Dati personali

Privacy, tessera del tifoso e sicurezza negli stadi

Sulla tessera del tifoso è intervenuto il Garante per la protezione dei dati personali con un apposito provvedimento intitolato “Tessera del tifoso: più garanzia per i supporter“, come si legge in un comunicato stampa del 12 gennaio 2011:

I supporter delle squadre di calcio che aderiscono al programma “tessera del tifoso” devono essere informati in modo chiaro e dettagliato sull’uso dei dati personali forniti al momento della sottoscrizione. Devono inoltre essere messi in condizione di poter scegliere liberamente se autorizzare l’uso di questi dati anche per finalità di marketing e pubblicità.

Il Garante privacy ha fissato precise garanzie per i tifosi che aderiscono al programma “tessera del tifoso” con un provvedimento che tiene conto anche di alcune segnalazioni pervenute all’Autorità e che è stato inviato al Ministero dell’interno, al Coni, alla Figc e alle società sportive che aderiscono al programma. La tessera del tifoso è uno strumento multifunzionale che, oltre a consentire di far parte di una comunità “virtuosa” di tifosi, permette al possessore di fruire di facilitazioni e servizi messi a disposizione dalle società sportive, di seguire la squadra in trasferta nel settore “ospiti”, di accedere agevolmente agli impianti sportivi attraverso i varchi a lettura elettronica.

Ogni tessera rilasciata dalla società al tifoso dopo l’ok della questura, contiene i dati personali del possessore, è contrassegnata da un codice alfanumerico che la identifica in modo univoco e spesso contiene un dispositivo a radiofrequenza (rfid), utilizzato solo per l’accesso agli stadi e “leggibile” ad una distanza non superiore a 10 cm da appositi lettori posizionati presso i tornelli di ingresso.

L’Autorità nel suo provvedimento ha stabilito che le società sportive dovranno migliorare l’informativa da dare ai tifosi, mettendo ben in evidenza i trattamenti di dati che non richiedono il consenso, perché connessi al rilascio della tessera, e quelli che possono essere effettuati solo su base volontaria e con un consenso ad hoc (marketing, profilazione, invio di comunicazioni commerciali). Ai tifosi dovrà infatti essere sempre garantita la possibilità di poter esprimere esplicitamente il loro “no” all’uso dei dati per finalità di marketing.

Nell’informativa dovrà essere inoltre ben specificato che i dati anagrafici dei possessori delle tessera vengono comunicati alle questure allo scopo di verificare l’assenza di provvedimenti (D.a.spo., misure di prevenzione, sentenze di condanna per reati cosiddetti da stadio) che ostacolino il rilascio.

I tifosi, infine, dovranno essere informati sulle caratteristiche dei trattamenti effettuati tramite la tecnologia rfid.

L’Autorità si è comunque riservata approfondimenti in caso di revisioni eventualmente apportate al programma “tessera del tifoso”.

Fabio Bravo

www.fabiobravo.it

Information Society & ICT Law

Privacy e dati personali contenuti nelle sentenze e negli altri provvedimenti emanati dall’autorità giudiziaria e dagli arbitri

Il Garante per la protezione dei dati personali ha reso noto, con un comunicato stampa di oggi, 3 gennaio 2011, di aver emanato un provvedimento generale, in attesa di pubblicazione in Gazzetta Ufficiale e datato 2 dicembre 2010,  contenente le “Linee guida in materia di trattamento di dati personali nella riproduzione di provvedimenti giurisdizionali per finalità di informazione giuridica”.

Come chiarito anche nel Comunicato stampa del Garante,

Le Linee guida, in via di pubblicazione sulla Gazzetta Ufficiale, non si applicano all’attività giornalistica e non incidono sulle norme processuali (non riguardano quindi gli originali delle sentenze e degli altri provvedimenti giurisdizionali, né il loro deposito nelle cancellerie giudiziarie).

Il provvedimento, per la verità, non è innovativo, nel senso che nulla aggiunge rispetto a quanto già previsto dalla vigente normativa.

