Il decreto “Salva-Italia” (legge 22 dicembre 2011, n. 214) come pure il decreto semplificazioni approvato venerdì scorso dal Consiglio dei ministri, operano rilevanti tagli alla cosiddetta legge sulla privacy.
Il primo, modificando la definizione di dato personale, ha escluso l’applicabilità del Codice per la protezione dei dati personali alle informazioni concernenti persone giuridiche, enti e associazioni e quindi ai dati di società, imprese, enti pubblici. Ciò significa che per trattare questi dati non è più necessaria l’informativa, non occorre richiedere il consenso o verificare che il trattamento sia conforme ai fini istituzionali dell’ente pubblico, non occorre più designare incaricati e responsabili di trattamento, né applicare le misure di sicurezza. Ciò significa anche che le persone giuridiche non vantano alcun diritto di controllo sui dati previsto dalla medesima legge.
In estrema sintesi, la legge sulla privacy non si applica ai dati di imprese, società, persone giuridiche in generale, enti e associazioni.
Il decreto semplificazioni, approvato venerdì dal Consiglio dei ministri, secondo quanto riportato dal comunicato stampa dello stesso Consiglio dei ministri pare prevedere l’abolizione del documento programmatico sulla sicurezza.
In entrambi i casi si tratta di modifiche a disposizioni della legge italiana non presenti nella direttiva europea.
Se l’abolizione del documento programmatico sulla sicurezza sarà confermata, va comunque chiarito che gli obblighi in materia di sicurezza rimangono fermi e così le responsabilità penale, amministrativa e civile conseguenti alla mancata adozione di misure di sicurezza. L’abolizione del documento programmatico sulla sicurezza non comporta e non deve comportare in alcun modo un’attenuazione della sicurezza nel trattamento dei dati personali perché, come è noto, senza sicurezza non c’è privacy.
La Commissione Europea discuterà mercoledì una modifica alla direttiva sulla protezione dei dati personali nella quale verrà per la prima volta riconosciuto il “diritto ad essere dimenticati”, ovvero il diritto per il cittadino di pretendere la cancellazione di qualunque dato personale archiviato su siti web.
Le modifica, collocata nell’ambito dell’ampio lavoro di revisione della direttiva, che risale al 1995, è stata anticipata dal Vicepresidente dell’Unione Europea, Viviane Reding, durante la Digital Life Conference recentemente tenutasi a Monaco.
La proposta ha come primo obiettivo quello di aiutare gli adolescenti a i giovani a controllare e gestire la propria reputazione online, in particolare sui social network. Alla base dell’intervento normativo c’è infatti la preoccupazione riguardo alla difficoltà di ottenere la cancellazione di dati “imbarazzanti”, pubblicati con leggerezza nel passato, ma dalle possibili conseguenze negative per il presente, specialmente in considerazione del fatto che sempre più spesso chi offre un lavoro effettua delle ricerche su Internet per orientarsi sui candidati.
Non tutti i dati, tuttavia, sarebbero ugualmente cancellabili. Viviane Reding ha infatti specificato che questa modifica non influirebbe sui dati archiviati nei database degli organi di informazione, così come sui dati medici o sui dati in possesso degli organi di giustizia.
Le maggiori compagnie della rete non hanno ancora rilasciato dichiarazioni ufficiali a commento della proposta nell’attesa di maggiori dettagliate informazioni.
Nuovi sviluppi sui rapporti tra la Commissione Europea e l’Ungheria, al centro dell’attenzione internazionale in seguito alla revisione costituzionale di stampo nazionalista operata dal governo di Viktor Orban.
Tra i nuovi elementi normativi che hanno destato la preoccupazione della Commissione Europea e del Fondo Monetario Internazionale spicca il provvedimento che limita l’indipendenza della Banca centrale nazionale. La Commissione ha anche espresso forti perplessità sulla norma che ha sostituito l’autorità ungherese per la protezione dei dati personali con una nuova autorità amministrativa il cui vertice viene nominato direttamente dal Primo Ministro, minandone così l’indipendenza. Un terzo elelmento critico è invece rappresentato dalla norma sulla pensione obbligatoria anticipata per giudici e magistrati.
