Il Consiglio di Stato ed il rimborso dei costi per l’accesso ai dati personali
Autore: Avv. Hermans Joseph IEZZONI Data: 22 settembre 2009
Il Consiglio di Stato in sede giurisdizionale, sentenza 5198/2009, si è occupato del diritto di accesso ai dati personali e precisamente dell’articolo 10 del decreto legislativo 30 giugno 2003 n. 196 che prevede la corresponsione di un rimborso dei costi “effettivamente supportati” qualora non risulti conferma dell’esistenza di dati che riguardano l’interessato.
Poiché il rimborso è subordinato all’individuazione a cura del Garante, per la protezione dei dati personali, di un tetto massimo, anche forfettario, che tenga conto del numero e della complessità delle richieste, oltre che di eventuali particolari supporti per riproduzione, secondo il Consiglio di Stato tale potere ha come finalità di interesse pubblico quella di impedire che costi eccessivi disincentivino l’esercizio di un diritto e per questo il Garante è chiamato a stabilire un equilibrio economico tra la pretesa di chi esercita il diritto di accesso verso i propri dati ed i titolari del trattamento.
Dalla natura di interesse legittimo della situazione soggettiva del titolare del trattamento dei dati discende che la competenza a giudicare la controversia e la lesione dell’interesse appartenga alla giustizia amministrativa.
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
Il Consiglio di Stato in sede giurisdizionale (Sezione Sesta) ha pronunciato la seguente
DECISIONE
sul ricorso in appello n. 3767 del 2009, proposto dal GARANTE PER LA PROTEZIONE DEI DATI PERSONALI, in persona del Presidente pro tempore, rappresentato e difeso dall’Avvocatura Generale dello Stato presso cui è domiciliato in Roma, via dei Portoghesi n. 12;
contro
CRIF S.P.A., in persona del legale rappresentante pro tempore, rappresentato e difeso dagli avvocati Riccardo Imperiali e Gianfranco di Sabato, con domicilio eletto presso lo studio dell’avvocato Maria Selvaggia Forza in Roma via Carlo Poma, n. 4;
per l’annullamento
della sentenza del Tribunale Amministrativo Regionale del Lazio sezione seconda,23 gennaio 2009 , n. 587;
Visto il ricorso con i relativi allegati;
Visto l’atto di costituzione in giudizio della parte appellata;
Viste le memorie prodotte dalle parti a sostegno delle rispettive difese;
Visti gli atti tutti della causa;
Alla pubblica udienza del 19 maggio 2009 relatore il Consigliere Aldo Fera.
Udite per le parti l’Avv. dello Stato Aiello e l’Avv. Imperiali e Di Sabato;
Avvisate le parti che l’appello, vertendo in materia di silenzio dell’amministrazione, va deciso, ai sensi dell’articolo 21 bis della legge 6 dicembre 1971 n. 1034 aggiunto dall’articolo 2 della legge 21 luglio 2000 n. 205, nella presente camera di consiglio;
Ritenuto e considerato in fatto e in diritto quanto segue:
FATTO
Oggetto dell’appello è la sentenza specificata in rubrica, con la quale il TAR del Lazio, in accoglimento del ricorso proposto da CRIF s.p.a. contro il silenzio-rifiuto serbato dal Garante per la protezione dei dati personali sull’istanza intesa ad ottenere l’emanazione degli atti di cui all’articolo 10, comma 8, del decreto legislativo 30 giugno 2003 n. 196, inerenti al contributo di cui al precedente comma 7, ha ordinato all’autorità amministrativa intimata di attivare il procedimento amministrativo relativo all’istanza medesima.
Secondo il primo giudice, che ha affermato la propria giurisdizione ritenendo inapplicabile nella specie l’articolo 152, comma 1, del decreto legislativo n. 196/2003 2003 , “il Garante intimato non è munito di potestà discrezionale in ordine all’an del concreto provvedere“.
L’appellante, che contesta le motivazioni contenute nella sentenza, propone i seguenti motivi d’appello:
1. quanto alla giurisdizione, l’avverbio “comunque” contenuto con riferimento alla “applicazione delle disposizioni del presente codice” nel richiamato articolo 152, comma 1, del decreto legislativo n. 196/2003, introduce un principio di inderogabilità al criterio attributivo della giurisdizione stabilito direttamente dal legislatore;
2. quanto al merito della sentenza, dal principio di tendenziale gratuità dell’esercizio del diritto di accesso si ricava che lo speciale contributo previsto dalla legge può essere richiesto solo nel caso in cui il Garante nei casi previsti dalla legge ne abbia individuato l’importo massimo. Nel caso di specie ciò è stato fatto con deliberazione di carattere generale del 23 dicembre 2004, n. 12, tuttora vigente e mai impugnata dal ricorrente di primo grado. Né alcun rilievo può essere dato alla circostanza che in quella sede il Garante, con norma transitoria limitata al solo anno 2005, abbia attribuito alla ricorrente la facoltà di chiedere un contributo in poche limitate ipotesi. Si tratta infatti di una norma eccezionale non rinnovabile perché non esistono più i presupposti per la sua reiterazione. In sostanza, secondo l’appellante, l’articolo 10 del codice della privacy, nell’affermare il Garante “può provvedere, non impone alcun obbligo, bensì attribuisce all’Autorità il potere di determinare l’an e il quantum del contributo.”
Conclude quindi chiedendo, in riforma della sentenza appellata, il rigetto del ricorso di primo grado.
La CRIF s.p.a., costituita nel presente giudizio d’appello, controbatte le tesi avversarie, osservando in particolare che la richiesta di richiedere un contributo, nell’ipotesi in cui risulta confermata l’esistenza dei dati che riguardano l’interessato, è dovuta non solo al notevole impiego di mezzi in relazione alla complessità e all’entità della richiesta, ma soprattutto al fatto che tale tipo di richieste è notevolmente aumentato dal 2004 al 2008, comportando un costo notevole per l’impresa. Conclude, infine, per il rigetto dell’appello.
DIRITTO
1. Oggetto dell’appello, proposto dal Garante per la protezione dei dati personali, è la sentenza di cui all’epigrafe, con la quale il Tar del Lazio, in accoglimento del ricorso proposto da CRIF s.p.a. contro il silenzio-rifiuto serbato sull’istanza intesa ad ottenere l’emanazione degli atti di cui all’articolo 10, comma 8, del decreto legislativo 30 giugno 2003 n. 196, inerenti al contributo di cui al precedente comma 7, ha ordinato all’autorità intimata di attivare il procedimento amministrativo relativo all’istanza medesima.
2. L’appello, con il quale la sentenza di primo grado è contestata sotto i profili del difetto di giurisdizione del giudice amministrativo e dell’inesistenza dell’obbligo di provvedere da parte della autorità intimata, è da respingere.
I due motivi d’appello vanno trattati congiuntamente, in quanto entrambe le questioni richiedono l’analisi del potere attribuito al Garante in relazione alla specifica situazione soggettiva dell’avente titolo al contributo in questione.
In presenza di un sistema costituzionale di riparto della giurisdizione incentrato sulla natura – di interesse legittimo o di diritto soggettivo- della situazione giuridica soggettiva fatta valere in giudizio dal privato, che ammette la giurisdizione esclusiva (articolo 103, comma 1, della Costituzione) del giudice amministrativo, solo in via di eccezione e limitatamente “ a specifiche controversie connotate non già da una generica rilevanza pubblicistica, bensì dall’intreccio di situazioni soggettive qualificabili come interessi legittimi e come diritti soggettivi” (Corte costituzionale, 6 luglio 2004 , n. 204), una lettura dell’articolo 152, comma 1, del decreto legislativo n. 196/2003 nel senso della introduzione di una giurisdizione esclusiva nei riguardi del giudice ordinario estesa agli interessi legittimi appare non condivisibile e non conforme alla norma Costituzionale. La disposizione di cui all’art 152 richiamato, non persegue la finalità sostenuta dall’appellante, di fondare la giurisdizione sulla sola individuazione del soggetto pubblico coinvolto alla controversia, bensì quella di chiarire come i provvedimenti del Garante riguardanti la protezione dei dati personali, in quanto incidenti su diritti soggettivi dei privati, sono soggetti al sindacato dell’autorità giudiziaria ordinaria secondo le particolari regole di procedura dettate dai successivi comma contenuti nel medesimo articolo.
Ne consegue che, nel caso sottoposto al Collegio, l’analisi della situazione soggettiva è indispensabile per affermare la giurisdizione.
Ciò detto, l’articolo 10 del decreto legislativo 30 giugno 2003 n. 196, ai comma sette ed otto, afferma che, quando non risulta confermata l’esistenza di dati che riguardano l’interessato, il titolare del trattamento dei dati, nei confronti del quale sia stato esercitato il diritto di accesso, può chiedere un contributo spese non eccedente i costi effettivamente sopportati per la ricerca effettuata nel caso specifico, che “non può comunque superare l’importo determinato dal Garante con provvedimento di carattere generale”. Il comma otto aggiunge, poi, che “con il medesimo provvedimento il Garante può prevedere che il contributo possa essere chiesto quando i dati personali figurano su uno speciale supporto del quale è richiesta specificamente la riproduzione, oppure quando, presso uno o più titolari, si determina un notevole impiego di mezzi in relazione alla complessità o all’entità delle richieste ed è confermata l’esistenza di dati che riguardano l’interessato.” Ed è quest’ultima ipotesi quella che qui interessa, in quanto il ricorrente di primo grado ha chiesto al Garante di autorizzarlo a richiedere il contributo, nella considerazione che il numero delle istanze di accesso si era triplicato passando da quasi 67.000 del 2004 a circa 190.000 del 2008, determinando così un eccessivo onere economico per l’azienda.
Emerge con chiarezza, dalla lettera della disposizione, che il potere attribuito al Garante per la protezione dei dati personali è finalizzato al perseguimento dell’interesse pubblico di conservare un equilibrio economico, contemperando l’interesse di coloro che hanno titolo ad esercitare il diritto d’accesso con quello dei titolari del trattamento dei dati in modo da evitare da un lato che una eccessiva lievitazione dei contributi possa di fatto impedire l’esercizio del diritto e dall’altro che il diritto all’accesso si traduca in un insopportabile peso economico per l’azienda. Nel fare ciò, la legge non prefigura parametri rigidamente predeterminati ma, una volta indicato l’obiettivo da raggiungere ed i presupposti per la richiesta del contributo, si affida al potere discrezionale attribuito alla Garante. Potere discrezionale rispetto al quale la situazione soggettiva delle titolare del trattamento dei dati non può che avere la consistenza dell’interesse legittimo.
Dalla considerazione che precede, quanto alla giurisdizione, emerge la competenza degli organi della giustizia amministrativa a conoscere delle controversie riguardanti l’esercizio, o il non esercizio, del potere di determinazione del contributo, concernendo queste l’accertamento della lesione di interessi legittimi. Quanto al merito, che la discrezionalità attribuita al garante attiene al quomodo ma di certo non all’an. Infatti, al Garante spetta solo il potere di quantificazione del contributo ma non anche quello di stabilire i presupposti in base ai quali il diritto di accesso può comportare la sua corresponsione. Tali presupposti, sono dettati direttamente dal legislatore, che, nel caso di specie, ha ritenuto come il contributo sia dovuto laddove si determini ” un notevole impiego di mezzi in relazione alla complessità o all’entità delle richieste”. Ed è evidente come l’esistenza dei presupposti non può essere valutata a priori, come sostiene l’appellante, ma deve essere apprezzata dagli organi competenti, sulla base delle richieste presentate dai titolari dei trattamento e dopo una adeguata ed approfondita istruttoria. Il che implica necessariamente l’apertura del procedimento amministrativo.
L’appello, pertanto, deve essere respinto.
Le spese seguono la soccombenza e vanno liquidate nella misura di € 3000,00 (tremila) per questo grado di giudizio.
