cellulari contenenti numeri telefonici in memoria, se non nel caso in cui i possessori degli apparecchi siano stati informati e vi abbiano acconsentito."

7 ottobre 2002 - DOCUMENTI ON-LINE
Tutela della privacy ed Internet; tutte le novità della direttiva comunitaria n. 2002/58/CE
(Articolo di G. Stumpo su Diritto&Diritti)
Clicca per vedere il documento

[...] "La nuova direttiva, le cui disposizioni dovranno trovare attuazione a livello nazionale entro il 31 ottobre 2003, intende disciplinare ex novo, la raccolta, il trattamento ed in particolare la comunicazione di dati personali attraverso le nuove tecnologie dell’informazione, in un ottica particolarmente garantista per il 'contraente debole' delle transazioni on-line, ossia per l’utente-consumatore; essa è pertanto di particolare interesse, posto che per suo tramite, le istituzioni comunitarie si sono fatte interpreti dell’esigenza di adeguare il quadro normativo di riferimento per la tutela della privacy, agli ultimi progressi attuati sul piano della scienza e della tecnica nel campo delle comunicazioni elettroniche" [...]

26 settembre 2002 - DOCUMENTI ON-LINE
Qualcosa si muove contro "spammatori" e spioni
(Articolo di M. Cammarata su InterLex)
Clicca per vedere il documento

"L'Europa fa sul serio, o almeno ci prova. Questo potrebbe essere la conclusione dopo una prima lettura della direttiva 2002/58/CE 'relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche'. Sono infatti molte le novità in positivo rispetto alla abrogata 97/66/CE (nota come 'direttiva ISDN'), recepita con il decreto legislativo 171/98.

La nuova normativa, che formalmente integra la 95/46/CE, la 'madre di tutte le direttive' sulla protezione dei dati personali, segna di fatto l'inizio di una nuova generazione di norme sulla delicata materia e mette alcuni punti fermi in una discussione che va avanti da anni, sul bilanciamento tra gli interessi dell'industria e i diritti dei cittadini" [...]

23 settembre 2002 - NEWSLETTER GARANTE
I Garanti UE contro la conservazione dei dati su telefonate e e-mail
Torna all'inizio della pagina

09 Settembre 2002
I GARANTI UE: INACCETTABILE LA PROPOSTA DI CONSERVARE I DATI SU TELEFONATE ED E-MAIL

Ferma presa di posizione dei Garanti per la privacy europei contro la proposta di introdurre in modo generalizzato, senza tener conto delle garanzie e dei limiti previsti da vari strumenti internazionali e comunitari (da ultimo, la direttiva n. 2002/58/CE pubblicata il 31 luglio 2002), nuovi obblighi di conservazione di dati di traffico relativi alle telefonate, alle e-mail, agli sms, ai collegamenti con Internet, per finalità di polizia e di giustizia.

Le Autorità europee considerano infatti "sproporzionata ed inaccettabile" l’ipotesi avanzata dai governi europei di registrare sistematicamente, anche per finalità diverse da quelle di fatturazione o di pagamento delle interconnessioni, tutte le forme di telecomunicazione e comunicazione elettronica, mettendo a rischio la privacy dei cittadini europei: I Garanti hanno espresso la loro preoccupazione in una dichiarazione approvata in occasione della Conferenza internazionale di Cardiff (9-11 settembre 2002).

Questo il testo integrale della Dichiarazione sulla conservazione sistematica e obbligatoria dei dati di traffico:

Le Autorità europee per la protezione dei dati hanno rilevato con preoccupazione che nell’ambito del Terzo Pilastro dell’UE sono all’esame alcune proposte tali da comportare la conservazione sistematica e obbligatoria dei dati di traffico relativi a tutte le forme di telecomunicazione - durata, localizzazione, numeri utilizzati per chiamate telefoniche, fax, messaggi di posta elettronica, e per altri impieghi di Internet - per un periodo di un anno o più, allo scopo di consentire l’eventuale accesso da parte delle forze dell’ordine e degli organismi preposti alla sicurezza.

Le Autorità europee per la protezione dei dati dubitano fortemente della legittimità e liceità di misure dotate di tale ampiezza.

Desiderano inoltre richiamare l’attenzione sui costi eccessivi che ciò comporterebbe per le imprese operanti nel settore telecomunicazioni ed Internet e sull’assenza di misure analoghe negli USA.

Le Autorità europee per la protezione dei dati hanno più volte sottolineato che una conservazione siffatta costituirebbe un’indebita compressione dei diritti fondamentali garantiti ai singoli dall’articolo 8 della Convenzione europea sui diritti dell’uomo, così come ulteriormente sviluppati nella giurisprudenza della Corte europea dei diritti dell’uomo (v. Parere 4/2001 del Gruppo di lavoro ex Articolo 29, istituito dalla direttiva 95/46/CE, e la Dichiarazione di Stoccolma dell’aprile 2000).

