giovedì 9 luglio 2009

Un anno di privacy: la relazione annuale del Garante

Dovremmo esserci abituati alle modifiche ed ai cambiamenti continui che caratterizzano la vita quotidiana di questo inizio di millennio. Eppure resta comunque impressionante constatare quanto sia flessibile ed in continua evoluzione la normativa sul trattamento dei dati personali. E' passato poco più di un decennio da quando la normativa entrò in vigore per la prima volta nel nostro paese, ma sembra davvero passato un tempo infinito da quella data, non poi così lontana.

Non passa giorno che la questione “privacy” non sia evocata per definire i rapporti tra cittadini e politici, tra imprese e consumatori, tra diritto di cronaca e diritto alla riservatezza. Vale quindi la pena fare un quadro di sintesi e ricordare , in occasione della publbicazione della Relazione Annuale dell'attività del Garante dei dati personali per l'anno 2008, quali sono stati i principali interventi del Garante per la protezione dei dati personali in questi ultimi mesi.

Le cifre

Prima di tutto esaminiamo le cifre dell'attività del Garante: da questo emerge un significativo aumento delle richieste di intervento che i cittadini hanno formulato.

I provvedimenti collegiali adottati dal Garante nell'ultimo anno di attività sono stati 524.

Si è registrato un rilevante incremento nelle risposte a segnalazioni e reclami, passate dalle 3.078 del 2007 alle 5.252 del 2008 (in particolare, riguardo a telefonia, sanità, credito al consumo, Internet, giornalismo, videosorveglianza, pubblicità indesiderata).

I ricorsi presentati al Garante sono stati 321 (in maggioranza relativi a banche e finanziarie, datori di lavoro pubblici e privati, amministrazioni pubbliche), mantenendosi stabili rispetto al 2007.

Si è data risposta a 1.058 quesiti posti da soggetti pubblici e privati (in maggioranza riguardanti sanità, trasparenza amministrativa, videosorveglianza, fascicoli personali dei dipendenti).

Il Collegio ha reso 21 pareri al Governo e al Parlamento (in materia di banche dati e di informatizzazione della Pubblica Amministrazione, attività di polizia, giustizia, banche e imprese).

Le ispezioni effettuate sono state 500 registrando una progressione costante. I controlli hanno riguardato numerosi settori, con particolare riguardo ai sistemi di videosorveglianza, agli istituti di credito, all'amministrazione finanziaria, agli operatori telefonici, alle cliniche private.

Le violazioni amministrative contestate sono aumentate del 30% raggiungendo le 338 del 2008. Una parte consistente ha riguardato le attività promozionali indesiderate o attivazione di servizi non richiesti tramite call center.

I proventi riscossi a titolo di pagamento delle sanzioni sono passati da 814.625 euro del 2007 a 1 milione e 62mila euro. Oltre 335mila euro sono stati pagati per estinguere il reato in materia di misure di sicurezza.

L'attività di relazione con il pubblico ha fatto registrare quest'anno circa 40.000 contatti all'Urp, quasi 20.000 e-mail trattate nell'anno.

Sono state approvate importanti Linee guida: in particolare, riguardo all'attività dei periti e dei consulenti dei magistrati, all'attività degli amministratori di sistema, alle sperimentazioni cliniche dei farmaci, al fascicolo sanitario elettronico.

Il Garante ha adottato anche alcuni provvedimenti generali per specifici settori: in particolare, la messa in sicurezza dei dati di traffico telefonico e telematico conservati a fini di giustizia; la "rottamazione" sicura di pc e cellulari; la semplificazione per imprese e P.a. delle procedure per l'adozione delle misure di sicurezza; la semplificazione degli adempimenti in caso di fusioni e scissioni societarie.

Gli interventi più rilevanti in materia di dati personali

Gli interventi più rilevanti del Garante in questi ultimi anni hanno riguardato molteplici e delicati ambiti:

  • telecomunicazioni (conservazione dei dati di traffico telefonico e telematico, misure di sicurezza per le intercettazioni, bollette telefoniche con ultime tre cifre in chiaro);

  • giornalismo e informazione (cronache giudiziarie, tutela dei minori e delle vittime di violenza, notizie sui minori adottati, dati sullo stato di salute e sulla vita sessuale, archivi giornalistici on line);

  • marketing (telefonate indesiderate e call center, attivazione di servizi non richiesti, "profilazione" a fini commerciali di utenti e clienti, "carte di fedeltà" della grande distribuzione);

