Come precedentemente annunciato, è stata pubblicata sul Supplemento Ordinario n. 276 della Gazzetta Ufficiale n. 300 del 27 dicembre 2011, la legge 22 dicembre 2011, n. 214 recante “Conversione, con modificazioni, del decreto-legge 6 dicembre 2011, n. 201” (Decreto Monti).
La legge, entrata in vigore il 28 dicembre 2011, reca con sé la preannunciata rivoluzione del Codice in materia di protezione dei dati personali.
Si precisa che la legge di conversione non ha comportato modifiche alle innovazioni, già contenute nel decreto legge del 6 dicembre 2011, al Codice in materia di protezione dei dati personali.
Le modifiche, nell’intento di semplificare gli adempimenti in tema di privacy, hanno di fatto eliminato il diritto alla protezione dei dati personali per le persone giuridiche.
Ecco, nel dettaglio, le modifiche alla disciplina sulla protezione dei dati personali.
La nozione di “dato personale” di cui all’art. 4, comma 1, lett. b) del Codice viene drasticamente ristretta: dalla definizione scompare ogni riferimento alle persone giuridiche, enti od associazioni, esclusi anche dalla categoria degli “interessati”, di cui alla lettera i).
In altri termini, solo le informazioni relative alle persone fisiche costituiscono oggetto di tutela e solo le persone fisiche potranno esercitare i diritti previsti dall’art. 7, come ad esempio ottenere l’indicazione dell’origine dei propri dati, chiederne l’aggiornamento, la rettifica, la cancellazione ed opporsi al trattamento ai fini di vendita od invio di materiale pubblicitario.
In linea con la ratio delle modifiche, la manovra Monti abroga anche l’ultimo periodo dell’art. 9, comma 4, del Codice, che dettagliava le modalità per identificare il soggetto titolato a esercitare i diritti di cui sopra per conto di persone giuridiche, enti o associazioni.
Scompare, inoltre, il comma 3 bis dell’art. 5, peraltro introdotto solo pochi mesi fa dal c.d. “decreto sviluppo”, che aveva escluso l’applicazione delle norme del Codice per i trattamenti effettuati da imprese, enti o associazioni per finalità amministrativo-contabili.
Viene anche abrogata la lettera h) dell’art. 43 concernente il trasferimento dei dati delle persone giuridiche all’estero.
In ogni caso, le consistenti novità previste dalla l. 214 del 2011 non incidono sugli obblighi cui le imprese che trattano dati personali relativi a persone fisiche devono sottostare. È presumibile che questa “liberalizzazione” dell’uso dei dati delle persone giuridiche agevoli le attività pubblicitarie nei confronti delle imprese e non è da escludere un intervento chiarificatore, anche da parte del Garante, a riguardo.
La legge 23 dicembre 2011, n. 214 recante “Conversione, con modificazioni, del decreto-legge 6 dicembre 2011, n. 201 “Disposizioni urgenti per la crescita, l’equità e il consolidamento dei conti pubblici” è stata pubblicata sul supplemento ordinario n.276 alla Gazzetta ufficiale n. 300 del 27 dicembre 2011.
I provvedimenti introdotti dalla legge di conversione sono entrati in vigore il 28 dicembre 2012 mentre quelli contenuti nel decreto legge n. 201/2011 sono entrati in vigore il 6 dicembre scorso. Tra questi ultimi, lo ricordiamo, sono comprese anche le rivoluzionarie modifiche al Codice privacy precedentemente descritte su questo blog.
Il telemarketing è nuovamente al centro dell’attività del Garante per la Protezione dei dati personali che è recentemente intervenuto con un provvedimento sul fenomeno delle cosiddette telefonate “mute”.
Si tratta di telefonate in cui il destinatario, dopo aver sollevato il ricevitore, non entra in comunicazione con alcun interlocutore. Il fenomeno sembra essere piuttosto frequente, tanto che molti cittadini si sono rivolti all’Autorità per segnalare la ricezione ripetuta e continua di questo tipo di telefonate.
Pare che l’origine di questa nuova e misteriosa seccatura per il cittadino sia da ricercarsi nuovamente nel telemarketing. La magioranza delle “telefonate mute” sarebbe infatti la conseguenza di un problema organizzativo da parte delle società che si occupano di effettuare telefonate commerciali. Gran parte di queste aziende si serve di un sistema di instradamento automatico di telefonate per mettere in comunicazione le singole utenze dei citatdini con gli operatori di call center addetti alla promozione di servizi e prodotti. A volte, tuttavia, il sistema automatico può indirizzare verso i call center un numero di chiamate superiore all’effettiva disponibilità degli operatori. Così il telefono del cittadino squilla, ma dall’altra parte non c’è nessuno.
