GRUPPO DI LAVORO EX ARTICOLO 29 IN TEMA DI TUTELA DEI DATI PERSONALI 11118/02/IT/def. WP 65 Documento di lavoro sulle liste nere adottato il 3 ottobre 2002 Il Gruppo di lavoro è stato istituito dall’articolo 29 della direttiva 95/46/CE. Si tratta dell’organo indipendente di consulenza dell’UE per la protezione dei dati e della vita privata. I suoi compiti sono stabiliti dall’articolo 30 della direttiva 95/46/CE e dall’articolo 14 della direttiva 97/66/CE. Il servizio di segretariato è fornito da: Commissione Europea, DG Mercato Interno, Unità Libera circolazione delle informazioni e protezione dei dati, B-1049 Bruxelles - Belgio - Ufficio C100-6/136 Linea diretta (32-2) 299 27 19. Centralino: 299 11 11. Fax: (32-2) 296 80 10. Indirizzo internet: http://europa.eu.int/comm/privacy LISTE NERE Il GRUPPO DI LAVORO PER LA TUTELA DELLE PERSONE PER QUANTO RIGUARDA IL TRATTAMENTO DEI DATI PERSONALI istituito dalla direttiva 95/46/CE del 24 ottobre 1955 del Parlamento Europeo e del Consiglio1, visti l’articolo 29 e l’articolo 30, paragrafo 1, lettera a) e paragrafo 3 della direttiva, visto il proprio regolamento interno, in particolare gli articoli 12 e 14, ha adottato il presente documento di lavoro: Il Gruppo di lavoro ricorda anzitutto che il diritto della persona di proteggere i propri dati personali è un diritto fondamentale sancito dall’articolo 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, riconosciuto dalla Carta dei diritti fondamentali dell’Unione Europea e sviluppato nell’ambito delle direttive 95/46/CE e 97/66/CE relative alla tutela dei dati personali. Il diritto fondamentale alla tutela dei dati, quale diritto indipendente e autonomo dal diritto alla vita privata e dal diritto alla riservatezza delle comunicazioni, rappresenta per la nostra società un punto di partenza e un elemento innovativo. L’esigenza di trovare il giusto equilibrio tra questo ed altri diritti fondamentali da un lato e l’insieme degli interessi pubblici e privati legittimi con ripercussioni individuali e generali dall’altro, in concomitanza con i progressi tecnici dell’importanza e della portata di cui siamo testimoni grazie ai quali è divenuto possibile diffondere, conservare e trattare quantità enormi d’informazioni in tempi brevi e a costi trascurabili, esige che si tenga conto di un aspetto assai importante delle condizioni in cui si trova un elevato numero di cittadini in circostanze che possono generare conflitti (in teoria tutti indesiderati) nel corso di operazioni commerciali, finanziarie, professionali o private. L’inserimento di dati riguardanti le persone in banche dati in cui esse sono identificate in connessione a situazioni o a fatti specifici costituisce un’intrusione. Il fenomeno, sempre più comune, è noto con il nome di “liste nere”. Tali liste nere non si prestano facilmente a una definizione in quanto, a prescindere dalla difficoltà di definire in modo uniforme il concetto e la natura delle stesse, è necessario considerare anche le differenze causate dalle diverse normative e tradizioni giuridiche e costituzionali di ciascuno Stato membro2. 1 La Gazzetta Ufficiale L 281 del 23.11.1995, pag. 31, può essere consultata all’indirizzo internet: http://europa.eu.int/comm/internal_market/en/dataprot/index.htm 2 È da notare che in alcuni Stati membri la normativa sulla protezione dei dati è applicabile anche alle persone legali. 2 Impostando in modo generale la ricerca di un possibile concetto di base, una “lista nera” può definirsi come la raccolta e la diffusione d’informazioni specifiche relative a un gruppo di persone, compilata in base a criteri particolari dettati dal tipo di lista nera in questione. In genere ciò implica effetti negativi sulle persone in essa registrate e può avere effetti discriminanti per esse, impedendo loro l’accesso a determinati servizi o ledendone la reputazione. In considerazione del fatto che qualsiasi operazione od insieme di operazioni sui dati personali costituisce, indipendentemente dal fatto che avvenga con procedure automatizzate o no, un trattamento dei dati personali soggetto alle disposizioni della direttiva 95/46/CE, e quindi alle rispettive norme di recepimento dei vari Stati membri, per essere legali le liste nere devono risultare conformi ai principi di legittimità definiti dalla direttiva e rispettare