PRIVACY - La Relazione per il 2012 del Garante.
Relazione sull'attività 2012
L'Autorità Garante per la protezione dei dati personali, composta da Antonello Soro, Augusta Iannini, Giovanna Bianchi Clerici, Licia Califano, ha presentato in data 11 giugno 2013 a Palazzo Montecitorio, la Relazione sul sedicesimo anno di attività e sullo stato di attuazione della normativa sulla privacy.
All'evento, tenutosi nella Sala della Regina alle presenza delle Autorità della Repubblica, ha partecipato quale invitato anche l'Avv. Salvatore Frattallone, Senior Partner del Network "View net Legal".
La Relazione sull'attività 2012 [doc. web n. 2470702] traccia il bilancio del lavoro svolto dall'Autorità e indica le prospettive di azione verso le quali occorre muoversi nell'obiettivo di costruire una autentica ed effettiva protezione dei dati personali, in particolare riguardo all'uso delle nuove forme di comunicazione e dei nuovi sistemi tecnologici.
Questo il Discorso del Presidente dell'Autorità Garante per la Privacy.
Gli interventi più rilevanti
Il Garante ha apertamente criticato la "proposta di privare della tutela la persona, quando agisca nella propria qualità professionale, così riducendo la dimensione della persona fisica alla sola dimensione del consumatore".
Nel contempo, il Presidente Soro non ha esitato a definire " altrettanto critica [...] la novella che ha sottratto alle garanzie sancite dal Codice le persone giuridiche, gli enti e le associazioni e ha costretto l'Autorità ad adottare un provvedimento non solo per sciogliere i dubbi emersi in sede applicativa, ma soprattutto per evitare incompatibilità con il diritto comunitario".
La trasparenza della Pa on line e le garanzie da assicurare ai cittadini; il fisco e la tutela delle riservatezza dei contribuenti; i social network e i problemi posti dal cyberbullismo; gli smartphone, i tablet e i sistemi di cloud computing; la tutela dei minori nel mondo dell'informazione; il telemarketing invasivo e la profilazione sempre più raffinata; i diritti dei consumatori; il rapporto di lavoro; le semplificazioni per le imprese; la sanità elettronica; il mondo della scuola; la propaganda elettorale; le intercettazioni; i dati di traffico telefonico e telematico; l'uso dei dati biometrici; la ricerca medico-scientifica: sono stati questi alcuni dei principali campi di intervento del Garante privacy nel 2012.
L'Autorità, proprio per meglio disciplinare "il potere informativo delle amministrazioni [...] in relazione ai trattamenti svolti per pubblica sicurezza o per ragioni di giustizia", ha evidenziato come sia "ineludibile [...] il "censimento" delle banche-dati istituite per fini di pubblica sicurezza", atteso che "mai come nei trattamenti per fini di giustizia o pubblica sicurezza, infatti, si rflette la tensione tra autorità e libertà".
Allo stesso tempo, Soro ha insistito sul parallelo fronte della protezione dei dati tra individuo e mercato: "Anche la costituzione di banche-dati settoriali nel campo dei servizi di pubblica utilità, quali in particolare telefonia, elettricità e gas, o la possibilità di consentire facili accessi ai sistemi di informazioni creditizie, richiedono la rigorosa tutela degli interessati", e ciò "non solo per evitare che questi siano discriminati in ragione di inadempimenti o ritardati pagamenti, senza una reale valutazione delle motivazioni che li hanno determinati, ma anche per garantire la stessa affidabilità di tali banche-dati".
ha altresì aggiunto che "occorre diffondere tra le imprese la cultura della sicurezza, quale componente essenziale del patrimonio aziendale ed elemento di fiducia del consumatore, tanto più oggi che i dati hanno acquisito un rilevante valore economico". Il garante ha anche anticipato che stanno per essere rivisti sia l'impianto sanzionatorio del Codice, sia le misure di sicurezza, ancora "prevalentemente focalizzate sui sistemi tradizionali di trattamento".