La tutela dei dati di traffico delle telecomunicazioni è prevista attualmente anche dalla Direttiva 2002/58/CE del Parlamento europeo e del Consiglio in materia di privacy e comunicazioni elettroniche (Gazzetta Ufficiale CE L201/37), in base alla quale il trattamento dei dati di traffico è consentito, in linea di principio, ai fini della fatturazione e dei pagamenti di interconnessione.

All’esito di una lunga e franca discussione, la conservazione dei dati di traffico per scopi connessi all’attività delle forze dell’ordine dovrebbe essere conforme alle rigide condizioni previste dall’articolo 15(1) della Direttiva - ossia, caso per caso, solo per un periodo limitato e purché necessaria, opportuna e proporzionata all’interno di una società democratica.

Pertanto, qualora sia necessario, in casi specifici, conservare dati di traffico, deve sussistere un’esigenza dimostrabile, il periodo di conservazione deve essere quanto più breve possibile, e le relative modalità devono essere disciplinate con chiarezza attraverso disposizioni di legge, in modo da offrire garanzie sufficienti contro accessi non autorizzati ed ogni altro tipo di abuso.

La conservazione sistematica di dati di traffico delle più svariate tipologie per un periodo di un anno o anche maggiore sarebbe evidentemente sproporzionata e, quindi, in ogni caso inaccettabile.

Le Autorità europee per la protezione dei dati si attendono che il Gruppo di Lavoro ex Articolo 29 sia consultato prima dell’adozione di misure che possano eventualmente scaturire dal dibattito in corso nell’ambito del Terzo Pilastro.

13 agosto 2002 - NEWSLETTER GARANTE
La direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche

"Maggiore privacy per telefonia ed Internet dal Parlamento europeo. Conferma europea delle scelte già operate dal legislatore italiano per l’invio di e-mail commerciali e pubblicitarie solo agli utenti che abbiano espresso il proprio consenso. Divieto di inviare messaggi di posta elettronica, a scopo di direct marketing, omettendo o camuffando l’identità del mittente o senza l’indicazione di un indirizzo valido, cui il destinatario possa inviare una richiesta di cessazione. Regolamentazione dell’uso di cookies, spyware e bug. Particolare tutela per i dati relativi alla localizzazione dei cellulari raccolti nel corso della fornitura di nuovi tipi di servizi erogati da reti cellulari e satellitari che consentono di individuare esattamente l’apparecchiatura terminale dell’utente. Iscrizione negli elenchi telefonici pubblici, cartacei o elettronici, solo con il consenso degli abbonati e secondo modalità da loro scelte. Queste in sintesi le principali novità introdotte dalla nuova direttiva europea relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, entrata in vigore il 31 luglio 2002, giorno della sua pubblicazione sulla Gazzetta ufficiale delle Comunità europee (Direttiva n.2002/58/CE del Parlamento Europeo e del Consiglio del 12 luglio 2002). Gli Stati membri dovranno conformarsi alle nuove disposizioni europee entro il 31 ottobre 2003.

La nuova direttiva sostituisce la 97/66/CE (attuata in Italia con il decreto legislativo 171 del 1998) mantenendo elevato il livello di protezione dei dati personali e della vita privata da questa garantito.

Il nuovo testo riprende infatti una buona parte delle disposizioni della direttiva vigente apportando variazioni indispensabili per tener conto degli sviluppi intervenuti nei servizi e nelle tecnologie delle comunicazioni elettroniche. L’adeguamento permetterà così a utenti e consumatori di godere effettivamente di uno stesso livello di tutela, qualunque sia la tecnologia - digitale o analogica - utilizzata per la fornitura del servizio (definito non più di telecomunicazioni ma più correttamente di comunicazioni elettroniche).

La necessità di adeguare la vecchia direttiva 97/66/CE - sottolinea il Parlamento europeo - nasce dagli sviluppi che si sono verificati nei mercati e nelle tecnologie dei servizi di comunicazione elettronica tenendo conto che l’accesso ad Internet apre nuove possibilità agli utenti, ma rappresenta anche nuovi pericoli per i loro dati personali e per la loro vita privata. Analogamente l’uso di software spia (spyware), o di bachi invisibili (web bug), che possono introdursi nel terminale e permettere di accedere illecitamente e in modo non trasparente ad informazioni, o di seguire gli spostamenti in rete dell’utente, può rappresentare una grave intrusione nella vita privata e deve essere consentito unicamente per scopi legittimi e informando previamente l’interessato.