i diritti che essa conferisce ai cittadini, fatti salvi i casi in cui esse rientrino in una delle eccezioni previste dalla direttiva stessa. Il presente documento è stato elaborato basandosi su informazioni fornite dalle autorità di controllo degli Stati membri dell’Unione Europea nel corso di consultazioni interne tra i membri del gruppo di lavoro ex articolo 29, il quale ha repertoriato le principali categorie o tipologie di liste nere e le loro principali caratteristiche. Il lavoro di consultazione ha rilevato la diffusione di alcuni tipi di liste nere, come registri di debiti o di reati oppure elenchi riguardanti la prevenzione delle frodi, che possiedono una certa base giuridica nell’ambito delle diverse normative nazionali. Esistono altri tipi di “liste nere”, meno diffuse delle precedenti, per le quali le normative in materia sono tutt’altro che uniformi. Le principali riguardano le infrazioni amministrative, le scorrettezze professionali, i registri o gli archivi di lavoratori in cui sono contenute informazioni su specifici comportamenti personali che taluni settori sociali ritengono inadeguati. Registro dei debitori e dei servizi di informazione sul solvibilità e credito Questo tipo di archivi rappresenta probabilmente la lista nera che più spesso interessa un elevato numero di cittadini ed è presente in tutti gli Stato membri. Il trattamento dei dati personali contenuti in questi archivi provoca un elevato numero di reclami indirizzati alle autorità europee di controllo della protezione dei dati. Per quanto riguarda questi registri bisogna anzitutto ricordare che tutti gli Stati membri possiedono normative di vario tipo in materia. In alcuni casi tali normative rientrano nel novero delle normative per il recepimento della direttiva 95/46/CE, in altri casi s’inscrivono tra le normative del settore commerciale o finanziario. Il presente documento non intende valutare né giudicare la legittimità di tali archivi che, come già detto, possiedono una base giuridica negli Stati membri, ma si prefigge piuttosto lo scopo di analizzare il modo in cui essi sono realizzati ed operano nella prassi. La creazione di tali archivi comporta una serie di consultazioni tra diverse imprese volte a raccogliere, in genere attraverso un organismo centrale, informazioni sui clienti, con conseguenze dirette e significative sulle condizioni commerciali e di fornitura dei servizi. La disciplina giuridica di tali liste si basa sulla necessità delle imprese di possedere informazioni che consentano di valutare i rischi connessi alla fornitura di beni o di servizi a credito, in modo da conferire stabilità ed ordine alle operazioni commerciali. 3 È necessario operare una netta distinzione tra le registrazioni che riguardano le informazioni sulla solvibilità e i crediti, e quelle che forniscono informazioni sulle violazioni delle obbligazioni pecuniarie. Le prime servono a valutare le possibilità economiche e finanziarie di una persona di assumersi futuri impegni in relazione ad un credito. Le seconde raccolgono dati sull’adempimento o la violazione delle obbligazioni pecuniarie nell’intento di stabilire se una persona non ha rispettato impegni precedentemente assunti, con un inevitabile giudizio negativo in vista di un ulteriore credito. Gli archivi che contengono una registrazione positiva dei pagamenti effettuati da una persona (vietati in alcuni Stati membri in considerazione del fatto che un debitore il quale abbia rispettato i propri impegni non costituisce un rischio per la stabilità del sistema finanziario e che in linea di massima la trasmissione di tale informazione non è necessaria ai fini di buone relazioni contrattuali tra le parti), inclusa la registrazione di tali dati in archivi comuni, dovrebbero avere la propria base in normative che autorizzano tale procedura (per esempio consentendo alle autorità finanziare competenti di valutare il rischio generale assunto dalle società finanziarie) o nel consenso libero, inequivocabile, specifico ed informato della persona interessata. Tali archivi sono qui menzionati poiché è necessario tenere presente che l’impiego diffuso di questi archivi positivi, che a differenza delle liste nere non hanno lo scopo di stigmatizzare un gruppo di persone, potrebbe comunque avere lo stesso effetto di una discriminazione