Quel che è merso in modo inquivoco è che oggigiorno "internet è entrato a far parte stabilmente della nostra vita, è diventato ambiente", sul punto sintetizzando il concetto secondo cui "l'integrazione compiuta fra le diverse forme di comunicazione, l'esposizione delle nostre biografie in un contenitore spaziale e temporalòe infinito incodono sull'individuo e sulla società, mutandone caratteri, forme, abitudini, e riducono, fino ad eliminarla, la distinzione tra identità reale e identità digitale". Infatti - su questo il Garante è stato molto incisivo - "basta pensare all'"internet delle cose", alle geo-localizzazioni, alla videosorveglianza capillare, alla trasformazione degli spazi urbani in ambienti intelligenti (le c.d. smart city)", non meno che a "Google Glass e alle applicazioni del riconoscimento facciale".
Particolare importanza ha rappresentato il lavoro svolto dall'Autorità riguardo al mondo della Rete. Il Garante ha adottato Linee guida per il corretto trattamento dei dati per blog, forum, social network e siti web che si occupano di salute; ha aperto un procedimento nei confronti di Google per la gestione opaca relativa alle nuove regole privacy adottate; ha avviato e concluso una consultazione per regolare l'uso dei cookie da parte dei siti visitati dagli utenti; è intervenuto per garantire maggiore trasparenza agli utenti dei servizi di messaggistica, anche vocale. E' stato inoltre ulteriormente rafforzato il diritto delle persone a interessate a vedere aggiornati gli archivi giornalistici on line.
Per garantire un corretto rapporto tra trasparenza della Pa e riservatezza delle persone sono stati presi provvedimenti di divieto nei confronti di decine di Comuni che avevano pubblicato sul web dati sanitari dei cittadini. Invero, il Garante ha precisato, in materia di trasparenza della pubblica amministrazione, che l'ente locale non può diffondere pubblicamente in internet informazioni che attengono alla sfera personale delle persone: "trasparenza non vuol dire necessariamente riversare in Rete tutto il contenuto di un provvedimento amministrativo, perché possono esserci informazioni non rilevanti ai fini del sindacato democratico ma pregiudizievoli, in modo irreparabile, per la dignità della persona interessata". Dunque, hanno sbagliato quei Comuni che "hanno integralmente diffuso on line ordinanze di trattamento sanitario obbligatorio, con dati anagrafici e di patologia".
Per quanto attiene ai dati biometrici, poi, il Garante ha ribadito che il corpo di ogni persona diventa una password e che tali informazioni in ambito lavorativo portano a conferire a terzi, inevitabilmente, dati e tratti caratteristici della propria persona: "su questo tema siamo impegnati a ricercare, anche sulla scorta del lavoro in sede europea e alla luce delle opportunità offerte dalle innovazioni tecnologiche, soluzioni equilibrate capaci di coniugare l’imprescindibile rispetto dei lavoratorie della loro dignità con leesigenze delle aziende, per garantire comunque che sia assicurata ogni cautela idonea a prevenire utilizzazioni abusive e pregiudizi per l’interessato". Significativi dunque anche i passaggi della relazione relativi alla privacy sul posto di lavoro, come l'uso delle impronte digitali dei dipendenti.
Nel settore delle nuove tecnologie, per altro verso, sono state evidenziate da Soro le delicate le tematiche del furto dell'identità digitale e del c.d. cloud computing: il Garante ha così ricordato il recente provvedimento che ha istituito l'obbligo di notifica, per i provider e per le società di Tlc, agli utenti e al Garante delle violazione subite dai data base in caso di attacchi informatici subìti, di eventi avversi o di calamità (i c.d. "data breach").