P.Q.M.
Il Consiglio di Stato in sede giurisdizionale, Sezione Sesta, definitivamente pronunciando sull’appello in epigrafe lo respinge.
Condanna l’Amministrazione appellante al pagamento delle spese del presente giudizio, che liquida in complessivi € 3000,00 in favore della società appellante.
Ordina che la presente decisione sia eseguita dall’Autorità amministrativa.
Così deciso in Roma, il 19 maggio 2009 dal Consiglio di Stato, in sede giurisdizionale – Sez.VI – nella Camera di Consiglio, con l’intervento dei Signori:
Giuseppe Barbagallo Presidente
Paolo Buonvino Consigliere
Aldo Fera Consigliere est.
Rosanna De Nictolis Consigliere
Domenico Cafini Consigliere
Presidente
Consigliere Segretario
DEPOSITATA IN SEGRETERIA
Il 03/09/2009
(Art. 55, L.27/4/1982, n.186)
Il Direttore della Sezione
Yahoo Meme, i termini del servizio visti da vicino
Autore: Avv. Hermans Joseph IEZZONI Data: 21 settembre 2009
Ho ricevuto un invito (si ringrazia Paolo Valenti) per provare l’Alpha Version di Meme il nuovo social o, come lo hanno ribattezzato i suoi autori, il nuovo “memeplex” di Yahoo SEA.
Prima di cominciare ad utilizzare Meme, oltre al contratto che regola gli account Yahoo, occorre accettare i termini propri del nuovo servizio che già dalla lettura risultano molto restrittivi .
Prestiamo attenzione a quanto viene proposto. Al primo articolo, dedicato all’Acceptance of Service Terms, Yahoo SEA, riservandosi la libertà di modificare in ogni tempo le clausole, chiede di accettare che ogni utilizzo del servizio, ossia ogni thread immesso, corrisponderà anche ad una nuova accettazione delle clausole e, all’articolo 2, la possibilità che in futuro Meme diventi a pagamento.
Per quanto riguarda il contenuto immesso in Meme, che si tratti di testo, di immagini, di link o video, Yahoo SEA chiede che l’utente la sollevi accettando di esserne giuridicamente il solo responsabile anche per questioni riguardanti la privacy, poiché il servizio è pubblico e le informazioni sono accessibili a chiunque. Unitamente alla lettera d) dell’articolo 3, all’articolo 4 e all’articolo 10, si fa menzione della manleva e si ricava che l’utente dovrà accettare di rimborsare tutti i danni e le spese di Yahoo! SEA e affiliati, comprese quelle legali subite.
Interessante è anche questo passaggio dell’articolo 2, “If the Service provides You with the option of limiting the sharing […] Yahoo! SEA will honor the option You have selected […]” dal quale si può dedurre che in futuro sarà possibile limitare la condivisione dei contenuti magari solo ai propri contatti e non più genericamente al “pubblico”.
L’articolo 3 descrive le pratiche vietate ed il contenuto che l’utente deve impegnarsi a non immettere. Nello specifico, alla lettera a) in tema di diritto d’autore, in estrema sintesi, è vietato inserire tutto quel materiale per il quale non si disponga in prima persona dei diritti o delle autorizzazioni necessarie, anche nel caso in cui tale materiale sia già diffuso al pubblico sul web; alla lettera b) è vietato riferirsi o immettere dati relativi ad una persona che possa essere individuata, ad esempio tramite il nome od altre caratteristiche, se non si è stati autorizzati dalla stessa e per iscritto a farlo; alla lettera c) è vietato ogni contenuto discutibile o pregiudizievole per l’altrui privacy, per le altrui convinzioni religiose o comunque ritenuto illegale, offensivo, diffamatorio, inopportuno, volgare, pornografico e razzista.
L’articolo 4, condiziona l’utente ad accordare a Yahoo SEA un illimitato, irrevocabile e irreversibile diritto di distribuzione, diffusione e pubblicazione del materiale inserito, a titolo gratuito, e non solo anche il diritto di poter studiare, modificare, manipolare e trasformare il medesimo contenuto, non solo per adattarlo a piattaforme diverse o ai “media channels”, ma anche per ricavarne algoritmi o integrarvi la pubblicità.
Curiosamente l’articolo 5, nel ribadire la responsabilità dell’utente riguardo la menzione dei crediti per il materiale pubblicato, apre la strada ad una riserva. Infatti Yahoo! SEA si riserva discrezionalmente il diritto di non divulgare i crediti nell’eventualità che possano risultare non appropriati (?!?): “to the manner, mode or type of disclosure, transmission, display, publication and/or running of Content“. E l’articolo 6, ricollegandosi a quanto appena detto, invita l’utente, intenzionato a proteggere la paternità dei propri contenuti, ad inserire, anche nel corpo dei commenti, i propri crediti come farebbe se il materiale appartenesse ad altri.
All’articolo 7, Yahoo! SEA prende genericamente le distanze dal contenuto immesso dai singoli utenti, ribadendo che non ha alcun controllo sulle opinioni espresse ed impegna il contraente a ritenerla sollevata dalla responsabilità per quanto in Meme potrà trovarvi.
Strano poi è l’articolo 8, che mentre menziona la possibilità materiale di cancellare i thread, rendendo così non più disponibile al pubblico il contenuto precedentemente condiviso, invita l’utente ad accettare che Yahoo! SEA ne abbia un pieno controllo irrevocabile anche al di là della sospensione o disattivazione del servizio. Sembra dunque che i dati potranno continuare ad essere diffusi ma è spontaneo domandarsi come questa riserva si concilia con la cancellazione di cui sopra? Ammesso che la clausola si riferisca all’ipotesi del thread condiviso da altri utenti, contenuto che continuerà ad essere visualizzato nella bacheca/home di ciascun contatto, resta il dubbio, leggendo la genericità della clausola, che Yahoo! SEA continui a detenere una copia anche di quanto viene cancellato.
All’articolo 9, l’utente è chiamato ad accettare l’integrazione della pubblicità all’interno dei thread rinunciando anche a percepire qualsiasi utile derivante dall’adversiting.
L’articolo 10, come già visto, si occupa della manleva, mentre l’articolo 11 riguarda la discrezionalità nel potere di Yahoo! SEA e dei suoi affiliati di punire le condotte, anche tentate, in violazione del contratto, sospendendo, cancellando o rifiutando non solo il servizio direttamente connesso a Meme ma anche tutti gli altri erogati da Yahoo!. Questa eccessiva riserva “punitiva” si riscontra anche nelle linee guida dove è possibile leggere: “At the discretion of Yahoo! Southeast Asia, violations may further result in cancellation of your Yahoo! ID and, consequently, in the loss of access to all other portal services“.
All’articolo 12, vi è una clausola di salvaguardia della validità delle intenzioni generali espresse nel contratto in caso di contestata validità. Mentre l’articolo 14 invita l’utente ad accettare la giurisdizione di un Tribunale con sede nella Repubblica di Singapore e le leggi del luogo, a prescindere dai contrasti nell’applicazione dei principi di diritto.
(Attenzione i termini del servizio, accessibili a questa pagina http://meme.yahoo.com/help/atos/, potrebbero essere stati aggiornati rispetto alla data di pubblicazione del presente articolo)
Blog, commenti e privacy
Autore: Avv. Hermans Joseph IEZZONI Data: 5 settembre 2008
Discorrevo tempo fa con amici sui difetti delle piattaforme per bloggare. Così m’ero ripromesso che prima o poi avrei trattato l’argomento della privacy e dei commenti.
Mentre giocavo a realizzare un plug-in Privacy IP (ndr. l’autore è conscio che non sia niente di che non allarmatevi ), per uso interno dei miei blog, di cui vi parlerò tra gli esempi del post, ho cominciato a scrivere, senza pretesa di esaustività, alcune cose che, almeno a livello di intenti, dovrebbero essere dei suggerimenti rivolti ai blogger.
Come in molti avranno notato le piattaforme sono carenti di opzioni che impediscano di raccogliere informazioni, come l’indirizzo IP, dell’ignaro commentatore di turno.
Certo la sezione commenti rappresenta un momento di confronto con le opinioni altrui ma è anche un punto dolente.
Può capitare, infatti, che attraverso di essa si scatenino liti, vere e proprie zuffe tra blogger culminanti in offese di ogni tipo.
In questi casi, il ricorso alla moderazione è la via breve per rimuovere le parti incriminate o cancellare il tutto.
Il dubbio però resta e si affaccia anche la preoccupazione di non finire schiacciati dalla burocrazia, nonostante la fortezza dell’articolo 27 della Costituzione, come e perché lo si appurerà dalle contestazioni successive non mancando certo di fantasia i burocrati.
Così ragionando, tutte le informazioni supplementari ricavate dai commenti hanno un valore positivo.
Consentono, infatti, di attribuire un ben preciso profilo all’autore di essi.
Favoriscono, in buona sostanza, quel distacco/distanza tra autore delle offese e blogger.
Tutto fa brodo in un certo senso.
Ma negli altri casi?
I dati si accumulano e finiscono per ingrassare una vera raccolta, o meglio un trattamento.
Prima di continuare la lettura, vi invito a recuperare concetti che avevo già espresso in vecchi post:
- E’ possibile che un indirizzo ip riceva protezione dalle norme a tutela della privacy? (1^ parte);
- IP, Graffiti e Dati Personali (2^ parte);
- Privacy, caso Satakunnan Markkinapörssi e Satamedia, depositate le conclusioni dell’Avvocato Kokott ;
L’incertezza impone cautela, ma genera distorsioni. Sul capo dei blogger si affacciano nuovi tentacoli.
Perché?
La raccolta di tutte queste informazioni supplementari avviene spesso all’insaputa di chi commenta.
Se fate caso, ogni form lascia alla libera determinazione solo i campi nome, url e testo. Ma poi si associano altri dati e non sempre è possibile accedervi per rimuoverli.
Le ragioni di questo limite sono varie, ad esempio perché la piattaforma è del tutto blindata e assistita dal fornitore del servizio o dell’hosting.
Informazioni che non sono neppure nella disponibilità diretta dell’autore del blog e nulla si potrà garantire circa la loro destinazione e diffusione.
Familiarizzando meglio con il lessico della privacy, qualcuno rammenterà che si parla sempre di “dato” ma in estrema sintesi che cosa è?
Si tratta di un’informazione che può essere veicolata attraverso un qualsiasi supporto. Ma, badate bene, non “ogni” informazione solo quelle che conducono ad una persona.
Dunque, un dato non è personale se attraverso di esso non si può individuare una persona fisica o giuridica.
Tra i dati personali vi è una distinzione. Essa si basa principalmente su quello che io chiamo parametro di aggressione: quanto più si apprende sulla persona a cui appartengono i dati tanto più essa può ricevere un danno.
Per questa ragione, diversamente dalla maggioranza degli interpreti , preferisco unire tra loro le categorie di dati sensibili, giudiziari e particolari sotto un grande gruppo, cioè dati ad elevato rischio.
La spiegazione di questa scelta è semplice: tutti questi dati, ossia i sensibili, i giudiziari e i particolari, sono in grado di rivelare qualcosa in più rispetto ai comuni, questi ultimi si possono riassumere nelle informazioni anagrafiche e in quant’altro sia rinvenibile anche mediante un semplice accesso ai documenti pubblici.
Spesso questi frammenti di dati sono così annodati tra loro che in uno stesso contesto è possibile ricavare un quadro anche delle condizioni finanziarie o dell’orientamento sessuale di un soggetto.
Anche i commenti costituiscono una vetrina ricca di informazioni per chi ha la pazienza di unire i punti tra loro. Non sarebbe impossibile creare un profilo di un commentatore, difficile ma non impossibile.
Ed allora mi sorge anche una domanda siamo realmente consapevoli di questi aspetti della blogosfera?
