Menu
Mostra menu

Garante della Privacy

L’intero documento è reperibile alla pagina http://www.garanteprivacy.it

Relazione annuale 2003

(stralcio)

II - I diritti dell’interessato - I doveri del titolare

7. Diritto di accesso

7.2. Accesso ai dati per ragioni di giustizia

Il Garante ha nuovamente rilevato, in occasione di una decisione su un ricorso presentato nei confronti di un ufficio giudiziario (procura della Repubblica), che ai trattamenti effettuati per “ragioni di giustizia” (v., ora, art. 47 d.lg. n. 196/2003) alcune disposizioni in materia di protezione dei dati personali non sono applicabili o sono applicate con alcuni adattamenti. In particolare, non è previsto l’esercizio in forma diretta del diritto di accesso e degli altri diritti degli interessati, né la presentazione di un ricorso all’Autorità. È invece possibile esercitare tali diritti in forma diversa dalla richiesta rivolta al titolare o al responsabile del trattamento, presentando un’istanza al Garante per sollecitare la verifica della conformità del trattamento ai requisiti stabiliti (Provv. 5 novembre 2003). Il Codice ha poi confermato l’inesperibilità del ricorso al Garante, prevedendo che il diritto di accesso e gli altri diritti degli interessati possano essere esercitati anche nei confronti dei trattamenti effettuati per “ragioni di giustizia” attraverso una segnalazione a questa Autorità. Le diverse modalità di esercizio dei diritti non incidono, quindi, sul sostanziale livello di tutela garantito agli interessati, poiché il Garante mantiene il potere di verificare la liceità e la correttezza dei trattamenti, con modalità peraltro adeguate alla specificità del contesto in cui questi sono effettuati, ovvero nel rispetto delle reciproche attribuzioni e della particolare collocazione istituzionale dell’organo giudiziario procedente (artt. 8, 47 e 160 d.lg. n. 196/2003).

8. Cancellazione dei dati

8.1. Cancellazione dei dati trattati dalla pubblica amministrazione

Il diritto ad ottenere la cancellazione dei dati personali trattati da una pubblica amministrazione ha formato oggetto di numerosi ricorsi. Va ricordata in particolare la decisione su un ricorso con il quale era stata domandata la cancellazione di dati personali contenuti in una deliberazione di giunta comunale, affissa all’albo pretorio, che faceva riferimento ad una controversia in cui era coinvolto il ricorrente (Provv. 12 gennaio 2004). L’Autorità non ha accolto la richiesta dell’interessato, ritenendo la diffusione dei dati che lo riguardavano necessaria allo svolgimento delle funzioni istituzionali dell’ente e conforme alle vigenti disposizioni sullo svolgimento dei procedimenti amministrativi e sulla pubblicazione degli atti (cfr. art. 124 d.lg. n. 267/2000). Nella deliberazione, peraltro, non venivano riportati dati di carattere giudiziario e le informazioni contenute risultavano esatte e non eccedenti rispetto all’esigenza di trasparenza delle deliberazioni comunali. Il Garante ha però riaffermato la necessità di rispettare i principi di pertinenza e non eccedenza, nel bilanciare le esigenze di riservatezza e di trasparenza dell’attività amministrativa. Analogamente, è stata ritenuta infondata la richiesta volta ad eliminare dal testo di un quesito referendario (concernente il progetto di ristrutturazione di una Scuola elementare), le generalità del ricorrente, lì indicate in quanto si trattava dell’autore di un progetto che era contestato nella vicenda referendaria. I dati in questione non sono stati ritenuti eccedenti rispetto alla finalità di illustrare l’iniziativa alla popolazione, considerata pure l’esattezza e l’obiettività con cui essi erano stati riportati, come anche l’ampia conoscibilità che queste informazioni avevano già avuto nella comunità locale (Provv. 25 settembre 2003).

9. Opposizione al trattamento

9.2. Attività investigative

In una decisione dell’8 gennaio 2004 l’Autorità ha affrontato la questione della liceità del trattamento di dati personali contenuti nel materiale raccolto nell’ambito di indagini investigative e successivamente prodotto in un procedimento giudiziario. In proposito, il Garante ha ribadito il principio in base al quale il trattamento dei dati a fini di esercizio di un diritto in sede giudiziaria è ammesso, anche in mancanza del consenso dell’interessato, soltanto quando risulti strettamente “necessario” per la tutela del diritto esercitato. Una volta conclusa l’attività investigativa, il trattamento deve cessare in ogni sua forma, fatta salva l’immediata comunicazione dei dati al difensore o al soggetto che ha conferito l’incarico. In particolare, nell’ambito di un procedimento di modifica delle condizioni economiche della separazione consensuale tra coniugi è stata ritenuta illecita la produzione di relazioni investigative e di fotografie, precedentemente commissionate ad un’agenzia d’investigazione, riguardanti una pretesa relazione extraconiugale mai stata oggetto di accertamento giudiziario.

III - La privacy e gli altri diritti

15. Attività giornalistiche e mezzi di informazione

15.2. Foto segnaletiche e cronache giudiziarie

L’Autorità è intervenuta in maniera incisiva nei confronti della prassi diffusa presso organi di informazione di pubblicare fotografie di persone arrestate o indagate. È stata più volte riscontrata la violazione degli specifici divieti, riaffermati anche dal codice deontologico per l’attività giornalistica, a tutela delle persone coinvolte nei fatti oggetto della notizia. Il Garante ha osservato che, fermo restando il divieto di pubblicare immagini di persone con ferri o manette ai polsi, ovvero sottoposte ad altri mezzi di coercizione fisica, senza il consenso dell’interessato, la diffusione di fotografie di individui in stato di detenzione è ammessa solo per comprovati fini di giustizia e di polizia e in ogni caso nel rispetto della dignità personale (Provv. 19 marzo 2003). Limitatamente ad una delle testate interessate dal divieto, il provvedimento è stato caducato con decreto del 26 giugno 2003 del Tribunale di Milano, dinanzi al quale era stata proposta la relativa impugnazione. Il tribunale, pur ritenendo in punto di fatto non interamente comprovata la constatazione dell’Autorità (provenienza delle immagini da foto “segnaletiche” oppure da documenti di identità) e quindi accogliendo il ricorso, ha comunque confermato il principio di diritto affermato dal Garante, in base al quale, come si è detto, la diffusione di fotografie riguardanti persone sottoposte a misure restrittive della libertà personale è ammessa, in mancanza del consenso delle persone ritratte, per il perseguimento di esclusive finalità di giustizia e di polizia e nel rispetto della disposizione del codice deontologico sull’attività giornalistica (art. 8) che vieta le riprese in stato di detenzione. Tale principio è stato ribadito di recente con riguardo alla diffusione di foto “segnaletiche” di alcune persone coinvolte in un’indagine su stupefacenti e prostituzione avviata dalla magistratura romana (Provv. 26 novembre 2003). In questo caso l’Autorità, rilevando l’assenza dei presupposti di legge, ha vietato l’utilizzazione delle foto “segnaletiche” ed ha segnalato al Capo della polizia le illiceità rilevate. Ha inoltre provveduto a richiedere informazioni agli uffici di polizia interessati dalle operazioni di trattamento oggetto del divieto, anche con riferimento alla diffusione di altri dati (dettagli relativi al contenuto di conversazioni telefoniche, estremi identificativi di utenze telefoniche) inerenti all’indagine in corso. In relazione alle problematiche generali riguardanti le cronache giudiziarie, l’Autorità ha più volte ricordato agli organi di informazione che l’esigenza di informare l’opinione pubblica su vicende giudiziarie non deve recare pregiudizio alla vita privata delle persone. Ha quindi ribadito che la diffusione di tale tipo di informazioni, anche in mancanza del consenso dell’interessato, non è preclusa; deve tuttavia essere assicurato il rispetto dei limiti previsti per l’esercizio del diritto di cronaca, in particolare quello dell’essenzialità dell’informazione riguardo a fatti di interesse pubblico, oltre che l’osservanza degli specifici divieti posti dagli ordinamenti penale e processualpenale.