Appare comunque utile, giacché ha il merito di illustrare in maniera specifica e sistematica tale particolare aspetto della normativa sulla privacy. L’interesse, più che nell’attività giornalistica, è riposto alla diffusione delle sentenze e degli altri provvedimenti rese dalle autorità chiamate ad esercitare la propria giurisdizione nei canali tipici dell’informazione giuridica (banche dati giuridiche, riviste giuridiche, etc.).

Così vengono riassunti, nel comunicato stampa del Garante, i passaggi principali del provvedimento:

Devono essere oscurati, sempre e in ogni caso, i dati dei minori e delle parti nei procedimenti che hanno ad oggetto i rapporti di famiglia e lo stato delle persone (ad es. controversie in materia di matrimonio, filiazione, adozione, abusi familiari, richieste di rettificazione di sesso), anche quando il giudizio si riferisca ad aspetti patrimoniali o economici. Devono, inoltre, essere omessi i dati relativi ad altre persone dai quali si possa desumere, anche indirettamente, l’identità dei soggetti tutelati. I dati vanno oscurati non solo nei provvedimenti riprodotti per esteso, ma anche in quelli diffusi sotto forma di massima o nell’ambito di un elenco.

Oltre a questa forma di tutela assoluta, in tutti gli altri casi chiunque sia interessato (le parti in un giudizio civile o l’imputato in un processo penale, ma anche un testimone o un consulente) può rivolgere un’istanza al giudice, prima della conclusione del processo, con la quale chiede che, in caso di riproduzione del provvedimento per finalità di informazione giuridica, siano oscurati le generalità e ogni altro elemento in grado di identificarlo.

L’istanza deve indicare i “motivi legittimi” che la giustificano: ad es. la delicatezza del caso o la particolare natura dei dati contenuti nel provvedimento (stato di salute, vita sessuale). Se l’istanza è accolta si appone una annotazione sull’originale della sentenza. L’anonimizzazione può essere disposta dal giudice, anche d’ufficio, nei casi in cui la diffusione di informazioni particolarmente delicate possa arrecare conseguenze negative alla vita di relazione o sociale dell’interessato (ad es. in ambito familiare o lavorativo).

Non spetta all’ufficio giudiziario, ma a chi riceve la copia dei provvedimenti con l’annotazione che dispone l’oscuramento delle generalità, provvedere in tal senso ove intenda riprodurli o diffonderli, anche sotto forma di massima, per finalità di informazione giuridica.

Sul sito del Garante è possibile recuperare il testo integrale delle predette Linee guida.

Mi preme sottolineare, in questa sede, una precisazione in materia di arbitrato, ivi contenuta:

5. Il lodo (art. 52, comma 6)

Il comma 6 dell’art. 52 estende le altre disposizioni dell’articolo “anche in caso di deposito del lodo ai sensi dell’art. 825 del codice di procedura civile”.

Si applica, quindi, anche a tale particolare pronuncia, come espressamente previsto dalla disposizione, la procedura di anonimizzazione dei provvedimenti, con le regole poste riguardo alla presentazione della richiesta dall’interessato (comma 1), alla decisione degli arbitri, anche d’ufficio (comma 2), all’apposizione dell’annotazione (comma 3), e al divieto di diffusione (comma 4), oltre che, ovviamente, il divieto ex lege di cui al comma 5.

Poiché il lodo può essere redatto “in uno o più originali” (art. 824 c.p.c.), l’annotazione, ove disposta, va ovviamente riportata su tutti gli originali.

Il Codice aggiunge che “in modo analogo” provvede anche il collegio arbitrale costituito preso la camera arbitrale per i lavori pubblici ai sensi dell’articolo 32 della legge 11 febbraio 1994, n. 109. Tale disposizione deve ritenersi ora applicabile all’arbitrato previsto del d. lg. 12 aprile 2006, n. 163 (“Codice dei contratti pubblici relativi a lavori, servizi e forniture in attuazione delle direttive 2004/17/CE e 2004/18/CE”), che ha abrogato la legge n. 109/1994, e il cui art. 241, nel sostituire l’art. 32, opera espresso riferimento all’art. 825 c.p.c..

