Il Garante Privacy sugli ultimi avvenimenti del Bullismo visto su internet

http://repubblica.it  

 MILANO - Non limitare la libertà della Rete e, dall’altra parte, assicurare il rispetto della dignità e della privacy dei cittadini: un problema delicato e attuale, dopo il caso del video delle violenze a un ragazzo autistico in una scuola torinese diffuso da Google. “Non solo è necessaria, ma inevitabile una nuova regolamentazione della materia a livello internazionale: con le leggi attuali casi come quelli di Torino non si possono evitare”.

Il presidente del Garante della privacy Francesco Pizzetti si è trovato, nei mesi scorsi, ad avere una fitta corrispondenza con Google in seguito alla segnalazione di una cittadina, che vedeva sul motore di ricerca più cliccato del mondo informazioni vecchie (e quindi fuorvianti) sul suo coinvolgimento in un’indagine penale. Carteggio che ora la procura di Milano ha acquisito agli atti dell’inchiesta sul ruolo del colosso di internet nella vicenda del video finito online a luglio.

Perché, mentre la procura dei minori di Torino ha indagato i quattro studenti coinvolti nella vicenda per violenza privata, i colleghi milanesi hanno iscritto nel registro degli indagati - e presto li convocheranno per interrogarli - i due rappresentanti legali di Google Italia con l’accusa di diffamazione aggravata, ipotizzando che il fatto di non impedire un reato (la diffusione del video incriminato) equivale a provocarlo (come dice il secondo comma dell’articolo 40 del codice penale). “È un tema delicato e di impossibile soluzione, almeno con le leggi attuali”, sottolinea Pizzetti, riprendendo le parole pronunciate venerdì dal ministro della Pubblica Istruzione Giuseppe Fioroni che chiedeva un intervento del Parlamento.

Nei mesi scorsi il Garante aveva chiesto spiegazioni a Google su un tema solo apparentemente lontano: come si può garantire sul motore di ricerca il diritto dei cittadini alla riservatezza o almeno all’aggiornamento sui loro dati? “Inizialmente Google Italia aveva spiegato l’impossibilità di intervenire autonomamente sui server, sui quali può operare solo la casa madre negli Usa”, spiega Pizzetti. Una risposta simile era arrivata dai responsabili di Google al pm milanese Francesco Cajani a proposito del video di Torino.

Ed è questo che la procura sta cercando di verificare: se, cioè, non sia possibile per la filiale italiana “filtrare” quello che viene messo in rete. Durante un incontro a Londra tra i vertici del colosso telematico e l’Authority italiana i primi avevano spiegato che, solo dietro segnalazione e solo nei casi di materiale con contenuti pedofili o lesivi dei diritti dei minori, esiste un sistema di cancellazione immediata del dato. Negli altri casi, invece, la società si limita a segnalare la necessità di cancellare i dati ai siti da cui ha tratto le informazioni. “Ma, ovviamente, questa è una soluzione a posteriori - ricorda Pizzetti - che niente ha a che fare con il problema ancora irrisolto dell’immissione dei dati nella Rete”.

Comments(0)

Master Universitari in materia di Privacy e sicurezza informatica
http://interlex.it
 
 
“La Sapienza” - Due Master Universitari in “Sicurezza dei sistemi e delle
reti informatiche” e “Gestione della sicurezza informatica”

Si terranno a Roma, presso il Dipartimento di Informatica dell’Università
di Roma “La Sapienza”, nel periodo novembre 2006-luglio 2007, sotto la
direzione del Prof Luigi Vincenzo Mancini ( www.di.uniroma1.it/mancini ),
due Master di primo e secondo livello per formare esperti nella
realizzazione e gestione della sicurezza informatica.

“Sicurezza dei sistemi e delle reti informatiche per l’impresa e la
pubblica amministrazione”, questo il nome del Master di primo livello,
quest’anno alla sua quarta edizione, a cui si può accedere con la laurea
triennale. Insegna le tecniche e le tecnologie informatiche per rendere
sicuri reti e sistemi. Obiettivo del master di secondo livello “Gestione
della sicurezza informatica per l’impresa e la pubblica amministrazione”,
a cui si accede invece con la laurea specialistica, è formare manager in
grado di padroneggiare le problematiche e gestire i processi della
sicurezza dell’informazione all’interno di organizzazioni complesse.

Entrambi i Master rappresentano tappe di un percorso formativo che, come
spiega il direttore dei Master, il professor Luigi Vincenzo Mancini,
“seguono l’evoluzione dell’information security formando esperti altamente
qualificati in risposta alla necessità, sempre più pressante, di sicurezza
informatica in ambito pubblico e privato”.

I Master sono rivolti a laureati provenienti principalmente dalle aree
scientifiche dell’informatica, dell’ingegneria, della fisica, della
matematica, della statistica e dell’economia che abbiano una buona
conoscenza della lingua inglese. Per venire incontro alle esigenze di chi
già lavora e coglie l’opportunità formativa del master per crescere nella
vita professionale, le attività formative sono concentrate in due giorni a
settimana e raggruppate in tre periodi con lo svolgimento di un project
work finale. Il materiale delle lezioni viene reso disponibile on-line
agli allievi attraverso una piattaforma di e-learning ed è possibile
partecipare ai Master anche in qualità di uditori.