IV - La privacy nelle pubbliche amministrazioni

18. Profili generali dati sensibili e giudiziari

Al trattamento dei dati personali effettuato dai soggetti pubblici continua ad applicarsi una disciplina in parte differenziata rispetto a quella cui sono sottoposti I soggetti privati e gli enti pubblici economici. Sulla base di alcuni principi generali fissati dal Codice per tutti i trattamenti effettuati da soggetti pubblici e privati, le amministrazioni pubbliche sono legitimate a trattare dati personali comuni, sensibili o giudiziari soltanto per svolgere funzioni istituzionali, rispettando gli eventuali altri presupposti e limiti stabiliti da disposizioni normative estranee al Codice ed astenendosi dall’acquisire il consenso degli interessati, specie per rendere lecito un trattamento altrimenti non ammesso. Malgrado questi principi non siano di nuovo conio, si registrano ancora nel settore pubblico vari ritardi applicativi nell’adempiere agli obblighi previsti in material di protezione dei dati. Per contribuire a risolvere queste difficoltà anche sul piano della comunicazione e formazione, l’Autorità sta completando un vademecum sui principali adempimenti a carico delle amministrazioni e sui diritti dei cittadini, modelli di informativa e di designazione dei responsabili e degli incaricati del trattamento, nonché il testo di alcune Faq (Frequently asked questions) funzionali alla risoluzione di questioni di carattere generale che si presentano nel settore pubblico anche sanitario. Problemi peculiari continua a porre il trattamento dei dati sensibili (attinenti a profili particolarmente delicati della sfera privata delle persone: la salute, le abitudini sessuali, le convinzioni religiose, politiche, sindacali e filosofiche, l’origine razziale ed etnica) o giudiziari. La legislazione previgente aveva introdotto già particolari garanzie per entrambe le categorie di informazioni, garanzie che sono rimaste sostanzialmente inattuate o eluse in numerosi uffici pubblici a causa della perdurante inerzia delle amministrazioni nell’adeguare i propri ordinamenti alla normativa in materia di riservatezza, malgrado le reiterate proroghe di termini e alcune disposizioni di favore rispetto al settore privato. Il Codice rafforza ulteriormente le garanzie per i cittadini; inoltre, ridefinisce la categoria dei dati giudiziari, anche alla luce della nuova disciplina in materia di casellario giudiziario (d.P.R. 14 novembre 2002, n. 313), includendovi le informazioni relative alla qualità di indagato o di imputato, secondo le nozioni che ne danno, rispettivamente, gli artt. 60 e 61 c.p.p. In particolare, viene rafforzato e sviluppato il principio di proporzionalità nel trattamento di queste informazioni, ritenendosi legittimo il trattamento dei soli dati sensibili e giudiziari “indispensabili” allo svolgimento di attività che non potrebbero essere adempiute mediante il ricorso a dati anonimi o a dati personali di diversa natura (art. 22 d.lg. n. 196/2003). Con questo limite, resta ferma la possibilità per i soggetti pubblici di trattare i dati sensibili o giudiziari quando ciò sia previsto da una norma di legge (oppure, se si tratta di dati giudiziari, da un provvedimento del Garante) che specifichi espressamente le rilevanti finalità di interesse pubblico perseguite, i dati personali che possono essere utilizzati e le operazioni di trattamento eseguibili (v. anche art. 27 d.lg. n. 196/2003). Per quanto riguarda i dati sensibili, nel caso in cui la legge (o, in via transitoria, il Garante) specifichi soltanto le finalità di rilevante interesse pubblico, il Codice conferma l’adeguata soluzione secondo cui l’atto con il quale le amministrazioni devono individuare e rendere pubblici i tipi di dati utilizzabili e le operazioni eseguibili deve avere natura regolamentare e non già meramente amministrativa (artt. 20 s. d.lg. n. 196/2003). Secondo la nuova disciplina, i regolamenti devono essere inoltre adottati in conformità al parere reso dal Garante, che può essere formulato anche su schemi-tipo al fine di rendere più agevole e rapida l’adozione di tali atti. Qualora gli schemi regolamentari predisposti dalle amministrazioni corrispondano ai modelli su cui il Garante ha reso un parere conforme, non sarà quindi necessario sottoporli caso per caso allo specifico esame da parte dell’Autorità. Al fine di consentire un efficace adeguamento al sistema di garanzie delineato dal Codice, per i trattamenti iniziati prima della sua entrata in vigore è stato anche fissato un termine improrogabile (30 settembre 2004) entro il quale i soggetti pubblici formalmente o sostanzialmente inadempienti (alcuni atti già adottati, a volte anche senza il parere del Garante, non recano alcuna effettiva disciplina o ricognizione della materia) dovranno emanare il regolamento. In vista di tale scadenza, è in corso di prossima adozione un provvedimento con il quale il Garante fornirà chiarimenti ed indicazioni di carattere generale allo scopo di agevolare l’adempimento da parte dei soggetti pubblici. Al riguardo, va anche ricordato che l’Autorità, nel parere del 4 settembre 2003 sullo schema di regolamento predisposto dal Ministero degli affari esteri, ha sottolineato come varie finalità di rilevante interesse pubblico che possono giustificare il trattamento di dati sensibili e giudiziari, sono espressamente individuate dalla legge (ora, dal Codice). È peraltro insufficiente l’indicazione solo di alcune macro-tipologie di dati, corredata da descrizioni del loro impiego, dovendosi piuttosto specificare i tipi di dati concretamente utilizzati e le operazioni su di essi effettuate. … 19. Trasparenza dell’attività amministrativa 19.1. Accesso ai documenti amministrativi L’Autorità è stata interpellata innumerevoli volte in merito alle problematiche relative al diritto di accesso agli atti amministrativi che, come ribadito in più occasioni anche alla luce della consolidata giurisprudenza, costituisce ancora una delle più significative applicazioni del principio di trasparenza (cfr., da ultimo, C.d.S. Sez. VI, 9 gennaio 2004, n. 14). A tal proposito, è stato rilevato (Nota 16 maggio 2003) che i principi di pertinenza e non eccedenza non permettono di riportare sugli atti di avvio degli accertamenti in materia di abusi edilizi alcuni dati personali contenuti negli esposti che hanno dato origine all’accertamento. Sebbene le persone interessate possano avere accesso agli atti che li riguardano, compresi, in determinate circostanze, anche eventuali esposti o denunce presentati contro di esse, una pubblicità indifferenziata del contenuto degli esposti non può ritenersi conforme ai principi in materia di protezione dei dati, come peraltro confermato anche dalla giurisprudenza amministrativa (C.d.S. Sez. V, 3 aprile 2000, n. 1916). L’Autorità è stata anche chiamata a precisare ulteriormente il rapporto tra il diritto di accesso e quello alla protezione dei dati personali, con particolare riferimento alla possibilità per i comuni di accedere ad elenchi dettagliati detenuti dalle società concessionarie dell’erogazione di pubblici servizi, recanti gli intestatari di contratti di fornitura. Al riguardo è stato evidenziato che i soggetti privati possono comunicare i dati personali con il consenso degli interessati, ovvero in presenza di uno degli altri presupposti di liceità, come ad esempio l’adempimento di un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria. In particolare, si può prescindere dal consenso dell’interessato nel caso in cui sussistano esigenze di istituzione o completamento del catasto degli impianti termici, poiché l’art. 17 del d.P.R. n. 551/1999 ha espressamente previsto che le società distributrici di combustibile comunichino agli enti locali che ne facciano richiesta la titolarità degli impianti da esse riforniti nel corso degli ultimi dodici mesi (Nota 1° marzo 2004). Occorre infine segnalare che è allo studio dell’Autorità la predisposizione di un nuovo provvedimento sulla delicata questione del diritto di accesso dei consiglieri comunali e provinciali, già oggetto di varie pronunce in casi specifici.

19.2. Il principio del cd. pari rango

L’esperienza applicativa ha individuato da tempo alcuni opportuni presupposti per bilanciare il diritto alla riservatezza e il diritto di accesso ai documenti amministrativi, specie quando i documenti contengono dati attinenti alla salute o alla vita sessuale. La questione dei limiti alla comunicazione di dati sulla salute e sulla vita sessuale a persone diverse dall’interessato ha assunto, non di rado, rilevanza nel caso di richieste di accedere a cartelle cliniche detenute presso strutture sanitarie, a volte formulate da un difensore nell’ambito delle cd. indagini difensive (art. 391-quater c.p.p.). Con riferimento al caso in cui una pubblica amministrazione riceva una richiesta di accesso a documenti amministrativi contenenti tale tipo di dati, il Codice (art. 60), risolvendo alcuni dubbi interpretativi sorti sulla base delle disposizioni previgenti (art. 16 d.lg. 11 maggio 1999, n. 135), dispone che il trattamento dei dati finalizzato a permettere l’accesso è consentito se la situazione giuridica che si intende tutelare con la richiesta di accesso ai documenti amministrativi è “di rango almeno pari ai diritti dell’interessato”, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale ed inviolabile. Ad identica valutazione sul “rango” della situazione soggettiva fatta valere sono tenuti i soggetti privati nel caso in cui sia loro richiesto di comunicare a terzi singole informazioni sulla salute e sulla vita sessuale dell’interessato, come evidenziato dal Garante in una vicenda riguardante una casa di cura privata (Nota 4 settembre 2003). In tutte queste ipotesi il destinatario della richiesta, per decidere se accogliere anche in parte l’istanza di comunicazione di dati o di accesso ai documenti, deve previamente verificare in concreto se il diritto che si intende far valere o difendere sulla base delle informazioni o della documentazione richiesta sia almeno “di pari rango” rispetto al diritto alla riservatezza, alla dignità ed agli altri diritti e libertà fondamentali dell’interessato. La comunicazione di dati che rientrano nella sfera di riservatezza dell’interessato può, in definitiva, ritenersi giustificata e legittima solo se il diritto del richiedente rientra nella categoria dei diritti della personalità o è compreso tra altri diritti fondamentali ed inviolabili. Questa significativa affermazione, ora espressamente confermata dal Codice (artt. 26, comma 4, lett. c), 60, 71 e 92, comma 2, d.lg. n. 196/2003), è contenuta in un provvedimento del 9 luglio 2003 dell’Autorità, con il quale sono stati forniti alcuni criteri guida che devono caratterizzare il bilanciamento delle diverse situazioni coinvolte. In tale provvedimento si fa riferimento in particolare alla richiesta di accesso, da parte di persone diverse dall’interessato, alla cartella clinica di quest’ultimo (che può presentare delicate informazioni riferite talvolta anche ad individui diversi dall’interessato: si pensi alle anamnesi familiari), accanto ad altre considerazioni utili per altri tipi di documenti detenuti in ambito pubblico o privato. Si è così precisato che: - la comunicazione all’interessato di dati personali sulla salute va effettuata solo per il tramite di un medico (art. 23, comma 2, legge n. 675/1996; vedi però, ora, art. 84 d.lg. n. 196/2003, in riferimento agli esercenti le professioni sanitarie e agli organismi sanitari); - occorre avere presente, quale elemento di raffronto per il bilanciamento degli interessi, non già, in sé considerato, il diritto alla tutela giurisdizionale, che pure è costituzionalmente garantito, bensì il diritto soggettivo sottostante, che si intende far valere sulla base del materiale documentale di cui si vorrebbe avere conoscenza; - la valutazione sui diritti soggettivi va fatta in concreto, così da evitare “il rischio di soluzioni precostituite poggianti su una astratta scala gerarchica dei diritti in contesa” (nello stesso senso, C.d.S. Sez. VI, 30 marzo 2001, n. 1882 e 9 maggio 2002, n. 2542; cfr. pure C.d.S. Sez. V, 31 dicembre 2003, n. 9276); - oltre a verificare, anche nell’ottica di un eventuale accoglimento parziale della richiesta, l’effettiva necessità dei dati ai fini dell’azione o della difesa, occorre osservare comunque i principi di pertinenza e di non eccedenza nel trattamento, al cui rispetto sono tenuti pure i soggetti pubblici (artt. 3-4 d.lg. n. 135/1999; ora, art. 22 d.lg. n. 196/2003); - se la richiesta è rivolta ad una amministrazione pubblica, nel procedimento instaurato dall’istanza di accesso dovrebbe essere poi informato l’interessato, stimolando un “contraddittorio anticipato” che ponga in condizione quest’ultimo di esercitare i propri diritti ed eventualmente opporsi per motivi legittimi al trattamento delle informazioni che lo riguardano; - i medesimi criteri devono essere seguiti nel caso in cui la richiesta di accesso o di comunicazione di dati sia formulata da un difensore che abbia ricevuto specifico incarico, anche ai sensi della normativa sulle investigazioni difensive (così la Nota 10 dicembre 2003). Il limite del “pari rango”, ad ogni modo, non trova applicazione nel caso di accesso ai dati personali direttamente da parte dell’interessato e per il rilascio di copia della cartella clinica all’interessato medesimo o a persona da lui specificamente delegata (o ancora, in caso di decesso, a chi “ha un interesse proprio o agisce a tutela dell’interessato o per ragioni familiari meritevoli di protezione”: art. 9, comma 3, d.lg. n. 196/2003). Deve trattarsi comunque di un esercizio del diritto di accesso frutto di una libera determinazione da parte dell’interessato e non di una costrizione, come quella che potrebbe venire da una controparte più “forte”, nel quadro ad esempio di un rapporto di lavoro o contrattuale.