Nella direttiva si sollecita inoltre la progettazione di sistemi di fornitura di reti e servizi di comunicazione che limitino al minimo la quantità di dati personali necessari. Si prevede che i dati dei naviganti in Internet possano essere conservati dopo l’erogazione del servizio per il quale sono stati forniti, al pari di quelli delle chiamate telefoniche, ai fini della fatturazione e del pagamento per interconnessione.

Ogni ulteriore trattamento deve essere autorizzato dall’abbonato. Ad esempio se il provider vuole commercializzare altri prodotti o fornire servizi a valore aggiunto (orientamento stradale, previsioni meteorologiche, informazioni tariffarie o turistiche) deve raccogliere uno specifico consenso del cliente.

Per quanto riguarda il settore della telefonia la direttiva conferma il principio generale, già affermato nella 97/66/CE, che i dati sul traffico dell’utente devono essere cancellati o resi anonimi al termine della comunicazione. Permette comunque, entro precisi limiti e sulla base di determinate garanzie, la possibilità di introdurre delimitati tempi di conservazione laddove vi siano necessità di interventi proporzionali per finalità di accertamento e prevenzione di reati o motivi di sicurezza nazionale".

23 luglio 2002 - GARANTE PRIVACY
Indagine del Garante sugli SMS "amorosi"

Il Garante per la protezione dei dati personali ha avviato un'indagine in ordine all'invio di SMS e e-mail a numerosi utenti da parte di alcune società.

I messaggi in questione provenivano da sedicenti "ammiratori segreti" e contenevano un invito a chiamare un numero di telefono fisso con prefisso 899 per conoscere l'identità del presunto spasimante.

Una volta stabilito il contatto telefonico, una voce registrata, lungi dal rivelare il nome dell'ammiratore, informava invece l'utente circa le caratteristiche e i costi di alcuni servizi offerti.

Nel corso della comunicazione, inoltre, veniva richiesto all'utente di rilasciare dati personali propri e di suoi conoscenti, a seconda del tipo di servizio prescelto. Il costo della chiamata è pari generalmente a 5 Euro.

Sulla base delle numerose segnalazioni pervenute, l'Autorità ha già effettuato i primi accertamenti, dai quali sono emersi i nomi di alcune società italiane ed estere assegnatarie delle utenze telefoniche indicate.

I responsabili sono stati quindi invitati a fornire i chiarimenti del caso sul loro operato al fine di verificare se le operazioni compiute sui dati personali degli utenti siano o meno conformi alla normativa vigente in materia di privacy.

In particolare, le società coinvolte dovranno comunicare all'Autorità:

- dove sono stati raccolti i dati degli utenti;

- quali altri dati, oltre al numero telefonico, vengano utilizzati per fornire i servizi offerti, con quali modalità e per quali fini;

- se abbiano preventivamente informato i destinatari del messaggio dei diritti che la legge sulla privacy attribuisce loro e ne abbiano eventualmente raccolto il consenso nei casi in cui questo è previsto (artt. 10, 11 e 12 L. 675/1996);

- quali provvedimenti siano stati adottati per consentire agli utenti l'esercizio dei diritti attribuiti loro dall'art. 13 L. 675/1996: il diritto di accesso ai dati che li riguardano, il diritto di opporsi al loro trattamento e di chiederne la rettifica o la cancellazione.

Al vaglio del Garante sono anche i rapporti tra le società e l'operatore telefonico che ha assegnato le numerazioni, nonché i rapporti con altre società eventualmente coinvolte nell'offerta di servizi.

Avv. Giuseppe Briganti

Con la deliberazione 10 aprile 2002, n. 2 (GU 8 maggio 2002, n. 106), il Garante per la protezione dei dati personali ha promosso la sottoscrizione dei codici di deontologia e di buona condotta per i soggetti pubblici e privati interessati al trattamento dei dati personali in relazione alle finalità ed ai criteri indicati dall'art. 20 D.L.vo 467/2001.

I codici riguardano i trattamenti di dati personali
effettuati da fornitori di servizi di comunicazione e informazione offerti per via telematica;
necessari per finalità previdenziali o per la gestione del rapporto di lavoro;
effettuati a fini di invio di materiale pubblicitario;
a fini di informazione commerciale;
nell'ambito di sistemi informativi di cui sono titolari soggetti privati, utilizzati a fini di concessione di crediti al consumo;
provenienti da archivi, registri, elenchi, atti o documenti tenuti da soggetti pubblici;
effettuati con strumenti automatizzati di rilevazione di immagini.

Per il testo della deliberazione e per un approfondimento si rimanda al documento di cui sopra.

Avv. Giuseppe Briganti