Dai miei vecchi post, si sarà percepita la ragione che mi spinge a considerare un punto dolente anche la raccolta dell’IP.
Informazioni insignificanti sono in grado di evolvere fino a dati sensibili e rivelare, ad esempio, l’orientamento politico o sessuale dei nostri commentatori aldilà degli stratagemmi usati per nascondersi in rete.
Se riusciste a guardare il web dall’alto, come fossero le linee di Nazca, anzi a ridurlo ad una serie di stanze con tante macchine che chiacchierano tra loro, riuscireste forse a cogliere uno dei problemi che non si scrolla di dosso l’essenzialità digitale.
Accidenti, mi correggo. Se osservaste dentro questa nullità elettrica la vedreste pulsare e scambiare dati su dati. E di questa continua dispersione non dovrebbe in alcun modo importarci se non fosse che ivi transitano anche informazioni di persone.
Forse occorre un po’ di fantasia per immaginarsi i protocolli come chiacchiericcio ma renderebbe bene l’idea.
Tanti servizi sul web appartengono a questo rumore di fondo e fanno anche capo a società unite in un medesimo gruppo. Così i blog finiscono per completare un quadro.
Quante tracce avete disperso di blog in blog? Proviamo ad unire i punti fra loro?
Se vi carpiscono, come sembra essere successo tra le pieghe concitate dell’oscuramento di The Pirate Bay, informazioni di navigazione, banalmente, è come se vi avessero portato via un segreto che non avreste mai confidato ma prima di tutto vi hanno usato riducendo a carta straccia le norme poste a vostra tutela.
Qualcuno potrebbe già aver iniziato ad unire tutti i vostri punti per tracciare un profilo.
Il chiacchiericcio, la continua dispersione di dati, come già scrivevo, attrae dal cassetto dell’astratto l’eventualità che un blogger venga considerato responsabile del trattamento di informazioni.
Domandiamoci il perché della Privacy?
Esiste, e deve esistere, un diritto al dominio assoluto ed esclusivo sulla conoscibilità delle informazioni che ci appartengono.
Ma il legislatore lo intende così?
Ho delle perplessità al riguardo. Nell’ambito europeo la sua evoluzione è passata da un riconoscimento convenzionale, ai diritti dell’uomo fino al debutto di rango nella Carta dei Diritti Fondamentali dell’Unione Europea.
Ad oggi, semplificando, la privacy è materia affrontata dagli Stati con il recepimento di varie direttive, l’emanazione di norme puntuali e l’istituzione di referenti, o meglio di autorità indipendenti, i Garanti, con l’obbligo di sorvegliare, assicurare, coordinare, disciplinare e vigilare sul rispetto anche della dignità nel trattamento dei dati.
Abbiamo familiarizzato un po’ con i concetti relativi alla privacy, semplificando ulteriormente, diremo che l’interessato è colui a cui appartengono i dati e a lui si contrappongono tutti coloro che li trattano.
Nel ciclo di raccolta finiscono anche i blog, peggio se attraverso alcuni loro meccanismi che, basandosi semplicisticamente sulla dispersione di dati tipica delle macchine, accumulino informazioni ad insaputa della persona che lasci un commento.
Ma in che cosa consiste il trattamento?
Si tratta di ogni operazione che può essere compiuta sul dato ed è indipendente dal fatto che si utilizzi uno strumento rispetto ad un altro.
Per essere ancora più semplici, si compie un’operazione quando si comunica oralmente l’informazione al pari di scriverla dentro un database.
Nello specifico costituiscono trattamento: il blocco, la cancellazione, la comunicazione, la conservazione, la consultazione, la diffusione, la distruzione, l’elaborazione, l’estrazione, l’interconnessione, la modificazione, l’organizzazione, la raccolta, il raffronto, la registrazione, la selezione e l’utilizzo.
Ricordate anche come ogni strumento o procedura debba ridurre il più possibile l’uso di dati personali identificativi, cioè che il trattamento in fin dei conti deve permettere di poter risalire all’individuo ma non deve essere concepito a questo scopo.
L’individuazione, in un certo qual modo, deve risultare eventualità… se e solo se vengano associati e poi estratti tra loro tutti i punti che conducono alla persona.
Teniamo anche in debito conto il fattore sicurezza.
Chi tratta i dati deve attuare obbligatoriamente almeno le misure minime per proteggerli.
Le piattaforme di blog sono vulnerabili al pari di ogni sito web. Esempi recenti per Wordpress li trovate leggendo il post di Maxime , l’appello di Wolly su Wordpress Italy e in molti conosceranno BlogSecurity.
Si usa il codice per risolvere un problema e si inverte lo stesso codice per scovare una vulnerabilità, così l’uomo ha fatto sua l’abitudine di approfittarsi della debolezza del golem macchina.
Il pericolo di un accesso non autorizzato alle informazioni raccolte attraverso i blog non è una probabilità ma un evento non trascurabile. E chi raccoglie i dati dovrebbe anche garantire che non finiscano in mani sbagliate, impedendo così ogni principio di una loro diffusione.
Dovrebbe non fosse altro che per non doverne rispondere in sede civile e penale o davanti al Garante.
Il trattamento deve avvenire in modo lecito e secondo correttezza. Cosa che non è pienamente rispettata dalla sezione commenti presente nei blog, dove anzi si registrano informazioni aggiuntive per scopi che non vengono in alcuno modo esplicitati.
I blog hanno messo radici su un groviglio giuridico per tante ragioni, non ultimo alla raccolta di dati si accompagna, per certi versi, un trasferimento degli stessi all’estero, in paesi fuori dell’Unione Europea per i quali occorre: l’autorizzazione esplicita dell’interessato e persino del Garante, dare seguito ad obblighi di controllo sull’uso che ne verrà fatto all’estero e rispettare doverosi altri limiti.
Come rimediare?
Il metodo più opportuno, oltre che semplice, è quello di creare una pagina apposita in cui inserire un’informativa che andremo, successivamente, a richiamare all’interno del template, preferibilmente dalla sezione dei commenti.
Ecco un esempio pratico, per utenti Blogger – Splinder – WordPress.com, di quello che andremo a scrivere in un post dal titolo “Informativa sulla privacy“:
La presente informativa ha ad oggetto il blog [NOME], raggiungibile all’indirizzo [http://www], i cui contenuti sono gestiti da [I VOSTRI DATI].
Il blog non raccoglie dati sensibili relativi alla legge sulla privacy, tuttavia nell’area commenti il visitatore, che decida di esprimere la sua opinione, può liberamente lasciare alcune informazioni tra le quali il proprio nome e l’indirizzo e-mail.
Questi dati saranno archiviati, per ragioni di sicurezza, assieme al commento con strumenti elettronici o comunque automatizzati, così che il visitatore, lasciando un commento, accetta che la sua e-mail venga conservata, assieme agli altri dati che lo compongono, ivi compreso l’indirizzo IP. Questi dati, però, non verranno resi pubblici o divulgati.
Poiché la piattaforma in uso è stata realizzata da un soggetto diverso rispetto al curatore dei contenuti del blog, nello specifico [ indicare il nome della società che offre la piattaforma per bloggare, ad esempio nel caso di Blogger la società sarà la Google Inc. , per Splinder la Dada S.p.A. e per Wordpress.com la Automattic, Inc. ] , non si esclude, per ragioni tecniche, che tale società associ ad ogni commento dati ulteriori.
Si fa presente come i server, a fini statistici e di sicurezza, facciano uso di file di log per archiviare informazioni come gli indirizzi IP, l’ISP, il percorso d’ingresso e di uscita o le pagine visitate. Solitamente tali dati non conducono all’identificazione di una persona fisica ma non è possibile escludere che un software, appositamente sviluppato, sia in grado di incrociarli al fine di risalire da una macchina al profilo di un utente.
Per le ragioni esposte si invitano gli utenti di questo blog a visitare e far riferimento anche alla policy della società [indicare se Google Inc. , Dada S.p.A. o Automattic Inc.] raggiungibile alla seguente pagina: [ se Google Inc. indicare l'url -> http://www.google.com/privacy.html , per Dada S.p.A. -> http://www.splinder.com/node/view/12814812 o per WordPress.com -> http://automattic.com/privacy/ ] .
Il blog fa uso di cookie, ossia di file che vengono memorizzati, durante la navigazione dei suoi contenuti, nella memoria di massa della macchina in uso. All’interno di questi file sono raccolte informazioni che consento ad esempio di ricordare i parametri di alcune ricerche, i campi di testo digitati o le pagine già lette.
La gran parte dei browser permette di scaricare in modo automatico i cookie. L’utente può disattivare tale impostazione agendo sulle opzioni offerte dal software di navigazione. Si fa presente che alcune pagine potrebbero non risultare navigabili a causa del rifiuto dei cookie.
Se ospitiamo della pubblicità aggiungeremo le seguenti righe:
Il blog ospita della pubblicità esterna offerta dal servizio [ad esempio indicare Google Adsense o dalla società TradeDoubler]. Questa pubblicità fa uso di particolari cookie definiti persistenti e l’informativa della privacy della società che offre il servizio di advertising è raggiungibile al seguente indirizzo [per Google adsense indicare -> http://www.google.com/privacy.html e per TradeDouble -> http://www.tradedoubler.it/pan/cms/privacy_policy ]. Il visitatore, accettando la presente informativa, autorizza il trattamento dei dati con le modalità descritte dalla predetta società.
Per richiamare l’informativa chi usa Blogger è agevolato. Dovrà semplicemente aggiungere, in Impostazioni > Commenti alla casella “Messaggio del modulo dei commenti”, un avviso di questo tipo:
Caro lettore commentando dichiari di aver letto e accettato la privacy policy di questo blog raggiungibile a questa pagina <a href=”http://www”>http://www</a>.<br />
Gli utenti Splinder potranno aggiungere l’avviso, subito prima dell’istruzione <$BlogItemCommentList$>, copiando il seguente codice:
<p>Caro lettore commentando dichiari di aver letto e accettato la privacy policy di questo blog raggiungibile a questa pagina <a href=”http://www”>http://www</a>.<br /></p>
Su Wordpress.com, chi non ha fatto l’upgrade a pagamento, troverà pratica la barra di navigazione delle pagine presente in quasi tutti i temi di default, in caso contrario potrà inserire un link nella sidebar. Mettendo mano invece al template, si potrà aggiungere lo stesso avviso prima del codice che richiama il seguente pulsante:
<input name=”submit” type=”submit” id=”submit” tabindex=”5″ value=”Inserisci commento” />
Veniamo al contatore statistico, quando è presente, l’informativa andrà integrata come da esempio:
Sul blog è presente un contatore di accessi, il cui servizio rileva per scopi statistici solo dati comuni e non specifici in forma anonima, aggregata e non identificabile individualmente. In tale modo risulta impossibile una correlazione diretta tra statistiche e singolo visitatore. Il servizio è comunque protetto da password e i terzi non possono accedervi. Il visitatore, accettando la presente informativa, autorizza la raccolta dei dati statistici con le modalità descritte.
Se il contatore è offerto da una società esterna, ad esempio la Protosconnect SAGL (histats), la Google Analytics o la Shiny S.r.l. (ShinyStat), o quando si utilizzano i servizi di WordPress.com, dovremo aggiungere una riga simile a questa:
Il servizio statistico è offerto da [indicare il nome della società ad esempio Protosconnect o Shiny] la cui privacy policy è accessibile al seguente url: [inserire l'url della pagina contenente l'informativa].
Per completare l’informativa aggiungeremo anche un riferimento ai diritti degli utenti:
Si rammenta che l’interessato ha diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile. Ha diritto di ottenere l’indicazione: dell’origine dei dati personali; delle finalità e modalità del trattamento; della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici; degli estremi identificativi del titolare, dei responsabili e del rappresentante designato, dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza. Ha, inoltre, diritto di ottenere: l’aggiornamento, la rettificazione, l’integrazione, la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, l’attestazione che le operazioni sono state portate a conoscenza di coloro ai quali i dati sono stati comunicati o diffusi. Ha diritto di opporsi, in tutto o in parte, per motivi legittimi al trattamento dei dati personali che lo riguardano e al trattamento per fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.