27. Attività giudiziaria ed informatica giuridica

Per quanto riguarda le informazioni contenute nei provvedimenti dell’autorità giudiziaria che dispongono il giudizio penale, il Garante ha ribadito che, fermo restando il rispetto dei principi di pertinenza e di non eccedenza, la normativa in materia di protezione dei dati non pregiudica l’esercizio dell’attività giudiziaria, in particolar modo quando il codice di rito preveda specificamente l’inserimento in tali provvedimenti di precise informazioni per determinate finalità processuali. Specifici suggerimenti sono stati peraltro formulati a proposito dell’eventuale notificazione degli atti per pubblici proclami. Altra problematica, portata all’attenzione dell’Autorità da alcune segnalazioni, è quella della pubblicazione sui siti Internet dell’autorità giudiziaria di decisioni contenenti informazioni delicate relative alle parti in giudizio. La questione è stata ora risolta dal Codice, il quale agevola sia l’accessibilità on line dei dati identificativi delle questioni pendenti presso le autorità giudiziarie di ogni ordine e grado (quindi anche i giudici amministrativi e contabili) da parte di chi vi ha legittimo interesse, sia l’accessibilità al pubblico delle sentenze e delle altre decisioni delle medesime autorità una volta depositate in cancelleria o in segreteria. Le sentenze devono essere redatte secondo le ordinarie regole che individuano nominativamente tutte le parti interessate. Tuttavia, in caso di riproduzione in qualunque forma di sentenze o altri provvedimenti giurisdizionali effettuata nel quadro delle legittime e doverose attività di informazione a fini giuridici, prima che sia definito il giudizio si può chiedere per motivi legittimi all’autorità giudiziaria (che può disporla anche d’ufficio) l’apposizione sul provvedimento di un’annotazione volta a precludere l’indicazione, nella versione pubblicata, delle generalità e di altri dati identificativi degli interessati. Una tutela rafforzata è poi garantita dagli artt. 51 e 52 del d.lg. n. 196/2003 per i minori e per i soggetti coinvolti in procedimenti in materia di rapporti di famiglia e di stato delle persone, indipendentemente dall’annotazione apposta sul provvedimento. Formano oggetto di particolare approfondimento anche alcune iniziative istituzionali intraprese da tribunali e camere di commercio, che si propongono di rendere disponibili sui propri siti istituzionali banche dati contenenti informazioni e documenti relativi a procedure concorsuali. Per quanto riguarda poi lo sviluppo di metodi alternativi di risoluzione delle controversie, è stato sottoposto all’attenzione dell’Autorità un protocollo di intesa tra una camera di commercio, un tribunale ed un consiglio dell’ordine degli avvocati, che prevede l’avvio di una fase sperimentale di conciliazione delegata fondata sull’individuazione, da parte delle istituzioni coinvolte, di un numero di controversie idonee ad un efficace esperimento del tentativo di composizione stragiudiziale. In merito alle problematiche connesse all’adozione del decreto dirigenziale del Ministero della giustizia regolante la consultazione del casellario giudiziale da parte delle pubbliche amministrazioni e dei gestori di pubblici servizi, si rimanda alla specifica trattazione che ne verrà fornita nel paragrafo sull’attività consultiva del Garante rispetto agli atti del Governo (cfr. diffusamente, parag. 45.2.).

28. Attività di polizia e Guardia di finanza

Nel settore in esame, l’Autorità si è occupata tra l’altro di verificare talune modalità con le quali la Guardia di finanza accerta le posizioni reddituali e patrimoniali dei nuclei familiari dei soggetti beneficiari di prestazioni sociali agevolate. In particolare, il Garante è intervenuto in una vicenda in cui una struttura periferica del Corpo aveva richiesto ad un comune alcuni elenchi nominativi di beneficiari corredati di tutta la relativa documentazione, a partire dalla tipologia della prestazione sociale e dall’importo del contributo erogato. A seguito dell’intervento dell’Autorità, il Comando generale ha impartito specifiche direttive alla struttura periferica chiarendo che, in una prima fase del controllo, devono essere acquisiti solo i nominativi dei beneficiari. Ulteriori elementi possono essere eventualmente acquisiti solo in una fase successiva, qualora emerga la reale necessità di svolgere approfondimenti sulla situazione economica dei soggetti sottoposti a controllo. È in procinto di essere completata la verifica su un protocollo di intesa sottoscritto tra una regione e la Guardia di finanza ai fini del coordinamento dei controlli e dello scambio di informazioni in materia di spesa sanitaria, che presenta profili critici sul piano della proporzionalità e liceità delle modalità di trattamento previste. Sono stati pure avviati specifici accertamenti sull’attivazione di un sistema informatico realizzato da un comune al fine di garantire alle forze di polizia un accesso preferenziale alle banche dati dell’ente. In particolare, il comune ha consegnato alla Guardia di finanza, all’Arma dei carabinieri ed alla Polizia di Stato una smart card con i connessi codici di sicurezza, che consente l’accesso ad una serie di dati personali dei cittadini di carattere anagrafico, patrimoniale, fiscale e giudiziario. In argomento va anche ricordato che, dopo le modifiche introdotte dal Codice, l’acquisizione presso terzi di informazioni e documenti da parte delle autorità di pubblica sicurezza e delle forze di polizia, in conformità alla legge ed ai regolamenti, può essere realizzata anche per via telematica attraverso convenzioni, a condizione che le modalità di collegamento previste assicurino un accesso selettivo ai soli dati necessari al perseguimento delle finalità di sicurezza ed ordine pubblico, nonché di prevenzione, accertamento e repressione dei reati (artt. 3, 11 e 54 d.lg. n. 196/2003), anche sulla base di convenzioni- tipo adottate dal Ministero dell’interno su conforme parere del Garante.

29. Rapporto di lavoro

L’Autorità si è pronunciata più volte sul tema della protezione dei dati personali nel settore del lavoro e della previdenza sociale, oggetto ora della specifica disciplina dettata dal Titolo VIII del Codice. Nel settore del pubblico impiego sono stati anzitutto esaminati alcuni casi in cui, nelle comunicazioni concernenti l’adozione di provvedimenti di gestione interna del personale (trasferimenti o avvicendamenti) sono riportati dati di carattere sensibile riguardanti, in particolare, la salute di dipendenti. Il trattamento di queste informazioni per perseguire una rilevante finalità d’interesse pubblico di gestione di rapporti di lavoro può in generale ritenersi lecito. Occorre, tuttavia, che sia rispettato anche il principio di necessità, in virtù del quale possono essere oggetto di trattamento soltanto i dati indispensabili al raggiungimento di tale finalità. Non è stata ad esempio ritenuta rispondente al principio di necessità l’indicazione, in questo tipo di comunicazione, del luogo del ricovero di un dipendente e della gravità dei motivi di salute su cui era fondata la sua sostituzione, tenuto oltretutto conto dell’invio della comunicazione anche alle rappresentanze sindacali (Nota 4 settembre 2003). È in procinto di essere ultimata l’attività del tavolo di lavoro sul trattamento dei dati del personale delle forze armate e di polizia promosso dall’Autorità in collaborazione con le amministrazioni interessate. L’iniziativa mira ad approfondire congiuntamente alcune questioni riguardanti, in particolare, la gestione dei fascicoli personali dei dipendenti, per consentire l’elaborazione di indicazioni e soluzioni a tutela della riservatezza e degli altri diritti degli interessati. Nell’ambito di tale tavolo di lavoro sono state esaminate varie questioni, tra cui: - la richiesta di documentare la diagnosi, oltre alla prognosi, indirizzata ai dipendenti che si assentano dal servizio per motivi di salute, e la successive conservazione della relativa documentazione nel fascicolo personale; - il trattamento dei dati sulla salute connesso agli accertamenti dell’idoneità psico-fisica al servizio svolti nei confronti del personale, sia al momento dell’assunzione, sia in costanza del rapporto di lavoro; - il trattamento dei dati sensibili contenuti in documenti quali il fascicolo personale, il foglio matricolare ed altri atti, con particolare riferimento al principio di necessità dei dati stessi e al periodo della loro conservazione. L’iniziativa ha consentito anche di sollecitare la cessazione di talune prassi adottate da strutture periferiche delle amministrazioni, già portate all’attenzione dell’Autorità. Si è posto così rimedio anche al caso verificatosi in un istituto penitenziario, dove era stata affissa in bacheca una lista del personale assente per malattia comprensiva di nominativi, periodi di prognosi e diagnosi. Nel novembre del 2003 l’amministrazione penitenziaria ha emanato una circolare con la quale ha richiamato gli uffici periferici al rispetto delle rigorose cautele apprestate dalla normativa sulla protezione dei dati a tutela delle informazioni di carattere sensibile, con particolare riguardo al divieto di diffondere le notizie sulla salute. Sempre in materia di trattamento di dati del personale delle forze armate e di polizia, un dipendente di una questura ha presentato un ricorso lamentando che le informazioni relative alle sue condizioni di salute, accertate nel corso di una visita medica cui era stato sottoposto per verificare la sua idoneità al servizio, erano state comunicate ad altri soggetti al fine del ritiro cautelativo dell’arma in dotazione e del tesserino di servizio. In proposito, l’Autorità ha però constatato che tali comunicazioni erano avvenute lecitamente, in quanto effettuate in conformità alle disposizioni sulle autorizzazioni di polizia per la detenzione ed il porto d’armi e finalizzate all’adozione dei relativi provvedimenti (Provv. 15 gennaio 2004). In un altro ricorso, il Garante si è invece pronunciato sulla liceità della gestione di questionari di valutazione dell’attività svolta da dipendenti dell’amministrazione. In particolare, sono stati reputati conformi alla normativa sulla protezione dei dati la raccolta e l’esame di schede anonime di valutazione, quando il trattamento coinvolga soltanto uffici interni all’amministrazione interessata. Si devono peraltro adottare tutte le necessarie misure di sicurezza, anche diverse da quelle minime, al fine di assicurare che i dati contenuti nei questionari siano trattati dal personale specificatamente individuato, per le sole finalità conformi a quelle che rendono lecito il trattamento e con modalità operative rispettose dei principi di pertinenza e di non eccedenza (Provv. 22 settembre 2003). In relazione alla gestione della documentazione matricolare del personale militare, l’Autorità ha inoltre esaminato il ricorso di un dipendente che lamentava l’illiceità della conservazione nel suo stato matricolare di informazioni che lo riguardavano, concernenti l’applicazione di una pena concordata, in quanto erano trascorsi cinque anni dalla data di irrevocabilità della sentenza ed era avvenuta l’estinzione del reato (art. 445, comma 2, c.p.p.). Il Garante ha giudicato infondato il ricorso poiché nel caso di specie non risultavano violate né la normativa di settore (r.d. n. 1236 del 1941), né le disposizioni sulla correttezza e l’aggiornamento dei dati personali; ha poi constatato la liceità del trattamento di informazioni di carattere giudiziario da parte dell’amministrazione per finalità di gestione del rapporto di lavoro (Provv. 17 aprile 2003). Per quanto riguarda la normativa sul diritto al lavoro dei disabili, è pervenuta una segnalazione con la quale si lamentava che la graduatoria del collocamento obbligatorio, contenente i nominativi di circa tredicimila disabili, era stata pubblicata sul sito web del servizio per le politiche del lavoro di una provincia. L’accertamento preliminare ha rilevato che l’elenco era effettivamente accessibile da chiunque attraverso la pagina di apertura di tale sito. La questione risultava rilevante, visto l’ingente numero di soggetti interessati dalla diffusione indiscriminata di dati idonei a rivelare il loro stato di salute. Il Garante ha pertanto curato ulteriori approfondimenti ai fini del blocco del trattamento, considerando che le disposizioni di settore (art. 8 legge n. 68/1999) non definiscono le modalità per garantire la pubblicità degli elenchi e delle graduatorie degli aventi diritto al collocamento obbligatorio. Anche a tale proposito occorre comunque sottolineare che il divieto di diffusione dei dati idonei a rivelare lo stato di salute è espressamente ribadito dal Codice in relazione allo svolgimento delle attività di concessione di benefici ed agevolazioni previste dalla legge, dai regolamenti o dalla normativa comunitaria (art. 68, comma 3, d.lg. n. 196/2003). L’Autorità ha altresì verificato la liceità delle segnalazioni trasmesse da medici all’Inail circa le malattie riscontrate nei pazienti, collegabili allo svolgimento di attività lavorative. Sul punto si è precisato che, secondo il quadro normativo vigente (d.P.R. n. 1124/1965; d.m. 18 aprile 1973 e d.lg. n. 38/2000), il medico può trasmettere all’istituto assicuratore e ad altri organismi preposti le segnalazioni di malattie professionali che potrebbero essere state causate da un’attività lavorativa potenzialmente nociva, indicandone l’anamnesi lavorativa, i rischi e le sostanze cui il lavoratore sia (o sia stato) esposto. Questa comunicazione deve essere però effettuata nel rispetto delle specifiche disposizioni in tema di assicurazioni contro gli infortuni sul lavoro e le malattie professionali, nonché del principio di pertinenza dei dati rispetto alle finalità per cui sono raccolti e successivamente trattati. (Nota alla procura della Repubblica di Torino del 27 ottobre 2003). È infine nuovamente all’esame dell’Autorità la questione dell’indicazione di dati personali dei lavoratori nei buoni pasto (in particolare, i nominativi dei singoli beneficiari e la loro sede di servizio), accanto alle informazioni sul datore di lavoro, nonché dei presupposti di liceità per comunicare i dati dei dipendenti al soggetto tenuto all’erogazione del servizio.