Del resto, per ciò che attiene allo sfruttamento commerciale delle identità, Soro ha dichiarato che "non dovremmo permettere che i dati personali, che hanno assunto un valore enorme in chiave predittiva e strategica, diventino di proprietà di chi li raccoglie e dobbiamo anche per tale ragione continuare a pretendere la trasparenza dei trattamenti", poiché "nel mondo globalizzato si confrontano una moltitudine di individui che quotidianamente alimentano il mercato dei dati, ed un numero ridotto di soggetti di grandi dimensioni (i cosiddetti Over the top che dominano in specifici ambiti, come Google fra i motori di ricerca, Facebook fra i social network, Amazon fra le vendite on-line) che esercitano la propria attività in posizione pressoché monopolistica e presso i quali si concentra, indisturbato, l’oceano di informazioni che circolano in Rete. La profilazione sempre più raffinata e la progressiva combinazione dei dati immagazzinati permette già oggi e lo consentirà in misura crescente di orientare la produzione dei beni secondo l'aspettativa dei consumatori". L'Autorità ha quindi contestato al colosso di Mountain View una "opaca gestione" dei dati degli utenti, come conseguenza della sua nuova politica sulla privacy: "assicurare tutela è un compito complesso e difficile quando l’equilibrio tra il valore costituzionale di un diritto e la sua mercificazione, spesso in cambio della gratuità dei servizi offerti, è rimessa direttamente all’utente. Gli interessati devono acquisire nuova consapevolezza, diventando parti attive nel pretendere e richiedere la tutela dei propri dati e la trasparenza dei trattamenti cui sono sottoposti".
Rilevante anche l'impegno nel dettare regole per la tutela dei clienti delle banche; per la tutela degli abbonati telefonici contro il telemarketing aggressivo (con prescrizioni e sanzioni adottate nei confronti di società che operano nel settore); per l'uso di particolari sistemi tecnologici da parte delle imprese come la geolocalizzazione dei veicoli aziendali; per la tutela degli automobilisti in caso di uso della "scatola nera" a bordo delle auto; per una corretta gestione dei dati presenti nelle centrali rischi; per la tutela dei pazienti nell'ambito del monitoraggio della spesa farmaceutica.
Soro ha dichiarato che "gli algoritmi di ricerca non sono neutrali", per sottolineare come i motori di ricerca adoperino criteri tecnici di valutazione che consentono di decidere quali pagine web meritino di venire mostrate per prime agli internauti: "È difficile parlare di libertà della Rete sino a quando non saranno pienamente conosciuti e condivisi i criteri utilizzati per indicizzare i contenuti e, dunque, condizionare i risultati delle ricerche". Non ci si aspetta che Google e Microsoft tolgano il velo sul funzionamento dei loro rispettivi algoritmi d'indicizzazione e ranking, ma è innegabile, ha detto, che "ognuno di noi, in sostanza, rischia di trovare on-line quello che altri decidono di fargli trovare, una conoscenza parziale e uno sguardo incompleto sulla realtà".
Soro, poi, ha posto l'accento sulla tanto discussa necessità di regolamentare il web, affermando che "si dovrebbe riflettere su forme di responsabilizzazione dei principali protagonisti della Rete tali da bilanciare il diritto all’anonimato (fondamentale presidio di libertà soprattutto in contesti non democratici) con le esigenze di accertamento dei reati, nella convinzione che non possa lasciarsi tutto all’ordine privato del mondo affidato alla sola logica di mercato".
In tema di piazze virtuali, il Garante ha inoltre stigmatizzato la rete come fattore di democrazia, secondo il dictum "nè censura nè anomia".
Invero, "il mondo on-line, che indebolisce le remore morali, amplifica gli effetti di fenomeni quali il bullismo mediatico, reso purtroppo di attualità da recenti vicende di cronaca", impone di rifletter sul fenomeno "del confine di ciò che è lecito": per il Garante "la rete può essere utilizzata come canale di propagazione di ingiurie, minacce, piccole o grandi vessazioni, fondate sull'orientamento di genere o dirette contro le donne in quanto tali ovvero le minoranze etniche o religiose", ma "si tratta di illeciti (tutt'altro che di opinione!)", tanto che ha dichiarato che "in ogni caso non possiamo più essere indulgenti con la violenza verbale presente nella Rete".
Il Garante ha anche citato la questione sempre d'attualità del diritto all'oblio, ribadendo l'importanza del provvedimento dell'Autorità circa gli aggiornamenti delle notrizie di cronaca nei quotidiani e la regola della loro limitata reperibilità sui motori di ricerca c.d. generalisti.
