Tra le varie nuove disposizioni della manovra economica del Governo Monti (D.L. 6/12/2011 n. 201) pubblicata sulla Gazzetta Ufficiale n.284 del 6 dicembre 2011, vi è l’introduzione di una radicale modifica al Codice della privacy (D.Lgs 196/03).
Al fine di ridurre gli oneri amministrativi a carico delle imprese, l’art.40, comma 2, modificando l’art.4, comma 1, lettera b) del Codice della privacy, esclude dalla definizione di dato personale tutte le informazioni riferibili alle persone giuridiche, enti od associazioni.
Conseguentemente a questa esclusione la manovra ha incluso anche una modifica all’art.4, comma 1, lettera i) che definisce chi debba considerarsi “interessato”, cioè il soggetto cui si riferiscono i dati personali. Se prima poteva considerarsi “interessato” anche una persona giuridica, un ente o un’associazione, con l’attuale modifica l’”interessato” è solo una persona fisica.
Tale rivoluzionaria disposizione restringe quindi la tutela della privacy delle imprese e degli enti pubblici, i cui dati potranno essere trattati senza dover chiedere il consenso, limitando il diritto alla protezione dei dati solo alle persone fisiche.
A contorno di queste rilevanti modifiche, la manovra Monti abroga anche l’ultimo periodo dell’art. 9, comma 4 del codice, che dettagliava le modalità per identificare la persona fisica titolata a esercitare i diritti per conto di persone giuridiche, enti o associazioni, il comma 3-bis dell’art. 5 che escludeva dall’applicazione del Codice della privacy il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per finalità amministrativo-contabili, e infine, la lettera h) del comma 1 dell’art. 43 relativa al trattamento dei dati trasferibili all’estero di persone giuridiche, enti e associazioni.
I form di iscrizione ad un sito web devono rispettare il principio di non eccedenza nel trattamento dei dati personali, secondo cui devono essere oggetto di trattamento solo i dati necessari alle finalità perseguite ovvero al raggiungimento degli scopi dichiarati.
Il principio è stato affermato dall’Autorità Garante per la protezione dei dati personali che ha vietato ad una università telematica il trattamento di alcuni dati degli studenti che si erano iscritti online in un form, così da essere costantemente informati sulle attività dell’ateneo.
Secondo quanto si evince dal provvedimento, l’università telematica, mediante il form di registrazione al sito, raccoglieva anche informazioni – quali luogo e data di nascita, codice fiscale, cittadinanza – che sono risultate eccedenti e non pertinenti rispetto alle finalità dichiarate.
Oltre al divieto di procedere al trattamento dei dati non pertinenti, l’Autorità Garante ha prescritto all’ateneo di modificare le modalità di raccolta dei dati personali, effettuata online, eliminando dal form di registrazione la richiesta dei dati risultati eccedenti rispetto agli scopi perseguiti.
Il provvedimento dell’Autorità conferma la rilevanza attribuita ai principi generali, applicabili a qualsiasi trattamento di dati personali, dettati dall’art. 11 del Codice in materia di protezione dei dati, che trovano nel principio di necessità e di buona fede nel trattamento dei dati personali la propria cifra essenziale.
Ampiamente riportata su tutti i media italiani, la notizia dell’infermiera affetta da tubercolosi ha attirato l’attenzione del Garante per la Protezione dei Dati Personali che ha aperto un’istrutturia sul caso.
Pare che agenzie di stampa e quotidiani, anche on line, nel riferire la notizia abbiano riportato una quantità di dati sufficiente a riconoscere l’identità della donna, sospettata di avere contagiato diversi neonati ospiti del reparto dove lavorava.
Sebbene infatti il cognome dell’infermiera non sia mai stato pubblicato, molti giornali ne hanno riportato il nome, l’iniziale del cognome, l’età e il fatto che la donna lavorasse nel reparto di neonatologia del Policlinico Gemelli.
Nel comunicato stampa che annuncia l’apertura dell’istruttoria il Garante ricorda che “il diritto-dovere dei giornalisti di informare sugli sviluppi della vicenda, di sicura rilevanza per l’opinione pubblica, considerato l’elevato numero di neonati e di famiglie coinvolte, deve essere comunque bilanciato, secondo i principi stabiliti dal Codice deontologico con il rispetto delle persone“.