V - La privacy e le sfide del futuro

La sicurezza pubblica e privata

36. Il trasferimento dei dati Pnr (Passenger name record) dei passeggeri

Anche nel corso del 2003 il trasferimento dei dati personali dei passeggeri alle autorità doganali di Paesi non appartenenti all’Ue ha rappresentato uno dei punti chiave dell’attività del Gruppo costituito ai sensi dell’art. 29 della direttiva n. 95/46/CE. Tali tematiche, già affrontate nel 2002 in relazione agli Stati Uniti (Parere 6/2002 WP 66 del 24 ottobre 2002), hanno assunto speciale rilevanza nell’ultimo anno anche per le istanze presentate in proposito da Canada ed Australia, alimentando il dibattito europeo ed internazionale sul giusto equilibrio fra misure di controllo delle frontiere e di lotta al terrorismo e tutela del diritto fondamentale alla protezione dei dati personali. Il confronto con gli Stati Uniti si è aperto quando, in seguito agli eventi dell’11 settembre 2001, sono stati adottati leggi e regolamenti che impongono alle compagnie aeree di trasferire alle autorità doganali degli Usa i dati personali dei passeggeri e dell’equipaggio in volo da o verso il territorio statunitense. In particolare, le autorità americane hanno chiesto l’accesso elettronico ai dati contenuti nei sistemi di prenotazione e distribuzione delle compagnie aeree (cd. dati Pnr-Passenger name record), prevedendo in caso contrario controlli minuziosi e lunghi dei passeggeri e dei membri dell’equipaggio all’arrivo, nonché pesanti sanzioni pecuniarie, e disponendo persino la perdita dei diritti di atterraggio. Secondo il sistema proposto, un numero ingente di dati riguardante la totalità dei passeggeri dei voli transatlantici dovrebbe essere raccolto elettronicamente nei database delle compagnie aeree e dei sistemi di prenotazione, e poi analizzato e conservato per lunghi periodi dalle autorità statunitensi. Le autorità doganali potrebbero poi comunicarli ad altre autorità degli Usa o di altri Paesi al fine di valutare la pericolosità dei passeggeri, negando eventualmente l’imbarco ai soggetti ritenuti pericolosi (cd. sistema “Capps II”). Tutto ciò avverrebbe, però, in assenza di un quadro normativo negli Stati Uniti che garantisca ai passeggeri europei una tutela dei dati personali equivalente a quella assicurata dalla direttiva n. 95/46/CE. Il Gruppo si è pronunciato nuovamente sul tema sia nel giugno 2003 (Parere 4/2003 WP 78 del 13 giugno 2003), sia nel gennaio 2004 (Parere 2/2004 WP 87 del 29 gennaio 2004), seguendo con attenzione gli sviluppi dei negoziati fra la Commissione europea e le autorità statunitensi e cercando di fornire elementi utili alla configurazione di meccanismi di trasferimento compatibili con il diritto alla protezione dei dati personali. Le carenze di tutela, evidenziate già nel parere del giugno 2003, e le conseguenti perplessità sulla possibilità di considerare adeguata la protezione prevista per i dati personali dei passeggeri europei, sono state confermate nel parere del gennaio 2004, adottato al termine dei negoziati fra Commissione e Stati Uniti. In tale occasione il Gruppo ha tenuto conto sia dell’ultima versione degli impegni statunitensi (“Dichiarazione d’intenti dell’Ufficio doganale e di protezione dei confini (Cbp) del Dipartimento per la sicurezza interna” del 12 gennaio 2004), sia della comunicazione della Commissione europea (“Trasferimento dei dati contenuti nel Passenger name record: un approccio globale dell’Ue” COM(2003) 826 final del 16 dicembre 2003). In quest’ultimo documento, la Commissione manifesta l’intenzione di associare alla decisione sull’adeguatezza un accordo internazionale bilaterale che autorizzerebbe le compagnie aeree a considerare la richiesta degli Stati Uniti un obbligo di legge, imponendo nel contempo agli Usa di garantire ai cittadini europei l’esercizio dei propri diritti. Nel sottolineare come anche nella lotta contro il terrorismo occorra tutelare le libertà individuali e i diritti fondamentali, compresi il rispetto della vita privata e la protezione dei dati, il Gruppo ha ribadito che il sistema deve rispettare almeno I principi fondamentali stabiliti dalla direttiva europea, ossia: - principio di finalità. I dati del Pnr devono essere utilizzati soltanto per contrastare il terrorismo ed altri specifici reati connessi al terrorismo; inoltre, devono essere specificati chiaramente i soggetti ai quali i dati possono essere comunicati e non deve essere ammessa l’utilizzazione dei dati in rapporto ad altri sistemi, come ad esempio il Capps II; - principio di proporzionalità. Devono essere trasferiti solo i dati necessari per le finalità indicate, evitando la raccolta di informazioni eccessive o non pertinenti; - conservazione per un periodo di tempo limitato; - divieto di trattare dati sensibili; - esercizio dei diritti degli interessati. I passeggeri devono ricevere informazioni chiare e accurate su chi tratterà i loro dati e sugli scopi del trattamento, nonché sulle modalità per l’esercizio dei diritti riconosciuti dalla direttiva n. 95/46/CE e dalle leggi nazionali (accesso, rettifica, ecc.). Restano perplessità sui poteri del Chief Privacy Officer creato presso il Department of Homeland Security, anche alla luce dei problemi sul grado di vincolatività giuridica degli “impegni” assunti dall’Amministrazione degli Stati Uniti. L’inadeguatezza dell’attuale configurazione del sistema di trasferimento dei cd. dati Pnr verso gli Usa è stata sostenuta dal Parlamento europeo che ha approvato una serie di risoluzioni in cui, nell’invitare la Commissione europea a definire un quadro giuridico chiaro per il trasferimento dei dati dei passeggeri verso gli Stati Uniti, ha rilevato varie lacune nelle garanzie offerte dal sistema statunitense e nella soluzione proposta dalla Commissione. Il Parlamento europeo ritiene pertanto che, per tutelare il diritto alla protezione dei dati personali sancito dall’art. 8 della Carta dei diritti fondamentali dell’Ue, sia necessario un accordo internazionale, possibilmente a carattere multilaterale, in cui chiarire il ruolo svolto dalle compagnie aeree e le garanzie offerte ai passeggeri. Da ultimo il Parlamento europeo, con un’apposita risoluzione, ha censurato la soluzione proposta della Commissione europea, invitando quest’ultima a ritirare il progetto di decisione sul trasferimento dei dati personali dei passeggeri aerei negli Stati Uniti e riservandosi il diritto di adire la Corte di giustizia per verificare la legalità dell’accordo raggiunto. Ciò in quanto gli impegni (cd. undertakings) assunti dall’Amministrazione statunitense sono stati giudicati una base giuridica inadeguata per la decisione della Commissione europea (Comunicato stampa 31 marzo 2004). L’opportunità di un negoziato multilaterale, già evidenziata dal Gruppo nei propri pareri, si desume anche dalle richieste di trasferimento dei dati dei passeggeri recentemente formulate dalle autorità doganali canadesi ed australiane, oltre che da quanto sta emergendo in relazione a Paesi quali il Sudafrica e la Corea del Sud. Il Gruppo, in proposito, ha constatato che l’obiettivo di prevenire il terrorismo può essere efficacemente perseguito anche attraverso sistemi più rispettosi del diritto alla protezione dei dati personali dei passeggeri. Così, un approccio certamente più equilibrato caratterizza il sistema australiano, rispetto al quale il Gruppo ha espresso un parere sostanzialmente favorevole, pur se condizionato ad alcune modifiche e miglioramenti (Parere 1/2004 WP 85 del 16 gennaio 2004). Tale sistema prevede, infatti, la trasmissione di un numero più limitato di dati personali. Inoltre, le finalità della raccolta sono circoscritte alla prevenzione del terrorismo e dei reati connessi, non è prevista la conservazione sistematica dei dati raccolti ed i diritti dei passeggeri sono garantiti da un quadro normativo ed istituzionale più conforme alle esigenze di tutela della vita privata. Per quanto riguarda il Canada, il Gruppo ha adottato un ulteriore parere (Parere 3/2004 WP 88 del 11 febbraio 2004) in cui si evidenziano le questioni da risolvere e le modifiche da apportare al sistema canadese prima che possa essere approvata una pronuncia di adeguatezza da parte della Commissione europea. La questione dell’utilizzazione dei dati dei passeggeri ad opera delle autorità di frontiera continua ad occupare un ruolo di primo piano non solo nell’agenda del Gruppo e delle istituzioni comunitarie, ma anche di altri organismi internazionali, quali l’Ocse e l’Icao, che più di recente hanno inteso contribuire allo sviluppo di un approccio globale a tale tematica (cfr. infra, parag. 41.2.).