Entrambi i Master prevedono lo svolgimento di un project work finale
d’interesse aziendale frutto di collaborazioni con aziende partner come ad
esempio, Alenia Spazio, Anas, Caspur, Clavister Italia, Lottomatica,
Nazioni Unite (Information tecnology service division), Selex-Comms, e
Telespazio S.p.A., oltre che con differenti istituzioni pubbliche. Il
project work è finalizzato ad attestare le conoscenze acquisite durante il
periodo formativo, e viene discusso a conclusione del corso, alla presenza
di un’apposita commissione d’esame.

I corsi sono al via per l’anno accademico 2006/2007; chi fosse interessato
a frequentare i Master anche in qualità di uditore può trovare maggiori
informazioni all’indirizzo http://mastersicurezza.uniroma1.it oppure
contattando la segreteria del master all’indirizzo mastersicurezza@di.uniroma1.it 

Comments(0)

Pubblica amministrazione, scopi storici, privacy ed accesso

Sintesi di una parte dell’articolo di Lorenzo Alfredo sul sito www.diritto.it

Trattandosi di una materia che coinvolge eminentemente la consultazione di documenti contenuti in archivi, la sua disciplina è per lo più sottratta a quella dettata dall’art. 25, l. 241/90 a favore di norme dettate espressamente per il settore, in primis il d.lgs 29 ottobre 1999, n. 490, artt. 107 e ss. (accesso agli archivi di Stato), mentre il Garante per la protezione dei dati personali, con provvedimento n. 8/P/2001 del 14 marzo 2001 (codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi storici) ha dettato un codice di condotta specifico in materia che deve essere osservato da tutti coloro che svolgono attività di ricerca in ambito storico, sulla scorta di quanto previsto dal d.lgs. 281/1999, le cui norme sono state poi recepite dagli artt. 97 e ss. del d.lgs. 196/2003.

La normativa previgente, cioè il D.P.R. 1409/1963 (e in particolare l’art. 21), contemplava un regime generale di libera consultazione degli archivi, salvo casi specifici individuati dalla medesima norma. Tale impianto subì una radicale revisione con l’entrata in vigore della l. 675/96 che previde invece, in via generale, che la documentazione contenente informazioni qualificate dalla stessa legge come riservate, non potesse essere consultata né diffusa. Anche qui, nel primo periodo di vigenza della l. 675/96, si pose il problema di un ragionevole bilanciamento tra differenti principi e diritti costituzionali, apparentemente di eguale valenza, che però finivano per entrare in contrasto tra loro, nel caso specifico il diritto all’informazione e la libertà di espressione del pensiero da un lato, e il diritto alla riservatezza dall’altro, cui il Legislatore sembrava aver allora voluto dare maggior risalto rispetto alle istanze della ricerca storica. La legge infatti non elaborava il contenuto del concetto di riservatezza, su cui si basavano i limiti alla consultabilità. A porre rimedio a questo stato di cose intervenne appunto il d.lgs. 281/1999 che, modificando l’art. 21 del d.p.r. 1409/63, e poi il d.lgs. 490/1999 (cd. Testo unico delle disposizioni legislative in materia di beni culturali e ambientali) che è intervenuto, all’art. 107, anche sulla materia degli Archivi di Stato, sostituendosi all’art. 21 del d.p.r. 1409/63 e agli artt. 1 e 6 del d.p.r. 854/75.

I documenti contenuti negli Archivi di Stato vengono così tutti ripartiti entro tre sole categorie: quelli dichiarati di carattere riservato a norma del successivo art. 110, che diventano consultabili dopo 50 anni, quelli relativi a situazioni puramente private, che lo diventano dopo 70 e i documenti dei processi penali che lo diventano anch’essi dopo lo stesso arco di tempo. Venne così ripristinato in toto il vecchio dettato dell’art. 27 del d.p.r. 1409/63 con la sola aggiunta del riferimento all’art. 110. Infine, sia la dichiarazione di riservatezza dei documenti indicati nel 1° comma, sia l’autorizzazione alla loro consultazione, la cui disciplina è contenuta nel 2° comma, divennero di competenza del Ministero dell’Interno d’intesa con il Ministero per i Beni e le Attività Culturali.

L’EMANAZIONE DEL CODICE DEONTOLOGICO IN MATERIA DI TRATTAMENTO DI DATI PERSONALI PER SCOPI STORICI

A tale provvedimento del Garante, emanato nella vigenza della l. 675/96, fa esplicito riferimento però anche il d.lgs 196/03, che all’art. 102 indica gli aspetti che tale codice deve individuare, fra cui in particolare “le regole di correttezza e di non discriminazione nei confronti degli utenti da osservare anche nella comunicazione e diffusione dei dati, […] applicabili ai trattamenti di dati per finalità giornalistiche o di pubblicazione di articoli, saggi e altre manifestazioni del pensiero anche nell’espressione artistica” e soprattutto “le particolari cautele per la raccolta, la consultazione e la diffusione di documenti concernenti dati idonei a rivelare lo stato di salute, la vita sessuale o rapporti riservati di tipo familiare, identificando casi in cui l’interessato o chi vi abbia interesse è informato dall’utente della prevista diffusione di dati”.

La normativa sulla privacy delega così al codice deontologico larga parte della disciplina a riguardo, e chiude il Capo II del Titolo VII con l’art. 103 che rinvia al d.lgs. 490/1999 per la consultazione dei documenti contenuti negli Archivi di Stato.