  • pubblica amministrazione (misure di sicurezza per l'Anagrafe tributaria, accertamenti fiscali, trasparenza degli emolumenti pubblici, interconnessione e sicurezza delle banche dati, redditi on line);

  • sanità (sperimentazioni dei farmaci, fascicolo sanitario elettronico, "scontrino fiscale parlante", dati sulla salute on line, uso dei dati genetici, riservatezza nelle strutture sanitarie, uso delle reti telematiche);

  • lavoro (sistemi di rilevazione biometrica, navigazione in Internet e controllo dei lavoratori, sistemi di videosorveglianza, dati on line , cedolini dello stipendio);

  • giustizia e polizia (misure di sicurezza per gli uffici giudiziari, banche dati Dna, Ced del Dipartimento di P.s., periti e consulenti dei giudici, censimento nomadi);

  • nuove tecnologie (geolocalizzazione, Google street view e servizi satellitari, software spia applicabili ai cellulari);

  • Internet (Facebook e social network, motori di ricerca, illegittima conservazione dei dati sulla navigazione in Internet, condivisione files musicali,);

  • scuola e università (pubblicità scrutini e voti scolastici, preiscrizioni universitarie);

  • vita sociale (sistemi di videosorveglianza nei condomini, telecamere negli spogliatoi, propaganda elettorale);

  • sistema impresa (semplificazione adempimenti, trasferimento di dati all'estero, azionisti e accesso al libro soci);

  • sistema bancario, finanziario e assicurativo (semplificazione adempimenti per sistemi di informazione commerciale, accesso e utilizzo ai dati dei clienti delle banche, misure di protezione, sistema antifrodi).

In particolare la privacy e le attività di marketing

Con riferimento alle attività di marketing gli interventi di questi ultimi anni del Garante sono stati particolarmente significativi.

Con provvedimento adottato il 19 giugno 2008 , recante misure di semplificazione in relazione alle attività amministrative e contabili (più ampiamente illustrato infra, al n. 10.8), in applicazione dell'istituto del bilanciamento degli interessi (art. 24, comma 1, lett. g), è stata individuata, in tema di marketing, un'ipotesi nella quale non va richiesto il consenso dell'interessato.

Il titolare del trattamento che abbia già venduto un prodotto o prestato un servizio, nel quadro dello svolgimento di ordinarie finalità amministrative e contabili, potrà utilizzare i recapiti di posta cartacea forniti dall'interessato medesimo, per inviare ulteriore materiale pubblicitario, promuovere una vendita diretta, compiere ricerche di mercato o per comunicazioni commerciali.

Tale soluzione considera le difficoltà rappresentate da alcuni operatori economici nel conservare un proprio diretto "canale comunicativo" con i soggetti con i quali abbiano già instaurato un rapporto contrattuale; tiene al tempo stesso conto del diritto dell'interessato a non essere disturbato mediante comunicazioni promozionali, in base a garanzie analoghe a quelle previste dalla legge per l'uso della posta elettronica (art. 130, comma 4; v. anche, con riguardo alle comunicazioni postali, l'art. 58, comma 2, d.lg. n. 206/2005).

La Vendita a domicilio e trattamento di dati per attività di marketing

Per quanto riguarda la vendita a Sono stati effettuati accertamenti presso la sede legale di una società che effettua vendite a domicilio, per verificare l'osservanza della disciplina di protezione dei dati sia nella fornitura di beni e servizi attraverso vendite a distanza previste dalla legge, sia in eventuali operazioni di trattamento volte a verificare l'affidabilità e solvibilità economica della clientela. È risultato che la società in questione – che commercializza oggetti per la casa – raccoglieva le informazioni personali riferite all'utenza e rende l'informativa alla clientela sia con contatti telefonici, sia mediante compilazione di modelli resi disponibili on-line, nonché in occasione degli incontri dimostrativi e dell'eventuale stipula del contratto. In quest'ultima circostanza, viene altresì acquisito il consenso al trattamento dei dati personali per le diverse finalità perseguite dalla società. È inoltre risultato che i dati riferiti alla clientela (che ha effettuato acquisti) venivano conservati a tempo indeterminato (attesa la garanzia a vita, contrattualmente prevista, gravante sui beni commercializzati) e venivano utilizzati dalla società anche per finalità di telemarketing. Non erano poi prefissati, invece, i tempi di conservazione dei dati relativi ai clienti che non hanno provveduto ad effettuare acquisti (dati comunque utilizzati dalla società per contatti volti a comprendere le ragioni del mancato acquisto). Il Garante ha vietato alla società l'ulteriore trattamento dei dati relativi alla clientela utilizzati per finalità di telemarketing, dato che la modulistica impiegata dalla società prevedeva il rilascio di un unico consenso, manifestato nell'ambito di un più ampio contesto (comprensivo tanto delle attività di marketing che di quelle relative alla gestione del rapporto precontrattuale ed, eventualmente, contrattuale), volto ad autorizzare una pluralità di trattamenti invero ben distinti. Infatti il consenso informato deve essere manifestato specificamente in riferimento ad un trattamento chiaramente individuato: art. 23, comma 1, del Codice), ragion per cui il trattamento per finalità di marketing è risultato essere stato svolto dalla società in violazione di legge.