Per questo motivo il Garante ha raccomandato a tutti i professionisti che lavorano nei media di “evitare di riportare informazioni non essenziali che possano ledere la riservatezza delle persone e nello stesso tempo possano indurre ulteriori stati di allarme e di preoccupazione in coloro che si sono avvalsi dei servizi sanitari dell’ospedale o sono altrimenti entrati in contatto con la persona”.
La recente pubblicazione della sentenza della Corte di cassazione 17 febbraio-1° giugno 2011, n. 21839 fa riflettere.
I fatti alla base della decisione paiono, nella loro essenza, estremamente semplici: un soggetto diffonde via chat il numero di telefono cellulare di un altro soggetto, senza consenso di quest’ultimo. Tale condotta, secondo la decisione, integra il reato di trattamento illecito di dati personali, disciplinato dall’art. 167 del Codice per la protezione dei dati personali.
È bene ricordare che gli elementi costitutivi di questa fattispecie di reato sono tre:
1) che il trattamento sia di per sé illecito, cioè in violazione di alcune specifiche disposizioni del Codice
2) che si configuri il dolo specifico, cioè la volontà di arrecare un danno o conseguire un profitto
3) che un danno (nocumento) sia stato effettivamente cagionato.
Ora, da quanto si ricava dalla decisione, il trattamento era senz’altro illecito. Il dato personale (il numero telefonico del cellulare) era stato trattato, più precisamente diffuso via Internet, senza il consenso dell’interessato.
Questa condotta, a quanto si desume, era stata posta in essere dal reo allo scopo di arrecare un danno all’interessato e il danno era stato effettivamente prodotto. Su questo punto, si segnala, la Cassazione sembra favorevole al riconoscimento di un danno in re ipsa, ma non è possibile approfondire questo aspetto in questa sede.
La Corte di cassazione conferma quindi la sentenza penale di condanna.
Pur sembrando la decisione condivisibile, nei limiti degli scarni elementi di fatto riportati nella sentenza pubblicata, si rileva un errore.
Il numero di telefono cellulare è certamente dato personale ma non dato sensibile. La decisione, invece, si riferisce al numero di telefono cellulare come ad un dato sensibile.
Le due definizioni, contenute nell’art. 4 del Codice per la protezione dei dati personali sono invece estremamente chiare e non danno luogo ad equivoci.
Il dato personale è, in sintesi, qualunque informazione riferibile ad un soggetto: dunque sia il numero dell’utenza telefonica fissa, sia il numero dell’utenza telefonica mobile.
Dati “sensibili” sono soltanto i dati espressamente e tassativamente elencati dall’art. 4, comma 1, lett. d), cioè: “i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”. Fra questi non vi è il numero di utenza telefonica cellulare.
“Dato sensibile” non è, sotto il profilo giuridico, sinonimo di “dato riservato”. Il dato riservato nella legge non esiste, mentre il dato sensibile è soltanto quello che rientra nell’elenco sopra riportato.
Il numero di telefono cellulare è un dato personale ma non un dato sensibile. Questo è un errore che viene frequentemente commesso dai non addetti ai lavori.
Ciò non significa affatto che il numero di telefono cellulare possa essere liberamente trattato e diffuso da chiunque: è un dato personale e quindi per ogni trattamento occorre il consenso dell’interessato.
Se fosse stato dato sensibile, allora sarebbe stata necessaria anche l’autorizzazione del Garante per la protezione dei dati personali e il reato sarebbe stato aggravato. Non essendo dato sensibile, ma dato personale, comunque si configura un reato.
Che la Corte di cassazione incorra in questo errore, dimostra che la cosiddetta legge sulla privacy è ancora ben lontana dall’essere conosciuta e che il livello di consapevolezza e di cultura giuridica è ancora estremamente basso.
Referti online, privacy dei pazienti, fascicolo sanitario elettronico e accesso sicuro ai dati sanitari, questi alcuni degli argomenti che verranno trattati insieme al Dott.Claudio Filippi, Autorità Garante per la protezione dei dati personali, durante l’incontro di lunedì 17 gennaio alle 14.30 presso Villa Guastavillani, sede di Alma Graduate School, Bologna.
Come sempre coordinato dalla Prof.Avv. Giusella Finocchiaro, l’incontro, che chiude il ciclo di appuntamenti su “diritto e innovazione tecnologica”, affronterà i profili più rilevanti nella protezione dei dati sanitari dei pazienti, un aspetto di particolare importanza nell’ambito del diritto alla privacy.
Come di consueto, per informazioni e iscrizioni si rimanda al sito di Alma Graduate School.