positiva (chi figura nell’elenco è buono, chi non vi figura è cattivo, o quanto meno sospetto). Un’ulteriore distinzione deve essere fatta tra due tipi di archivi che riguardano le violazioni delle obbligazioni pecuniarie. Il primo tipo è un archivio del creditore, in cui sono registrati tutti i pagamenti effettuati da un debitore, che trae origine dalle relazioni contrattuali tra creditore e debitore. Il secondo tipo, chiamato archivio comune, attribuisce la responsabilità del trattamento dei dati ad un organismo che fornisce informazioni sulla solvibilità e i crediti e riceve informazioni dai creditori. Tali archivi sono noti anche con il nome di “archivi dei crediti inesigibili”. In genere un certo numero di organismi (a volte appartenenti allo stesso settore, a volte operanti in una serie di settori) conclude un accordo con un terzo al quale s’impegnano a comunicare le informazioni sui propri clienti che hanno debiti insoluti; tali informazioni sono quindi inserite nell’archivio comune dei debitori che il responsabile del trattamento mette a disposizioni delle parti all’accordo onde valutare le diverse opzioni di credito disponibili. Questi archivi, di particolare importanza in quanto in essi sono condivise e centralizzate informazioni l’accesso alle quali è regolato dagli organismi e dalle società partecipanti, rappresentano vere e proprie liste nere di persone che in un dato momento non hanno assolto i propri impegni finanziari. La legittimità dell’inserimento delle informazioni in tali archivi deve fondarsi sulla presenza di clausole contrattuali specifiche che autorizzano il creditore a comunicare dati sul debito ad un archivio comune ovvero (e 4 questo è un aspetto d’importanza cruciale) sull’interesse legittimo del responsabile del trattamento di sapere se chi richiede un credito sia registrato per mancati pagamenti. È appunto tale interesse legittimo di tutelare il sistema finanziario e la sua stabilità che giustifica la trasmissione di queste informazioni a terzi. Poiché comporta pesanti conseguenze negative per la persona interessata tale pratica deve tener peraltro conto dei principi della direttiva e disporre provvedimenti di garanzia dei diritti legittimi della persona interessata. Per mantenere un equilibrio tra gli interessi è necessario che la diffusione di dati che possono avere effetti negativi per gli interessati sia sottoposta a una serie di prescrizioni ed ai provvedimenti di tutela prescritti dalla direttiva e dalle normative degli Stati Membri. a) Occorre innanzitutto rispettare i principi dell’articolo 6 della direttiva relativi alla qualità dei dati. Ciò significa sostanzialmente che un debito registrato è affettivamente rimasto impagato e che il debitore interessato ha ricevuto un sollecito di pagamento. Le informazioni contenute nell’archivio devono essere esatte e aggiornate. A tal fine il fatto di conservare o cancellare la registrazione su un debito una volta che questo è stato pagato acquista un’enorme importanza. A questo proposito, ferma restando la necessità di stabilire un criterio sul limite di tempo in cui i dati negativi rimangono archiviati, va rilevato che manca un accordo unanime sulla durata di tale periodo e che i vari Stati membri hanno affrontato la questione in vari modi. In alcuni Stati la registrazione del debito non può essere conservata dopo il pagamento, anche se questo ha luogo in ritardo. In altri paesi l’informazione può invece restare archiviata per un periodo massimo che varia da un paese all’altro3. Indipendentemente da tali divergenze, è chiaro che il principio dell’aggiornamento delle informazioni comporta l’obbligo d’indicare chiaramente il fatto che il debito è stato pagato anche se l’informazione circa i mancati pagamenti rimane in archivio oltre la data del pagamento. b) A norma dell’articolo 11 della direttiva gli interessati, giacché non sono loro a fornire le informazioni sul debito registrate nell’archivio comune, vanno informati al momento stesso dell’introduzione dei loro dati personali nell’archivio. Affinché le informazioni archiviate siano corrette occorre prendere ogni provvedimento per garantire che la persona interessata riceva tale notifica. In tal modo s’intende tutelare il diritto degli interessati a difendersi nonché evitare errori (relativi ad esempio all’identificazione della persona interessata od alla registrazione di debiti che non vengono pagati perché si ha contestazione circa l’importo in questione o la qualità del servizio fornito). c) Un altro aspetto d’importanza capitale è la necessità di garantire il pieno diritto dei cittadini di accedere agli archivi e quello di rettificare o cancellare le informazioni 3 In alcuni casi il periodo di conservazione dipende dagli accordi contrattuali tra il creditore e il debitore sebbene non possa superare il termine massimo stabilito dagli accordi. 