Chi, invece, si appoggia ad un hosting personalizzato farà attenzione a modificare l’informativa in modo da richiamare i termini di servizio della società che gestisce l’hosting. Consiglio, inoltre, di prestare attenzione alla presenza di qualche contatore di troppo. Per farvi un esempio i miei blog si appoggiano ai servizi della Società Aziende Italia S.r.l. (WebPerTe per capirci), ma questa non blocca di default l’accesso al contatore presente sull’hosting. Quest’ultimo risulta così raggiungibile semplicemente completando l’url del blog con “/plesk-stat/webstat/”. Per il ragionamento già esposto, capirete bene come l’accesso indiscriminato a questi dati dovrebbe invece essere bloccato di default.
Chi ha familiarità con Wordpress avrà notato come ogni informazione venga sistematicamente archiviata nel database di servizio. Volendo risolvere dal principio il problema della raccolta di informazioni, si potrebbe agire mettendo mano al codice della piattaforma, ma i continui aggiornamenti della stessa rendono poco pratico questo approccio.
Fermo restando che possono esserci più soluzioni ad un medesimo problema, io ho scelto di agire sul database più che sulla piattaforma in modo da epurare i commenti dalle informazioni di troppo:
UPDATE ‘wp_comments’ SET ‘comment_author_IP’ = ‘[Privacy]‘,
‘comment_agent’ = ‘[Privacy]‘ ;
Il metodo citato, può essere ulteriormente raffinato, magari escludendo i commenti non approvati con la condizione:
WHERE ‘comment_approved’ = ‘1′
Si può fare senz’altro di più, ad esempio un plug-in che velocizzi l’aggiornamento dei campi. Mentre ci riflettevo ne ho realizzato uno per uso interno dei miei blog. Vi metto il link per provarlo a titolo di esempio, magari qualcuno prenderà così qualche spunto. Il codice è compatibile con la versione 2.6, 2.6.1.,2.6.2, 2.6.3, 2.6.5, 2.7 e 2.7.1 di Wordpress, ma vi consiglio di fare sempre un backup dato che l’operazione di aggiornamento dei campi non è reversibile:
Impronta MD5 di “privacyip.php”: 58BB1AE86091800B66DC4F8995763B77
Impronta MD5 di “privacyip.rar”: 2732977E88EA5816A2BED474B9913D24
<?php
/*
Plugin Name: Privacy IP
Plugin URI: http://hermansji.it/blog-commenti-e-privacy-prima-parte/
Description: Questo non e’ un vero e proprio plug-in, ma un esempio didattico di implementazione dei concetti espressi dal suo autore a partire da questo post: http://hermansji.it/blog-commenti-e-privacy-prima-parte/
Version: 0.4
Author: hermansji .:.
Author URI: http://hermansji.it/
Copyright: privacyip.php – Copyright (C) 2008 hermansji .:. http://hermansji.it, This program is free software: you can redistribute it and/or modify
it under the terms of the GNU General Public License as published by the Free Software Foundation, either version 3 of the License, or
(at your option) any later version. This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details. You should have received a copy of the GNU General Public License along with this program. If not, see <http://www.gnu.org/licenses/>.
*/
# avvia il plug-in in wordpress
if
(
!defined
(
‘ABSPATH’
)
)
die
(
‘No no!! Non si fa!!’
)
;
# aggiorna i campi IP ed Agent nella tabella commenti
function
riservatezza
(
)
{
(
“<br />”
)
;
$wpdb
=&
$GLOBALS
[
'wpdb'
]
;
$tart
=
mysql_connect
(
DB_HOST,
DB_USER,
DB_PASSWORD
)
or
die
(
‘Si sono verificati dei problemi mentre tentavo di stabilire una connessione…‘
);
?>
<div
class
=
“wrap”>
<p
style
=
“background-color: #949187; border: 0.1em solid #ffffff; color: #ffffff; padding:0 0 0 36px; margin:0.5em 0;”>
Sono connesso a MySQL!! : -)
</p>
</div>
<?php
mysql_select_db
(
DB_NAME,
$tart
)
or
die
(
‘Si sono verificati dei problemi mentre tentavo di accedere al database
);
?>
<div
class
=
“wrap”>
<p
style
=
“background-color: #949187; border: 0.1em solid #ffffff; color: #ffffff; padding:0 0 0 36px; margin:0.5em 0;”>
Ho aperto il database!! : -)
</p>
</div>
<?php
mysql_query
(
“UPDATE ‘”
.$GLOBALS[
'table_prefix'
].
“comments’ SET ‘comment_author_IP’ = ‘[Privacy]‘,’comment_agent’ = ‘[Privacy]‘ WHERE ‘comment_author_IP’ <> ‘[Privacy]‘ AND ‘comment_approved’ = ‘1′”
,
$tart
)
or
die
(
‘Si sono verificati dei problemi mentre aggiornavo la tabella…
);
?>
<div
class
=
“wrap”>
<p
style
=
“background-color: #949187; border: 0.1em solid #ffffff; color: #ffffff; padding:0 0 0 36px; margin:0.5em 0;”>
Ho aggiornato i campi IP ed Agent!! : -)
</p>
</div>
<?php
mysql_close
(
$tart
)
or
die
(
‘Si sono verificati dei problemi mentre tentavo di chiudere la connessione al database…
)
;
?>
<div
class
=
“wrap”>
<p
style
=
“background-color: #949187; border: 0.1em solid #ffffff; color: #ffffff; padding:0 0 0 36px; margin:0.5em 0;”>
Ho chiuso la connessione a MySQL!! : -)
</p>
</div>
<?php
}
# qualche info spartana sul plug-in
function
informazioni
(
)
{
?>
<div
class
=
“wrap”>
<p
style
=
“background-color: #cce4ff; border: 0.1em solid #0e31e1; color: #0e31e1; padding:10px 10px 10px 36px; margin:0.5em 0;”>
Questo non e’ un vero e proprio plug-in, ma un esempio didattico di implementazione dei concetti espressi dal suo autore a partire da questo post: <a href=”http://hermansji.it/blog-commenti-e-privacy/”>Blog, commenti e privacy</a>. Il suo scopo e’ sostituire i campi IP ed Agent, della tabella commenti approvati, con la parola [Privacy].
</p>
<p
style
=
“background-color: #f4c8ce; border: 0.1em solid #d90322; color: #d90322; padding:10px 10px 10px 36px; margin:0.5em 0;”>
<strong>
Attenzione: l’operazione non e’ reversibile !! Si consiglia di fare un backup prima di utilizzare questo plug-in !! Il funzionamento e’ stato testato sulle versioni 2.6, 2.6.1, 2.6.2, 2.6.3, 2.6.5, 2.7 e 2.7.1 di Wordpress e su MySQL: 5.0.51b. Ricordate che l’autore non fornisce alcun supporto o garanzia sull’utilizzo di questo plug-in.
</strong>
</p>
<p
style
=
“background-color: #f9d060; border: 0.1em solid #cc0000; color: #cc0000; padding:10px 10px 10px 36px; margin:0.5em 0;”>
Copyright (c) 2008 <a href=”http://hermansji.it/”>hermansji .:.</a> – This program is free software: you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation, either version 3 of the License, or (at your option) any later version. This program is distributed in the hope that it will be useful,but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details. You should have received a copy of the GNU General Public License along with this program. If not, see <a href=”http://www.gnu.org/licenses/”>http://www.gnu.org/licenses/</a>.
</p>
</div>
<form
method
=
“post”>
<input
style
=
“border: 0.1em solid #cc0000; margin: 0 0 0 51px;” class=”button-secondary” type=”submit” name=”approvo”
value
=
“<?php echo $ok ? ” : ‘Approvo’; ?>”/>
</form>
</div>
<?php
if
(
preg_match
(
‘/Approvo/’
,
$_POST
[
'approvo'
]
)
)
$ok
=
riservatezza
(
)
;
}
# registra il plug-in per operare all’interno di WP
function
registrami
(
)
{
if
(
function_exists
(
‘add_submenu_page’
)
)
// fai riferimento a questa pagina http://codex.wordpress.org/Adding_Administration_Menus
add_submenu_page
(
‘edit-comments.php’
,
‘Privacy IP’
,
‘Privacy IP’
,
8
,
__FILE__
,
‘informazioni’
)
;
}
add_action
(
‘admin_menu’
,
‘registrami’
)
;
# the end… o almeno così dicono?>
Sondaggi ed informativa sulla privacy
Autore: Avv. Hermans Joseph IEZZONI Data: 4 settembre 2008
Il Garante ha multato una società che ha svolto attività di sondaggi di opinione, nello specifico per conto di un amministrazione comunale desiderosa di valutare la soddisfazione dei residenti nel Comune, poiché nell’informativa non vi era menzione della finalità del trattamento dei dati raccolti. E’ stata quindi contestata la violazione dell’articolo 13, comma 1 lettera a).
Vi rammento che nell’informativa devono sempre essere indicate: le finalità del trattamento; le modalità; le conseguenze del mancato consenso; i soggetti ai quali i dati raccolti potranno essere comunicati; i soggetti responsabili o incaricati; il tipo di diffusione dei dati; quali diritti spettano all’interessato; i dati, i nominati ed i recapiti, del titolare, dei responsabili o incaricati del trattamento.
Segue il testo del provvedimento:
Ordinanza ingiunzione nei confronti di Società [...]
26 giugno 2008
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
ORDINANZA INGIUNZIONE
NELLA riunione odierna, alla presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe
Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e
del dott. Giovanni Buttarelli, segretario generale;
ESAMINATO il rapporto dell’Ufficio del Garante predisposto ai sensi dell’art. 17 della legge 24
novembre 1981, n. 689, relativo al verbale di contestazione per violazione amministrativa redatto in
data 13 ottobre 2007 nei confronti di Società [...], con sede in via [...], in persona del
legale rappresentante pro-tempore, per violazione dell’articolo 13 del Codice in materia di
protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito denominato “Codice”);
RILEVATO che il Comando nucleo speciale funzione pubblica e privacy della Guardia di finanza,
in attuazione della richiesta di informazioni ex art. 157 del Codice (n. 3504 datata 21 febbraio 2006)
e su specifica delega di questa Autorità (n. 3508 del 21 febbraio 2006), ha svolto gli accertamenti di
cui al verbale di operazioni del 28 marzo 2006 circa il trattamento di dati personali, anche sensibili,
utilizzati per attività di sondaggi di opinione;
RILEVATO che la società, con nota dell’8 aprile 2006, ha fornito ulteriori informazioni e inviato
altra documentazione inerente alle modalità di trattamento dei dati personali relativi al sondaggio
volto a rilevare il grado di soddisfazione dei residenti nel Comune [...] relativamente
all’amministrazione comunale in carica tra cui il testo dell’informativa resa agli interessati ai sensi
dell’art. 13 del Codice. Dal verbale di operazioni compiute, nonché dalle ulteriori informazioni e
documenti inviati, è risultato che la società ha reso l’informativa agli interessati ai sensi dell’art. 13
del Codice priva delle specifiche indicazioni sulla finalità del trattamento cui i dati sarebbero stati
destinati (sondaggi sulla soddisfazione dei residenti nel Comune [...] relativamente all’attuale
amministrazione comunale), contravvenendo a quanto disposto dal comma 1, lett. a) del predetto
art. 13;
VISTO il provvedimento del Garante del 13 settembre 2007 che ha vietato alla società ulteriori
trattamenti illeciti di dati personali del genere accertato;
VISTA la contestazione di violazione amministrativa n. 17237/42702 del 13 ottobre 2007 con cui si
è contestata alla società la violazione prevista dall’art. 161 del Codice in relazione all’art. 13,
informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell’art. 16 della
legge n. 689/1981;
RILEVATO dal predetto rapporto che la società non risulta essersi avvalsa né della facoltà prevista
dall’art. 18 della legge n. 689/1981 (non inviando all’Autorità scritti difensivi e documenti o
chiedendo di essere sentita), né di quella prevista dall’art. 16 della medesima legge (pagamento in
misura ridotta);
RILEVATO, quindi, che l’attività della società ha configurato un trattamento di dati personali (art.