Di particolare importanza anche l’art. 98, che qualifica come di rilevante interesse pubblico il trattamento dei dati per scopi storici, legittimandone così l’ostensione in tutti i casi previsti dalla legge. Gli articoli del codice deontologico che si occupano dell’accesso ai documenti e della loro fruibilità sono invece il 10 e l’11. Va prima di tutto sottolineato che l’art. 10 disciplina l’accesso agli archivi pubblici in generale mentre sembra doversi ritenere, in virtù di un’espressa disposizione di legge, che l’accesso agli Archivi di Stato rimanga assoggettato all’art. 107 del d.lgs. 490/1999, con i relativi criteri per la consultazione e la diffusione dei documenti ivi contenuti. Come già detto comunque, l’art. 10 richiama le formulazione dell’art. 27 del d.p.r. 1409/63 come modificato dal d.lgs. 281/99. L’accesso agli archivi pubblici è quindi libero. Fanno eccezione i documenti di carattere riservato relativi alla politica interna ed estera dello Stato che divengono consultabili cinquanta anni dopo la loro data e quelli contenenti i dati di cui agli art. 22 e 24 della legge n. 675/1996, che divengono liberamente consultabili quaranta anni dopo la loro data, mentre il termine è di settanta anni se i dati sono idonei a rivelare lo stato di salute o la vita sessuale oppure rapporti riservati di tipo familiare. Inoltre, l’autorizzazione alla consultazione dei documenti di cui al comma 2 può essere rilasciata prima della scadenza dei termini dal Ministro dell’interno, previo parere del direttore dell’Archivio di Stato o del sovrintendente archivistico competenti e udita la Commissione per le questioni inerenti alla consultabilità degli atti di archivio riservati istituita presso il Ministero dell’interno, secondo la procedura dettata dagli artt. 8 e 9 del decreto legislativo n. 281/1999.

Di particolare importanza anche il 1° comma dell’art. 11, che sancisce il rango costituzionale, nell’ambito della sfera della libertà di parola e di manifestazione del pensiero, del diritto dell’utente di tali dati a fornirne una libera interpretazione, nel rispetto diritto alla riservatezza, del diritto all’identità personale e della dignità degli interessati.

Comments(0)

Privacy in Europa: Guida al sistema d’emergenza eCall sulle auto

http://www.key4biz.it/

In vista dell’implementazione del sistema eCall, un servizio paneuropeo di chiamata d’emergenza a bordo dei veicoli, il gruppo europeo dei Garanti Privacy ha elaborato una serie di linee guida per tutelare la riservatezza delle molteplici informazioni personali che gli utenti dovranno fornire per la riuscita del progetto. Il sistema eCall - che si iscrive nel quadro dell’iniziativa eSafety – entrerà in vigore dal 1° settembre 2010 e, in caso di incidente, consentirà al dispositivo a bordo dell’automobile di eseguire una chiamata di emergenza trasmettendo i dati direttamente alla centrale del 112 (numero di emergenza europeo) competente.

Il sistema può essere attivato manualmente ma, in caso di incidente grave, la chiamata è inoltrata automaticamente, fornendo informazioni accurate - ora, localizzazione del veicolo e direzione di guida sulla base del sistema GPS, identificativo del veicolo, indicatore della gravità dell’incidente - per accelerare l’intervento dei servizi di soccorso.

Sulla base di accordi specifici tra il proprietario del veicolo e soggetti terzi come le compagnie assicurative, officine o enti previdenziali, è inoltre possibile, inviare un set ulteriore di informazioni (Full Data Set). I principi fondamentali alla base del sistema sono stati fissati da un Memorandum d’Intesa fra la Commissione europea, le case produttrici di automobili e gli Stati membri della Ue. Si calcola che l’implementazione del sistema eCall sulle vetture permetterà di dimezzare i tempi di intervento a seguito degli incidenti stradali, riducendo i decessi da essi causati dal 5 al 10%.

Il progetto ha dunque una valenza sociale molto alta, ma – dicono i Garanti Ue – la sua attuazione, “in considerazione delle molteplici implicazioni relative alla protezione dei dati personali degli utenti e dei proprietari coinvolti…non può comportare una riduzione delle garanzie fissate nella Direttiva europea sulla protezione dei dati e nelle leggi nazionali in materia”.

Così come è configurato, il sistema eCall non presenta divergenze con la direttiva sulla protezione dei dati, innanzitutto perchè presuppone la chiara indicazione della titolarità del trattamento dei dati trasmessi (il servizio pubblico cui faranno capo le chiamate provenienti dai veicoli) e per il fatto che il veicolo non è tracciato dal sistema GPS in maniera continua. Le ultime tre posizioni rilevate per localizzare il veicolo sono infatti inviate al 112 soltanto in caso di incidente, mentre le altre non vengono memorizzate in alcun database.

Giudicato positivamente dai garanti anche il fatto che la configurazione del sistema non sarà obbligatoria ma volontaria: le case produttrici non dovranno dunque integrare per forza eCall sulle nuove automobili, lasciando l’utente libero di utilizzare o meno il sistema.

Il Gruppo ritiene tuttavia che ci siano dei punti da potenziare per migliorare la tutela della privacy.

Indipendentemente dalla configurazione volontaria o meno dell’installazione, il proprietario del veicolo o chi lo sta guidando deve avere la possibilità di attivare o disattivare il sistema in modo semplice e chiaro.

Non si può dunque “prescindere dal requisito del consenso ai fini dell’utilizzazione del sistema”, dicono i garanti.

In caso l’utente decida di usare il Full Data Set - di inviare quindi notizie aggiuntive a soggetti terzi - devono essere previste maggiori garanzie, nel rispetto dei principi di proporzionalità e pertinenza del trattamento.