37. Videosorveglianza

Il Gruppo dei garanti europei, nel parere n. 4/2004 (WP 89 dell’11 febbraio 2004), ha fornito specifiche indicazioni in materia di videosorveglianza e protezione dei dati personali, con l’obiettivo di fissare regole e garanzie comuni sull’installazione di telecamere, anche in vista di eventuali interventi legislativi in materia. Il parere, adottato su particolare impulso della delegazione italiana, contiene un “decalogo” sulle cautele ed i principi da osservare in materia di videosorveglianza, che si applicano anche ai trattamenti che non sono soggetti espressamente alle disposizioni della direttiva europea (ad esempio, trattamenti effettuati per scopi di sicurezza pubblica o per il perseguimento di reati, oppure effettuati da una persona fisica per scopi esclusivamente privati o familiari). I Garanti hanno tenuto conto in proposito anche di alcuni commenti pervenuti attraverso la consultazione pubblica conclusasi il 31 maggio 2003.

37.1. La videosorveglianza in ambito pubblico

L’incremento delle risorse finanziarie a disposizione degli enti locali derivanti da fonti comunitarie, dal Piano operativo nazionale sulla sicurezza e dalle leggi regionali tese a finanziare gli investimenti per promuovere legalità e sicurezza sociale ha probabilmente contribuito a determinare un incremento nell’utilizzo di sistemi di rilevazione di immagini in ambito pubblico. Ancora numerosi sono stati i reclami e le segnalazioni pervenuti al Garante in merito a possibili violazioni delle norme sulla protezione dei dati personali derivanti dall’installazione di sistemi di videocontrollo ad opera, in particolare, di amministrazioni locali, attivati per finalità di sicurezza urbana, tutela del patrimonio, monitoraggio del traffico, asserite competenze in tema di prevenzione e repressione dei reati, disciplina dei rifiuti urbani. Numerosi sono stati pure i reclami e le segnalazioni nei confronti di impianti installati dagli esercenti attività commerciali o artigianali per ridurre il “rischio criminalità”. Parallelamente, sono stati posti al Garante moltissimi quesiti sul tema da parte di soggetti pubblici titolari del trattamento (enti locali, aziende sanitarie locali, istituti scolastici e prefetture). Il Garante ha ricordato in primo luogo che l’installazione di sistemi di videosorveglianza non è subordinata ad una formale autorizzazione preliminare. Non è quindi stabilito alcun termine decorso il quale i progetti sottoposti all’Autorità dai titolari possano ritenersi conformi alla normativa sulla protezione dei dati personali o comunque autorizzati dal Garante, poiché al riguardo non è previsto il formarsi del cd. silenzio-assenso. Ciò, tenuto oltretutto conto che i progetti trasmessi all’Autorità spesso non descrivono tutte le caratteristiche che permetterebbero di verificare l’applicazione del principio di proporzionalità nei singoli aspetti del trattamento. Già in passato, con il provvedimento generale del 29 novembre 2000 (cd. Decalogo sulla videosorveglianza), l’Autorità aveva fornito alcune prime indicazioni per garantire un equo contemperamento tra le esigenze di sicurezza ed il rispetto della normativa sulla protezione dei dati personali nella rilevazione di immagini e suoni. Le prescrizioni, gli accertamenti e le garanzie indicate in tale documento dovevano essere necessariamente aggiornate, in ragione dell’evoluzione delle tecnologie disponibili, dei nuovi strumenti giuridici elaborati in sede comunitaria ed internazionale e del nuovo Codice. Il Garante ha perciò portato a compimento un nuovo procedimento, adottando nell’aprile 2004 un ulteriore provvedimento generale per individuare principi e cautele più specifici da rispettare in materia di videosorveglianza a pena di illiceità del trattamento, in vista del relativo codice deontologico. L’art. 134 del d.lg. n. 196/2003 impegna infatti l’Autorità a definire a breve i lavori preparatori di un apposito codice deontologico per disciplinare il trattamento dei dati personali effettuato con strumenti automatizzati di rilevazione di immagini. Nel merito delle questioni analizzate dall’Autorità nel 2003, va tra l’altro evidenziato il quesito formulato da un’agenzia investigativa sulla possibilità di installare telecamere in luoghi pubblici in connessione con il mandato ricevuto da un comune e finalizzato alla raccolta di prove di eventuali atti di vandalismo, danneggiamenti o altri atti criminosi, affinché si potessero perseguire penalmente e civilmente i relativi autori. In proposito, l’Autorità ha rilevato la mancanza del presupposto della proporzionalità nell’uso dello strumento rispetto alla finalità perseguita. Si è pure notato che l’ente pubblico committente (un comune) era privo di funzioni istituzionali in materia di prevenzione ed accertamento dei reati. L’adozione di un sistema di videosorveglianza avrebbe potuto giustificarsi solo in presenza di una comprovata inidoneità di altri sistemi o cautele (impianti di allarme, specifica vigilanza, ecc.) e con un ruolo ben diverso del titolare del trattamento, ovvero con l’attivazione delle forze di polizia. Il Garante è intervenuto a richiesta affinché la realizzazione di un “sistema integrato di sicurezza territoriale” presso il quartiere Eur di Roma avvenga in piena conformità a quanto previsto dalla normativa sulla protezione dei dati personali e, in particolare, in stretto ossequio al principio di proporzionalità tra mezzi impiegati e scopi perseguiti (che si specifica nei principi di pertinenza e non eccedenza) e nel rispetto delle competenze degli organi coinvolti. Sotto questo aspetto, saranno perciò oggetto di ulteriore e preventivo esame le modalità di registrazione delle immagini, il tempo della loro conservazione, nonché la predisposizione di un’adeguata informativa alla cittadinanza.

37.2. La videosorveglianza nel settore privato

Anche nel settore privato l’utilizzo di impianti di videosorveglianza ha dato luogo, nel 2003, a frequenti interventi del Garante, a conferma della progressiva diffusione del fenomeno e della crescente attenzione e sensibilità dei cittadini al riguardo. Nei numerosi casi analizzati, in attesa della definizione del codice di deontologia previsto dall’art. 134 del d.lg. n. 196/2003, sono stati ribaditi i principi già affermati nel provvedimento generale del 29 novembre 2000. Diverse sono state le istanze riguardanti l’installazione di impianti per finalità di sicurezza in ambito condominiale e in spazi antistanti le porte d’ingresso ad abitazioni private. Al riguardo, fermo restando il divieto sanzionato penalmente di interferire illecitamente nella vita privata altrui, si è nuovamente constatata l’inapplicabilità della vigente normativa sulla protezione dei dati personali ai trattamenti di dati effettuati per fini esclusivamente personali (art. 5, comma 3, d.lg. n. 196/2003): tuttavia, si è rilevato che questa esclusione per le apparecchiature di videosorveglianza installate al solo fine della sicurezza individuale non riguarda quelle attivate da condomini o più gruppi familiari e presuppone, comunque, che le immagini registrate non siano oggetto di successiva comunicazione sistematica o diffusione (Provv. 22 dicembre 2003). Nei casi in cui la legge non sia applicabile perché ad esempio il sistema è attivato da un solo condomino che non registra i dati, ciò non comporta che i terzi siano privati di garanzie in sede civile e penale. A parte la possibilità di ottenere tutela sulla base dell’art. 615-bis c.p., i terzi devono essere comunque salvaguardati nei loro diritti (riservatezza, tranquillità individuale) attraverso la delimitazione dell’angolo visuale, in modo da non riprendere l’uscio altrui o da attivare indebite forme di controllo su aree comuni. Varie segnalazioni e reclami hanno poi riguardato il trattamento di dati effettuato tramite sistemi di videosorveglianza più complessi, installati ad opera, ad esempio, di studi professionali, esercizi commerciali, società ed enti no-profit, per i quali si è reso necessario eseguire accertamenti in loco in collaborazione con la Guardia di finanza (per il protocollo d’intesa siglato dalle due istituzioni il 26 ottobre 2002, v. Relazione 2002). In un caso, poi, di installazione da parte di una farmacia, a seguito di alcuni episodi criminosi, di apparecchiature di videosorveglianza a protezione dei dipendenti e delle cose custodite nei relativi locali, si è reso necessario richiamare il titolare ad una più scrupolosa osservanza dei principi del cd. decalogo. In altre ipotesi sono state invece contestate sia l’omessa notificazione al Garante del trattamento effettuato mediante impianti di videosorveglianza installati dai titolari per motivi di protezione del patrimonio e delle persone, sia la mancata adozione di un’idonea informativa agli interessati circa la presenza di tali impianti. In questi casi è stato infatti accertato che la qualità delle immagini consentiva l’identificazione delle persone che entravano nel campo di visuale delle telecamere e che i relativi titolari avevano completamente disatteso gli obblighi vigenti in materia, soprattutto per quanto concerne l’omessa informativa, comprovata dall’assenza di avvisi o cartelli recanti le indicazioni prescritte dalla normativa. Altri procedimenti, scaturiti da reclami proposti da organismi sindacali aziendali (Rsa o Rsu) di diverse società avverso l’installazione di sistemi di videosorveglianza potenzialmente configurabili come strumenti di controllo a distanza dell’attività dei lavoratori, sono sfociati anch’essi nel richiamo al rispetto delle prescrizioni di cui all’art. 4 della legge n. 300/1970 (la cui vigenza è fatta salva dal d.lg. n. 196/2003). Di particolare interesse è risultato inoltre un progetto sperimentale di Trenitalia S.p.A. per installare sistemi di videosorveglianza su taluni vagoni di treni che transitano su specifiche tratte ferroviarie oggetto di ripetuti atti vandalici e di episodi di microcriminalità a danno dei passeggeri. Al riguardo la società ha dichiarato di aver già adottato taluni primi accorgimenti per la protezione dei dati, come ad esempio l’effettuazione delle riprese con modalità volte ad escludere sia un avvicinamento dell’immagine sia (per quanto riguarda le carrozze-cuccette) la ripresa degli scompartimenti dei passeggeri, nonché la memorizzazione delle immagini riprese in forma criptata e la predisposizione di un’informativa agli interessati. Dopo un approfondito esame, l’Autorità ha richiamato l’attenzione di Trenitalia S.p.A. sui seguenti punti: necessità di individuare con precisione e nell’ambito di una ristretta cerchia di persone i responsabili e gli incaricati del trattamento; riduzione al minimo, ove tecnicamente possibile, dei tempi di conservazione giornaliera delle immagini prima della loro cancellazione; adozione di idonee misure di sicurezza dei sistemi e dei dati raccolti. Il Garante ha inoltre chiesto di conoscere, entro il mese di giugno 2004, l’esito della prima sperimentazione del progetto e lo stato di attuazione delle misure di protezione dei dati.