5 ivi contenute nel caso siano errate o contengano dati che non dovrebbero figurare nell’archivio. Il fatto di ostruire o negare tali diritti (per esempio indirizzando i cittadini sono indirizzati a una serie di diversi responsabili del trattamento o presentando informazioni incomprensibili) rappresenta un comportamento inaccettabile che offusca la trasparenza degli archivi e ne intralcia il funzionamento. Bisogna quindi che nella notifica sull’immissione di dati personali di un cittadino sia specificato un solo interlocutore incaricato di fornire tutte le informazioni necessarie e di operare per la tutela dei diritti dei cittadini. d) Un altro aspetto importante di questo tipo di archivi riguarda le decisioni individuali automatizzate di cui all’articolo 15 della direttiva. Considerata la diffusione nelle società finanziarie di programmi informatici per valutare la capacità di credito di una persona (credit scoring) è assolutamente indispensabile osservare le disposizioni dell’articolo 15, il quale salvaguarda il diritto di una persona a non essere sottoposta a tali decisioni salvo che nei casi previsti dalla legge, a meno che la decisione non sia presa su richiesta della persona interessata nel contesto della conclusione o dell’esecuzione di un contratto ovvero che non esistano provvedimenti adeguati (quale ad esempio la possibilità di far valere il proprio punto di vista) atti a salvaguardare il suo interesse legittimo. Per quanto riguarda tali decisioni è altresì da ricordare l’articolo 12 della direttiva che stabilisce il diritto dei cittadini a conoscere la logica applicata nei trattamenti automatizzati da cui dipendono queste decisioni. Reati L’articolo 8, paragrafi 5 e 6 della direttiva 95/46/CE menziona il trattamento di dati relativi a reati e condanne penali4 e stabilisce che in generale può aver luogo solo sotto il controllo dell’autorità pubblica, fatte salve le deroghe che gli Stati membri possono stabilire disponendo garanzie per un’adeguata tutela dei diritti fondamentali dei cittadini e che devono essere notificate alla Commissione europea. La legittimità di trattare questo tipo di archivi, contenenti informazioni sui reati, si basa sul dovere delle autorità di mantenere la sicurezza e l’ordine pubblico. Senza dubbio tale principio giustifica il trattamento a condizione che siano rispettate le restrizioni definite al paragrafo precedente, in conformità con l’articolo 7, lettera e) della direttiva. 4 Articolo 8 della direttiva 95/46/CE: “(...) 5.I trattamenti riguardanti i dati relativi alle infrazioni, alle condanne penali o alle misure di sicurezza possono essere effettuati solo sotto il controllo dell’autorità pubblica, o se vengono fornite opportune garanzie specifiche, sulla base del diritto nazionale, fatte salve deroghe che possono essere fissate dallo Stato membro in base ad una disposizione nazionale che preveda garanzie appropriate specifiche. Tuttavia un registro completo delle condanne penali può essere tenuto solo sotto il controllo dell’autorità pubblica. Gli Stati membri possono prevedere che i trattamenti di dati riguardanti sanzioni amministrative o procedimenti civili siano ugualmente effettuati sotto il controllo dell’autorità pubblica. 6. Le deroghe al paragrafo 1 di cui ai paragrafi 4 e 5 sono notificate alla Commissione”. 