“In particolare – spiegano i garanti - devono essere comunicate solo le informazioni strettamente necessarie per le sole finalità che gli specifici soggetti terzi perseguono”. Infine bisogna stabilire ulteriori garanzie nel caso in cui, magari per ragioni tecniche, fosse prevista l’installazione obbligatoria del dispositivo eCall sui veicoli europei anche, concludono i garanti, “per evitare forme indebite di sorveglianza degli utenti e trattamenti ulteriori dei dati generati dal sistema”.

Il numero di emergenza 112 è disponibile in tutti gli Stati membri. Tuttavia, il sistema di risposta e di gestione delle chiamate (PSAP) è operativo in soli 15 Stati membri, mentre negli altri 10 sono presenti carenze in ambito linguistico e/o organizzativo. Inoltre, sono soltanto 10 gli Stati membri che hanno completato il processo di ubicazione del chiamante (E112) e che hanno attivato in modo adeguato l’informazione e la promozione del 112. L’Italia non è fra questi e a ottobre la Commissione ha inviato al nostro Paese un parere motivato, a seguito di una prima comunicazione voluta espressamente dal Commissario Viviane Reding, che ha spiegato che il numero unico di emergenza 112 è “un servizio molto importante per i cittadini dell’Unione”, dal momento che “la possibilità di localizzare chi effettua le chiamate d’emergenza permette di salvare delle vite”.

In base ai dati del Parlamento europeo, il servizio eCall, potrebbe salvare fino a 2.500 vite ogni anno e comportare una riduzione della gravità delle ferite anche del 15%. Il sistema, infatti, potrebbe consentire di ridurre i tempi di reazione agli incidenti del 40% circa nelle aree urbane e del 50% circa nelle zone rurali. Il commissario Reding ha dunque invitato gli Stati membri a “non ritardare ulteriormente i cambiamenti necessari affinché queste procedure, come altre azioni in corso, vengano chiuse”.

Nel frattempo, il Senatore Roberto Manzione ha presentato un’interrogazione al Governo, chiedendo di conoscere gli interventi previsti per la realizzazione della prima centrale operativa unica italiana del 112 a Salerno.

Il progetto, che prevedeva l’estensione del progetto alle province di Palermo e Catanzaro e per il quale è stato ottenuto dal CIPE un finanziamento di 9,7 milioni di euro complessivi, già in fase avanzata di attuazione, si è infatti arenato e Manzione chiede al Presidente del Consiglio e ai Ministri per le riforme e le innovazioni nella pubblica amministrazione e delle comunicazioni di conoscere quale sia il suo destino.

Comments(0)

Si rivolgono al Garante privacy gli ISP

articolo di Dario Bonacina dal sito www.punto-informatico.it

AIIP, l’Associazione Italiana Internet Provider, ha rivolto appello all’Autorità per le Garanzie nelle Comunicazioni, e per conoscenza all’Antitrust, per chiedere l’attuazione di condizioni tecniche ed economiche che favoriscano un regime di vera concorrenza che consenta agli operatori di lavorare secondo criteri paritetici e agli utenti una maggiore libertà di scelta dei fornitori di connettività e servizi correlati.

Il timore è quello che Telecom Italia sia lasciata libera di operare sul mercato in posizione dominante. A questo proposito l’AIIP lancia un richiamo diretto all’Agcom e al suo ruolo istituzionale, ma che riguarda anche tutti gli utenti, che si devono sentire direttamente coinvolti, al pari degli operatori alternativi, in qualità di clienti dell’incumbent.

Come spiega il presidente di AIIP Stefano Quintarelli nel suo blog: “La materia prima, in Italia, è al 98% in mano a Telecom, che vende anche al dettaglio (fa il pane e vende la farina agli altri panettieri). Le regole dicono che il mercato della larga banda si regolamenta all’ingrosso, non al dettaglio. Ciò che viene deciso all’ingrosso determina ciò che accadrà al dettaglio. Prima i prezzi all’ingrosso della farina venivano stabiliti togliendo dai prezzi al pubblico di Telecom i costi evitabili dai concorrenti (spese di commercializzazione, assistenza tecnica, costi di fatturazione, ecc). Con le nuove regole, AGCOM calcola direttamente il costo della farina. Costi della farina alti implicano costi del pane alti. Varietà di farina limitate implicano varietà di pane limitate”.

L’appello fa seguito ad un’altra iniziativa analoga: quasi un anno fa l’AIIP aveva acquistato una pagina del quotidiano romano Il Messaggero, in cui aveva manifestato le proprie preoccupazioni per il provvedimento che Agcom prevedeva di varare per rivedere le proprie competenze in materia di mercato ADSL all’ingrosso. L’associazione dei provider aveva chiesto che Agcom autorizzasse preventivamente (con un anticipo di 60-90 giorni) le offerte broadband di Telecom Italia e di non rinunciare alle sue prerogative di controllo, consentendo all’incumbent - che già deteneva una posizione dominante - di fare “il bello e il cattivo tempo” sul mercato wholesale.

Il nuovo appello di AIIP esprime l’auspicio dell’instaurazione di un regime di libera concorrenza contrario all’attuale monopolio “de facto” e, rivolgendosi ai commissari Agcom, evidenzia alcuni fattori che caratterizzano l’attuale condizione del mercato della banda larga, ossia:

- la quota detenuta da Telecom Italia nella larga banda al dettaglio, la più alta tra i Paesi dell’Europa a 25 (con l’eccezione di Lussemburgo, Slovenia, Portogallo e Cipro, dati CoCom2006),

- i prezzi praticati in Italia, più alti degli altri paesi europei, che scoraggiano i consumatori e che, insieme alla copertura limitata contribuiscono a rendere l’Italia la “maglia nera” europea per diffusione del broadband;

- il provvedimento dell’Agcom sulla fornitura del servizio di connettività bitstream che rimane, per l’Italia, una grande opportunità ancora da sfruttare.