I dati reperibili in rete sulla vita privata non possono essere usati per giudicare un dipendente. Questo il principio che sta alla base di una bozza di legge tedesca che proibisce ai dirigenti di raccogliere informazioni sui dipendenti attraverso siti come Facebook.
Il nuovo provvedimento riguarda anche le assunzioni. Il Der Spiegel riporta alcune statistiche secondo cui ricorrere ai profili Facebook dei candidati è ormai la prassi per i responsabili della selezione del personale. Sempre più spesso aspiranti dipendenti vengono scartati sulla base di informazioni raccolte sui social network, come commenti giudicati inappropriati, confessioni sull’uso di droghe, foto imbarazzanti, ecc. ecc.
La bozza di legge, presentata dal Ministro dell’Interno Thomas de Maizière, mira a limitare pesantemente il tipo di dati che si potranno usare legalmente per prendere provvedimenti sui dipendenti o sui candidati per un’assunzione. Sarà possibile raccogliere informazioni solo attraverso i siti in cui ci si presenta professionalmente, come il social network Linked_In, o comunque attraverso pagine dove il lavoratore ha il pieno controllo sulla propria immagine. L’obiettivo è quello di evitare che in Germania si verifichino episodi simili a quello ormai noto della “piratessa ubriaca”, la giovane laureata americana al quale è stata negata l’abilitazione all’insegnamento a causa di una foto su MySpace che la ritraeva in stato di ebbrezza.
Un particolare interessante riguarda il fatto che anche le informazioni giudicate ammissibili dalla nuova legge potranno essere utilizzate dall’azienda a patto che non siano troppo datate. Questa importante specificazione è volta ad impedire che l’archivio sterminato della rete pregiudichi la carriera professionale degli individui.
La legge prevede anche nuove disposizioni in materia di sorveglianza del personale all’interno delle aziende. Il testo proibisce espressamente l’uso di videocamere nei bagni, negli spogliatoi e nelle stanze adibite alle pause. Ulteriori specificazioni riguardano il controllo delle telefonate e delle email degli impiegati, che potranno essere sorvegliate solo sotto particolari condizioni e a patto che i dipendenti siano preventivamente informati.
Queste disposizioni giungono in seguito ad una serie di scandali sulla violazione della privacy dei lavoratori da parte di alcune compagnie che operano in Germania. Il più eclatante risale al 2008, quando si è scoperto che i dipendenti della catena di discount Lidl erano videosorvegliati anche all’interno dei bagni e le loro conversazioni venivano addirittura spiate e trascritte da un apposito ufficio di sorveglianza.
Il disegno di legge, che dovrebbe essere approvato mercoledì, conferma nuovamente l’impegno del governo tedesco nella protezione della privacy dei suoi cittadini.
È attesa per il 27-29 ottobre la 32esima conferenza internazionale dei garanti della privacy e della tutela dei dati che quest’anno è organizzata a Gerusalemme dall’Israeli Law, Information and Technology Authority (ILITA), il garante della privacy israeliano.
La conferenza, che come di consueto ospiterà rappresentanti di organizzazioni di tutto il mondo del settore della privacy, è stata intitolata “Privacy: generations“, un plurale che si riferisce alle nuove generazioni di tecnologie, alle nuove generazioni di utenti e alla nuova generazione di governance che dovrà inevitabilmente seguire i cambiamenti tecnologici e sociali.
La scelta del luogo dell’incontro internazionale non è casuale. Da quest’anno, infatti, il Garante di Israele è passato dallo status di osservatore a quello di membro della conferenza dei garanti. Il riconoscimento gli è stato conferito durante la 31esima conferenza, tenuta a Madrid, in seguito a un processo di ammissione che ha analizzato il livello di indipendenza con cui opera il Garante israeliano e il livello di protezione del diritto alla privacy nel sistema legale del paese.
Il 2010 è stato un anno importante per le relazioni internazionali di Israele. Nel maggio di quest’anno il paese è stato invitato, insieme a Estonia e Slovenia, a fare parte dell’OCSE. In occasione dell’incontro dei garanti della privacy, ILITA ha quindi organizzato anche un evento volto a celebrare il 30esimo Anniversario delle Guidelines sulla Privacy dell’OCSE, una conferenza sul ruolo in evoluzione dell’individuo nella protezione dei dati personali che si terrà il 25-26 Ottobre.