In risposta alle pressioni provenienti dalla UE e dal FMI, il Primo Ministro ungherese ha recentemente dichiarato che il suo governo sarebbe pronto a trattare una modifica della controversa legge sulla Banca centrale magiara, giudicata dagli organi internazionali come non conforme ai Trattati europei. Orban ha però respinto gli altri appunti mossi dalla Commissione europea sull’ indipendenza della giustizia e sull’ autorità per la protezione dei dati personali.
Nei giorni scorsi la Commissione ha reso noto di essere pronta a lanciare procedure d’infrazione contro l’Ungheria se l’analisi delle spiegazioni chieste a Budapest e fornite dal governo magiaro non saranno sufficienti a fugare il sospetto che le norme varate siano in contrasto con il diritto comunitario. La decisione della Commissione è attesa per il 17 gennaio, in occasione della riunione settimanale a Strasburgo.
In seguito a diverse proteste da parte di cittadini, il Garante della privacy ha deciso di intervenire sulle misure regionali di compartecipazione alla spesa sanitaria per fasce di reddito, recentemente predisposte dal Ministero dell’economia e delle finanze.
Alcune Regioni, infatti, a seguito alla manovra economica 2011, avevano evitato di introdurre il pagamento di 10 euro sulle ricette per le prestazioni specialistiche ambulatoriali, differenziando invece il ticket richiesto in base alla fascia di reddito familiare. La modalità adottata, tuttavia, non garantiva un’adeguata protezione dei dati personali dei pazienti.
In particolare, i cittadini hanno segnalato al Garante il fatto che, per usufruire delle esenzioni sul ticket in farmacia, erano stati costretti a comunicare il loro livello di reddito al farmacista, magari in presenza di altri clienti, o alle persone che eventualmente acquistavano medicinali per loro conto.
Il Garante privacy ha quindi approvato lo schema di linee di indirizzo secondo cui il medico dovrà apporre sulla ricetta uno speciale codice che indichi la fascia di reddito dell’assistito.
Sarà dunque solo il medico, all’atto della prescrizione, a verificare il codice da inserire per ogni paziente collegandosi al Sistema tessera sanitaria, oppure utilizzando l’apposita documentazione cartacea o digitale predisposta dalla ASL.
I form di iscrizione ad un sito web devono rispettare il principio di non eccedenza nel trattamento dei dati personali, secondo cui devono essere oggetto di trattamento solo i dati necessari alle finalità perseguite ovvero al raggiungimento degli scopi dichiarati.
Il principio è stato affermato dall’Autorità Garante per la protezione dei dati personali che ha vietato ad una università telematica il trattamento di alcuni dati degli studenti che si erano iscritti online in un form, così da essere costantemente informati sulle attività dell’ateneo.
Secondo quanto si evince dal provvedimento, l’università telematica, mediante il form di registrazione al sito, raccoglieva anche informazioni – quali luogo e data di nascita, codice fiscale, cittadinanza – che sono risultate eccedenti e non pertinenti rispetto alle finalità dichiarate.
Oltre al divieto di procedere al trattamento dei dati non pertinenti, l’Autorità Garante ha prescritto all’ateneo di modificare le modalità di raccolta dei dati personali, effettuata online, eliminando dal form di registrazione la richiesta dei dati risultati eccedenti rispetto agli scopi perseguiti.
Il provvedimento dell’Autorità conferma la rilevanza attribuita ai principi generali, applicabili a qualsiasi trattamento di dati personali, dettati dall’art. 11 del Codice in materia di protezione dei dati, che trovano nel principio di necessità e di buona fede nel trattamento dei dati personali la propria cifra essenziale.
La recente pubblicazione della sentenza della Corte di cassazione 17 febbraio-1° giugno 2011, n. 21839 fa riflettere.
I fatti alla base della decisione paiono, nella loro essenza, estremamente semplici: un soggetto diffonde via chat il numero di telefono cellulare di un altro soggetto, senza consenso di quest’ultimo. Tale condotta, secondo la decisione, integra il reato di trattamento illecito di dati personali, disciplinato dall’art. 167 del Codice per la protezione dei dati personali.