38. Rilevazioni biometriche

I dati biometrici recano informazioni particolarmente delicate ed il loro uso, se, da un lato può svolgere un ruolo utile nella previsione di misure di sicurezza per l’accesso a dati, apparecchiature e sistemi, riducendo il ricorso ad altri dati personali più direttamente identificativi quali nome, indirizzo o domicilio, dall’altro, può comportare gravissimi rischi legati all’uso indebito o indiscriminato di informazioni desunte da connotati particolari quali le impronte digitali lasciate dalla persona interessata. La diffusione crescente dei sistemi biometrici ha spinto il Gruppo dei garanti europei ad adottare uno specifico documento di lavoro sul tema (WP 80 del 1° agosto 2003). Secondo il Gruppo, l’impiego di tecniche biometriche è ammissibile solo se realmente proporzionato agli scopi che si vogliono raggiungere e se non comporta di regola la creazione di archivi centralizzati e l’utilizzazione di informazioni desunte da “tracce fisiche” (come le impronte digitali) che una persona può lasciare anche senza rendersene conto. I garanti si sono riservati di tornare sul tema in futuro per far sì che le imprese, le pubbliche amministrazioni e i soggetti interessati all’impiego di sistemi biometrici sviluppino dispositivi realmente rispettosi della privacy; in particolare, il Gruppo ha richiamato l’attenzione sull’opportunità di redigere anche appositi codici deontologici che fissino i criteri da seguire nello sviluppo e nell’utilizzo di sistemi biometrici. Anche il Working Party on Information Security and Privacy (Wpisp) dell’Ocse ha rivolto particolare attenzione al tema delle tecnologie biometriche, in considerazione del notevole interesse che tali tecnologie stanno assumendo in svariati ambiti, quali il settore bancario, l’istruzione, i servizi pubblici, la sicurezza dei viaggi ed il controllo dell’immigrazione. Il gruppo, coadiuvato da consulenti esperti in materia di privacy, ha pertanto elaborato un documento che, dopo un’introduzione generale in cui vengono esaminate le differenti tecnologie biometriche, analizza le diverse possibili configurazioni e funzionalità dei sistemi biometrici, evidenziandone le implicazioni in materia di protezione dei dati e sicurezza dell’informazione.

38.1. Dati biometrici: gli interventi del Garante

In considerazione dei rischi connessi all’utilizzo di sistemi biometrici, l’Autorità ha potenziato la propria attività di verifica e di vigilanza in tale settore. Attenzione particolare è stata dedicata ad esempio alla possibilità di installare questi sistemi a fini di controllo degli accessi ai luoghi di lavoro o a servizi di mensa universitaria. Tramite tali verifiche, il Garante intende accertare se l’uso di un sistema così invasivo, come quello di rilevazione delle impronte digitali, sia effettivamente e obiettivamente proporzionato rispetto alle finalità che si vogliono perseguire. Le pubbliche amministrazioni nei cui confronti sono stati avviati accertamenti, sono state chiamate a documentare le ragioni dell’inidoneità di altri sistemi o procedure da cui deriverebbero minori pericoli o rischi per i diritti e le libertà fondamentali degli interessati, nonché le finalità perseguite con l’impiego di tali sistemi di rilevazione. Inoltre, è stato chiesto di indicare le modalità di concreta rilevazione e/o registrazione dei dati biometrici ed il successivo confronto delle impronte digitali eventualmente registrate con quelle rilevate dai lettori ottici. Ancora, i destinatari degli accertamenti sono stati invitati a specificare i tempi di conservazione, le misure di sicurezza adottate e le modalità di consultazione dei dati da parte dei soggetti autorizzati. Tra gli accertamenti effettuati va in particolare evidenziato quello nei confronti di un ente regionale per il diritto allo studio universitario che, secondo notizie di stampa, intendeva bandire una gara di appalto per installare lettori di impronte digitali in ristoranti e pizzerie convenzionati, al fine di controllare che l’accesso al servizio di ristorazione avvenisse esclusivamente da parte degli aventi diritto (ad esempio, studenti vincitori di borse di studio o in particolari condizioni di reddito). A seguito dell’intervento del Garante, l’ente ha comunicato la rinuncia a realizzare il progetto in quanto non conforme al principio di proporzionalità tra i mezzi impiegati e le finalità di controllo della spesa perseguite. Con riferimento all’utilizzo di dati biometrici da parte di operatori privati, merita di essere poi ricordato l’esame di un progetto pilota, curato da un gruppo di organizzazioni e società operanti a livello internazionale (cd. S-Travel Consortium). Attraverso tale progetto si intendeva avviare, presso gli aeroporti di Atene e di Milano Malpensa, la sperimentazione dell’uso di tecniche di autenticazione biometrica (impronte digitali e/o immagine dell’iride) nel settore del trasporto aereo, con particolare riguardo alle operazioni di check-in e di imbarco. Il progetto, seguito in Italia da Alitalia-Linee Aeree Italiane S.p.A., avrebbe coinvolto, in una prima fase, i dipendenti Alitalia e avrebbe dovuto essere esteso in una seconda fase ai passeggeri abituali della medesima compagnia che vi avessero aderito spontaneamente. Dopo un primo contatto con tale compagnia, il Garante ha richiamato l’attenzione sulle cautele imposte dalla normativa comunitaria e nazionale in materia, ed in particolare sull’opportunità di un formale interpello al Garante stesso (ai sensi dell’art. 24-bis, legge n. 675/1996; v. ora, art. 17, d.lg. n. 196/2003) per permettergli di effettuare gli approfondimenti del caso e di prescrivere le necessarie garanzie, anche in vista dell’ipotizzata estensione della sperimentazione ai passeggeri abituali. Il progetto poneva, infatti, delicati problemi in merito al rispetto dei principi di necessità e proporzionalità del trattamento, nonché di pertinenza e non eccedenza dei dati. L’utilizzo di tecniche di sperimentazione biometriche di riconoscimento rispondeva solo in parte al perseguimento dell’obiettivo di rafforzamento della sicurezza nei controlli aeroportuali, mirando anche alla semplificazione degli attuali adempimenti ed all’accelerazione del flusso dei passeggeri negli aeroporti. La raccolta di dati biometrici relativi sia alle impronte digitali, sia all’immagine dell’iride di entrambi gli occhi è risultata eccedente e sproporzionata rispetto alle finalità del trattamento anche all’Autorità greca per la protezione dei dati personali, la quale, nel novembre 2003, è intervenuta bloccando lo sviluppo del progetto. Dopo un ulteriore incontro con l’Ufficio del Garante nel quale sono stati illustrati questi punti problematici, il Consorzio e Alitalia non hanno fornito ulteriori notizie circa l’intenzione di avviare in Italia la sperimentazione. Nel corso dell’anno sono inoltre pervenute all’Ufficio numerose richieste da parte di cittadini relative all’installazione, effettuata da alcune banche, di sistemi di rilevazione biometrica per l’accesso alle filiali. In proposito è stato ribadito l’orientamento già espresso dall’Autorità in precedenza: si è così confermato, anzitutto, che l’accesso con tali modalità deve avvenire solo ed esclusivamente sulla base di un consenso realmente libero ed informato e prevedendo modalità di ingresso alternative agevoli e non lesive della dignità della persona, anche in caso di indisponibilità al rilascio dei propri dati biometrici. Si è poi ricordato che, per il principio di proporzionalità tra gli strumenti impiegati e le finalità perseguite, resta non consentito l’utilizzo indiscriminato di sistemi di rilevazione biometrica all’ingresso di banche a fronte di una generica esigenza di sicurezza. Sono pervenute, altresì, talune segnalazioni circa l’impiego, da parte di alcune società, di tecniche di autenticazione biometrica (impronta palmare o facciale) per la rilevazione delle presenze del personale dipendente. Si tratta di ipotesi sulle quali il Garante sta concludendo accertamenti specifici, in considerazione del fatto che il trattamento di dati biometrici in tale ambito non risulta allo stato lecito in base ai principi di necessità e proporzionalità. È necessario, ancora, ricordare la partecipazione del Garante al cd. Gruppo passaporto elettronico costituito presso il Ministero degli affari esteri al fine di affrontare i problemi connessi all’inserimento di dati biometrici nei passaporti. L’Autorità ha fatto presente costantemente l’esigenza di individuare un’adeguata base giuridica che consentisse l’inserimento dei dati biometrici nei passaporti, sottolineando, altresì, la necessità di rispettare comunque i principi di finalità, di pertinenza e di non eccedenza nel trattamento dei dati. Per quanto riguarda, infine, l’attività consultiva svolta dall’Autorità su richiesta del Ministero dell’interno in merito al nuovo modello elettronico per i permessi di soggiorno, specifiche indicazioni sono state formulate relativamente alla necessità di un’adeguata base giuridica per l’utilizzo di dati biometrici, alle tecniche di registrazione dei dati (verificazione o autenticazione), nonché alla conservazione separata dei dati biometrici rispetto a quelli raccolti ai sensi del testo unico delle leggi di pubblica sicurezza per persone pericolose o sospette (cfr. sul punto anche infra, parag. 45.2.).