Naturalmente la ricezione di telefonate mute, specie se ripetuta, può provocare agli utenti non solo fastidio, ma anche allarme, considerato anche che diversi cittadini hanno lamentato al Garante di aver ricevuto telefonate di questo tipo anche per 10-15 volte di seguito.
Nel provvedimento, incentrato sul caso di una società fornitrice di energia individuata come indiretta responsabile di “telefonate mute”, l’Autorità ha pertanto stabilito che le società dotate di sistemi di chiamata automatici dovranno utilizzare accorgimenti che impediscano la reiterazione di tali telefonate ed escludano la possibilità di richiamare uno stesso numero ripetutamente entro un periodo di 30 giorni.
In caso di mancato adempimento alle misure prescritte la società rischia una sanzione amministrativa che va da 30mila a 120mila euro.
Tra le varie nuove disposizioni della manovra economica del Governo Monti (D.L. 6/12/2011 n. 201) pubblicata sulla Gazzetta Ufficiale n.284 del 6 dicembre 2011, vi è l’introduzione di una radicale modifica al Codice della privacy (D.Lgs 196/03).
Al fine di ridurre gli oneri amministrativi a carico delle imprese, l’art.40, comma 2, modificando l’art.4, comma 1, lettera b) del Codice della privacy, esclude dalla definizione di dato personale tutte le informazioni riferibili alle persone giuridiche, enti od associazioni.
Conseguentemente a questa esclusione la manovra ha incluso anche una modifica all’art.4, comma 1, lettera i) che definisce chi debba considerarsi “interessato”, cioè il soggetto cui si riferiscono i dati personali. Se prima poteva considerarsi “interessato” anche una persona giuridica, un ente o un’associazione, con l’attuale modifica l’”interessato” è solo una persona fisica.
Tale rivoluzionaria disposizione restringe quindi la tutela della privacy delle imprese e degli enti pubblici, i cui dati potranno essere trattati senza dover chiedere il consenso, limitando il diritto alla protezione dei dati solo alle persone fisiche.
A contorno di queste rilevanti modifiche, la manovra Monti abroga anche l’ultimo periodo dell’art. 9, comma 4 del codice, che dettagliava le modalità per identificare la persona fisica titolata a esercitare i diritti per conto di persone giuridiche, enti o associazioni, il comma 3-bis dell’art. 5 che escludeva dall’applicazione del Codice della privacy il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per finalità amministrativo-contabili, e infine, la lettera h) del comma 1 dell’art. 43 relativa al trattamento dei dati trasferibili all’estero di persone giuridiche, enti e associazioni.
Vietate le telefonate promozionali verso numeri tratti da albi professionali senza il consenso preventivo dell’interessato. I dati personali dei professionisti pubblicati sugli albi professionali possono essere utilizzati per telefonate commerciali solo se le offerte proposte sono strettamente funzionali all’attività svolta dal professionista, in caso contrario è necessario il previo consenso dell’interessato.
È quanto emerge da un recente divieto del Garante privacy che ha dichiarato illecito l’utilizzo da parte di una società di telemarketing dei dati personali di un avvocato che si era rivolto all’Autorità lamentando l’invadenza delle chiamate promozionali che lo raggiungevano sul luogo di lavoro.
In particolare, il legale aveva evidenziato come la presenza del proprio recapito telefonico nell’albo degli avvocati costituisse un obbligo di legge e non implicasse alcun consenso a ricevere offerte promozionali via telefono. Al contrario, l’utente era anche iscritto al Registro pubblico delle opposizioni.
Davanti al Garante la società si è difesa affermando che le promozioni proposte (piani tariffari di telefonia per professionisti) riguardavano l’attività professionale dell’utente e che quindi si trattava di un lecito utilizzo dei dati estratti da un albo professionale consultabile da chiunque. Il Garante ha tuttavia riscontrato che l’offerta commerciale era generica e non “direttamente funzionale” alla professione forense, non poteva pertanto giustificare un eventuale esonero dall’acquisizione del consenso.
Con questo divieto l’Autorità ha ribadito che senza esplicito consenso i recapiti telefonici dei professionisti non possono essere usati per proposte commerciali non strettamente attinenti all’attività lavorativa della persona contattata, anche se estratti da un elenco pubblico, come un albo professionale.
