La recente pubblicazione della sentenza della Corte di cassazione 17 febbraio-1° giugno 2011, n. 21839 fa riflettere.
I fatti alla base della decisione paiono, nella loro essenza, estremamente semplici: un soggetto diffonde via chat il numero di telefono cellulare di un altro soggetto, senza consenso di quest’ultimo. Tale condotta, secondo la decisione, integra il reato di trattamento illecito di dati personali, disciplinato dall’art. 167 del Codice per la protezione dei dati personali.
È bene ricordare che gli elementi costitutivi di questa fattispecie di reato sono tre:
1) che il trattamento sia di per sé illecito, cioè in violazione di alcune specifiche disposizioni del Codice
2) che si configuri il dolo specifico, cioè la volontà di arrecare un danno o conseguire un profitto
3) che un danno (nocumento) sia stato effettivamente cagionato.
Ora, da quanto si ricava dalla decisione, il trattamento era senz’altro illecito. Il dato personale (il numero telefonico del cellulare) era stato trattato, più precisamente diffuso via Internet, senza il consenso dell’interessato.
Questa condotta, a quanto si desume, era stata posta in essere dal reo allo scopo di arrecare un danno all’interessato e il danno era stato effettivamente prodotto. Su questo punto, si segnala, la Cassazione sembra favorevole al riconoscimento di un danno in re ipsa, ma non è possibile approfondire questo aspetto in questa sede.
La Corte di cassazione conferma quindi la sentenza penale di condanna.
Pur sembrando la decisione condivisibile, nei limiti degli scarni elementi di fatto riportati nella sentenza pubblicata, si rileva un errore.
Il numero di telefono cellulare è certamente dato personale ma non dato sensibile. La decisione, invece, si riferisce al numero di telefono cellulare come ad un dato sensibile.
Le due definizioni, contenute nell’art. 4 del Codice per la protezione dei dati personali sono invece estremamente chiare e non danno luogo ad equivoci.
Il dato personale è, in sintesi, qualunque informazione riferibile ad un soggetto: dunque sia il numero dell’utenza telefonica fissa, sia il numero dell’utenza telefonica mobile.
Dati “sensibili” sono soltanto i dati espressamente e tassativamente elencati dall’art. 4, comma 1, lett. d), cioè: “i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”. Fra questi non vi è il numero di utenza telefonica cellulare.
“Dato sensibile” non è, sotto il profilo giuridico, sinonimo di “dato riservato”. Il dato riservato nella legge non esiste, mentre il dato sensibile è soltanto quello che rientra nell’elenco sopra riportato.
Il numero di telefono cellulare è un dato personale ma non un dato sensibile. Questo è un errore che viene frequentemente commesso dai non addetti ai lavori.
Ciò non significa affatto che il numero di telefono cellulare possa essere liberamente trattato e diffuso da chiunque: è un dato personale e quindi per ogni trattamento occorre il consenso dell’interessato.
Se fosse stato dato sensibile, allora sarebbe stata necessaria anche l’autorizzazione del Garante per la protezione dei dati personali e il reato sarebbe stato aggravato. Non essendo dato sensibile, ma dato personale, comunque si configura un reato.
Che la Corte di cassazione incorra in questo errore, dimostra che la cosiddetta legge sulla privacy è ancora ben lontana dall’essere conosciuta e che il livello di consapevolezza e di cultura giuridica è ancora estremamente basso.
Hanno attirato l’attenzione internazionale le recenti dichiarazioni della direttrice marketing di Facebook, sorella del CEO Mark Zuckerberg.
Intervenuta ad una tavola rotonda sul “cyber-bullismo” organizzata dalla rivista Marie Claire, Randi Zuckerberg si è pronunciata contro l’anonimato online, sostenendo che i cittadini della rete si comporterebbero molto meglio se ogni loro azione fosse correlata dal loro reale nome in evidenza. Secondo la direttrice marketing, sarebbe questo il motivo per cui Facebook richiede espressamente il nome, il cognome e l’indirizzo email reali dei loro iscritti. “Credo che l’anonimato su Internet debba scomparire”, ha specificato.
Le parole di Randi Zuckerberg richiamano le dichiarazioni del CEO di Google Eric Schmidt che alcuni mesi fa aveva definito l’anonimato in rete come “un pericolo”, aggiungendo che i governi si troveranno presto nella condizione di doverlo vietare.