39. Attività di polizia

Anche nel 2003 sono pervenute a questa Autorità alcune segnalazioni, a volte presentate direttamente al Garante, ovvero a seguito di istanze di accesso rivolte al Dipartimento della pubblica sicurezza, con le quali gli interessati lamentano la registrazione, nel C.E.D. (Centro elaborazione dati) di tale Dipartimento, di dati inesatti, incompleti o non aggiornati, per lo più in riferimento a provvedimenti giudiziari o amministrativi adottati e non registrati (art. 10 legge n. 121/1981, modificato dall’art. 42 legge n. 675/1996 e, da ultimo, dall’art. 175, comma 3, d. lg. n. 196/2003). L’Autorità aveva già sottolineato in passato (Provv. 17 gennaio 2002) che anche i trattamenti effettuati da organi o uffici di polizia concernenti dati memorizzati nel predetto C.E.D., ovvero trattati per finalità di prevenzione, accertamento o repressione dei reati, devono essere comunque effettuati nel rispetto dei principi di liceità, pertinenza e non eccedenza previsti dall’art. 9 della legge n. 675/1996 (ora, art. 11 d.lg. n. 196/2003). Si era poi richiamata l’attenzione degli uffici sulla necessità di verificare con cadenza periodica la rispondenza a tali principi dei dati trattati, apportando senza ritardo le modifiche richieste o necessarie e cancellando i dati detenuti, specie in ragione degli esiti processuali eventualmente documentati dagli interessati. In linea con le indicazioni del Garante, questi profili hanno trovato ulteriore rafforzamento nel Codice. Il d.lg. n. 196/2003 ha infatti previsto che il C.E.D. del Dipartimento della pubblica sicurezza debba assicurare in maniera più incisiva l’aggiornamento periodico, la pertinenza e la non eccedenza dei dati trattati anche attraverso interrogazioni del casellario giudiziale e di quello dei carichi pendenti del Ministero della giustizia o di altre banche di dati di forze di polizia, al fine di garantire la costante rispondenza delle informazioni registrate nel C.E.D. a quelle conservate in altri archivi (art. 54, comma 3, d.lg. n. 196/2003). Analogamente, la verifica periodica del rispetto dei principi dettati dall’art. 11 del Codice è prevista come specifico obbligo per i singoli organi, uffici e comandi di polizia, i quali potranno avvalersi anche delle risultanze del C.E.D. (aggiornate come appena precisato) procedendo pure, in caso di trattamenti di dati effettuati con mezzi diversi da quelli elettronici, ad annotare o integrare i documenti cartacei che li contengono (art. 54, comma 4, d.lg. n. 196/2003). L’importanza di queste garanzie è testimoniata anche dalla disposizione del Codice che demanda ad un regolamento governativo lo sviluppo di taluni principi applicabili ai trattamenti effettuati per finalità di polizia. In un regolamento previsto dovranno essere infatti contemplati, fra l’altro, appositi e più specifici termini di conservazione dei dati, nonché determinate modalità per il loro aggiornamento periodico, per la comunicazione degli aggiornamenti ad altri soggetti cui le informazioni sono state, eventualmente, comunicate in precedenza, e per la verifica della pertinenza dei dati rispetto alla specifica finalità perseguita (art. 57 d.lg. n. 196/2003). Il Codice ha inoltre chiarito che la disciplina vigente in materia di accesso ai dati conservati nel C.E.D. (art. 10, commi 3, 4 e 5, legge n. 121/1981) si applica anche ai dati trattati da organi o uffici di polizia con l’ausilio di strumenti elettronici, nonché a quelli -già espressamente considerati in passato- destinati a confluire nel C.E.D. (art. 56 d.lg. n. 196/2003). Particolare attenzione dovrà essere prestata ai trattamenti di dati che presentano maggiori rischi di danno all’interessato (trattamenti riferiti a dati genetici, biometrici o effettuati mediante tecniche basate su dati relativi all’ubicazione) per i quali l’Autorità intende individuare, anche su comunicazione degli organi interessati, particolari misure ed accorgimenti a garanzia dell’interessato (artt. 55 e 17 d.lg. n. 196/2003). L’Autorità ha già segnalato la necessità di determinare tali misure, anche in conformità alle indicazioni che potranno pervenire dalle stesse amministrazioni interessate, in relazione alla raccolta dei rilievi dattiloscopici effettuata in occasione del rilascio o del rinnovo del permesso di soggiorno agli stranieri ed all’eventuale inserimento dei dati biometrici nel documento di soggiorno elettronico. L’Autorità è, poi, intervenuta nuovamente sulla diffusione da parte di organi di polizia di immagini e, specialmente, di foto segnaletiche di persone coinvolte in attività di polizia, in relazione ad una recente vicenda giudiziaria, che ha coinvolto anche alcuni personaggi del mondo dello spettacolo. In merito a tale caso, già ricordato in un’altra parte della Relazione (cfr. parag. 15.2.), il Garante ha rilevato che la diffusione di immagini di persone coinvolte in indagini o altri accertamenti è consentita agli organi di polizia solo per finalità di giustizia o di polizia e comunque nel rispetto della dignità della persona arrestata o altrimenti detenuta.

40. Problemi applicativi e possibili sviluppi del sistema di informazione Schengen

Il Sistema di informazione Schengen (su cui, v. pure infra, parag. 49.) è assoggettato ad un’attività di verifica e controllo del suo funzionamento da parte dell’Autorità comune di controllo (Acc), alla quale compete vigilare sull’applicazione della Convenzione di Schengen. Nel biennio 2002-2003 tale Autorità è stata presieduta dal segretario generale del Garante, che aveva già ricoperto la carica di vice presidente nel precedente biennio. Nel dicembre 2003 l’Autorità comune ha approvato il sesto Rapporto, in cui sono evidenziate le attività intraprese per una nuova campagna di informazione nei confronti dei cittadini, per l’apertura di un sito web della stessa Autorità comune (http://www.schengen-jsa.dataprotection.org) e per l’attuazione di una newsletter. Il Rapporto è dedicato, in particolare, al potenziamento degli strumenti di indagine attraverso le modifiche proposte al sistema informativo attuale. Si tratta del cd. Sis II, che prevede un significativo ampliamento delle categorie di informazioni registrabili nel sistema, il possibile inserimento di dati biometrici e la modifica di alcuni meccanismi di accesso e utilizzazione dei dati. Il Rapporto sottolinea i vari sforzi compiuti dall’Autorità di controllo per far sì che tali modifiche siano pienamente conformi alla Convenzione di applicazione dell’Accordo di Schengen. In particolare, nel rispondere alle sollecitazioni di alcuni Stati membri rispetto agli sviluppi del Sis, si è evidenziato che le modifiche proposte (il Sis II dovrebbe essere attuato entro il 2006) comporterebbero un sostanziale mutamento della natura del sistema informativo. Dando a strutture come Europol o Eurojust la possibilità di accedere direttamente ai dati in esso contenuti, il Sis verrebbe utilizzato per scopi investigativi leciti senza, però, una revisione complessiva delle sue finalità: invece, la Convenzione del 1990 aveva previsto un’utilizzazione “più statica” del Sis, sostanzialmente per vietare l’ingresso nella cd. Area Schengen a soggetti segnalati come indesiderabili dalle competenti autorità nazionali e quale strumento utile per alcune misure cd. compensative. Alle proposte di modifica del Sis l’Autorità comune ha dedicato nel biennio 2002-2003 diversi pareri, nei quali si è sottolineata la necessità di chiarire le nuove modalità di accesso di altri organismi (Europol, Eurojust) e si è ribadita l’inopportunità di inserire dati biometrici nel sistema (ad esempio, rilievi dattiloscopici) qualora tali dati non siano effettivamente indispensabili ai fini della specifica segnalazione. In merito alla proposta di inserire nel Sis le informazioni contenute nel cosiddetto “mandato di arresto europeo”, l’Autorità comune, in un altro parere, ha sollecitato chiarimenti da parte del competente Comitato presso il Consiglio Ue, sottolineando che l’utilizzo del Sistema informativo Schengen quale veicolo di trasmissione delle informazioni contenute nel mandato di arresto europeo comporterebbe, ancora una volta, una modifica sostanziale della natura del Sis e dei suoi meccanismi di funzionamento, che va previamente discussa ed impostata organicamente sul piano normativo. Tra le diverse altre questioni riassunte nel Rapporto vi è quella dell’integrazione con altre banche dati. Anche il Parlamento europeo ha sollecitato un riesame della questione, attraverso alcune audizioni pubbliche e seminari tenuti a Bruxelles, cui è stato chiamato a partecipare il segretario generale del Garante, in qualità di presidente dell’Autorità comune di controllo. Sotto altro profilo, è stato avviato dall’Autorità comune uno studio per verificare le discrepanze eventualmente esistenti fra i vari Paesi nell’interpretazione ed applicazione dell’art. 96 della Convenzione Schengen, relativo alle segnalazioni ai fini della non ammissione sul territorio comune. In base ai criteri previsti da tale norma, nessuna segnalazione relativa ad una persona può essere inserita nel Sis se non in base ad una richiesta delle competenti autorità nazionali successiva all’adozione di un formale provvedimento (in genere di espulsione) delle autorità amministrative o giudiziarie concernente la medesima persona. Si è quindi avviata una verifica comune in tutti i Paesi, che dovrà portare entro breve termine anche in Italia a controlli almeno a campione sulle migliaia di interessati segnalati dal nostro Paese e sulle procedure di immissione di tali informazioni. In merito, infine, ai tempi di conservazione delle segnalazioni inserite nel Sis, l’Autorità comune ha ritenuto, in un parere, che il termine di tre anni previsto dall’art. 112 della Convenzione Schengen per il riesame delle singole segnalazioni si applichi a tutti i dati personali contenuti nel Sis, indipendentemente dalle specifiche finalità (reperimento di una persona, divieto di ingresso nei confronti di tale persona).

41. Gli interventi dell’Ocse in materia di sicurezza

41.1. Attuazione delle linee-guida sulla sicurezza

Ad un anno dall’approvazione delle linee-guida sulla sicurezza, l’Ocse ha organizzato un seminario internazionale cui ha partecipato anche questa Autorità, per mettere a confronto le esperienze applicative nei singoli Paesi. Le relazioni hanno evidenziato una notevole difformità nelle misure attuative a livello nazionale ed hanno fatto emergere la mancanza di chiarezza sui soggetti che dovrebbero promuovere l’attuazione dei principi contenuti nelle linee-guida. Tutti i partecipanti hanno affermato la necessità di incrementare lo scambio di best practice e di sviluppare metodologie capaci di valutare l’impatto delle misure di sicurezza informatica. Altre esigenze assai sentite sono quelle di sviluppare ulteriormente la condivisione delle informazioni (Warning, Advice and Reporting WARP) e di incoraggiare le industrie a conformare sempre di più i loro hardware e software alla sicurezza ed alla privacy, individuando soluzioni che evitino di far affidamento solo sui consumatori finali. Particolare attenzione è stata rivolta anche alla necessità di promuovere politiche di istruzione e formazione per i Paesi non membri dell’Ocse, anche in ragione dell’interdipendenza crescente fra Paesi sviluppati e Paesi in via di sviluppo, che obbliga a pensare la sicurezza in termini “globali”. È stata inoltre sottolineata la necessità di passare dal concetto di sicurezza a quelli di responsabilità e affidabilità. La discussione si è conclusa con la decisione di creare un Global Culture of Security Web Site (www.oecd.org/sti/cultureofsecurity), che possa costituire uno strumento di scambio di esperienze reciproche fra i Paesi membri e, allo stesso tempo, una fonte di informazione per i Paesi non membri.

41.2. Sicurezza dei viaggi internazionali (Travel Security) Alla luce dei numerosi dibattiti non solo europei, l’Ocse ha deciso di rivolgere particolare attenzione a tale argomento, ritenendolo un importante terreno di confronto tra le rinnovate esigenze di sicurezza ed i principi di protezione dei dati personali. Nel settembre del 2003, l’Ocse e l’Icao (Organizzazione internazionale dell’aviazione civile) hanno organizzato a Londra un incontro, cui ha partecipato anche questa Autorità, volto ad esaminare i tipi di controlli e di sistemi che potrebbero migliorare la sicurezza dei viaggi internazionali, garantendo al contempo un elevato grado di tutela dei dati personali. L’esame dei metodi sottoposti alla discussione, tra i quali figurano l’inserimento di dati biometrici nei passaporti e la previsione di sistemi di trasmissione dei dati dei passeggeri, ha confermato che questa materia costituirà un elemento cruciale del dibattito anche futuro su sicurezza e privacy. Per tali ragioni il Working Party on Information Security and Privacy (Wpisp) dell’Ocse, avendo competenze in materia di sicurezza, privacy e biometria -i tre elementi centrali della travel securityha recentemente dato vita ad un gruppo di esperti che, unitamente a rappresentanti dell’Icao, si occuperà del tema. Il gruppo, basandosi sulle raccomandazioni dell’Icao e sulle linee guida dell’Ocse, avrà come compito principale l’elaborazione di indicazioni agli Stati membri sugli aspetti di sicurezza dell’informazione e di tutela della privacy nella raccolta e scambio dei dati relativi ai passeggeri che intraprendono viaggi internazionali. Di tale gruppo farà parte anche un rappresentante del Garante.