4, comma 1, lett. a) e b), del Codice), svolto senza rendere un’idonea informativa agli interessati ai
sensi dell’art. 13 del Codice;
VISTO l’art. 161 del Codice che punisce la violazione di cui all’art. 13 del Codice con la sanzione
amministrativa del pagamento di una somma da tremila euro a diciottomila euro;
VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;
RITENUTO di dover determinare l’ammontare della sanzione pecuniaria, avuto riguardo ai
parametri indicati nell’art. 11 della legge 24 novembre 1981 n. 689, valutati con particolare riguardo
all’opera svolta dall’agente per la eliminazione o attenuazione delle conseguenze della violazione
nonché alle condizioni economiche (società in liquidazione), nella misura del minimo pari alla
somma di tremila/00 euro;
VISTA la documentazione in atti;
VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del
regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;
RELATORE il prof. Francesco Pizzetti;
ORDINA
alla Società [...], con sede in via [...], in persona del legale rappresentante protempore,
di pagare la somma di euro 3.000,00 (tremila) a titolo di sanzione amministrativa
pecuniaria per la violazione prevista dall’art. 161 del Codice indicata in motivazione;
INGIUNGE
alla medesima società di pagare la somma di euro 3.000,00 (tremila) tramite il bollettino postale che
verrà fornito in allegato, intestato a “Tesoreria provinciale dello Stato di Milano” entro 30 giorni
dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a
norma dall’art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni
10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza
dell’avvenuto versamento;
DÁ ATTO CHE
avverso il presente provvedimento, ai sensi dell’art. 152 del Codice, può essere proposta
opposizione davanti al tribunale ordinario del luogo ove ha sede il titolare del trattamento entro il
termine di trenta giorni dalla notificazione del presente provvedimento.
Roma, 26 giugno 2008
IL PRESIDENTE
Pizzetti
IL RELATORE
Pizzetti
IL SEGRETARIO GENERALE
Buttarelli
La privacy nel concorso pubblico
Autore: Avv. Hermans Joseph IEZZONI Data: 23 agosto 2008
Secondo il Tar Lazio, sentenza 6450 dell’8 luglio 2008, i candidati che partecipano ad un concorso pubblico sono titolari di un interesse qualificato e differenziato alla regolarità della procedura. Per questa ragione non esisterebbero più posizioni di riservatezza (leggi privacy) e , attraverso la richiesta di accesso agli atti e documenti amministrativi, i candidati possono visionare anche gli elaborati degli altri partecipanti senza che l’amministrazione si trinceri dietro questioni di privacy o richieste preventive di assenso da parte degli autori degli scritti quali controinteressati.
Sul punto della privacy, il Tar è molto netto, però qualche dubbio potrebbe essere sollevato dal momento che, così ragionando, sussisterebbero dei margini per un accesso diretto ed indiscriminato a dati di cui potrebbe astrattamente sussistere un apprezzabile diritto ad opporvisi. Anche sulla questione della comunicazione mi permetto di dissentire. La posizione del controinteressato è pienamente riconosciuta in punto di diritto e nel caso l’accesso produca un danno a risponderne sarebbe la Pubblica Amministrazione.
Segue il testo della sentenza:
TAR Lazio Terza Sezione n. 6450 del 8 Luglio 2008
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
IL TRIBUNALE AMMINISTRATIVO REGIONALE DEL LAZIO
-SEZIONE III -
ha pronunciato la seguente
SENTENZA
sul ricorso n.4491 del 2008 proposto dal signor A. B. rappresentato e difeso dagli avv.ti [...] ed elettivamente domiciliato presso lo studio dell’avv. [...];
CONTRO
il Ministero delle Infrastrutture, in persona del ministro pro-tempore, non costituito in giudizio;
per l’annullamento:
del diniego opposto all’istanza di accesso agli atti della procedura concorsuale indetta dall’intimato Ministero per il conferimento di quattro posti di dirigente ascrivibile a professionalità tecnica di cui al bando pubblicato sulla Gazzetta Ufficiale n.67 del 5 settembre 2006.
Visto il ricorso con la relativa documentazione;
Visti gli atti tutti della causa;
Udito camera di consiglio del 18 giugno 2008 – relatore il dottor Giuseppe Sapone – l’avvocato del ricorrente come da verbale;
Ritenuto in fatto e in diritto quanto segue:
FATTO e DIRITTO
L’odierno ricorrente ha partecipato, con esito negativo, alla procedura concorsuale indetta dall’intimata amministrazione per il conferimento di n.4 posti di dirigente ascrivibile a professionalità tecnica.
Con istanza datata 3 marzo 2008 l’attuale istante ha chiesto di prendere visione e di estrarre copia di una serie di documenti relativi alla citata procedura concorsuale.
La suddetta istanza è stata parzialmente accolta con la gravata determinazione, atteso che non è stato consentito l’accesso agli elaborati degli ultimi sei candidati ammessi alla prova orale sulla base dei punteggi conseguiti alle prove scritte, sul presupposto che l’accesso ai suddetti elaborati poteva essere consentito solamente dopo che fosse stata data “opportuna comunicazione ai diretti interessati, consentendo, quindi, agli stessi di potere opporsi motivatamente a tale richiesta”.
Il ricorso è affidato al seguente ed articolato motivo di doglianza:
Violazione e falsa applicazione dei principi in materia di accesso agli atti e documenti amministrativi di cui agli artt.22, 24 e 25 della L. n.241/1990 e succ. modificazioni. Violazione e falsa applicazione dell’art.8 del DPR n.352/1992. Omessa, insufficiente motivazione del diniego anche ai sensi dell’art.25, comma 3, della L. n.241/1990. Eccesso di potere.
Alla camera di consiglio del 18 giugno 2008 il ricorso è stato assunto in decisione.
Oggetto della presente controversia è il diniego opposto all’istanza di accesso presentata da un partecipante ad una procedura concorsuale di prendere visione e di estrarre copia degli elaborati di alcuni candidati che avevano superato la prova scritta.
Il contestato diniego si basa sulla circostanza che l’accesso ai suddetti elaborati poteva essere consentito solamente dopo che fosse stata data “opportuna comunicazione ai diretti interessati, consentendo, quindi, agli stessi di potere opporsi motivatamente a tale richiesta”.
La tesi dell’amministrazione resistente è stata contestata dall’odierno istante il quale, sulla base della giurisprudenza in materia, analiticamente richiamata, ne ha prospettato l’illegittimità per palese violazione delle disposizioni (artt.22, 24 e 25 della L. n.241/1990, che disciplinano l’esercizio del diritto di accesso.
Il proposto gravame è fondato.
Al riguardo il Collegio osserva che:
a) il ricorrente avendo partecipato alla procedura concorsuale è titolare di un interesse qualificato e differenziato alla regolarità della procedura che, come tale, concretizza quell’ “interesse personale e concreto per la tutela di situazioni giuridicamente rilevanti” che l’art.2 del DPR n.352/1992, in puntuale applicazione dell’art.22 della L. n.241/1990, richiede quale presupposto necessario per il riconoscimento del diritto di accesso (ex plurimis CS, sez VI, n.6246/2000);
b) tale interesse è stato puntualmente evidenziato nell’istanza di accesso nella quale il ricorrente ha manifestato l’intenzione di valutare la legittimità degli atti della procedura concorsuale e, se del caso, di tutelare in sede giurisdizionale le proprie ragioni.
c) nessuna rilevanza, poi, assume la previa comunicazione della suddetta istanza agli altri candidati la cui produzione documentale è oggetto della stessa, al fine di consentire a questi ultimi di opporsi motivatamente al suo accoglimento. Al riguardo il consolidato orientamento giurisprudenziale (CS, sez.VI, n.260/1997; Tar Campania n.7538/1997; Tar Emilia Romagna, Parma, n.274/2001)
ha affermato il principio che le domande ed i documenti prodotti dai candidati, i verbali, le schede di valutazione e gli stessi elaborati costituiscono documenti rispetto ai quali deve essere esclusa in radice l’esigenza di riservatezza a tutela dei terzi, posto che i concorrenti, prendendo parte alla selezione, hanno evidentemente acconsentito a misurarsi in una competizione di cui la comparazione dei valori di ciascuno costituisce l’essenza. Tali atti, quindi, una volta acquisiti alla procedura, escono dalla sfera personale dei partecipanti che, pertanto, non assumono la veste di controinteressati in senso tecnico nel presente giudizio. Né, in concreto, l’omessa integrale intimazione in giudizio dei concorrenti cui si riferiscono gli atti in esame arreca loro alcun significativo pregiudizio non potendo gli stessi, in ragione di quanto detto, opporsi all’ostensione dei documenti richiesti dalla ricorrente.
Per questi motivi il ricorso è fondato e merita accoglimento.
Deve essere, pertanto, ordinato all’intimato Ministero di esibire e consentire al ricorrente di estrarre copia degli atti richiesti con l’istanza di accesso sopra menzionata.
Le spese di giudizio seguono, come di regola, la soccombenza e sono liquidate nella misura indicata in dispositivo..
P.Q.M.
Il Tribunale Amministrativo Regionale del Lazio, Sezione III, definitivamente pronunciando sul ricorso n. 4491 del 2008, come in epigrafe proposto, lo accoglie e, per gli effetti, annulla la contestata determinazione ed ordina all’intimato Ministero di esibire e consentire al ricorrente di estrarre copia degli atti richiesti con l’istanza di accesso sopra menzionata
Condanna il’intimato ministero al pagamento a favore del ricorrente delle spese di giudizio, liquidate in Euro 2,000,00.
Ordina che la presente decisione sia eseguita dall’Autorità amministrativa.
Così deciso in Roma, nella camera di consiglio del 18 giugno 2008 dal Tribunale Amministrativo Regionale del Lazio, sezione terza, con l’intervento dei signori giudici:
Dr. Stefano BACCARINI – Presidente
Dr. Giuseppe SAPONE – Consigliere, estensore
Dr. Cecilia ALTAVISTA – Primo referendario
IL PRESIDENTE IL GIUDICE ESTENSORE
Linee guida in materia di trattamento di dati personali da parte dei consulenti tecnici e dei periti ausiliari del giudice e del pubblico ministero
Autore: Avv. Hermans Joseph IEZZONI Data: 12 agosto 2008
Il Garante Privacy, attraverso le linee guida, pubblicate nella Gazzetta Ufficiale n. 178 del 31 luglio 2008, si rivolge agli ausiliari del Giudice ed ai consulenti di parte. A questi indica di sfrondare gli archivi di tutto il materiale superfluo acquisito attraverso l’attività svolta.
Il provvedimento, ad una attenta analisi, pare voler evitare che, documenti di particolare delicatezza processuale e non solo, possano costituire oggetto di una diffusione incontrollata sfuggendo alle regole di estrazione copia, dietro domanda qualificata alle cancelleria presso la quale sono stati depositati.
Tutta la documentazione fornita od acquisita per la consulenza dovrà essere depositata assieme alla relazione finale di consulenza. Sfuggono a questa rigida regola gli atti necessari, anche fiscalmente, a testimoniare l’attività espletata e quelli per i quali vi è una autorizzazione da parte del magistrato od un’eccezione di legge.