Naturalmente questo genere di proposte trova fieri oppositori in quanti sostengono che l’anonimato è fondamentale per la libertà di espressione in rete. Sono molte infatti le occasioni in cui l’anonimato costituisce una protezione per i cittadini, come ad esempio nel caso di dichiarazioni di dissidenti politici o di persone vittime di abusi. Per questo motivo l’anonimato è anche alla base di molti portali di condivisione di notizie, basti pensare a Wikileaks, grazie ai quali sono venuti alla luce crimini e scandali.
Un gioco per stimolare una maggiore consapevolezza sulla privacy. È questa la nuova idea di Zynga, l’azienda californiana che domina il mercato dei browser game.
Divenuta celebre grazie ad applicazioni ludiche integrate sulla piattaforma di Facebook come “Farmville” e “TexasHoldEm”, Zynga è stata più volte al centro di proteste sulla diffusione non autorizzata dei dati personali dei suoi utenti. Nell’ottobre 2010 le proteste si sono concretizzate in una class action nella quale l’azienda è stata formalmente accusata di avere venduto illegalmente i dati dei suoi 218 milioni di utenti a inserzionisti pubblicitari e data brokers, violando le leggi federali e il contratto con Facebook.
Il recente lancio di “Privacyville”, il gioco in cui si “impara” la policy sulla privacy di Zynga, è dunque una trovata di marketing volta a migliorare l’immagine dell’azienda sul versante della protezione dei dati personali. La novità capita proprio nella settimana che segue la notizia della recente richiesta di collocazione in borsa da parte della società.
Nonostante il chiaro intento pubblicitario di Zynga, la produzione di un gioco che informa l’utente sulla privacy sembrerebbe essere stata pensata appositamente per venire incontro alla richiesta di una maggior educazione alla privacy recentemente espressa dal Garante taliano per la protezione dei dati personali.
Più che di un gioco infatti si tratta di una sorta di animazione interattiva di un percorso che spiega le modalità e le finalità con cui Zynga raccoglie i dati degli utenti e fornisce i link alle pagine attraverso le quali è possibile restringere i parametri standard sulla privacy.
Alla fine del percorso l’utente deve rispondere ad un quiz volto a verificare la comprensione delle spiegazioni. Se le risposte sono corrette il gioco premia l’utente con una ricompensa in punti spendibili all’interno delle altre applicazioni Zynga. Per ricevere i punti, naturalmente, è necessario registrarsi con il proprio account di Facebook.
Come anticipato, la seconda scheda informativa allegata al Rapporto Annuale del Garante per la protezione dei dati personali riguarda il sistema di cloud computing. Ne diamo qui un breve riassunto a beneficio di quanti nutrono perplessità circa la sicurezza e la riservatezza dei propri dati caricati “sulla nuvola”.
La scheda si presenta come una “serie di cautele” orientate a promuovere un utilizzo corretto delle modalità di erogazione dei servizi informatici e, data la crescente offerta dei servizi, in grado di favorirne l’uso consapevole e responsabile.
La “nuvola informatica” è un insieme di servizi le cui risorse sono facilmente configurabili ed accessibili via rete. L’utilizzatore, una volta collegato ad un cloud provider, può svolgere alcune attività come utilizzare software remoti non direttamente installati sul proprio computer o salvare dati su memorie di massa on-line.
È opportuno distinguere tra private e public cloud. In entrambi i casi i dati non risiedono più su server “fisici” dell’utente ma, mentre nel primo si tratta di un sistema chiuso dedicato alle esigenze di una singola organizzazione ed affidata in gestione a un terzo (facilmente controllabile); nel secondo, invece, l’infrastruttura è di proprietà di un fornitore, e la fruizione avviene via web.
Nel public cloud, la riservatezza e la disponibilità delle informazioni vengono affidate ai meccanismi di sicurezza adottati dal service provider, ed il fruitore che cede i dati perde una parte importante del controllo esercitabile su di essi.