VI - L’attività del garante

46. La cooperazione a livello europeo

46.3. EUROPOL: l’attività dell’Autorità comune di controllo e i primi casi di contenzioso

L’Autorità comune di controllo prevista dall’art. 24 della Convenzione Europol ha continuato la sua attività di verifica e controllo sulla gestione degli archivi Europol, che dal luglio 1999 comprendono gli archivi di analisi. Tale Autorità ha seguito con attenzione i progetti di negoziato sottoposti dal Direttore dell’Europol per ottenere il consenso ad iniziare le trattative volte allo scambio di dati con alcuni Paesi terzi. Sono stati inoltre espressi pareri in merito all’apertura di file di analisi e alla nozione di dato personale nel contesto Europol, compresa la possibilità di includervi anche le persone decedute. L’Autorità comune si è inoltre occupata degli sviluppi applicativi dell’accordo Europol-Stati Uniti per la trasmissione di dati personali a seguito della ristrutturazione del Department of Homeland Security ed ha espresso le sue preoccupazioni riguardo ai lavori per la revisione dei sistemi di informazione esistenti nel cd. terzo pilastro, che si svolgono presso il Consiglio dell’Unione europea ed ai quali partecipa il segretariato comune delle autorità comuni di controllo in tale ambito. Nell’ottobre del 2003 sono stati rinnovati diversi componenti dell’Autorità comune di controllo e del Comitato ricorsi, per scadenza del rispettivo mandato, ed è iniziata un’attività di definizione delle regole per l’accesso agli atti e ai documenti detenuti dall’Autorità comune. Ciò anche in relazione all’apertura di uno specifico sito web (http://europoljsb. ue.eu.int/home/default.asp?lang=it) ed alla scelta dei documenti da mettere a disposizione del pubblico (oltre al rapporto di attività e al testo dei pareri adottati, anche informazioni sulla composizione dell’Autorità, sui compiti attribuiti, nonché sul funzionamento del comitato ricorsi). Una discussione approfondita è stata dedicata alla bozza di accordo predisposta per lo scambio di dati ed informazioni tra Europol ed Eurojust. Alle riunioni erano presenti, in veste di osservatori, i rappresentanti degli organismi incaricati della protezione dei dati dei Paesi in via di adesione all’Unione europea. È stata anche svolta l’annuale ispezione alla sede dell’Europol incentrata sugli archivi di analisi e sugli sviluppi tecnologici del sistema, ed è stata effettuata una visita di controllo per verificare il grado di adempimento di Europol alle raccomandazioni impartite a seguito dell’ispezione. La prima relazione di attività, riguardante il periodo ottobre 1998-ottobre 2002, è stata ufficialmente presentata dal Presidente agli organi competenti ed è stata resa disponibile nelle diverse versioni linguistiche, sia in formato cartaceo (cfr. l’allegato alla presente Relazione), sia in formato elettronico sul sito web dell’Autorità comune. Va, infine, ricordata la modifica della Convenzione Europol adottata dal Consiglio dei ministri giustizia e affari interni, che amplia il ruolo di Europol rispetto agli specifici scopi conferitigli inizialmente dalla Convenzione.

49. Il sistema di informazione Schengen (Sis)

Nel corso dell’anno sono state sottoposte al Garante, quale autorità di controllo sulla sezione nazionale del Sistema informativo Schengen (Sis), numerose richieste di verifica in merito all’eventuale o corretta registrazione, negli archivi del Sis, di dati personali dei soggetti interessati ed alla liceità dei relativi trattamenti. Si tratta, in gran parte, di domande che attengono al diniego di visto, per lo più adottato a causa di segnalazioni, ai fini della non ammissione nella cd. area Schengen, di persone nei cui confronti sono stati emessi provvedimenti amministrativi sfavorevoli in materia di ingresso e soggiorno (espulsione, respingimento alla frontiera). Si è registrato anche quest’anno un notevole incremento delle richieste pervenute, da attribuire pure alla procedura di regolarizzazione di cittadini extracomunitari introdotta dalla legge n. 189/2002; le richieste provengono soprattutto da Paesi dell’Est europeo e, in particolare, dalla Romania. Nell’arco temporale che va dal 1° gennaio 2003 al 31 marzo 2004 le richieste sono state 480, di cui 464 già definite. Per svolgere al meglio i propri compiti e fronteggiare più rapidamente anche le domande di chiarimenti sulla normativa di riferimento, nel febbraio 2003 il Garante ha nuovamente riassunto l’esatto ambito delle proprie competenze: ha così precisato che gli interessati possono rivolgere a questa Autorità richieste di verifica dei dati che li riguardano inseriti nel Sis, ovvero di aggiornamento, di rettifica o di cancellazione dei medesimi dati. Al Garante, invece, non sono conferiti compiti di adozione, revoca o controllo dei provvedimenti amministrativi che sono alla base delle segnalazioni contenute nel Sis. Per rimediare poi a problemi insorti nei casi in cui erano state segnalate usurpazioni d’identità o omonimie, è stata ulteriormente sperimentata nel 2003, in collaborazione con il Dipartimento della pubblica sicurezza, una procedura di comparazione degli elementi identificativi della persona oggetto di usurpazione d’identità con quelli, anche dattiloscopici, della persona effettivamente segnalata nel Sis. Sempre allo scopo di rilevare più agevolmente i casi di omonimia, è stata poi rafforzata la collaborazione con il Centro visti del Ministero degli affari esteri e con le divisioni Sirene ed N.Sis del Dipartimento della pubblica sicurezza. Su tale quadro complessivo si sono innestate, con effetto dal 1° gennaio 2004, le modifiche introdotte dal Codice circa le modalità di esercizio del diritto di accesso al Sis e degli altri diritti connessi (rettifica, integrazione o cancellazione), che possono essere ora esercitati direttamente nei confronti dell’autorità di polizia (cd. accesso diretto) e non più solo per il tramite del Garante (cd. accesso indiretto). Il d.lg. n. 196/2003 ha infatti modificato la legge n. 388/1993, lasciando sostanzialmente inalterato il sistema dei controlli del Garante attribuiti all’Autorità dalla Convenzione e dalla legge n. 675/1996 (ora, artt. 53, 154, comma 2, lett. a), e 160 d.lg. n. 196/2003), ma disciplinando in maniera innovativa il diritto dell’interessato di conoscere l’esistenza nel Sis di una segnalazione che lo riguarda ed i dati detenuti, nonché di ottenerne l’eventuale aggiornamento, rettifica o cancellazione (art. 173 d.lg. n. 196/2003). In base alla nuova disciplina l’interessato ha il diritto di ottenere in tempi rapidi una risposta direttamente dall’autorità che ha la competenza centrale per la sezione nazionale del SIS, ai sensi dell’art. 108 della Convenzione, che in Italia è il Dipartimento della pubblica sicurezza, anziché per il tramite del Garante. Se necessario, all’esito di un intempestivo, mancato o inidoneo riscontro alla richiesta formulata al Dipartimento, l’interessato può proporre una segnalazione o un reclamo al Garante. La scelta operata dal Codice è in linea con quella effettuata da gran parte dei Paesi dell’area Schengen ed introduce una procedura analoga a quella prevista per l’accesso diretto ai dati inseriti nel Centro elaborazione dati del Dipartimento della pubblica sicurezza. L’Autorità ha richiamato l’attenzione del Ministero dell’interno sulla necessità di assumere ogni iniziativa utile ad assicurare a quanti richiedono l’accesso un riscontro idoneo e tempestivo, anche in relazione alla possibilità per l’interessato, confermata dal Codice, di richiedere, sulla base dei dati conosciuti, un’ulteriore tutela dei propri diritti rispetto all’aggiornamento, rettifica, o cancellazione dei dati, anche in sede giudiziaria (art. 11, comma 2, legge n. 388/1993 e art. 10, comma 5, legge n. 121/1981). A tal riguardo il Garante ha pure indicato l’opportunità di alcuni accorgimenti per l’inoltro delle richieste e il loro riscontro, che possono risultare vantaggiosi per le stesse persone interessate. Il Garante ha infine richiamato l’attenzione dell’Ufficio visti del Ministero degli affari esteri sulla necessità di sensibilizzare efficacemente in materia le ambasciate e le cancellerie consolari nei Paesi interessati, anche attraverso il ricorso a moduli prestampati o ad apposite diciture che orientino quanti richiedono il visto sulle modalità di esercizio del diritto di verifica delle segnalazioni esistenti nel Sis.

51. Attviità ispettive e applicazione di sanzioni amministrative

51.2. La collaborazione con gli organi dello Stato Nello svolgimento dell’attività ispettiva, il Garante può avvalersi della collaborazione di altri organi dello Stato. Già da tempo si sono avute molteplici occasioni di collaborazione con le forze di polizia ed in particolare con la Guardia di finanza, in ragione delle peculiari competenze di quest’ultima nel campo delle attività di controllo in ambito amministrativo. Nell’ottica del potenziamento dell’attività di vigilanza e controllo, pertanto, nel mese di ottobre 2002 il Garante e la Guardia di finanza hanno siglato un protocollo d’intesa in base al quale è stata potenziata l’attività di collaborazione tra le due istituzioni (cfr. Relazione 2002, p. 145). Successivamente al perfezionamento del protocollo di intesa, nel mese di gennaio del 2003 è stata effettuata un’intensa attività di formazione del personale del Corpo destinato a svolgere in via continuativa l’attività di collaborazione (venti unità circa tra ufficiali, ispettori e sovrintendenti). Ciò ha consentito di avviare più rapidamente la collaborazione con la Guardia di finanza, che si è dimostrata estremamente proficua sia nella fase preparatoria degli interventi più delicati, grazie alle capacità investigative proprie del Corpo, sia nella fase realizzativa. Sono stati eseguiti, in particolare, 33 interventi, di cui 7 congiuntamente a personale dell’Autorità. La collaborazione ha investito anche gli sviluppi investigativi dei casi oggetto di segnalazione all’autorità giudiziaria, i quali hanno comportato, nel 2003, l’esecuzione di 177 sommarie informazioni testimoniali, la ricezione di 12 querele e la segnalazione di 5 persone all’autorità giudiziaria. I risultati raggiunti e l’esigenza di rispondere in maniera sempre più adeguata alle istanze di tutela provenienti da cittadini hanno indotto l’Autorità a chiedere per il 2004 un ulteriore rafforzamento del rapporto di collaborazione con la Guardia di finanza, allo scopo di potersi avvalere anche di personale, adeguatamente formato, in ogni regione. Assai significative sono risultate pure le collaborazioni con la Polizia di Stato (specie per accertamenti nelle reti telematiche) e l’Arma dei carabinieri. La collaborazione con le forze di polizia si è quindi confermata come un elemento essenziale di incremento dell’efficacia dell’azione di tutela dei diritti dei cittadini, che passa anche attraverso una più intensa attività di vigilanza e controllo.