Per maggiori informazioni sugli eventi è possibile consultare il sito web e la pagina Facebook.
Giovedì scorso presso Alma Graduate School si è tenuto l’atteso incontro tra Il Dott. Marco Pancini, European Policy Counsel and Director of institutional relations of Google Italia, e il Cons. Giovanni Buttarelli, Garante Europeo aggiunto per la tutela dei dati personali.
Nonostante i prevedibili interessi contrapposti nelle posizioni professionali dei due invitati, durante l’incontro è emerso anche un aspetto non conflittuale fra la principale multinazionale della rete e l’organo europeo a tutela dei dati dei cittadini: la condivisa necessità di una normativa unitaria in materia. A questo proposito il Cons. Buttarelli ha annunciato che in autunno sarà promulgato un regolamento comunitario su data retention e privacy.
L’intervento del responsabile di Google ha illustrato le modalità con cui i servizi di Google raccolgono informazioni sui loro utenti e ha specificato quale tipo di dati vengono archiviati.
Nelle ricerche, ad esempio, vengono raccolti log formati da queste informazioni: indirizzo IP, data e ora della ricerca, parola ricercata, tipo di browser e sistema operativo usato, identificazione del cookie dell’utente. Secondo il dott.Pancini questi dati non consentono il riconoscimento della persona.
Google, quindi, non raccoglierebbe informazioni personali sull’utente, ma solo indicazioni utili a migliorare il servizio di ricerca, come il suggerimento della parola cercata o il controllo ortografico.
Anche i cookie sono strumenti utili all’esperienza di ricerca perché permettono la profilazione dell’utente, grazie alla quale, ad esempio, viene data la preferenza a risultati sempre nella stessa lingua. Inoltre permettono di offrire un’offerta pubblicitaria che possa interessare l’utente.
Il dott. Pancini ha poi sottolineato che Google si è autoregolamentato imponendosi di conservare gli indirizzi IP massimo per 9 mesi e i cookie massimo per 18.
Naturalmente il Cons. Buttarelli non poteva che muovere qualche obiezione alla “visione in positivo” di Google sulla propria policy.
Prima di tutto, il fatto che Google non conosca il nome e cognome associato agli indirizzi IP che registra non significa che non riconosca gli utenti e i loro comportamenti. Evidentemente intorno all’indirizzo IP si possono individuare una serie di elementi di riferimento utili a costituire un profilo commerciale. Si tratta dunque di informazioni di mercato di valore inestimabile che spesso l’utente non sa di fornire.
Il Cons. Buttarelli ritiene anche sia fuorviante continuare a parlare di pubblicità “nell’interesse dell’utente”. La pubblicità basata sulla conoscenza degli interessi degli utenti porta un vantaggio prima di tutto alla società commerciale.
A questo proposito si ritiene che i cookie e i file di log siano trattenuti da Google per un periodo ingiustificatamente lungo. Altre aziende che operano in rete, ad esempio Yahoo!, si sono autoregolamentate con tempi di molto inferiori. Sarebbe quindi opportuno che ogni società della rete spiegasse per quale motivo i dati vengono trattenuti e quali sono le informazioni realmente indispensabili.
In quest’ottica il garante aggiunto ha annunciato che la prossima regolamentazione europea rafforzerà, a livello di merito, la componente di privacy by design da parte delle case di produzione di software. Il concetto di privacy infatti deve essere tenuto in considerazione anche negli aspetti di progettazione dei sistemi, in altre parole il controllo degli utenti sui propri dati personali deve essere un’opzione insita nel software design. Questa procedura garantisce infatti la protezione dei propri dati a priori, impedendo così a repentine nuove idee di marketing di provocare danni, come è successo con il servizio Google Buzz.
Due notizie, una buona e una cattiva, vedono nuovamente Google protagonista di vicende legali e politiche in diverse parti del mondo.
La notizia buona, almeno per gli affari di Google, proviene dalla Cina, dove il governo di Pechino ha rinnovato all’azienda di Mountain View la licenza per operare nel paese come Internet Content Provider. È quindi risultato salvifico il recente dietrofront dal reindirizzamento automatico anti-censura sui server di Hong Kong. Per i cittadini cinesi rimane la possibilità di cliccare sul link Google.com.hk, presente nella pagina Google.cn, per effettuare ricerche non filtrate.