Fabio Bravo

www.fabiobravo.it

Information Society & ICT Law

Accesso abusivo ad un sistema informatico o telematico (art. 615 ter c.p.). Ai domiciliari un appuntato della GdF per aver trasferito dati personali di VIP a un giornalista di Panorama (indagato per concorso nel medesimo reato)

Secondo quanto rivelato dagli organi di informazione, un giornalista di Panorama avrebbe attinto dati personali su personaggi famosi (tra cui alcuni componenti della famiglia Agnelli, Antonio Di Pietro, Luigi De Magistris, il giudice Mesiano, Beppe Grillo, Marco Travaglio, Patrizia D’Addario, Gioacchino Genchi), da un appuntato della Guardia di Finanza, accusato di aver effettuato ripetute interrogazioni del sistema informatico delle “Fiamme Gialle”, in violazione dell’art. 615 ter c.p. (Accesso abusivo ad un sistema informatico o telematico).

Come precisa l’articolo citato, il giornalista sarebbe indagato per concorso nel medesimo reato:

Fabio Diani, appuntato della Guardia di Finanza in servizio a Pavia, è stato posto agli arresti domiciliari su ordine del Gip presso il Tribunale di Milano, per una serie di accessi abusivi agli archivi informatici delle Fiamme Gialle, “in violazione dell’articolo 615 ter del codice penale”.

Il finanziere, secondo l’accusa, avrebbe poi passato informazioni riservate al giornalista di “Panorama” Giacomo Amadori, riguardanti una serie di noti personaggi. Amadori, stando a quanto si apprende, ha ricevuto un avviso di garanzia per concorso nello stesso reato: accesso abusivo a sistemi informatici.

La competenza del reato sarebbe stata individuata, dunque, in favore del Tribunale di Milano.

Ricordo il tenore dell’articolo citato:

Art. 615 ter c.p. – Accesso abusivo ad un sistema informatico o telematico

Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.

La pena è della reclusione da uno a cinque anni:

1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;

2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;

3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.

Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanita’ o alla protezione civile o comunque di interesse pubblico, la pena e’, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.

Nel caso previsto dal primo comma il delitto e’ punibile a querela della persona offesa; negli altri casi si procede d’ufficio.

Non v’è menzione delle violazioni relative alla disciplina in materia di protezione dei dati personali (privacy), ad esempio con riferimento all’art. 167 del d.lgs. 196/2003 (Illecito trattamento di dati personali), forse perché non sarebbe stato rinvenuto il nocumento richiesto dalla norma incriminatrice, ma non è detto che, tra i soggetti interessati al trattamento dei dati personali non vi sia chi abbia ricevuto un pregiudizio.

Tale circostanza potrebbe far ipotizzare anche eventuali richieste risarcitorie di tipo civilistico, anche in sede penale tramite costituzione di parte civile, in relazione a quanto previsto dall’art. 15 del Codice della privacy, che va a delinere una responsabilità civilistica di tipo oggettivo (e, comunque, fino al limite del caso fortuito e della forza maggiore) basata sul regime di cui all’art. 2050 c.c.  anche per il risarcimento del danno non patrimoniale.

Una considerazione, che rimane implicita, attiene alle modalità del reperimento delle fonti del giornalismo ed al rapporto tra forze dell’ordine e organi di informazione, che deve essere curato non solo tramite l’apposizione di un corpo normativo, che in realtà già c’è, ma tramite un più serio approccio alla deontologia ed al ricorso ai codici etici, che, per evitare che rimangano lettera norma, vanno veicolati in primo luogo attraverso la formazione e altra attività di sensibilizzazione.

Mi rendo conto che non è la risposta decisiva al problema, ma una delle possibili risposte al problema, le quali mirano a porre in essere azioni di tipo preventivo e contenitivo ai fenomeni in esame, da affiancare a quelle di tipo repressivo, per mano della magistratura ove si ravvisassero concretamente le responsabilità ipotizzate.

Il rapporto tra forze di polizia e giornalismo è un rapporto delicato, che si alimenta reciprocamente, in entrambe le direzioni.

Sul ruolo investigativo del giornalismo a favore dell’attività degli investigatori e degli inquirenti mi sono soffermato con un articolo recente, a proposito dell’esposizione mediatica sul caso di Sarah Scazzi e della famiglia Misseri.

Ora questa vicenda, insieme ad innumerevoli altrei, fornisce l’occasione per meditare sul ruolo informativo delle forze dell’ordine, a favore del giornalismo.