Segue il testo del provvedimento:
Linee guida in materia di trattamento di dati personali da parte dei consulenti tecnici e dei periti ausiliari del giudice e del pubblico ministero
Gazzetta Ufficiale n. 178 del 31 luglio 2008
Registro delle deliberazioni Del. n. 46 del 26 giugno 2008
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna in presenza del prof. Francesco Pizzetti presidente del dott. Giuseppe Chiaravalloti vice presidente del dott. Mauro Paissan e del dott. Giuseppe Fortunato componenti e del dott. Giovanni Buttarelli segretario generale;
V1STO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003 n. 196) anche in riferimento all’art. 154 comma 1 lett. h);
R1TENUTA la necessità di provvedere in relazione ai rischi connessi al trattamento di dati personali effettuato da consulenti tecnici e periti ausiliari del giudice e del pubblico ministero nell’ambito di procedimenti in sede civile penale e amministrativa;
R1LEVATA l’esigenza di individuare un quadro unitario di misure e di accorgimenti necessari e opportuni volti a fornire orientamenti utili per i professionisti interessati;
V1STE le pertinenti disposizioni del codice di procedura civile (in particolare gli articoli da 61 a 64 e da 191 a 200) e del codice di procedura penale (in particolare gli articoli da 220 a 232 359 e 360);
V1STE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Giuseppe Chiaravalloti;
DELIBERA
di adottare le “Linee guida” contenute nel documento allegato quale parte integrante della presente deliberazione; di inviare copia del presente provvedimento al Ministero della giustizia e al Consiglio superiore della magistratura per opportuna conoscenza nonché – per quanto di rispettiva competenza – per l’adozione di ogni iniziativa ritenuta idonea alla massima diffusione presso gli uffici giudiziari interessati; ai sensi dell’art. 143 comma 2 del Codice di trasmettere al Ministero della giustizia-Ufficio pubblicazione leggi e decreti copia del presente provvedimento unitamente alle menzionate “Linee guida” per la loro pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana.
Roma, 26 giugno 2008
IL PRESIDENTE
Pizzetti
IL RELATORE Chiaravalloti
IL SEGRETAR1O GENERALE
Buttarelli
Linee guida in materia di trattamento di dati personali da parte dei consulenti tecnici
e dei periti ausiliari del giudice e del pubblico ministero
(Deliberazione n. 46 del 26 giugno 2008 – Gazzetta Ufficiale n. 178 del 31 luglio 2008)
1. Premessa
1.1 Scopo delle linee guida
1 consulenti tecnici e i periti ausiliari del giudice e del pubblico ministero coadiuvano e assistono l’autorità giudiziaria nello svolgimento delle proprie funzioni quando ciò si rende necessario per compiere atti o esprimere valutazioni che richiedono particolari e specifiche competenze tecniche (art. 61 c.p.c.; artt. 220 e 359 c.p.p.).
L’attività svolta dai consulenti tecnici e dai periti è strettamente connessa e integrata con l’attività giurisdizionale di cui mutua i compiti e le finalità istituzionali.
Nell’espletamento delle relative incombenze il consulente e il perito di regola vengono a conoscenza e devono custodire contenuti nella documentazione consegnata dall’ufficio giudiziario anche dati personali di soggetti coinvolti a diverso titolo nelle vicende giudiziarie (quali le parti di un giudizio civile o le persone sottoposte a procedimento penale) e possono acquisire altre informazioni di natura personale nel corso delle operazioni (cfr. ad esempio art. 194 c.p.c. richiesta di chiarimenti alle parti e assunzione di informazioni presso terzi; art. 228 comma 3 c.p.p. richiesta di notizie all’imputato alla persona offesa o ad altre persone). L’attività dell’ausiliario comporta quindi il trattamento di diversi dati personali talvolta di natura sensibile o di carattere giudiziario (art. 4 comma 1 lettere d) ed e) del Codice) di uno o più soggetti persone fisiche o giuridiche.
A tali trattamenti in quanto direttamente correlati alla trattazione giudiziaria di affari e di controversie si applicano le norme del Codice relative ai trattamenti effettuati presso uffici giudiziari di ogni ordine e grado per ragioni di giustizia (art. 47 comma 2 del Codice; cfr. Provv. del Garante 31 dicembre 1998 doc. web n. 39608; Provv. 27 marzo 2002 doc. web n. 1063421).
Le presenti linee guida mirano a fornire indicazioni di natura generale ai professionisti nominati consulenti tecnici e periti dall’autorità giudiziaria nell’ambito di procedimenti civili penali e amministrativi al fine esclusivo di garantire il rispetto dei princìpi in materia di protezione dei dati personali ai sensi del Codice in materia protezione dei dati persona/i (d.lg. 30 giugno 2003 n. 196).
1.2 Ambito considerato
Le predette indicazioni non incidono sulle forme processuali che gli ausiliari devono rispettare nello svolgimento delle attività e nell’adempimento degli obblighi derivanti dall’incarico e dalle istruzioni ricevuti dallautorità giudiziaria come disciplinati dalle pertinenti disposizioni codicistiche.
All’interno del paragrafo 6. sono poi formulate alcune indicazioni applicabili anche ai trattamenti di dati personali effettuati dai soggetti nominati consulenti tecnici dalle parti private con riferimento a procedimenti giudiziari (artt. 87 194 195 e 201 c.p.c.; artt. 225 e ss. 233 e 360 c.p.p.).
2. Il rispetto dei principi di protezione dei dati personali 2.1 Considerazioni generali
La peculiare disciplina posta dal Codice con riguardo ai trattamenti svolti per ragioni di giustizia (art. 47) rende non applicabili alcune disposizioni del medesimo Codice relative alle modalità di esercizio dei diritti da parte dell’interessato (art. 9) al riscontro da fornire al medesimo (art. 10) ai codici di deontologia e di buona condotta (art. 12) all’informativa agli interessati (art. 13) alla cessazione del trattamento (art. 16) al trattamento svolto da soggetti pubblici (artt. da 18 a 22) alla notificazione al Garante (artt. 37 e 38 commi da 1 a 5) a determinati obblighi di comunicazione all’Autorità alle autorizzazioni e al trasferimento dei dati allestero (artt. da 39 a 45) nonché ai ricorsi al Garante (artt. da 145 a 151).
Sono invece pienamente applicabili le altre pertinenti disposizioni del Codice. 1n particolare il trattamento dei dati effettuato a cura di consulenti tecnici e periti deve avvenire:
nel rispetto dei princìpi di liceità e che riguardano la qualità dei dati (art. 11); adottando le misure di sicurezza idonee a preservare i dati da alcuni eventi tra i quali accessi e utilizzazioni indebite (artt. 31 e ss. e disciplinare tecnico allegato B) al Codice).
2.2 Liceità, finalità, esattezza, pertinenza
1l consulente e il perito possono trattare lecitamente dati personali nei limiti in cui ciò è necessario per il corretto adempimento dell’incarico ricevuto e solo nell’ambito dell’accertamento demandato dall’autorità giudiziaria; devono rispettare altresì le disposizioni sulle funzioni istituzionali della medesima autorità giudiziaria contenute in leggi e regolamenti avvalendosi in particolare di informazioni personali e di modalità di trattamento proporzionate allo scopo perseguito (art. 11 comma 1 lett. a) e b)) nel rigoroso rispetto delle istruzioni impartite dall’autorità giudiziaria.
1n tale quadro l’eventuale utilizzo incrociato di dati può ritenersi consentito se è chiaramente collegato alle indagini delegate ed è stato autorizzato dalle singole autorità giudiziarie dinanzi alle quali pendono i procedimenti o se questi si sono conclusi che ebbero a conferire l’incarico o da altra autorità giudiziaria competente.
Nel pieno rispetto dell’ambito e della natura dell’incarico ricevuto il consulente e il perito sono tenuti ad acquisire utilizzare e porre a fondamento delle proprie operazioni e valutazioni informazioni personali che con riguardo all’oggetto dell’indagine da svolgere siano idonee a fornire una rappresentazione (finanziaria sanitaria patrimoniale relazionale ecc.) corretta completa e corrispondente ai dati di fatto anche quando vengono espresse valutazioni soggettive di ciascun interessato persona fisica o giuridica. Ciò non solo allo scopo di fornire un riscontro esauriente in relazione al compito assegnato ma anche al fine di evitare che da un quadro inesatto o comunque inidoneo di informazioni possa derivare nocumento all’interessato anche nell’ottica di una non fedele rappresentazione della sua identità (art. 11 comma 1 lett. c)).
Particolare attenzione deve essere inoltre posta dal consulente e dal perito nell’acquisire e utilizzare solo le informazioni che risultino effettivamente necessarie in riferimento alle specifiche finalità di accertamento perseguite. 1n ossequio al principio di pertinenza nel trattamento dei dati le relazioni e le informative fornite al magistrato ed eventualmente alle parti non devono né riportare dati specie se di natura sensibile o di carattere giudiziario o comunque di particolare delicatezza chiaramente non pertinenti all’oggetto dell’accertamento peritale né contenere ingiustificatamente informazioni personali relative a soggetti estranei al procedimento (art. 11 comma 1 lett. d)).
3. Comunicazione dei dati
Le informazioni personali acquisite nel corso dell’accertamento possono essere comunicate alle parti come rappresentate nel procedimento (ad esempio attraverso propri consulenti tecnici) con le modalità e nel rispetto dei limiti fissati dalla pertinente normativa posta a tutela della segretezza e riservatezza degli atti processuali. Fermo l’obbligo per l’ausiliare di mantenere il segreto sulle operazioni compiute (art. 226 c.p.p.; cfr. anche art. 379-bis c.p.) eventuali comunicazioni di dati a terzi ove ritenute indispensabili in funzione del perseguimento delle finalità dell’indagine restano subordinate a quanto eventualmente direttamente stabilito per legge o comunque a preventive e specifiche autorizzazioni rilasciate dalla competente autorità giudiziaria.
4. Conservazione e cancellazione dei dati
1n riferimento ai trattamenti di dati svolti per ragioni di giustizia non è applicabile la disposizione del Codice (art. 16) relativa alla cessazione del trattamento di dati personali evenienza che nel caso del trattamento effettuato dal consulente e dal perito di regola coincide con l’esaurimento dell’incarico.
Trova peraltro applicazione anche ai trattamenti di dati personali effettuati per ragioni di giustizia il dettato dell’art. 11 comma 1 lett. e) del Codice il quale prevede che i dati non possono essere conservati per un periodo di tempo superiore a quello necessario al perseguimento degli scopi per i quali essi sono stati raccolti e trattati.
Ne consegue che espletato l’incarico e terminato quindi il connesso trattamento delle informazioni personali l’ausiliario deve consegnare per il deposito agli atti del procedimento non solo la propria relazione ma anche la documentazione consegnatagli dal magistrato e quella ulteriore acquisita nel corso dell’attività svolta salvo quanto eventualmente stabilito da puntuali disposizioni normative o da specifiche autorizzazioni dell’autorità giudiziaria che dispongano legittimamente ed espressamente in senso contrario.
Ove non ricorrano tali ultime due ipotesi il consulente e il perito non possono quindi conservare in originale o in copia in formato elettronico o su supporto cartaceo informazioni personali acquisite nel corso dell’incarico concernenti i soggetti persone fisiche o giuridiche nei cui confronti hanno svolto accertamenti.
Analogamente la documentazione acquisita nel corso delle operazioni peritali deve essere restituita integralmente al magistrato in caso di revoca o di rinuncia all’incarico da parte dell’ausiliario.
Qualora sia prevista una conservazione per adempiere a uno specifico obbligo normativo (ad esempio in materia fiscale o contabile) possono essere custoditi i soli dati personali effettivamente necessari per adempiere tale obbligo.
Eventuali ulteriori informazioni devono essere quindi cancellate oppure trasformate in forma anonima anche per finalità scientifiche o statistiche tale da non poter essere comunque riferita a soggetti identificati o identificabili anche indirettamente mediante riferimento a qualsiasi altra informazione (art. 4 comma 1 lett. b) del Codice).