Sempre in materia di stampa, inoltre, il garante ha richiamato tutti al massimo rispetto dei diritti della persona, anche per ciò che implica "la pubblicazione di atti di indagine [che] deve rispondere a finalità di interesse pubblico e non a tensioni voyeuristiche, nella consapevolezza che non tutto ciò che è di interesse del pubblico è necessariamente di pubblico interesse", addirittura anticipando, in materia d'intercettazioni, il fatto che è imminente l'adozione di "un provvedimento generale per indicare soluzioni idonee ad elevare lo standard di protezione dei dati trattati ed evitarne indebite divulgazioni".
Da ricordare, infine, il rinnovo delle autorizzazioni generali sull'uso dei dati sensibili e giudiziari da parte di diverse categorie, dell'autorizzazione generale sull'uso dei genetici e di quella sulla ricerca medico scientifica.
Le cifre
Nel 2012 sono stati adottati oltre 460 provvedimenti collegiali. L'Autorità ha fornito riscontro a 4.183 tra quesiti, reclami e segnalazioni con specifico riferimento alle seguenti aree tematiche: telefonia, credito, centrali rischi, videosorveglianza, rapporti di lavoro, giornalismo. Sono stati decisi 233 ricorsi, inerenti soprattutto a banche e società finanziarie, datori di lavoro pubblici e privati, attività di marketing, compagnie di assicurazione, operatori telefonici e telematici. I pareri resi dal Collegio al Governo sono stati 23 ed hanno riguardato, in particolare, l'informatizzazione delle banche dati della Pa, l'attività di polizia e sicurezza nazionale, la solidarietà sociale. Sono state effettuate 395 ispezioni, che hanno riguardato diversi settori: il telemarketing, l'uso dei sistemi di localizzazione (gps) nell'ambito del rapporto di lavoro, i nuovi strumenti di pagamento gestiti dalle compagnie telefoniche (mobile payment), il credito al consumo e le "centrali rischi", le banche dati del fisco, l'attività di profilazione dei clienti da parte delle aziende. Le violazioni amministrative contestate sono state 578, in aumento rispetto all'anno precedente (358): una parte consistente ha riguardato il mancato rispetto delle norme in materia di telemarketing, la conservazione eccessiva dei dati di traffico telefonico e telematico, la mancata adozione di misure di sicurezza, l'omessa o mancata notificazione al Garante, l'inosservanza dei provvedimenti dell'Autorità. Le sanzioni amministrative riscosse ammontano a circa 3 milioni 800 mila euro. Le violazioni segnalate all'autorità giudiziaria sono state 56. L'attività di relazione con il pubblico è aumentata rispetto all'anno precedente: si è dato riscontro a circa 35.000 quesiti, che hanno riguardato, in particolare, le problematiche legate al telemarketing, a Internet, alla pubblicazione di documenti da parte della Pa, alla videosorveglianza, al rapporto di lavoro.
L'attività internazionale
Non meno rilevante l'attività del Garante a livello internazionale, a partire da quella svolta nel Gruppo delle Autorità per la privacy europee (Gruppo Articolo 29). I Garanti europei si sono occupati, in particolare, del nuovo Regolamento in materia di protezione dati che sostituirà la Direttiva del 1995 e della Direttiva che dovrà disciplinare il trattamento di dati per finalità di giustizia e di polizia. Il Gruppo Art. 29 si è occupato inoltre dei nuovi servizi di cloud computing; delle garanzie per l'uso delle app su smartphone e tablet; degli sviluppi nelle tecnologie biometriche, con particolare riferimento al "riconoscimento facciale"; delle direttive del "Pacchetto Telecom" che introducono nuove regole relative anche all'uso dei cookie ed al tracciamento degli utenti; delle tecniche di profilazione legate alla "pubblicità comportamentale" (behavioural advertising); dei trattamenti di dati in rapporto alla lotta al riciclaggio ed al finanziamento del terrorismo; di tecnologie Rfid; di strumenti contrattuali per disciplinare i flussi di dati all'interno delle multinazionali. Da ricordare anche l'attività del Garante italiano per il Consiglio d'Europa, che sta rivedendo la Convenzione del 1981 sulla protezione dei dati. Intenso infine il lavoro svolto dal Garante italiano nell'ambito delle Autorità di controllo Schengen, Europol, Eurodac.