“AIIP - evidenzia l’associazione - ritiene che per una piena attuazione della lettera e dello spirito della delibera 34/06/CONS, il provvedimento di attuazione che sta per essere finalmente approvato, debba raccogliere le osservazioni degli operatori concorrenti di Telecom Italia. Si rischierebbe, altrimenti, una situazione di mercato ancora peggiore dell’attuale a danno degli operatori e degli utenti italiani di Internet”.

Quintarelli spiega quindi le richieste di AIIP, in sintesi:

- costi della materia prima da stabilire usando anche i costi già approvati da Agcom e non fatti tutti ex novo;

- costi della materia prima basati su una contabilità chiamata regolatoria che dovrà prendere in esame i prezzi di mercato (”l’ultima contabilità regolatoria certificata da società di revisione - precisa Quintarelli - mi risulta risalga al 2001 e quindi non è adatta per fare i conti sei anni dopo”);

- specifiche tecniche della fornitura stabilite a priori in dettaglio, e definizioni di penali in caso di non rispondenza con le specifiche prestabilite;

- sulle linee “solo dati” si stabilisca un canone che remuneri solo la manutenzione, non gli utili persi rispetto al canone di una linea tradizionale;

- inibizione delle pratiche commerciali che sfavoriscono l’innovazione (sconti sui servizi obsoleti e maggiorazioni sui servizi nuovi che usano la stessa materia prima);

- offerte troppo scontate da parte di Telecom Italia, non replicabili da altri operatori, devono essere bloccate fino a quando l’incumbent non formulerà offerte in grado di ristabilire la concorrenza;

- i prezzi delle offerte all’ingrosso di Telecom siano inferiori alla corrispondente offerta al dettaglio.

 

Comments(0)

Garante privacy: ispezioni in corso

Proseguono le ispezioni del Garante privacye sui gestori telefonici per accertare la messa in sicurezza dei dati di traffico e dei tabulati.

Gli accertamenti in corso riguardano innanzitutto la raccolta, l’uso e la conservazione dei dati di traffico da parte delle compagnie telefoniche. Oltre che volta ad una verifica del rispetto delle norme e dell’effettiva messa in sicurezza dei dati riguardanti gli abbonati e gli utenti del servizio telefonico fisso e mobile, l’attività ispettiva è finalizzata alla acquisizione di elementi utili in vista della adozione del provvedimento, previsto dal Codice della privacy, (art.132, comma 5) sulla conservazione dei dati di traffico da parte dei gestori telefonici.

Il piano di verifiche programmato prevede una serie di accertamenti anche in altri settori, sia in ambito pubblico che privato. Gli accertamenti riguarderanno, ad esempio, il settore sanitario relativamente ai trattamenti di dati finalizzati alla somministrazione di farmaci e alla fornitura di prestazioni sanitarie. Ma verrà posta  particolare attenzione anche alle informazioni rese agli assistiti sull’uso dei loro dati  per sponsorizzare attività di cura o di ricerca.
 

Comments(0)

Notifiche e privacy, tassativa la busta chiusa e sigillata

Ogni atto, documento, comunicazione o avviso va notificato in busta chiusa e sigillata, lo ha ribadito il Garante a seguito di un reclamo di un dipendente pubblico. Il dipendente, destinatario di una lettera con la quale la sua amministrazione gli contestava alcuni addebiti, si è visto la lettera notificata aperta al padre.

La lettera, pur portando la dicitura “Riservata Amministrativa”, era stata recapitata senza alcuna busta e il vigile urbano che aveva provveduto alla notifica, al momento della consegna al padre, avrebbe espresso considerazioni personali sul contenuto del messaggio. L’Autorità ha subito segnalato la violazione al Comando di Polizia del Comune d’appartenenza dell’interessato, invitandolo ad uniformarsi al Codice della privacy, che dal 2004 ha modificato la normativa in materia di notificazione, e ad utilizzare in futuro modalità più idonee per assicurare il rispetto dei diritti, delle libertà fondamentali e della dignità della persona. Il Comando di polizia municipale ha quindi predisposto tre nuovi modelli per la notifica: un primo modello per la notifica urgente; un secondo con il quale il delegato, al momento della consegna, dichiara di averne ricevuto la notifica in busta chiusa; un terzo modello adesivo, utilizzato per sigillare il contenuto o l’atto da notificare. Va ricordato che se  il dipendente ritenga di aver subito un danno, anche non patrimoniale, derivante dal trattamento di dati personali effettuato per procedere alla notifica, può rivolgersi all’autorità giudiziaria per un eventuale risarcimento.  