Il Garante mette in luce una serie di aspetti che necessitano particolare attenzione: se il servizio prescelto, ad esempio, è il risultato di una catena di trasformazione di servizi presso altri service provider, diversi dal fornitore con cui l’utente stipula il contratto di servizio, l’utente potrebbe non essere in grado di sapere quale dei vari gestori dei servizi intermedi può accedere a determinati dati; inoltre, in assenza di adeguate garanzie sulla qualità della connettività di rete, potrebbero verificarsi problemi di accessibilità temporanea dei dati dovuta a guasti o picchi di traffico; in altri casi, la portabilità e l’interoperabilità potrebbero essere messe a rischio dalla transizione di dati e documenti da un sistema cloud a un altro, o dallo scambio di informazioni con utenti che utilizzano cloud differenti.
Esternalizzare i dati in remoto non equivale ad averli sui propri sistemi: esistono vantaggi e controindicazioni che bisogna conoscere. A fronte di ciò, il Garante ha stilato una serie di azioni da ritenere fondamentali per un oculato e consapevole utilizzo dei servizi cloud:
- Ponderare prioritariamente rischi e benefici dei servizi offerti.
- Privilegiare i servizi che favoriscono la portabilità dei dati.
- Assicurarsi la disponibilità dei dati in caso di necessità.
- Selezionare i dati da inserire nella cloud.
- Non perdere di vista i dati.
- Informarsi su dove risiederanno, concretamente, i dati.
- Fare attenzione alle clausole contrattuali.
- Verificare le politiche di persistenza dei dati legate alla loro conservazione.
- Esigere opportune cautele per tutelare la confidenzialità dei dati.
- Formare adeguatamente il personale.
Il Garante ricorda che l’adozione di servizi esternalizzati non esime le imprese e le amministrazioni pubbliche che se ne avvalgono dalle responsabilità loro attribuite in materia di protezione dei dati personali. Perciò anche nel caso cloud computing è opportuno “razionalizzarne le peculiarità al fine di individuare i potenziali rischi insiti in tali servizi e quindi poter adottare efficaci e specifiche misure di protezione”.
Molto “food for thought” nella Relazione annuale del Garante per la protezione dei dati personali tenuta oggi al Parlamento. Molti gli stimoli, a cominciare dal titolo della Relazione: “Uomini e dati”.
Come si afferma nella Relazione, “gli uomini e i dati non possono essere scissi in mondi diversi: i dati non sono solo il prodotto degli uomini e della capacità di comunicare e di organizzare, ma costituiscono ormai una parte essenziale del loro modo di essere”. Ciò è particolarmente evidente nel mondo della “autoesposizione e della trasparenza globale”, quello, in particolare, dei social network. E al riguardo parlare di “diritto all’oblio” “rischia di essere sentito ogni giorno di più come una inaccettabile pretesa di limitare il diritto a conoscere e a sapere”.
Tanti i temi nuovi sollevati dal Presidente Pizzetti: neutralità della rete, obbligo di denunciare i serious breaches, necessità di ridefinire le responsabilità nell’ambito di catene complesse di trattamento dei dati.
Grande rilievo ai rischi sollevati da cloud computing, smartphone e tablet, strumenti che potenzialmente trasformano ogni utente in un “Pollicino elettronico” che, con i sistemi di geolocalizzazione disponibili, lascia, spesso inconsapevolmente, le tracce dei propri spostamenti. Costituiscono una novità le due schede su cloud computing e su smartphone e tablet, allegate alla Relazione, che rispettivamente delineano indicazioni per l’utilizzo consapevole dei servizi e scenari attuali e prospettive operative.
Non sono mancate, inoltre, nella Relazione, le critiche al legislatore per l’attuale sistema di telemarketing e per il recente decreto sviluppo. Il Garante invita a rinviare le modifiche non necessarie, in attesa della ridefinizione della direttiva europea, che probabilmente avrà la forma del Regolamento, direttamente vincolante. Auspica, inoltre, che sia riconosciuta la competenza del Garante ad emanare le nuove misure minime in materia di sicurezza dei dati personali. E certamente, considerata la qualità dei più recenti provvedimenti normativi, sarebbe preferibile.
Sono state pubblicate le “Linee guida in tema di trattamento di dati per lo svolgimento di indagini di customer satisfaction in ambito sanitario”.