Si creano flussi di informazioni che vanno ricondotti ad equilibrio.

Fabio Bravo

www.fabiobravo.it

Information Society & ICT Law

Accesso non autorizzato dei dipendenti di una banca ai dati relativi al conto del cliente

Un interessante provvedimento del Garante è intervenuto sul caso di una cliente che si è vista produrre in giudizio, ad opera della controparte, dati relativi al proprio conto corrente, che solo lei e il personale della banca avrebbero potuto conoscere.

Ne è nata una contestazione, portata all’attenzione anche del Garante tramite segnalazione.

Il Garante, nell’accertare la violazione, ha imposto non solo adeguate misure di sicurezza, ma ha anche chiarito che la banca è tenuta a dare immediatamente informazione al cliente in ordine all’accesso illecito al trattamento dei dati da parte del proprio personale, rispondendo tale obbligo al principio di correttezza previsto all’art. 11 del Codice della privacy.

Segnatamente, il Garante ha stabilito, nel richiamato provvedimento, che

Deve altresì rilevarsi che la mancata comunicazione alla segnalante dell’accesso non autorizzato alle informazioni personali alla stessa riferibili, una volta accertato mediante le verifiche interne disposte dalla banca, integra una violazione del principio di correttezza nel trattamento (art. 11, comma 1, lett. a) del Codice). Tanto più, tenendo conto del comportamento osservato nel caso di specie nel quale la banca ha inizialmente dichiarato che le indagini aziendali concernenti gli accessi effettuati nei confronti dei conti correnti che facevano capo alla XY “non risulta[va]no direttamente riconducibili all’opera di dipendenti diversi da quelli addetti all’ordinaria e regolare gestione dei rapporti stessi” e che, pertanto, non erano stati riscontrati elementi oggettivi per ritenere che le informazioni utilizzate nell’ambito della controversia giudiziaria in corso provenissero da personale della banca (cfr. nota Intesa SanPaolo del 17 gennaio 2008); affermazioni risultate in seguito non rispondenti ai fatti realmente accaduti.

Tale tempestiva informazione, in termini generali, avrebbe potuto consentire alla correntista l’adozione di appropriate misure e, ove possibile, una minimizzazione dei rischi connessi alla violazione della disciplina di protezione dei dati personali (nel caso di specie preordinata ad assicurare anche il segreto bancario).

Deve ritenersi, pertanto che la banca, una volta acquisita la conoscenza di accessi non autorizzati che riguardano la clientela, sia tenuta a darne notizia senza ritardo agli interessati.

Tale principio, di enorme portata, vale ovviamente per tutti i trattamenti di dati personali, a prescindere dal fatto che il titolare sia o meno un istituto di credito.

In altre parole, l’illiceità del trattamento per violazione del precetto normativo contenuto nell’art. 11 del d.lgs. 196/2003 è duplice: da un lato si riscontra nell’accesso non autorizzato ai dati da parte del personale non legittimato  ad accedervi; dall’altro lato si riscontra nella mancata comunicazione al soggetto interessato dell’illiceità dell’accesso. L’omessa comunicazione, si noti,  impedirebbe all’interessato medesimo di reagire tempestivamente e di contenere il (rischio di) danno.

Nel provvedimento reso dal Garante viene definita, dunque, un’ipotesi di violazione del principio di correttezza del trattamento, il quale, essendo previsto per legge all’art. 11 del Codice, si traduce anche, contemporaneamente, in violazione di legge. Ove il titolare volesse evitare la violazione del principio di correttezza, secondo la prospettazione del Garante, è tenuto ad informare l’interessato (ossia il cliente) della violazione del trattamento (riscontrata, ad esempio, attraverso le indagini interne aziendali, da prevedere come misura di sicurezza).

L’osservanza del principio di correttezza previsto per legge, che così interpretato si traduce nell’obbligo di avvisare l’interessato della violazione, finisce per rappresentare in ultima analisi (e questo è ciò che più sorprende) un’autodenuncia di violazione imposta al titolare del trattamento.    