Il Garante ha prescritto alla società l'adozione di alcune misure volte a conformare i trattamenti dei dati riferiti alla clientela alla disciplina di protezione dei dati. Al riguardo, non è infatti risultata idonea l'informativa resa on-line – nella sua duplice versione presente sul sito – in quanto carente di alcuni elementi previsti dall'art. 13 del Codice e, quindi, tale da non rappresentare, in modo agevole e trasparente, le varie fasi del trattamento posto in essere dalla società. In proposito, il Garante già in passato aveva dettagliatamente evidenziato l'esigenza di rendere in modo chiaro e trasparente l'informativa agli interessati (Provv. 13 gennaio 2000) anche prescrivendo che l'informativa inserita all'interno di moduli sia adeguatamente evidenziata e collocata in modo autonomo e unitario in un apposito riquadro che la renda agevolmente individuabile (Provv. 24 febbraio 2005 ).

Inoltre è risultata carente anche l'informativa resa in occasione del contatto telefonico mediante call center (contenente l'indicazione di una sola delle finalità del trattamento e priva della menzione dei diritti degli interessati). Il Garante ha dunque prescritto alla società di integrare le informative (sia quella fornita on-line sia quella resa tramite call center), con gli elementi mancanti. Ha inoltre prescritto alla società di adottare misure necessarie all'individuazione di tempi massimi certi per la conservazione dei dati personali riferiti alla clientela (salva l'osservanza di espresse disposizioni di legge), nonché la cancellazione o anonimizzazione dei dati la cui conservazione non risulti giustificata (art. 11, comma 1, lett. e), del Codice) (Provv. 19 maggio 2008).

Il Consenso dell'interessato

Un altro caso interessante è stato proposto a seguito di un reclamo presentato nei confronti di una concessionaria automobilistica. In quel caso è stata lamentata l'indebita utilizzazione di dati personali per finalità di marketing, in assenza di adeguata informativa e di consenso dell'interessato per tale finalità (al quale la modulistica predisposta riconosceva la sola facoltà di negare il consenso all'uso dei dati). Su tali basi, pertanto, il reclamante ha ricevuto da parte della concessionaria, una volta acquistato il veicolo, alcuni messaggi pubblicitari sia presso il proprio domicilio, con comunicazioni postali, sia mediante Sms, sul proprio telefono cellulare.

Gli elementi acquisiti hanno confermato che l'informativa resa al reclamante era carente di taluni elementi prescritti dall'art. 13 del Codice e che non era stato acquisito il consenso espresso dell'interessato ai sensi dell'art. 23, comma 1, del Codice per le finalità di marketing. Il Garante ha quindi disposto che i dati del reclamante non potevano più essere utilizzati per il perseguimento di detta finalità (art. 11, comma 2, del Codice), dando prescrizioni volte a rendere l'informativa conforme all'art. 13 del Codice (Provv. 31 gennaio 2008).

In definitiva da questo rapido esame emerge un quadro di interventi molto ampio che conferma il fatto che questa legge si modella costantemente seguendo l'evoluzione della società anche derogando rispetto agli originari principi cui la legge si è ispirata all'epoca della sua formulazione.

In questo senso mi sembra di poter dire che la continua evoluzione della legge italiana sulla tutela dei dati personali sia la dimostrazione che è proprio vero quello che spesso si osserva a proposito del nostro sistema di produzione delle norme giuridiche: i testi normativi nascono perfetti nel chiuso degli uffici legislativi, creati da tecnici competenti e sensibili. Poi arrivano nelle mani del legislatore che, per adeguarli alle sue non sempre lineari esigenze, ne stravolge la coerenza interna e l'ordine logico e razionale. E inevitabilmente sorgono i problemi interpretativi ed applicativi.