Sempre più spesso, infatti, gli organismi sanitari pubblici e privati effettuano indagini sulla qualità dei servizi offerti e sul grado di soddisfazione degli utenti: tale attività implica il trattamento dei dati personali degli assistiti, che deve ispirarsi alle regole dettate dal Garante.
In sintesi, gli aspetti principali.
È previsto che l’utilizzo dei dati personali e, soprattutto, identificativi degli utenti sia ridotto al minimo e solo se necessario a realizzare l’obiettivo dell’indagine.
In ogni caso, è vietato l’utilizzo di informazioni idonee a rivelare la vita sessuale degli intervistati, ed è negata la possibilità di un impiego dei dati raccolti per fini diversi, ad esempio per la profilazione degli utenti.
Mentre le strutture pubbliche possono effettuare le indagini prescindendo dal consenso degli interessati, per le strutture private permane l’obbligo di acquisirlo. Gli organismi sanitari, tanto pubblici quanto privati, sono comunque tenuti a fornire un’idonea informativa agli interessati (il Garante ha reso pubblico un modello di informativa allegato alle linee guida), anche in forma verbale, impartendo opportune istruzioni al personale incaricato, soprattutto nel caso di indagini effettuate per via telefonica.
L’Autorità Garante per la Protezione dei Dati Personali ha deciso di aprire un’istruttoria per fare chiarezza sulla procedura di tracciamento e archiviazione degli spostamenti degli utenti presente sugli iPhone e gli iPad 3G con sistema operativo iOS4.
Due ricercatori del magazine di tecnologia O’Reilly hanno recentemente scoperto l’esistenza di un file, chiamato “consolidated.db”, che registra e archivia la sequenza degli agganci alle celle telefoniche sul territorio operati da parte di periferiche iPhone e iPad.
Il file è presente su ogni iPhone, iPad e sul relativo computer di riferimento, sul quale si auto-installa durante gli aggiornamenti. A quanto risulta fino ad ora, il file non sarebbe facilmente accessibile a terzi. Per poterlo raggiungere è infatti necessario avere accesso fisico allo smartphone o al computer, o in alternativa accedere tramite account remoto dalla rete al computer dell’utente.
Le implicazioni sulla privacy degli utenti sono evidenti. Tramite la lettura di questo file è possibile ricostruire tutti i movimenti dello smartphone a partire dalla sua prima accensione. Il file sarebbe inoltre di facile consultazione, è infatti privo di password o di cifratura.
La scoperta ha portato allo sconcerto molti commentatori della rete, tra i quali anche sostenitori di lunga data di prodotti a marchio Apple.
L’Autorità Garante per la Protezione dei Dati Personali ha comunicato che chiederà informazioni ad Apple e avvierà accertamenti tecnici tenendosi in contatto anche con le altre Autorità europee che si sono già attivate nei confronti della società di Cupertino.
In vista delle prossime elezioni comunali e provinciali l’Autorità Garante per la protezione dei dati personali ha recentemente emanato un apposito provvedimento per ricordare le modalità in base alle quali chi effettua propaganda elettorale può utilizzare correttamente dati personali dei cittadini e in particolare indirizzi mail, numeri telefonici e recapiti di posta.
Il provvedimento, in corso di pubblicazione sulla G.U., conferma le regole già predisposte dal provvedimento generale del 2005.
Partiti, organismi politici, comitati promotori, sostenitori e singoli candidati possono usare senza il consenso dei cittadini i dati contenuti nelle liste elettorali detenute dai Comuni, nonché i dati personali di iscritti ed aderenti, per inviare materiale di propaganda. Possono essere usati anche altri elenchi e registri in materia di elettorato passivo ed attivo, purché costituiscano forme documentali detenute da soggetti pubblici accessibili a chiunque, come l’elenco dei cittadini residenti all’estero o gli albi professionali.
Il consenso dell’interessato è invece richiesto per l’utilizzo di particolari modalità di comunicazione elettronica come sms, e-mail, mms, per telefonate preregistrate e fax e per l’utilizzo di qualunque genere di dati personali raccolti automaticamente su Internet.
I dati degli abbonati, anche se presenti negli elenchi telefonici, possono essere utilizzati solo se l’abbonato ha preventivamente manifestato la sua disponibilità a ricevere tale tipo di telefonate, come nel caso di dati relativi a simpatizzanti o altre persone che già hanno espresso il loro consenso in altre iniziative dello stesso tipo (es. referendum, proposte di legge, raccolte di firme).