 

 

Comments(0)

Symantec privacy e truffe on line, in aumento con il phishing

dal sito www.assodigitale.it 

Preoccupante aumento del fenomeno del Phishing nel mondo: secondo il rapporto Internet Security Threat, realizzato da Symantec, in sei mesi i tentativi di phishing sono aumentati di circa il doppio, causando problemi non di poco conto in tutto il mondo dal momento che ogni messaggio può raggiungere centinaia di migliaia di destinatari. Secondo Symantec, infatti, sono stati inviati più di 157.000 messaggi unici di phishing in tutto il mondo nella prima metà del 2006 e si registra un aumento dell’81% rispetto agli ultimi sei mesi del 2005. “Il crimine organizzato su Internet esiste ed è interessato alle attività di phishing. Cerca di colpire gli utenti a casa, che sono diventati l’anello più debole della catena”, ha detto il ricercatore Ollie Whitehouse. “Per fare questo, setacciano siti di socializzazione e siti personali. Al momento, quasi tutti hanno lasciato un’impronta digitale che può essere sfruttata”, ha aggiunto Whitehouse. A ciò si aggiunge il fatto che i phishers sono diventati sempre più abili e le loro tecniche sempre più sofisticate al punto da superare i filtri antispam e i meccanismi di difesa presenti sui computer degli utenti e delle aziende. “Le nuove minacce online sono molto più maligne, oltre a essere in grado di sfruttare ogni opportunità”, ha dichiarato Enrique Salem, presidente dell´area consumer di Symantec. “Durante i mondiali di calcio circolava una gran quantità di phishing email in cui si chiedeva un´iscrizione in cambio di un biglietto. Ma era solo una truffa, ideata per carpire dati sensibili, nome, password e numero di carta di credito per poi rivenderli, magari dall´altra parte del mondo. Per questo, la metà gli utenti del web non si sente sicura quando invia i propri dati in rete”. “Con il veloce sviluppo di nuove tecnologie, come la banda larga”, ha continuato Salem, “le aziende che si occupano di sicurezza hanno cambiato strategie. Anni fa, agli esordi dell’industria per la sicurezza informatica, la preoccupazione maggiore era quella di proteggere materialmente i computer. Norton Utilities era stato costruito intorno all´idea: Come posso ritrovare i file danneggiati?. Poi sono arrivati i virus. Qualche anno fa, grandi epidemie di virus informatici hanno avuto molta visibilità: erano attacchi di massa, senza un target preciso. Con la banda larga, che ci permette di avere una connessione ininterrotta, il pericolo è molto più indirizzato al furto dei dati personali a scopo di profitto”. Il fatto è , ha concluso Salem, “non abbiamo bisogno solo di proteggere i nostri computer, ma anche le nostre azioni, ciò che facciamo elettronicamente, come ad esempio eseguire online transazioni commerciali. Rappresentano comunque un pericolo anche l´istant messaging o le chat, considerati da molti come un gioco, senza contare le preoccupazioni per quello che possono fare i figli online. Chi c´è dall´altra parte della rete? Potrebbe nascondersi un potenziale predatore, un pedofilo”.

Comments(0)

Passaporti Rfid e privacy, affidabili?

I passaporti elettronici stanno mostrando già le prime crepe, sollevando interrogativi sull’affidabilità e la tutela della privacy. Il Dipartimento di Stato americano ha ammesso che la lettura dei chip RFID nei passaporti mostra una percentuale di errore dal 27% al 43% in più rispetto a prima. Infine il Guardian ha scritto un reportage in cui si dimostra come i dati sensibili oggi siano alla portata di chiunque, grazie alle nuove tecnologie non adeguatamente coperte. I sistemi di cifratura avanzata non proteggono le informazioni sui chip, ma soltanto la lettura dell’Rfid. 

Comments(0)

Accesso ai dati e privacy nella Pubblica Amministrazione

Sintesi di una parte dell’articolo di Lorenzo Alfredo sul sito www.diritto.it

Trasparenza dell’attività amministrativa e privacy, D.LGS. 196/03, costituiscono entrambe, sul piano legislativo, attuazione di principi di rango costituzionale: da un lato i principi di imparzialità e di buon andamento della pubblica amministrazione, il diritto all’informazione, il diritto alla libera manifestazione del pensiero; dall’altro i principi di eguaglianza e di non discriminazione, e il diritto alla riservatezza.

RAPPORTO TRA DIRITTO DI ACCESSO E TUTELA DEI DATI PERSONALI.

Art. 24, 2° comma, lettera d), della legge 7 agosto 1990, n. 241 inseriva la riservatezza di terzi, persone, gruppi ed imprese tra le aree che l’esecutivo era chiamato a salvaguardare, tolto il caso in cui la stessa fosse di intralcio alla cura o alla difesa di interessi giuridici.

L. 241 si prefiggesse il fine di ribaltare il rapporto tra segretezza e pubblicità dell’azione amministrativa, consentendo al privato di partecipare attivamente al procedimento amministrativo e di contribuire a promuovere e ad assicurare l’imparzialità e il buon andamento dell’azione amministrativa. Tutto ciò sarebbe stato realizzato mediante la partecipazione dei privati al procedimento e il diritto di accesso ai documenti posseduti dall’amministrazione.

Normativa privacy prevede che restino ferme, in quanto compatibili, le norme in materia di accesso ai documenti amministrativi (contemperare dunque).

Contemporanea esistenza di due differenti modi di tutela, il primo contenuto nella legge privacy che offriva una protezione generalizzata della riservatezza, il secondo di carattere eccezionale nella legge 241/90, che consentiva il superamento del diritto alla privacy di fronte al diritto di difesa, mentre la legge privacy  stabiliva a sua volta una graduazione dei livelli di tutela da una soglia minima inerente i cd. dati personali a una soglia massima di inaccessibilità inerente i cd. dati sensibili. Abbattuta la vecchia barriera della generale segretezza dell’azione amministrativa, un’altra se ne era alzata questa volta a tutela della sfera individuale dei privati.

Come interpretare ora l’art. 24, 2° comma, lettera d) davanti alle differenti ipotesi che un documento contenga dati personali o dati sensibili?