6 Per quanto concerne il trattamento di dati personali riguardanti reati, la maggior parte degli Stati membri possiede archivi posti sotto il controllo dell’autorità pubblica. Ciononostante numerose autorità di controllo hanno scoperto che nei vari paesi esistono archivi di questo tipo creati e gestiti privatamente; si tratta soprattutto di registri di grandi supermercati o d’imprese di autonoleggio. Nei casi in cui le autorità di controllo hanno scoperto che dati personali di “clienti indesiderati” erano raccolti e trattati da supermercati, ipermercati o grandi magazzini, hanno obbligato i responsabili del trattamento a porvi fine in quanto è inammissibile che società private siano in possesso di questo tipo di archivi. Il trattamento di questi dati deve sempre tener conto dei principi di qualità contenuti nella direttiva, con particolare riguardo per l’esattezza e l’aggiornamento delle informazioni. Altrettanta attenzione va dedicata al diritto di rettifica di routine o automatizzata e di cancellazione dei dati personali allo scadere del periodo previsto dalla legge nonché all’introduzione a tale scopo di vari dispositivi che rendono possibile effettuare tali rettifiche e cancellazioni in modo semplice e veloce, poiché la conservazione delle informazioni oltre il periodo previsto può avere effetti negativi. Ciò vale soprattutto in caso di verdetto di non colpevolezza, limitazione della responsabilità o riabilitazione civile del fallito, in quanto non avrebbe senso conservare tali dati. Va rilevato che la maggior parte degli Stati membri disciplina tali aspetti nell’ambito del proprio diritto penale e che i criteri impiegati variano da un paese all’altro. Un altro punto importante da considerare è l’accesso alle informazioni, ossia la necessità di stabilire quali persone od istituzioni siano autorizzate ad accedere ai dati contenuti negli archivi. La persona interessata deve sempre avere il diritto di accedere alle informazioni dell’archivio che la riguardano. Tale regolamentazione dell’accesso può provocare situazioni complesse e problematiche, come nel caso in cui la persona interessata sia alla ricerca di un lavoro in uno degli Stati membri in cui, nell’ambito del processo di selezione, il datore di lavoro può richiedere al candidato di presentare l’estratto del casellario giudiziario emesso dall’autorità pubblica responsabile del trattamento. Il candidato otterrà quindi un certificato che potrebbe contenere dati su qualsiasi condanna penale o su altre misure di sicurezza. In tal modo il datore di lavoro ottiene accesso a talune informazioni che non sono state direttamente riconosciute giuridicamente. Quest’ipotesi potrebbe complicarsi ulteriormente nel caso in cui il datore di lavoro impieghi in seguito le informazioni ottenute. In linea di principio infatti la semplice visione delle informazioni prodotte dal candidato non rappresenta una violazione alla disposizione dell’articolo 8, paragrafo 5 della direttiva, laddove potrebbe invece configurare una violazione il successivo trattamento manuale o automatizzato dei dati. 7 Lotta alle frodi In alcuni settori dell’economia, e soprattutto nel settore assicurativo, i tentativi di frode possono essere così frequenti e provocare costi talmente elevati per le compagnie di assicurazione che queste hanno creato dei sistemi per la comunicazione d’informazioni attraverso archivi comuni, che consentono di combattere le frodi e quindi di ridurre i costi d’esercizio. Archivi comuni o centralizzati che raccolgono informazioni fornite dalle società5 vengono utilizzati per trasmettere informazioni sui pagamenti effettuati dai clienti sospettati di frode o di atti in violazione delle vigenti disposizioni relative al settore in questione6. Considerate le somiglianze tra le due categorie (archivi centralizzati, trasmissione di dati a terzi, diffusione delle informazioni tra le parti al sistema, ecc.), i problemi da affrontare e le garanzie da disporre sono simili a quelle esaminate in relazione agli archivi sulle violazioni delle obbligazioni pecuniarie (i cosiddetti “archivi di crediti inesigibili”)7 di cui sopra. Tali elenchi vanno compilati nell’ambito di una normativa conforme alla legislazione in tema di protezione dei dati personali, ossia: esercizio del diritto di accesso, notificazione alla persona interessata dell’inserimento d’informazioni che la riguardano nell’archivio8, conservazione dei dati per un periodo commisurato alla finalità della raccolta ed obbligo di cancellare dati che non sono più necessari al fine per il quale sono stati raccolti. Un’altra questione importante è l’impiego di meccanismi necessari ad evitare errori nell’identificazione delle persone inserite nell’archivio (soprattutto nei casi in cui le persone interessate sono omonime), tra cui l’inserimento di debiti errati (per esempio debiti in discussione) o d’importi errati nonché errori nell’aggiornamento qualora il 5 Vedi il secondo paragrafo della sezione dedicata agli archivi dei debitori e dei servizi di informazione sulla solvibilità e il credito. 