Tutto ciò non pregiudica l’espletamento di eventuali ulteriori attività dell’ausiliare conseguenti a richieste di chiarimenti o di supplementi di indagine che il consulente e il perito possono soddisfare acquisendo dal fascicolo processuale in conformità alle regole poste dai codici di rito la documentazione necessaria per fornire i nuovi riscontri.
5. Misure di sicurezza
5.1 Misure idonee e misure minime
Limitatamente all’espletamento degli accertamenti l’attività dell’ausiliare è connotata da peculiari caratteri di autonomia in relazione alla natura squisitamente tecnica delle indagini che si svolgono di regola senza l’intervento del magistrato.
Ricevuto l’incarico e sino al momento della consegna al giudice o al pubblico ministero delle risultanze dell’attività svolta incombono concretamente al consulente tecnico e al perito riguardo ai dati personali acquisiti allatto dell’incarico e alle ulteriori informazioni raccolte nel corso delle operazioni le responsabilità e gli obblighi relativi al profilo della sicurezza prescritti dal Codice.
L’ausiliare è tenuto quindi a impiegare tutti gli accorgimenti idonei a evitare un indebita divulgazione delle informazioni e al contempo la loro perdita o distruzione adottando a tal fine le misure atte a garantire la sicurezza dei dati e dei sistemi eventualmente utilizzati. Egli deve curare personalmente con il grado di autonomia riconosciuto per legge o con l’incarico ricevuto sia le misure idonee e preventive cui fa riferimento l’art. 31 del Codice sia le misure minime specificamente indicate negli articoli da 33 a 35 e nel disciplinare tecnico allegato B) al Codice la cui mancata adozione costituisce fattispecie penalmente sanzionata (art. 169 del Codice). Ove reso necessario dal trattamento di dati sensibili o giudiziari effettuato con l’ausilio di strumenti elettronici nell’ambito delle misure minime (art. 33 comma 1 lett. g) del Codice) deve essere redatto il documento programmatico sulla sicurezza con le modalità e i contenuti previsti al punto 19. del citato disciplinare tecnico.
5.2 Incaricati
L’obbligo di preporre alla custodia e al trattamento dei dati personali raccolti nel corso dell’accertamento solo il personale specificamente incaricato per iscritto resta fermo anche nel caso in cui il consulente e il perito si avvalgano dell’opera di collaboratori anche se addetti a compiti di collaborazione amministrativa (art. 30 del Codice). L’attività di tali incaricati deve essere oggetto di precise istruzioni oltre che sulle modalità e sull’ambito del trattamento consentito anche in ordine alla scrupolosa osservanza della riservatezza relativamente ai dati di cui vengono a conoscenza.
6. I consulenti tecnici di parte nei procedimenti giudiziari
Ferma restando ogni altra disposizione contenuta nel Codice nei provvedimenti generali adottati dal Garante e in un codice deontologico concernente le condizioni e i limiti applicabili ai trattamenti di dati personali effettuati dai consulenti tecnici di parte nei procedimenti giudiziari anche a tali trattamenti trovano applicazione i principi di liceità e che riguardano la qualità dei dati (art. 11 del Codice) e le disposizioni in materia di misure di sicurezza volte alla protezione dei dati stessi (artt. 31 e ss. e disciplinare tecnico allegato B) al Codice).
In particolare il consulente di parte:
può trattare lecitamente i dati personali nei limiti in cui ciò è necessario per il corretto adempimento dell’incarico ricevuto dalla parte o dal suo difensore ai fini dello svolgimento delle indagini difensive di cui alla legge n. 397/2000 o comunque per far valere o difendere un diritto in sede giudiziaria (art. 11 comma 1 lett. a) e b)); dati sensibili o giudiziari possono essere utilizzati solo se ciò è indispensabile; può acquisire e utilizzare solo i dati personali comunque pertinenti e non eccedenti rispetto alle finalità perseguite con l’incarico ricevuto avvalendosi di informazioni personali e di modalità di trattamento proporzionate allo scopo perseguito (art. 11 comma 1 lett. d)); salvi i divieti di legge posti a tutela della segretezza e riservatezza delle informazioni acquisite nel corso di un procedimento giudiziario (cfr. ad esempio l’art. 379-bis c.p.p.) e i limiti e i doveri derivanti dal segreto professionale e dal fedele espletamento dell’incarico ricevuto (cfr. artt. 380 e 381 c.p.) può comunicare a terzi dati personali solo ove ciò risulti necessario per finalità di tutela dell’assistito limitatamente ai dati strettamente funzionali all’esercizio del diritto di difesa della parte e nel rispetto dei diritti e della dignità dell’interessato e di terzi; relativamente ai dati personali acquisiti e trattati nell’espletamento dell’incarico ricevuto da una parte assume personalmente le responsabilità e gli obblighi relativi al profilo della sicurezza prescritti dal Codice relativamente sia alle misure idonee e preventive(art. 31) sia alle misure minime(artt. da 33 a 35 e disciplinare tecnico allegato B) al Codice; art. 169 del Codice); ove l’incarico comporti il trattamento con strumenti elettronici di dati sensibili o giudiziari è tenuto a redigere il documento programmatico sulla sicurezza (art. 33 comma 1 lett. g) e punto 19. del disciplinare tecnico allegato B)); deve incaricare per iscritto gli eventuali collaboratori anche se adibiti a mansioni di carattere amministrativo che siano addetti alla custodia e al trattamento in qualsiasi forma dei dati personali (art. 30 del Codice) impartendo loro precise istruzioni sulle modalità e lambito del trattamento loro consentito e sulla scrupolosa osservanza della riservatezza dei dati di cui vengono a conoscenza.
Accesso abusivo ad un sistema informatico o telematico
Autore: Avv. Hermans Joseph IEZZONI Data: 29 giugno 2008
I fatti di cui si discute nella blogosfera (mi riferisco al post di Enrica Garzilli/Orientalia4all.net) mi hanno ispirato alcune riflessioni attorno al reato previsto dall’articolo 615 ter, ossia l’accesso abusivo ad un sistema informatico o telematico.
Anche per la collocazione sistematica, all’interno del Codice penale, tra i delitti contro l’inviolabilità del domicilio, l’articolo 615 ter protegge il domicilio informatico ed i dati in esso contenuti. Così rafforzando il diritto di escludere i terzi dall’accesso ad essi.
Cosa dice la norma?
“Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.
La pena è della reclusione da uno a cinque anni:
1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato o con abuso della qualità di operatore del sistema;
2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;
3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.
Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.
Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d’ufficio.”
Il domicilio informatico, o meglio il sistema, è stato qualificato, nella relazione al disegno di legge, come “espansione ideale” dell’area tutta privata che è il domicilio reale ma la tutela è imperfetta: non vi è nessuna distinzione sulla natura del sistema violato o sulle finalità di aggressione tenuto conto che pur sempre di un domicilio violato si discute e dunque di un affare privato. La fattispecie è ben diversa dal luogo, o meglio dal sistema pubblico, caratterizzato dall’indistinto ed indistinguibile via vai del traffico altrui.
La norma trascura la riservatezza invertendo i presupposti e discriminandone i valori. La causa principale di questa mal posizione è data da un approccio alle informazioni, o meglio alle comunicazioni, semplicistico dove non è opportuno distinguere la pluralità di eventi poiché il fenomeno informatico di base è costituito da relazioni e scambi. Contatti continui come avviene in locale tra processore e singola periferica così in remoto fra macchine. Sotto un profilo criminologico,all’opposto, le condotte possono differenziarsi sul piano delle finalità alla base dell’accesso come quelle di sfida al sistema od all’amministratore, spionaggio o frodi ed altro.
Ecco che la norma si perde nei suoi propositi ed il domicilio informatico non assomiglia affatto a quello comune. In quest’ultimo è punita la condotta di chi si introduce clandestinamente nell’abitazione altrui mentre nel primo l’aggressione al mondo privato è caratterizzata anche dalla elusione di una misura di sicurezza.
Basta riflettere un attimo. Se un terzo si introduce, occultandosi, nella privata dimora allora opera, a causa della modalità di condotta, la presunzione (fino a prova contraria) della volontà proibente del legittimato. Invece nell’accesso abusivo la clandestinità non rileva affatto… assorbita, come altre considerazioni, dalle misure di sicurezza a protezione dell’accesso.
Punto questo che la stessa Cassazione ha ingessato precisando che “la violazione dei dispositivi di protezione [...] non assume rilevanza di per sé, bensì solo come manifestazione di volontà contraria a quella di chi del sistema legittimamente dispone” (Cassazione 12732/2000). Interpretazione che mostra tutti i suoi limiti rapportandosi alla portata dell’articolo 615 ter.
Il fianco è aperto alla ridondante immagine del virtuale dove il domicilio ha porte e finestre, ossia misure di sicurezza e chiavi d’accesso, e l’intruso i ferri del mestiere per lo scasso. Ma questa non è una degna rappresentazione di quella tutela che vuole il domicilio inviolabile in quanto tale. Lo ricorda la Costituzione o meglio lo impone.
Quindi l’articolo 615 ter, a ben guardare, mostra un profilo di incostituzionalità poiché, non distinguendo tra loro fattispecie di accesso tecnicamente e giuridicamente legittime, sacrifica alle porte ed alle finestre l’inviolabilità del domicilio custode dei fatti tutti privati o meglio dei dati digitali.
Il reato, così, si perfeziona con il semplice accesso… ma solo se il sistema sia protetto, via hardware o software, e l’intrusione manifesti la volontà di superare quelle barriere a protezione della gestione del sistema con privilegi amministrativi.
L’ultima parola della Cassazione su “Le Jene” ed il test antidroga ai Parlamentari
Autore: Avv. Hermans Joseph IEZZONI Data: 19 giugno 2008
Con la sentenza pubblicata si conclude la vicenda legata alla trasmissione televisiva Le Jene ed ai test di positività alla droga compiuti su alcuni Parlamentari italiani.
La Cassazione conferma che in quell’occasione fu superato il diritto di cronaca. Inoltre i dati raccolti non erano relativi a “circostanze o fatti resi noti direttamente dagli interessati” o ricavati dai loro comportamenti in pubblico. I test furono eseguiti su campioni biologici raccolti fraudolentemente con l’inganno e l’istituzione parlamentare fu danneggiata nell’immagine al punto che tutti i Parlamentari potevano considerarsi sospettabili.
Il “diritto di cronaca” e la deroga stabilita in suo favore dal Codice della privacy nulla possono quando il comportamento illecito tenuto dal giornalista abbia violato un diritto alla riservatezza causando un danno o una diminuzione patrimoniale.
Segue il testo della sentenza:
Cassazione Terza Sezione Penale n. 23086 del 10 giugno 2008
Motivi della decisione
Con sentenza 16 ottobre 2007, il Giudice per le indagini preliminari del Tribunale di Roma ha applicato a P. D. e V. M. la pena concordata per il reato previsto dall’art. 167 c. 2 D.Lvo 196/2003 (per avere, in qualità di ideatori di un servizio televisivo avente ad oggetto il consumo di stupefacenti, proceduto, senza il consenso degli interessati e l’autorizzazione del Garante, alla raccolta di dati personali sensibili – campioni organici di cinquanta Deputati e sedici Senatori – ed alla successiva analisi per accertare la eventuale traccia di sostanze stupefacenti).
Per l’annullamento della sentenza, gli imputati hanno proposto ricorso per Cassazione deducendo violazione di legge e sostenendo che la fattispecie materiale non era inquadrabile nella ipotesi di reato contestata.