Per quanto riguarda i primi, l’art. 27, 3° comma, della L. 675/96 stabiliva che i dati personali potessero essere comunicati e diffusi da parte di soggetti pubblici a privati o a enti pubblici economici soltanto nelle ipotesi previste da norme di legge o di regolamento. E’ stato a proposito osservato che sulla base di questa riserva di legge nell’area dei dati personali non ritenuti sensibili avrebbero dovuto continuare ad essere operativi i principi in materia di accesso definiti dalla 241/90 e dal D.P.R. 352/92, e questo perché tali principi ben potevano rientrare in tale riserva, essendo contenuti proprio all’interno di norme rispettivamente di rango primario e secondario.

Questa interpretazione ha avuto come logica conseguenza che l’eccezione contenuta nell’art. 27 della 675/96, è divenuta la regola in materia di accesso agli atti in virtù del fatto che è una legge a stabilire che tutti gli atti siano conoscibili salvo eccezioni e che in difetto di un’espressa sottrazione di particolari categorie se ne deve consentire la conoscibilità da parte dei soggetti privati.

Diverso discorso meritava il caso dei cd. dati sensibili. L’art. 22 della L. 675/96 disponeva infatti che fosse la legge ad individuare i dati che potessero essere trattati e quali operazioni fossero consentite per tali fini, escludendo innanzitutto le fonti secondarie, e richiedendo che tale legge individuasse le rilevanti finalità di interesse pubblico da perseguire mediante l’autorizzazione all’accesso. Orbene, elementi di questo genere non erano riscontrabili né nel Capo V della L. 241/90, né nel regolamento di attuazione, il D.p.r. 352/92.

La dottrina concludeva perciò che i documenti amministrativi contenenti dati sensibili erano sottratti sempre alla possibilità di essere conosciuti da terzi, anche quando la conoscenza del loro contenuto fosse stata in ipotesi l’unica via per esercitare il diritto di difesa.

Adunanza Plenaria del Consiglio di Stato, n. 5 del 1997: il supremo consesso della giustizia amministrativa stabilì che l’accesso ai dati cd. personali non sensibili dovesse essere consentito nella sola forma della visione, di per sé ritenuta in grado di effettuare un bilanciamento tra i due opposti interessi, consentendo la cura o la difesa degli interessi giuridici sottesi all’istanza di ostensione , ma impedendo la divulgazione dei relativi dati (cd. tutela modale).

IL D.LGS. 196/03 E LA L. 15/05

L’assetto complessivo della normativa non ha subito modificazioni significative con l’approvazione del d.lgs. n. 196 del 2003, anche in virtù anche del mantenimento del rinvio alla l. 241/90 contenuto nell’ art. 59.
Il nuovo decreto legislativo sulla privacy ha però introdotto nuove categorie di dati personali da tutelare: i dati comuni, i dati sensibili, i dati giudiziari e i dati ipersensibili. Relativamente alle prime tre categorie, come è stato già detto, l’art. 59 ha previsto espressamente che ad esse si applichi la disciplina dettata dalla L. 241/90 e successive modifiche.

Il successivo art. 60, ha invece stabilito che in materia di dati ipersersibili “il trattamento è consentito se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi è di rango almeno pari ai diritti dell’interessato, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile”.

Questa norma è stata interpretata dalla giurisprudenza come un’attribuzione all’amministrazione del potere discrezionale di valutare se la posizione soggettiva dell’istante sia o meno di rango uguale o superiore a quella concessa dall’art. 60 del d.lgs 196/03 ai dati cd. ipersensibili. Com’è ovvio, tale valutazione discrezionale della P.A. sarebbe successivamente impugnabile davanti al giudice competente, il quale avrebbe il compito di valutare nel merito se la P.A. abbia o meno effettuato un bilanciamento degli opposti interessi non in astratto ma in concreto, e nel caso sostituirsi ad essa in tale valutazione.

Il completamento dell’odierno panorama legislativo è avvenuto prima con l’entrata in vigore della L. 11 febbraio 2005, n. 15, e poi del D.L. 14 marzo 2005, n. 35, convertito dalla Legge 14 maggio 2005, n. 80. Con essi l’istituto dell’accesso ai documenti amministrativi ha subìto una completa rivisitazione finalizzata anche al coordinamento dell’istituto dell’accesso con la riforma del Titolo V della Costituzione e con il d.lgs 30 giugno 2003, n. 196.

Con particolare riferimento a quest’ultimo è stata inserita la norma contenuta all’art. 22, 4° comma, in base alla quale “non sono accessibili le informazioni in possesso di una pubblica amministrazione che non abbiano forma di documento amministrativo”. Essa però fa salve le previsione contenute dal codice della privacy in materia di accesso. In questo modo si sono voluti tenere distinti gli ambiti di applicazione delle due leggi perché, mentre la L. 241/90 novellata si preoccupa di disciplinare l’accesso ai documenti amministrativi, alla nozione dei quali bisogna quindi richiamarsi, il codice della privacy si preoccupa di tutelare i dati personali, siano essi o no contenuti in documenti amministrativi.

Altra norma cruciale nei rapporti tra accesso è privacy all’interno della 241/90 novellata è l’art. 24, 7° comma, il quale dispone che “nel caso di documenti contenenti dati sensibili e giudiziari, l’accesso è consentito nei limiti in cui sia strettamente indispensabile e nei termini previsti dall’articolo 60 del decreto legislativo 30 giugno 2003, n. 196, in caso di dati idonei a rivelare lo stato di salute e la vita sessuale” imponendo così all’amministrazione, questa volta a livello normativo e non più giurisprudenziale, di valutare il rango del diritto che si intende tutelare fornendo così un criterio con cui risolvere i potenziali conflitti.