Il Garante ha inoltre ricordato che tutte le società di telemarketing sono tenute a verificare che gli utenti che contattano non abbiano espresso la propria contrarietà a ricevere telefonate commerciali attraverso l’iscrizione al Registro delle opposizioni.
In seguito a diverse proteste da parte di cittadini, il Garante della privacy ha deciso di intervenire sulle misure regionali di compartecipazione alla spesa sanitaria per fasce di reddito, recentemente predisposte dal Ministero dell’economia e delle finanze.
Alcune Regioni, infatti, a seguito alla manovra economica 2011, avevano evitato di introdurre il pagamento di 10 euro sulle ricette per le prestazioni specialistiche ambulatoriali, differenziando invece il ticket richiesto in base alla fascia di reddito familiare. La modalità adottata, tuttavia, non garantiva un’adeguata protezione dei dati personali dei pazienti.
In particolare, i cittadini hanno segnalato al Garante il fatto che, per usufruire delle esenzioni sul ticket in farmacia, erano stati costretti a comunicare il loro livello di reddito al farmacista, magari in presenza di altri clienti, o alle persone che eventualmente acquistavano medicinali per loro conto.
Il Garante privacy ha quindi approvato lo schema di linee di indirizzo secondo cui il medico dovrà apporre sulla ricetta uno speciale codice che indichi la fascia di reddito dell’assistito.
Sarà dunque solo il medico, all’atto della prescrizione, a verificare il codice da inserire per ogni paziente collegandosi al Sistema tessera sanitaria, oppure utilizzando l’apposita documentazione cartacea o digitale predisposta dalla ASL.
I form di iscrizione ad un sito web devono rispettare il principio di non eccedenza nel trattamento dei dati personali, secondo cui devono essere oggetto di trattamento solo i dati necessari alle finalità perseguite ovvero al raggiungimento degli scopi dichiarati.
Il principio è stato affermato dall’Autorità Garante per la protezione dei dati personali che ha vietato ad una università telematica il trattamento di alcuni dati degli studenti che si erano iscritti online in un form, così da essere costantemente informati sulle attività dell’ateneo.
Secondo quanto si evince dal provvedimento, l’università telematica, mediante il form di registrazione al sito, raccoglieva anche informazioni – quali luogo e data di nascita, codice fiscale, cittadinanza – che sono risultate eccedenti e non pertinenti rispetto alle finalità dichiarate.
Oltre al divieto di procedere al trattamento dei dati non pertinenti, l’Autorità Garante ha prescritto all’ateneo di modificare le modalità di raccolta dei dati personali, effettuata online, eliminando dal form di registrazione la richiesta dei dati risultati eccedenti rispetto agli scopi perseguiti.
Il provvedimento dell’Autorità conferma la rilevanza attribuita ai principi generali, applicabili a qualsiasi trattamento di dati personali, dettati dall’art. 11 del Codice in materia di protezione dei dati, che trovano nel principio di necessità e di buona fede nel trattamento dei dati personali la propria cifra essenziale.
Sebbene la notizia non abbia destato una particolare eco mediatica, la bozza del decreto sviluppo che circola negli ultimi giorni andrebbe ad incidere anche sulla protezione dei dati personali.
L’art. 94 del decreto, tra le altre, prevede la modifica nientemeno che della nozione di dato personale, inserendo una consistente limitazione riguardante le persone giuridiche. Il dato personale, infatti, verrebbe ad indicare “qualunque informazione relativa a persona fisica nonché, limitatamente al settore delle comunicazioni elettroniche, qualunque informazione relativa a persona giuridica, ente od associazione abbonati ad un servizio di comunicazione elettronica accessibile al pubblico, sempre che si tratti di soggetti identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”.
Ad essere modificata, di conseguenza, anche la nozione di interessato, che identificherebbe la persona fisica, nonché la persona giuridica, l’ente o l’associazione abbonati ad un servizio di comunicazione elettronica accessibile al pubblico, limitatamente al trattamento dei dati personali nel settore delle comunicazioni elettroniche.
Al di là della opinabile formulazione della norma, che solleva dubbi sulla sua interpretazione, viene radicalmente mutato l’impianto teorico e, conseguentemente, pratico del concetto di dato personale.
Le novità, seppure di minore impatto, non finiscono qui.