Non sono invece in alcun modo utilizzabili gli archivi dello stato civile, l’anagrafe dei residenti, indirizzi raccolti per svolgere attività e compiti istituzionali dei soggetti pubblici o per prestazioni di servizi, anche di cura; liste elettorali di sezione già utilizzate nei seggi; dati annotati privatamente nei seggi da scrutatori e rappresentanti di lista, durante operazioni elettorali.
Il Garante prescrive inoltre che i cittadini devono essere informati sull’uso che si fa dei loro dati. L’informativa va data al momento del primo contatto o all’atto della registrazione. Per i dati raccolti da registri ed elenchi pubblici o in caso di invio di materiale propagandistico di dimensioni ridotte (c.d. “santini”), il Garante ha consentito a partiti e candidati una temporanea sospensione dell’informativa fino al 30 settembre 2011.
Il recente licenziamento della dipendente inglese che sarebbe stata allontanata dal lavoro per essersi lamentata, attraverso il proprio profilo Facebook, del proprio stipendio, torna a far riflettere sul tema dell’utilizzo delle risorse tecnologiche da parte dei lavoratori. Si fa riferimento a Facebook solo come modello – il più noto e diffuso – di social network.
1) È vietato usare Facebook nel posto di lavoro?
Non sempre, dipende: è una scelta del datore di lavoro.
2) Come si fa a conoscere qual è la scelta?
Occorre leggere la policy o le linee guida (i nomi possono essere molto vari) emanate dal datore di lavoro, anche ai sensi delle Linee Guida del Garante (Linee Guida per posta elettronica e Internet).
3) Se non esistono policy?
Naturalmente la scelta può essere ricavata altrimenti, anche dal contratto, per esempio. In questo caso, si ritiene che gli strumenti di lavoro siano affidati dal datore di lavoro al lavoratore per lo svolgimento dell’attività lavorativa.
4) Le policy possono prevedere un utilizzo di Facebook per fini personali?
In generale, sì. Le scelte dei datori di lavoro possono essere molto diverse, anche di tolleranza.
5) Se il datore di lavoro è una pubblica amministrazione?
In questo caso, la questione è più delicata. Si ricorda che il codice penale punisce il reato di peculato c.d. “d’uso”.
6) Il lavoratore è vincolato nell’esprimersi su Facebook se fa riferimento al suo lavoro o al datore di lavoro?
È vincolato da norme di natura generale, che si applicano a Facebook come a qualunque altro contesto. Si tratta, solo per fare qualche esempio, degli obblighi di fedeltà, correttezza, non concorrenza, tutela dei dati personali, oltre che di rispetto dell’onore e della reputazione altrui.
7) Il datore di lavoro può utilizzare le informazioni che trova su Facebook?
Se ne viene lecitamente a conoscenza, mediante la particolare catena di consensi che caratterizza Facebook, sì.
8) Le informazioni inserite su Facebook sono da considerarsi “private”?
Dipende da cosa si intende per “privato”. Le informazioni pubblicate su Facebook sono visibili a soggetti autorizzati, direttamente o indirettamente (amici, amici degli amici) e quindi, potenzialmente, anche da molti soggetti.
9) Le informazioni inserite su Facebook possono essere utilizzate solo per certe finalità (personali) e non per altre (lavorative)?
Solo se questa limitazione è espressamente dichiarata. Al momento, non risulta.
10) Occorre una legge ad hoc?
La Germania si è orientata in questo senso. Resto contraria ad una legge per ogni innovazione tecnologica. Ci vuole più consapevolezza.
Il diritto all’oblio in rete è nuovamente al centro del dibattito internazionale.
L’attenzione questa volta è rivolta alla Spagna dove all’inizio dell’anno la Agencia Española de Protección de Datos (AEPD) ha ordinato a Google di rimuovere dai suoi risultati alcuni link a pagine contenenti informazioni su cittadini spagnoli.