LA LEGITTIMAZIONE A RICHIEDERE L’ACCESSO AGLI ATTI

Per ciò che riguarda l’area dei legittimati a richiedere e ad ottenere l’accesso agli atti è necessario tenere a mente che ai sensi dell’art. 22 come novellato dalla L. 15/2005 al 1° comma, lettera b), definisce interessati “tutti i soggetti privati, compresi quelli portatori di interessi pubblici o diffusi, che abbiano un interesse diretto, concreto e attuale, corrispondente ad una situazione giuridicamente tutelata e collegata al documento al quale è chiesto l’accesso”.

Con la riforma, perché si abbia legittimazione all’accesso, è stato reso necessario che l’interessato sia titolare di una posizione avente il carattere dell’attualità, e che il documento di cui si chiede l’ostensione sia collegato a tale posizione soggettiva, con consistenti ricadute sull’obbligo di motivazione della richiesta di accesso da parte dell’interessato, dato che mentre nella vigenza del vecchio testo era ritenuto sufficiente indicare soltanto l’interesse e le finalità che si intendevano perseguire, sembra ora di potersi dire che per poter legittimamente accedere ad un documento amministrativo sia necessario poter vantare anche i requisiti per ricorrere in sede giurisdizionale.

Ma ciò che interessa è l’introduzione alla lettera c) del 1° comma dell’art. 22[27] della figura dei controinteressati alla domanda di accesso, qualificati come “tutti i soggetti, […], che dall’esercizio dell’accesso vedrebbero compromesso il loro diritto alla riservatezza”.

Anche per risolvere i problemi collegati alla definizione dei confini tra accesso e riservatezza posti da quest’ultima norma, sono state previste forme di consultazione istituzionale tra Garante e Commissione per l’accesso al fine di circoscrivere i margini di discrezionalità che il d.lgs. 196/2003 gli concede nella verifica della rilevanza dell’interesse pubblico al trattamento dei dati. Questo avviene mediante la richiesta di pareri obbligatori non vincolanti tra la Commissione e il Garante a seconda che ad una delle due sia stato presentato ricorso per questioni che coinvolgono il diritto all’accesso, e la riservatezza dei “controinteressati”.

Infatti “se l’accesso è negato o differito per motivi inerenti ai dati personali che si riferiscono a soggetti terzi, la Commissione provvede, sentito il Garante per la protezione dei dati personali, il quale si pronuncia entro il termine di dieci giorni dalla richiesta, decorso inutilmente il quale il parere si intende reso”, mentre qualora un procedimento davanti al Garante “interessi l’accesso ai documenti amministrativi, il Garante per la protezione dei dati personali chiede il parere, obbligatorio e non vincolante, della Commissione per l’accesso ai documenti amministrativi “.

LE TUTELE 

Merita a questo punto ripercorrere le discipline dettate rispettivamente per il procedimento di accesso agli atti (art. 25, 4° comma, l. 241/90) e per la tutela dei dati personali (artt. 145-151, d.lgs 196/03). La prima è stata modificata in più punti dalla L. 15/05, e tra questi vi è il criterio per identificare il difensore civico competente che andrà individuato in quello costituito nell’ambito dello stesso ente territoriale di riferimento, quindi quello comunale avverso il diniego il differimento pronunciati dagli organi comunali, e quelli provinciale e regionale per i corrispondenti provvedimenti emanati da Provincia e Regione, mentre, in ossequio al principio di sussidiarietà verticale, nel caso in cui uno di questi enti non abbia provveduto ad istituire il proprio ufficio del difensore civico, la competenza sarà dell’ufficio istituito presso l’ente territoriale immediatamente superiore. Il difensore civico regionale inoltre si è visto privare del potere di riesame avverso i provvedimenti degli enti periferici dello stato operanti nel territorio regionale, di competenza ora della Commissione per l’accesso.

Sia quest’ultima, che i difensori civici, sono tra l’altro stati assoggettati ad un nuovo termine di 30 giorni per pronunciarsi sui ricorsi a loro presentati, spirato il quale, sul ricorso si formerà il silenzio-rigetto ricorribile in sede giurisdizionale amministrativa. E’ rimasto invece immutato il termine di 30 giorni concesso all’amministrazione cui viene richiesto l’accesso per provvedere a riguardo, ed evitare che operi il silenzio-rigetto, così come è stata conservata l’alternatività della tutela esperibile contro di esso, o in sede giurisdizionale o al difensore civico / commissione per l’accesso.

Analogo principio vale per il ricorso al Garante per la tutela dei dati personali. Stabilisce infatti l’art. 145 del d.lgs. 196/2003 che “I diritti di cui all’articolo 7 possono essere fatti valere dinanzi all’autorità giudiziaria o con ricorso al Garante. Il ricorso al Garante non può essere proposto se, per il medesimo oggetto e tra le stesse parti, è stata già adita l’autorità giudiziaria.

 

La presentazione del ricorso al Garante rende improponibile un’ulteriore domanda dinanzi all’autorità giudiziaria tra le stesse parti e per il medesimo oggetto.”

 

Maggiore attenzione è invece rivolta ai requisiti di forma del ricorso e al procedimento davanti al Garante, dinanzi al quale è prevista l’instaurazione di una vera e propria fase contenziosa ricalcata sulla falsariga dei procedimenti davanti all’autorità giudiziaria, al termine della quale il Garante ha il potere di emanare provvedimenti aventi natura di titolo esecutivo ai sensi del codice di procedura civile.

 

 

 

Comments(0)