6 In alcuni paesi le compagnie di assicurazione raccolgono informazioni sui clienti che si ritiene rappresentino rischio specifico, in base a criteri quali, ad esempio, il numero di danni connessi con il cliente in un dato periodo, a volte senza tener conto della responsabilità del cliente nel danno. La giustificazione delle compagnie di assicurazione è che il numero di danni, anche a prescindere dalla responsabilità del cliente, può essere letto come un elemento preliminare per sospettare una frode. Alcune autorità di protezione dei dati hanno già sottolineato la mancanza di conformità di alcuni aspetti di questo trattamento con la normativa in materia di tutela dei dati, a meno che nel diritto nazionale non esistano disposizioni giuridiche che specificano garanzie adeguate. 7 I principi di legittimazione sono simili, vale a dire: l’esistenza di interessi pubblici, quali la lotta alle frodi, la stabilità del sistema finanziario, la regolamentazione e la protezione delle operazioni commerciali, ecc, o gli interessi legittimi del responsabile del trattamento, a condizione che non prevalgano gli interessi, i diritti e le libertà della persona interessata. 8 Un modo di evitare errori e problemi potrebbe essere quello di definire un periodo di tempo ragionevole tra la notificazione inviata alla persona interessata e l’effettivo inserimento delle informazioni nell’archivio comune. Tale procedimento potrebbe essere utilizzato anche per gli archivi sulle violazioni delle obbligazioni pecuniarie. 8 debito sia stato pagato, ecc. 9. Gli errori di questo tipo vanno rettificati non appena individuati; occorre quindi impiegare sistemi di verifica rigorosi. Nella maggior parte dei paesi questi archivi sono privati e, almeno nelle normative interne dei vari Stati membri, le persone interessate vengono in genere informate di essere state inserite in un archivio, in conformità con le norme in vigore. Tuttavia le informazioni date alla persona interessata non sempre risultano complete e l’esercizio del diritto di accesso può risultare ostacolato da varie complicazioni. Altri tipi di liste nere Dopo aver velocemente considerato le categorie di “liste nere” che sono diffuse e regolate in modo più uniforme negli Stati membri e sulle quali di conseguenza esistono più informazioni disponibili passiamo ora ad un’altra categoria che, pur non essendo a tutt’oggi altrettanto diffusa né regolata, riveste particolare importanza per le gravissime ripercussioni che può avere sulla vita delle persone coinvolte. Gli archivi più significativi in questa categoria contengono dati negativi su lavoratori o persone in cerca di lavoro, ovvero dati relativi alla salute, a comportamenti sociali o politici ed a scorrettezze professionali. Della categoria in questione fanno parte le liste nere basate sulla raccolta e la diffusione di dati che godono di una particolare protezione in quanto atti a produrre conseguenze gravi sugli interessi delle persone interessate, ed a quanto sembra i problemi che le autorità di controllo devono più spesso affrontare riguardano soprattutto questa categoria. I dati raccolti nell’ambito di questi archivi sono regolati dagli articoli 810, 13 e 1511 della direttiva 95/46/CE, in applicazione della quale la maggior parte degli Stati membri vieta 9 Questo punto può essere riferito anche alle categorie di liste nere analizzate nel presente documento di lavoro pur tenendo conto dei tratti distintivi particolari di ciascuna categoria. 10 Articolo 8 della direttiva 95/46/CE: “1 . Gli Stati membri vietano il trattamento di dati personali che rivelano origine razziale o etnica, le opinioni politiche, le convinzioni religiose e filosofiche, l’appartenenza sindacale, nonché il trattamento di dati relativi alla salute e alla vita sessuale. 