La notizia cattiva proviene invece dall’Australia, dove si è conclusa l’indagine sulla presunta violazione dei dati personali del servizio Google Street View. Il commissario locale sulla privacy ha raggiunto le stesse conclusioni precedentemente espresse dai commissari europei e statunitensi: Google ha violato massicciamente la privacy dei cittadini registrando, attraverso le apparecchiature del servizio Streeet View, pacchetti di dati inviati attraverso reti wi-fi per un totale di 600GB di dati sensibili.
Il Privacy Act australiano, tuttavia, non concede al governo l’autorizzazione a imporre sanzioni all’azienda. La vicenda si è così conclusa con le pubbliche scuse da parte di Google accompagnate dall’impegno a produrre per il governo locale una valutazione dell’impatto sulla privacy del servizio Street View in Australia.
Negli altri paesi del mondo la compagnia di Mountain View è invece esposta al rischio di sanzioni molto severe.
——-
Del rapporto fra Google e la Privacy si è parlato giovedì 8 luglio in occasione dell’incontro “Privacy, social network e motori di ricerca” coordinato dalla Prof. Giusella Finocchiaro con la partecipazione del Cons. Giovanni Buttarelli, Garante europeo aggiunto dei dati personali, e il Dott. Marco Pancini, European Policy Counsel and Director of institutional relations of Google Italia. Verrà presto pubblicato un resoconto dei temi principali trattati durante l’incontro.
Si deve a due informatici canadesi l’ideazione del Quit Facebook Day, la giornata della cancellazione da Facebook, fissata per il 31 Maggio. Si tratta di un’iniziativa di protesta contro il modo in cui il social network sta trattando i dati personali dei suoi utenti: in occasione del Quit Facebook Day si invitano tutti coloro che hanno a cuore la propria privacy a cancellare il proprio profilo.
L’iniziativa sta riscuotendo un discreto successo, soprattutto sulla scia delle polemiche suscitate dall’ultima trovata commerciale di Facebook, la cosiddetta “instant personalization” che prevede che siti esterni al social network possano accedere ai dati degli utenti quando questi transitano sulle loro pagine.
Ma non è solo quest’ultima intrusione il motivo del malcontento sempre più esteso nei confronti di Facebook. Recenti articoli hanno evidenziato un percorso di progressiva erosione della capacità di controllo dei propri dati offerta agli utenti del servizio (per una rapida panoramica dello stato della privacy dei profili di FB nel tempo, un ricercatore dell’IBM Center for Social Software ha ideato una pratica visualizzazione grafica).
Come se ciò non bastasse, l’orientamento sprezzante della tutela dei dati personali della policy interna al Social Network era stato chiaramente esplicitato dal suo fondatore Mark Zuckerberg che all’inzio di quest’anno aveva dichiarato che “la privacy è un concetto ormai superato“.
In evidente disaccordo con lui alcuni senatori degli Stati Uniti recentemente hanno indirizzato al social network una lettera nel quale si invitava l’amministrazione a migliorare la tutela dei dati personali degli utenti. In seguito anche il Working Party, il gruppo dei Garanti dei dati personali dell’unione Europea, ha richiamato Facebook in una lettera di aperta critica.
La tempesta di polemiche questa settimana ha trovato una risposta da parte del social network. Facebook ha dichiarato che renderà più semplici i meccanismi di protezione dei propri dati per gli utenti, annunciando l’introduzione di un unico bottone per disabilitare l’intrusione nel loro profilo di terze parti.
Mercoledì Mark Zuckerberg ha scritto nel suo blog una lunga lettera di spiegazioni sui nuovi controlli della privacy, che a tratti assume toni di scusa:
Ogni volta che facciamo un cambiamento proviamo a imparare dalle lezioni passate, e ogni volta facciamo anche nuovi sbagli. Siamo lontani dalla perfezione, ma sempre facciamo del nostro meglio per costruire il miglior servizio per voi e per il mondo.
L‘Electronic Frontier Foundation, da sempre in prima linea in materia di privacy, ha commentato positivamente la risposta di Facebook, tuttavia ha puntualizzato che non è che il primo passo. Molta strada resta ancora da fare per garantire agli utenti del servizio un pieno controllo dei propri dati. Ad esempio, anche se è stata facilitata la procedura di opt-out, la famigerata instant personalization rimane un’impostazione di default. Per un’analisi precisa delle implicazioni negative sui dati personali che persistono su Facebook si rimanda all’articolo dell’EFF.
-
Tutti i contenuti pubblicati su questo blog sono sottoposti ad una licenza Creative Commons