Si tratta di pagine varie di carattere prevalentemente informativo contenenti notizie considerate lesive dell’immagine personale dai soggetti coinvolti. Un caso per tutti, quello del Dott. Hugo Guidotti Russo, un chirurgo plastico che nel 1991 è stato coinvolto in un caso di “malasanità” e oggi chiede che digitando il suo nome su Google la notizia non compaia più tra i risultati.
La decisione del Garante non ha tuttavia trovato collaborazione da parte della compagnia di Mountain View, la quale ha annunciato di non voler procedere a quella che considera una “censura” dei suoi risultati.
In gennaio la disputa fra Google e il Garante spagnolo è finita davanti al Tribunale di Madrid, dove entrambi gli schieramenti hanno chiesto al giudice un intervento a favore della protezione di importanti diritti: il Garante chiede la tutela della privacy e del diritto all’oblio, Google quella del diritto alla libertà di informazione e di espressione.
Come riportato dal Wall Street Journal, durante il processo un legale di Google ha sostenuto che la Spagna è l’unico paese dove una impresa viene obbligata a rimuovere dei link a contenuti presenti in rete anche se questi non sono in alcun modo illegali.
Il Garante spagnolo ha ribadito che l’unico modo per bloccare l’accesso ai contenuti sia operare sul motore di ricerca, dal momento che i giornali possono legittimamente rifiutare di cancellare dal loro archivio notizie già legalmente pubblicate.
Dopo alcune settimane, la Corte di Madrid ha chiesto il parere della Corte di Giustizia Europea che ora dovrà stabilire se le richieste del Garante spagnolo sono compatibili con la legislazione comunitaria.
La decisione della Corte Europea è attesa con crescente interesse in Europa e negli Stati Uniti, in quanto potrebbe stabilire un precedente determinante per il futuro delle informazioni d’archivio reperibili sul web.
La questione è particolarmente rilevante in quanto entro uno o due anni è attesa la riforma alla corrente legislazione comunitaria sulla privacy, che risale a 15 anni fa. Tema centrale del dibattito europeo la conciliazione tra la libertà di espressione e il diritto alla privacy.
In un discorso tenuto in novembre a Brussels durante la conferenza “The European Data Protection and Privacy”, Viviane Reding, commissario europeo della giustizia ha dichiarato:
“Come ha già detto qualcuno “Dio perdona e dimentica ma il Web mai!”. Questo è il motivo per il quale “il diritto ad essere dimenticati” è così importante per me. Con una quantità sempre maggiore di dati che vagano per la rete – specialmente sui social network – le persone dovrebbero avere il diritto di poter rimuovere completamente i loro dati.“
Tuttavia i dati non sono tutti uguali. Dovrebbe poter essere possibile distinguere fra informazioni inserite volontariamente da una persona su un social network e informazioni veicolate da notizie giornalistiche di interesse globale, come ad esempio quelle che parlano di omicidi. È questo ciò che sostiene Peter Fleischer, Global Privacy Consuel di Google in un post pubblicato sul suo blog personale dove chiede più chiarezza sul concetto, tutto europeo, di “diritto all’oblio”.
Il Global Privacy Consuel di Google, che l’anno scorso è stato condannato a sei mesi di reclusione dal tribunale di Milano per il caso Google/Vividown, si chiede anche come una legge nazionale possa intervenire efficacemente sulla rimozione a link che servono globalmente al reperimento delle informazioni.
E proprio dal caso Vividown Fleischer prende spunto per una riflessione, ripresa anche dalla stampa americana:
“Il web è pieno di riferimenti sulla mia condanna penale in Italia, ma io rispetto il diritto dei giornalisti e di altri di scrivere articoli sull’argomenti, senza l’illusione che io debba avere un “diritto” in futuro di cancellare tutti i riferimenti al fatto. Anche se, empaticamente, vorrei che le persone potessero cancellare le cose brutte del loro passato, non cambia la mia convinzione che la storia deve essere ricordata, e non dimenticata, anche se è dolorosa. La cultura è memoria.”
Il dibattito è dunque ancora aperto. Per un approfondimento delle posizioni segnaliamo le pagine dedicate alla notizia da The Guardian, The Wall Street Journal, El Paìs e Forbes.
Segnaliamo inoltre il citato discorso di Viviane Reding e il blog di Peter Fleischer.
-
Tutti i contenuti pubblicati su questo blog sono sottoposti ad una licenza Creative Commons