È bene ricordare che gli elementi costitutivi di questa fattispecie di reato sono tre:
1) che il trattamento sia di per sé illecito, cioè in violazione di alcune specifiche disposizioni del Codice
2) che si configuri il dolo specifico, cioè la volontà di arrecare un danno o conseguire un profitto
3) che un danno (nocumento) sia stato effettivamente cagionato.
Ora, da quanto si ricava dalla decisione, il trattamento era senz’altro illecito. Il dato personale (il numero telefonico del cellulare) era stato trattato, più precisamente diffuso via Internet, senza il consenso dell’interessato.
Questa condotta, a quanto si desume, era stata posta in essere dal reo allo scopo di arrecare un danno all’interessato e il danno era stato effettivamente prodotto. Su questo punto, si segnala, la Cassazione sembra favorevole al riconoscimento di un danno in re ipsa, ma non è possibile approfondire questo aspetto in questa sede.
La Corte di cassazione conferma quindi la sentenza penale di condanna.
Pur sembrando la decisione condivisibile, nei limiti degli scarni elementi di fatto riportati nella sentenza pubblicata, si rileva un errore.
Il numero di telefono cellulare è certamente dato personale ma non dato sensibile. La decisione, invece, si riferisce al numero di telefono cellulare come ad un dato sensibile.
Le due definizioni, contenute nell’art. 4 del Codice per la protezione dei dati personali sono invece estremamente chiare e non danno luogo ad equivoci.
Il dato personale è, in sintesi, qualunque informazione riferibile ad un soggetto: dunque sia il numero dell’utenza telefonica fissa, sia il numero dell’utenza telefonica mobile.
Dati “sensibili” sono soltanto i dati espressamente e tassativamente elencati dall’art. 4, comma 1, lett. d), cioè: “i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”. Fra questi non vi è il numero di utenza telefonica cellulare.
“Dato sensibile” non è, sotto il profilo giuridico, sinonimo di “dato riservato”. Il dato riservato nella legge non esiste, mentre il dato sensibile è soltanto quello che rientra nell’elenco sopra riportato.
Il numero di telefono cellulare è un dato personale ma non un dato sensibile. Questo è un errore che viene frequentemente commesso dai non addetti ai lavori.
Ciò non significa affatto che il numero di telefono cellulare possa essere liberamente trattato e diffuso da chiunque: è un dato personale e quindi per ogni trattamento occorre il consenso dell’interessato.
Se fosse stato dato sensibile, allora sarebbe stata necessaria anche l’autorizzazione del Garante per la protezione dei dati personali e il reato sarebbe stato aggravato. Non essendo dato sensibile, ma dato personale, comunque si configura un reato.
Che la Corte di cassazione incorra in questo errore, dimostra che la cosiddetta legge sulla privacy è ancora ben lontana dall’essere conosciuta e che il livello di consapevolezza e di cultura giuridica è ancora estremamente basso.
Hanno attirato l’attenzione internazionale le recenti dichiarazioni della direttrice marketing di Facebook, sorella del CEO Mark Zuckerberg.
Intervenuta ad una tavola rotonda sul “cyber-bullismo” organizzata dalla rivista Marie Claire, Randi Zuckerberg si è pronunciata contro l’anonimato online, sostenendo che i cittadini della rete si comporterebbero molto meglio se ogni loro azione fosse correlata dal loro reale nome in evidenza. Secondo la direttrice marketing, sarebbe questo il motivo per cui Facebook richiede espressamente il nome, il cognome e l’indirizzo email reali dei loro iscritti. “Credo che l’anonimato su Internet debba scomparire”, ha specificato.
Le parole di Randi Zuckerberg richiamano le dichiarazioni del CEO di Google Eric Schmidt che alcuni mesi fa aveva definito l’anonimato in rete come “un pericolo”, aggiungendo che i governi si troveranno presto nella condizione di doverlo vietare.