Per comprendere meglio la fattispecie, riporto di seguito quanto riportato dal Garante per la protezione dei dati personali nella newsletter del 9 settembre 2009:

Banche: dati dei clienti più protetti

Gli accessi non autorizzati devono essere tempestivamente comunicati al titolare del conto

La banca deve proteggere con particolare attenzione i dati della clientela e deve dare immediata notizia al titolare del conto di eventuali accessi ingiustificati, anche se effettuati da propri dipendenti, alle informazioni riguardanti il conto corrente.

È quanto ha stabilito il Garante per la privacy, con un provvedimento di cui è stato relatore Mauro Paissan, affrontando il caso di una signora che lamentava il trattamento illecito dei suoi dati personali da parte della propria banca. Nell’ambito di una causa di separazione, il marito aveva infatti prodotto una memoria contenente informazioni, relative a un conto corrente, che solo la donna stessa o il personale della filiale presso la quale aveva aperto il conto potevano conoscere.

Alla scoperta della violazione, la cliente si era subito rivolta all’istituto di credito per chiedere chi avesse avuto accesso ai dati, comunicandoli poi all’esterno. L’istituto bancario aveva inizialmente negato i fatti e solo in seguito a ulteriori richieste della donna, ammetteva che un dipendente aveva prima consultato senza giustificate “esigenze operative” i conti correnti della segnalante e poi inoltrato i dati a un altro funzionario del gruppo bancario. A causa del loro comportamento, entrambi i lavoratori erano stati temporaneamente sospesi dal lavoro.

La donna si era nel frattempo rivolta anche al Garante. Gli accertamenti dell’Autorità hanno messo in luce che la banca aveva sì adottato misure di sicurezza ma non sufficienti a impedire il trattamento non consentito dei dati del conto corrente. L’istituto di credito, inoltre, pur avendo rilevato l’accesso non autorizzato ai conti della sua cliente, non l’aveva tempestivamente avvertita, con ciò violando il principio di correttezza. La tempestiva informazione avrebbe, infatti, potuto consentire alla correntista perlomeno di ridurre i rischi derivanti dall’indebita divulgazione dei dati del suo conto.

L’Autorità ha prescritto al gruppo bancario di adottare misure di sicurezza idonee a garantire la scrupolosa vigilanza sull’operato degli incaricati, e di sensibilizzare i funzionari al rigoroso rispetto delle norme sulla privacy attraverso attività di formazione. Ha inoltre stabilito che la banca, una volta acquisita la conoscenza di accessi non autorizzati ai dati della clientela, inclusi quelli eventualmente effettuati dai suoi dipendenti, è tenuta a comunicarlo tempestivamente agli interessati.

L’Autorità ha infine disposto la trasmissione del provvedimento alla Procura della Repubblica per le valutazioni di competenza riguardo a eventuali illeciti penali commessi.

Fabio Bravo

www.fabiobravo.it

 

Vendita di dati personali, marketing e social networks

L’incredibile mole di dati personali disponibili presso i social networks, che fine fa?

Il rischio per la violazione della privacy è stato già provocatoriamente messo in evidenza da Le Tigre, con un articolo che ha ben reso l’idea di cosa possa significare raccogliere dati personali altrui su Internet nell’era del web 2.0.

È notizia di oggi che i dati personali ospitati dai social networks rischino seriamente entrare nei circuiti di chi li utilizza in maniera sistematica per il marketing.

Nuova minaccia per la privacy?

Sicuramente.

Secondo la richiamata notizia, diffusa dal Guardian e ripresa da La Stampa («Pronti a vendere i dati degli utenti. I blog si schierano contro Facebook»),

Facebook, il più importante social network a livello mondiale, intenderebbe mettere sul mercato le informazioni che possiede sui suoi 150 milioni di utenti. Le aziende, poi, potrebbero utilizzarle per condurre le loro ricerche di marketing. (…)

Il fenomeno va monitorato e occorre essere pronti a reagire con decisione ove, com’è facile che sia, si travalichino i confini di liceità nel trattamento dei dati personali.

EnglishFrenchGermanItalianPortugueseRussianSpanish

My Projects

      EUPL.IT - Sito italiano interamente dedicato alla EUPL

E-Contract-U

Giornalismo Investigativo - Inchieste e Diritto dell'informazione

My Books

My e-Books