Vengono, infatti, dettate anche disposizioni in materia di ricette mediche digitali e fascicolo sanitario elettronico (artt. 129 e 130), e viene stabilito che dal 1° gennaio 2013 le pagelle ed i certificati scolastici siano rilasciati in formato elettronico e resi disponibili su web, tramite posta elettronica o altra modalità digitale (art. 132). Online anche i certificati di congedo dei lavoratori per la malattia dei figli (art. 131). Per quanto riguarda i trasporti, biglietti dei bus, tram o altri mezzi locali potranno essere emessi in formato elettronico (art. 137).
La bozza del decreto contiene, infine, il potenziamento dell’uso della PEC (art. 134), della quale sono tenute a dotarsi tutte le imprese, non solo quelle costituite in forma societaria. In relazione ai professionisti, già interessati da tale obbligo, è previsto che gli albi professionali rechino “in ogni caso” l’indirizzo di posta elettronica certificata dei propri iscritti.
Si tratta sì di previsioni non definitive, delle quali seguiremo l’iter e le relative implicazioni pratiche, che tuttavia suscitano un immediato interesse e non tarderanno ad essere oggetto di un vivace dibattito.
La maggioranza degli utenti di Internet italiani è consapevole dei rischi per la propria privacy legati all’uso della rete.
Questo quanto è emerso dalla recente indagine “Instant Poll sull’Online Privacy”, presentata al convegno “Tutela del consumatore e sviluppo delle nuove tecnologie”, promosso da Microsoft Italia, in collaborazione con Glocus e Fondazione Magna Carta, presso la Camera dei Deputati.
Secondo i dati raccolti, il 92% degli utilizzatori abituali della rete è consapevole delle possibili criticità legate alla protezione dei dati personali. In particolare, il 51% ritiene che la privacy sia sempre a rischio, sia nella vita online sia in quella offline, mentre il 35% considera maggiori i rischi connessi all’utilizzo della rete.
Le principali preoccupazioni legate al tema riguarderebbero il furto di dati bancari (68%) e di dati sensibili (66%). A queste seguono il timore di intrusioni nella propria casella di posta elettronica (30%) e della tracciabilità degli spostamenti attraverso la geolocalizzazione (12%). Preoccupa anche il monitoraggio dei siti visitati in Rete (12%).
Sul versante della sicurezza, le idee sembrano meno chiare. Per tentare di tutelarsi da intrusioni illecite gli utenti italiani sembrano affidarsi soprattutto a password complesse (57%) e prestano particolare attenzione a non leggere email considerate “sospette” (57%) e all’installazione e l’aggiornamento di firewall e antivirus (55%).
Non risultano invece utilizzate le funzioni legate alle impostazioni dei browser, come la possibilità di tenere sotto controllo i cookies (10%) o gestire il livello generale di protezione (11%).
Per quanto riguarda la tutela istituzionale della privacy gli utenti italiani hanno risposto di avere fiducia negli enti (58%) e, in quota minore, nelle istituzioni politiche (22%).
Il decimo anniversario dell’11 settembre 2001 è stata l’occasione per molti commentatori di riportare all’attenzione generale i cambiamenti che hanno seguito l’attacco terroristico alle Twin Towers.
L’impatto della tragedia ha infatti colpito pressoché tutti gli settori della vita pubblica americana, rendendo prioritario l’aspetto della sicurezza e della protezione. In particolare, le nuove norme anti-terrorismo hanno avuto un forte impatto limitante sul diritto alla privacy dei cittadini.
In occasione del decimo anniversario dell’attentato diversi esperti di privacy hanno pubblicato articoli volti a sensibilizzare il pubblico sui temi dell’attività governativa statunitense nell’ambito della protezione dei dati personali, in particolare sollevando la questione dell’inattività del Privacy and Civil Liberties Oversight Board, l’Osservatorio sulla privacy e le libertà civili.
Istituito dal Congresso nel 2004, l’Osservatorio era stato ideato per vigilare sul delicato equilibrio tra i diritti civili e le nuove necessità della sicurezza nazionale, caratterizzate da un incremento della sorveglianza e dalla raccolta di informazioni personali. Tuttavia, alla scadenza del mandato dei suoi membri, nel gennaio 2008, il Senato non ha provveduto a ratificare nuove nomine, rendendo l’Osservatorio di fatto inattivo fino ad oggi.
Per un ulteriore approfondimento sulla questione dell’inattività del Privacy and Civil Liberties Oversight Board americano consigliamo la lettura dell’approfondimento dedicato al tema dall’International Association of Privacy Professionals.
-
Tutti i contenuti pubblicati su questo blog sono sottoposti ad una licenza Creative Commons