Naturalmente questo genere di proposte trova fieri oppositori in quanti sostengono che l’anonimato è fondamentale per la libertà di espressione in rete. Sono molte infatti le occasioni in cui l’anonimato costituisce una protezione per i cittadini, come ad esempio nel caso di dichiarazioni di dissidenti politici o di persone vittime di abusi. Per questo motivo l’anonimato è anche alla base di molti portali di condivisione di notizie, basti pensare a Wikileaks, grazie ai quali sono venuti alla luce crimini e scandali.
Un gioco per stimolare una maggiore consapevolezza sulla privacy. È questa la nuova idea di Zynga, l’azienda californiana che domina il mercato dei browser game.
Divenuta celebre grazie ad applicazioni ludiche integrate sulla piattaforma di Facebook come “Farmville” e “TexasHoldEm”, Zynga è stata più volte al centro di proteste sulla diffusione non autorizzata dei dati personali dei suoi utenti. Nell’ottobre 2010 le proteste si sono concretizzate in una class action nella quale l’azienda è stata formalmente accusata di avere venduto illegalmente i dati dei suoi 218 milioni di utenti a inserzionisti pubblicitari e data brokers, violando le leggi federali e il contratto con Facebook.
Il recente lancio di “Privacyville”, il gioco in cui si “impara” la policy sulla privacy di Zynga, è dunque una trovata di marketing volta a migliorare l’immagine dell’azienda sul versante della protezione dei dati personali. La novità capita proprio nella settimana che segue la notizia della recente richiesta di collocazione in borsa da parte della società.
Nonostante il chiaro intento pubblicitario di Zynga, la produzione di un gioco che informa l’utente sulla privacy sembrerebbe essere stata pensata appositamente per venire incontro alla richiesta di una maggior educazione alla privacy recentemente espressa dal Garante taliano per la protezione dei dati personali.
Più che di un gioco infatti si tratta di una sorta di animazione interattiva di un percorso che spiega le modalità e le finalità con cui Zynga raccoglie i dati degli utenti e fornisce i link alle pagine attraverso le quali è possibile restringere i parametri standard sulla privacy.
Alla fine del percorso l’utente deve rispondere ad un quiz volto a verificare la comprensione delle spiegazioni. Se le risposte sono corrette il gioco premia l’utente con una ricompensa in punti spendibili all’interno delle altre applicazioni Zynga. Per ricevere i punti, naturalmente, è necessario registrarsi con il proprio account di Facebook.
Come anticipato, la seconda scheda informativa allegata al Rapporto Annuale del Garante per la protezione dei dati personali riguarda il sistema di cloud computing. Ne diamo qui un breve riassunto a beneficio di quanti nutrono perplessità circa la sicurezza e la riservatezza dei propri dati caricati “sulla nuvola”.
La scheda si presenta come una “serie di cautele” orientate a promuovere un utilizzo corretto delle modalità di erogazione dei servizi informatici e, data la crescente offerta dei servizi, in grado di favorirne l’uso consapevole e responsabile.
La “nuvola informatica” è un insieme di servizi le cui risorse sono facilmente configurabili ed accessibili via rete. L’utilizzatore, una volta collegato ad un cloud provider, può svolgere alcune attività come utilizzare software remoti non direttamente installati sul proprio computer o salvare dati su memorie di massa on-line.
È opportuno distinguere tra private e public cloud. In entrambi i casi i dati non risiedono più su server “fisici” dell’utente ma, mentre nel primo si tratta di un sistema chiuso dedicato alle esigenze di una singola organizzazione ed affidata in gestione a un terzo (facilmente controllabile); nel secondo, invece, l’infrastruttura è di proprietà di un fornitore, e la fruizione avviene via web.
Nel public cloud, la riservatezza e la disponibilità delle informazioni vengono affidate ai meccanismi di sicurezza adottati dal service provider, ed il fruitore che cede i dati perde una parte importante del controllo esercitabile su di essi.