Tanto premesso, deve precisarsi come gli imputati, che hanno concordato la pena con l’organo della accusa, non possono mettere in discussione le coordinate del patto che loro stessi hanno sollecitato e che il Giudice, all’esito del sindacato che la normativa gli demanda, ha ritenuto conforme a giustizia; di conseguenza, il ricorso per Cassazione è limitato al solo caso in cui il patto si pone in violazione di legge.
Tale è l’ipotesi prospettata dagli imputati i quali hanno sostenuto che i fatti per cui è processo non hanno rilevanza penale sia perché la violazione di norme del codice deontologico dei giornalisti è sanzionata in via amministrativa sia per la mancanza di uno degli elementi della fattispecie (nocumento alle parti lese). Le prospettazioni non sono fondate.
L’attuale normativa ha dedicato al trattamento dei dati effettuati dai giornalisti e dai soggetti ad essi equiparati gli artt. 136, 137, 138, 139 D.Lvo 196 /2003. Queste disposizioni, nell’alveo della precedente disciplina (art.25 L.675/1996 novellato dall’art. 12 DLvo 171/1998), esonerano, anche in relazione ai dati sensibili, il giornalista che persegue il fine della sua professione dal consenso dello interessato e dalla autorizzazione del Garante a precise, indefettibili condizioni per la liceità del trattamento.
A sensi dell’art. 137 uc citato, il giornalista deve rispettare i limiti del diritto di cronaca, in particolare, quello della essenzialità della informazione riguardo a fatti di interesse pubblico; inoltre, può trattare i dati personali relativi a circostanze o fatti resi noti direttamente dagli interessati o attraverso un loro comportamento pubblico.
Questa ultima condizione non è stata rispettata nel caso in esame nel quale i campioni biologici sono stati carpiti con un comportamento ingannevole e fraudolento. Consegue che gli imputati hanno disatteso una previsione contenuta non nel codice deontologico, ma nella normativa in materia di protezione dei dati personali; consegue, ancora, che gli imputati non possono invocare la previsione derogatoria dell’art. 137 del D.Lvo 196/2003.
Per quanto concerne il nocumento alle parti lese, è esatta la deduzione difensiva secondo la quale il trattamento illecito dei dati senza il consenso dell’avente diritto è penalmente irrilevante se dal fatto tipico non deriva danno alla persona offesa; i ricorrenti hanno sostenuto che non vi è stato un vulnus per alcuno dal momento che i loro accertamenti non permettevano di associare l’esito del test a persone note.
Sul punto, deve precisarsi come la circostanza che il capo di imputazione non facesse riferimento a specifici soggetti trovati positivi all’esame non è decisiva.
Gli imputati hanno diffuso la notizia che alcuni Senatori e Deputati, pur rimasti anonimi, erano positivi alla analisi per la individuazione di sostanze stupefacenti; l’informazione evidenziava che taluno, entro una circoscritta e determinabile cerchia di persone, faceva indebito uso di droghe.
In tale situazione, tutti i Parlamentari potevano essere indiscriminatamente sospettati di assumere stupefacenti con la conseguenza che ogni membro del Senato o della Camera dei Deputati, nonché la istituzione parlamentare, ha subito un nocumento alla sua immagine pubblica ed onorabilità.
Per le esposte considerazioni la Corte dichiara inammissibile il ricorso con condanna dei proponenti in solido al pagamento delle spese processuali e singolarmente al versamento della somma- che ritiene equo fissare in euro millecinquecento- alla Cassa delle Ammende.
P.Q.M.
La Corte dichiara inammissibile il ricorso e condanna i ricorrenti in solido al pagamento delle spese processuali e ciascuno al versamento di euro millecinquecento alla Cassa della Ammende.
Privacy, caso Satakunnan Markkinapörssi e Satamedia, depositate le conclusioni dell’Avvocato Kokott
Autore: Avv. Hermans Joseph IEZZONI Data: 19 maggio 2008
Dopo la tempesta mediatica, che si è alzata contro l’Agenzia delle Entrate per la pubblicazione on-line dei dati fiscali dei contribuenti, la Corte di Giustizia delle Comunità Europee è stata investita, dal Tribunale Amministrativo finlandese, delle questioni pregiudiziali su un caso parzialmente analogo riguardante la liceità o meno della diffusione annuale dei dati reddituali per finalità giornalistiche e commerciali.
La Satakunnan Markkinapörssi Ltd, a partire dal 2001, aveva trattato i dati reddituali di 1.200.000 contribuenti finlandesi pubblicandoli sulle pagine del periodico fiscale Veropörssi, diffuso capillarmente in 17 paesi a livello regionale, prevedendo la cancellazione dal database a richiesta e dietro compenso. Successivamente, la Satakunnan cedeva la banca dati del giornale, sotto forma di CD-ROM, alla Satamedia Ltd che, a partire dal 2003, aveva attivato un servizio SMS per fornire ai propri abbonati, direttamente sul cellulare, le informazioni sul reddito di un singolo contribuente.
Il Garante Privacy finlandese, chiamato ad occuparsi della questione, era intervenuto vietando alla Satakunnan l’utilizzo dei dati difformemente dalle finalità giornalistiche e alla Satamedia il trattamento per scopi commerciali.
La Commissione per la tutela dei dati personali era però di contrario avviso e rigettava i provvedimenti del Garante Privacy.
La causa veniva poi riassunta dinanzi al Tribunale Amministrativo finlandese che invocava la Corte di Giustizia per chiarimenti sulle seguenti questioni pregiudiziali:
1) Se vada considerata quale trattamento di dati personali ai sensi dell’art. 3, n. 1, della direttiva 95/46/CE un’attività consistente nel:
a) rilevare dati sul reddito da lavoro e da capitale nonché sul patrimonio di persone fisiche da documenti pubblici delle autorità tributarie e trattarli a fini di pubblicazione;
b) pubblicarli in ordine alfabetico e per classi di reddito, sotto forma di elenchi esaustivi classificati per comuni;
c) diffonderli ulteriormente su CD-ROM per essere trattati a fini commerciali;
d) trattarli nell’ambito di un servizio di SMS in cui gli utilizzatori di un telefono mobile possono previa comunicazione del nome e della residenza di una persona e loro trasmissione ad un determinato numero del servizio SMS, ottenere in risposta dati sul reddito da lavoro e da capitale nonché sul patrimonio di tale persona.
2) Se la direttiva 95/46/CE vada interpretata nel senso che le varie operazioni menzionate supra sub 1a‑1d possono ritenersi quali trattamento di dati personali effettuato esclusivamente a scopi giornalistici ai sensi dell’art. 9 della direttiva, quando si prende in considerazione il fatto che sono stati rilevati dati in rapporto a più di un milione di soggetti passivi di imposta fondandosi su dati pubblici a norma della legislazione nazionale sull’accessibilità al pubblico dell’informazione. Se nella valutazione della causa sia rilevante la circostanza che l’obiettivo principale dell’attività è la pubblicazione di tali dati.
3) Se l’art. 17 della direttiva 95/46/CE vada interpretato in combinato disposto con i principi e gli obiettivi della direttiva stessa nel senso che la pubblicazione di dati rilevati a scopi giornalistici e la loro ulteriore cessione ai fini di un trattamento a scopi commerciali sono incompatibili con tale disposizione.
4) Se la direttiva 95/46/CE possa interpretarsi nel senso che esulano del tutto dal suo campo di applicazione gli archivi di dati personali contenenti solo materiale pubblicato nei media in quanto tale.
L’8 maggio 2008 sono state depositate le conclusioni dell’Avvocato Generale Juliane Kokott, che, considerando le attività compiute dalle due società come trattamento dei dati personali, ha distinto il trattamento per scopi giornalistici da quello per fini commerciali. I primi sono leciti, in base all’articolo 9 della Direttiva del Parlamento europeo e del Consiglio 24 ottobre 1995, 95/46/CE, quando la loro finalità è informare su questioni di interesse pubblico. I secondi, invece, sono controversi poiché l’art. 17 della direttiva non prevede la possibilità di una cessione per scopi commerciali dei dati ricavati da un precedente trattamento per scopi giornalistici. Il giudice di merito è invitato ad una valutazione critica per determinare in concreto lo scopo di volta in volta perseguito come la presenza di un profitto, che escluderebbe l’interesse pubblico alla diffusione dei dati, o la presenza di interessi meramente privati come la soddisfazione della curiosità personale, lo sfruttamento per attività di marketing o per ricavare la solvibilità di un debitore. In conclusione, l’Avv. Kokott suggerisce alla Corte di Giustizia di risolvere la pregiudiziale nel seguente modo:
1. Deve essere considerata quale trattamento di dati personali ai sensi dell’art. 3, n. 1, della direttiva del Parlamento europeo e del Consiglio 24 ottobre 1995, 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati un’attività consistente, come descritto nella domanda di pronuncia pregiudiziale, nel:
a rilevare dati sul reddito da lavoro e da capitale nonché sul patrimonio di persone fisiche da documenti pubblici delle autorità tributarie e trattarli a fini di pubblicazione;
b pubblicarli in ordine alfabetico e per classi di reddito, sotto forma di elenchi esaustivi classificati per comuni;
c diffonderli ulteriormente su CD-ROM per essere trattati a fini commerciali;
d trattarli nell’ambito di un servizio di SMS in cui gli utilizzatori di un telefono mobile possono previa comunicazione del nome e della residenza di una persona e loro trasmissione ad un determinato numero del servizio SMS, ottenere in risposta dati sul reddito da lavoro e da capitale nonché sul patrimonio di tale persona.
2. Il trattamento di dati personali ai sensi della direttiva 95/46 è effettuato a scopi giornalistici ai sensi dell’art. 9 della direttiva 95/46 se esso mira alla trasmissione di informazioni e opinioni su questioni di interesse pubblico. Spetta al giudice del rinvio, sulla base di tutti i dati oggettivi a sua disposizione, verificare se e in che misura il trattamento dei dati fiscali controverso sia effettuato a scopi giornalistici.3. L’art. 17 della direttiva 95/46 sulla tutela dei dati non contiene alcuna previsione in merito alla possibilità di pubblicare e cedere ai fini di un trattamento a scopi commerciali i dati rilevati a scopi giornalistici.
4. Gli archivi di dati personali contenenti solo materiale pubblicato nei media in quanto tale rientrano nel campo di applicazione della direttiva 95/46.
Siete infastiditi da telefonate con numero nascosto? ecco un modo per anticipare i tempi della burocrazia e risalire all’identità del chiamante
Autore: Avv. Hermans Joseph IEZZONI Data: 25 aprile 2008
Dopo il successo del modulo INPDAP , presento un nuovo documento. Lo scopo questa volta è anticipare i tempi nel caso si subiscano frequentemente chiamate telefoniche anonime, contro l’autore delle quali si vorrebbe sporgere denuncia, ma si teme che la burocrazia porti all’insuccesso e ad una maggiore frustrazione.
Non molti sanno che è consentito ad un abbonato di anticipare i tempi della giustizia penale attraverso un’investigazione privata. Infatti a spese dell’abbonato è legittimo chiedere alla propria compagnia telefonica:
a) di rendere in chiaro il numero di telefono del chiamante, se l’ID fosse riservato o sia stato usato un codice per renderlo anonimo;
b) di conservare tutti i dati relativi alla chiamata quali numero del chiamante, durata e provenienza.
La richiesta va fatta per iscritto ma può essere anticipata telefonicamente purché entro le 24 ore successive sia confermata per iscritto.
Consiglio di seguire questi passaggi: anticipare la richiesta per telefono, inviarla per fax al numero indicato dall’operatore e poi spedire la raccomandata con ricevuta di ritorno all’indirizzo indicato dall’operatore o alla sede legale della compagnia.
La procedura ha dei limiti temporali:
1) deve riguardare i soli orari in cui si verificano le chiamate;
2) non può superare i 15 giorni.
Il modulo è scaricabile cliccando QUI:
MODULO CHIAMATE DI DISTURBO (scaricato 51220 dato aggiornato al 7 marzo 2009)