Il Garante mette in luce una serie di aspetti che necessitano particolare attenzione: se il servizio prescelto, ad esempio, è il risultato di una catena di trasformazione di servizi presso altri service provider, diversi dal fornitore con cui l’utente stipula il contratto di servizio, l’utente potrebbe non essere in grado di sapere quale dei vari gestori dei servizi intermedi può accedere a determinati dati; inoltre, in assenza di adeguate garanzie sulla qualità della connettività di rete, potrebbero verificarsi problemi di accessibilità temporanea dei dati dovuta a guasti o picchi di traffico; in altri casi, la portabilità e l’interoperabilità potrebbero essere messe a rischio dalla transizione di dati e documenti da un sistema cloud a un altro, o dallo scambio di informazioni con utenti che utilizzano cloud differenti.
Esternalizzare i dati in remoto non equivale ad averli sui propri sistemi: esistono vantaggi e controindicazioni che bisogna conoscere. A fronte di ciò, il Garante ha stilato una serie di azioni da ritenere fondamentali per un oculato e consapevole utilizzo dei servizi cloud:
- Ponderare prioritariamente rischi e benefici dei servizi offerti.
- Privilegiare i servizi che favoriscono la portabilità dei dati.
- Assicurarsi la disponibilità dei dati in caso di necessità.
- Selezionare i dati da inserire nella cloud.
- Non perdere di vista i dati.
- Informarsi su dove risiederanno, concretamente, i dati.
- Fare attenzione alle clausole contrattuali.
- Verificare le politiche di persistenza dei dati legate alla loro conservazione.
- Esigere opportune cautele per tutelare la confidenzialità dei dati.
- Formare adeguatamente il personale.
Il Garante ricorda che l’adozione di servizi esternalizzati non esime le imprese e le amministrazioni pubbliche che se ne avvalgono dalle responsabilità loro attribuite in materia di protezione dei dati personali. Perciò anche nel caso cloud computing è opportuno “razionalizzarne le peculiarità al fine di individuare i potenziali rischi insiti in tali servizi e quindi poter adottare efficaci e specifiche misure di protezione”.
Molto “food for thought” nella Relazione annuale del Garante per la protezione dei dati personali tenuta oggi al Parlamento. Molti gli stimoli, a cominciare dal titolo della Relazione: “Uomini e dati”.
Come si afferma nella Relazione, “gli uomini e i dati non possono essere scissi in mondi diversi: i dati non sono solo il prodotto degli uomini e della capacità di comunicare e di organizzare, ma costituiscono ormai una parte essenziale del loro modo di essere”. Ciò è particolarmente evidente nel mondo della “autoesposizione e della trasparenza globale”, quello, in particolare, dei social network. E al riguardo parlare di “diritto all’oblio” “rischia di essere sentito ogni giorno di più come una inaccettabile pretesa di limitare il diritto a conoscere e a sapere”.
Tanti i temi nuovi sollevati dal Presidente Pizzetti: neutralità della rete, obbligo di denunciare i serious breaches, necessità di ridefinire le responsabilità nell’ambito di catene complesse di trattamento dei dati.
Grande rilievo ai rischi sollevati da cloud computing, smartphone e tablet, strumenti che potenzialmente trasformano ogni utente in un “Pollicino elettronico” che, con i sistemi di geolocalizzazione disponibili, lascia, spesso inconsapevolmente, le tracce dei propri spostamenti. Costituiscono una novità le due schede su cloud computing e su smartphone e tablet, allegate alla Relazione, che rispettivamente delineano indicazioni per l’utilizzo consapevole dei servizi e scenari attuali e prospettive operative.
Non sono mancate, inoltre, nella Relazione, le critiche al legislatore per l’attuale sistema di telemarketing e per il recente decreto sviluppo. Il Garante invita a rinviare le modifiche non necessarie, in attesa della ridefinizione della direttiva europea, che probabilmente avrà la forma del Regolamento, direttamente vincolante. Auspica, inoltre, che sia riconosciuta la competenza del Garante ad emanare le nuove misure minime in materia di sicurezza dei dati personali. E certamente, considerata la qualità dei più recenti provvedimenti normativi, sarebbe preferibile.
-
Tutti i contenuti pubblicati su questo blog sono sottoposti ad una licenza Creative Commons