2. Il paragrafo 1 non si applica qualora: la persona interessata abbia dato il proprio consenso esplicito a tale trattamento, salvo nei casi in cui la legislazione dello Stato membro preveda che il consenso della persona interessata non si sufficiente per derogare al divieto di cui al paragrafo 1, oppure il trattamento sia necessario per assolvere gli obblighi e i diritti specifici del responsabile del trattamento in materia di diritto del lavoro, nella misura in cui il trattamento stesso sia autorizzato da norme nazionali che prevedono adeguate garanzie; oppure c) il trattamento sia necessario per salvaguardare un interesse vitale della persona interessata o di un terzo nel caso in cui la persona interessata è nell’incapacità fisica o giuridica di dare il proprio consenso [...]; 3. Il paragrafo 1 non si applica quando il trattamento dei dati è necessario alla prevenzione e alla diagnostica medica, alla somministrazione di cure o alla gestione di centri di cura e quando il trattamento dei medesimi dati viene effettuato da un professionista in campo sanitario soggetto al segreto professionale sancito dalla legislazione nazionale, comprese le norme stabilite dagli organi nazionali competenti, o da un’altra persona egualmente soggetta a un obbligo di segreto equivalente". 9 che particolari categorie di dati personali vengano trattati senza il consenso esplicito della persona interessata. Alcuni Stati autorizzano il trattamento di questo tipo di dati se questo è consentito dalla legge oppure se sono in causa interessi pubblici o commerciali legittimi12. La direttiva consente infatti agli Stati membri di stabilire ulteriori deroghe che giustificano il trattamento dei dati particolarmente protetti, purché siano disposte le garanzie del caso13. Altri Stati membri invece vietano per legge la costituzione di liste nere di lavoratori. I tribunali di alcuni Stati membri hanno infatti condannato la compilazione di archivi contenenti dati relativi alle opinioni politiche, all’appartenenza sindacale ed alle questioni etiche ovvero informazioni sulla salute dei lavoratori. I tribunali hanno vietato questo tipo di archivi anche nei casi, come quelli già citati, in cui essi erano stati costituiti ed impiegati soltanto ad uso limitato dell’azienda. Per quanto concerne le liste nere che contengono dati particolarmente protetti, come le informazioni relative alla salute, va fatto notare che gli archivi di questo tipo sono costituiti soprattutto in relazione alle assicurazioni sulla vita offerte da società del settore. In questi casi, in assenza di norme giuridiche che dispongano le opportune garanzie questi archivi possono essere compilati solo con il consenso libero, specifico, esplicito ed informato delle persone interessate, che godono della facoltà di revocarlo. Anche in questi casi è tuttavia necessario tener debito conto dell’articolo 6 della direttiva, soprattutto per quanto concerne la compatibilità di questi archivi con le finalità previste. Per quanto la persona interessata abbai dato il proprio consenso è infatti comunque necessario appurare che nello Stato membro in questione non esistano norme specifiche che vietano questa pratica. A questo proposito giova ricordare le restrizioni sulle decisioni individuali automatizzate di cui all’articolo 15 della direttiva 95/46/CE. 11 12 13 Articolo 15 della direttiva 95/46/CE: Decisioni individuali automatizzate: “1. Gli Stati membri riconoscono a qualsiasi persona il diritto di non essere sottoposta ad una decisione che produca effetti giuridici significativi nei suoi confronti fondata esclusivamente su un trattamento automatizzato di dati destinati a valutare taluni aspetti della sua personalità, quali il rendimento professionale, il credito, l’affidabilità, il comportamento, ecc.; 2. Gli Stati membri dispongono, salve le altre disposizioni della presente direttiva, che una persona può essere sottoposta a una decisione di cui al paragrafo 1, qualora una tale decisione: sia presa nel contesto della conclusione o dell’esecuzione di un contratto, a condizione che la domanda relativa alla conclusione o all’esecuzione del contratto, presentata dalla persona interessata sia accolta, oppure che misure adeguate, fra le quali la possibilità di far valere il proprio punto di vista garantiscano la salvaguardia del suo interesse legittimo;oppure b) sia autorizzata da una legge che precisi i provvedimenti atti a salvaguardare un interesse legittimo della persona interessata.”. Vedi articolo 8.2b) della direttiva 95/46/CE. Articolo 8, paragrafo 4 della direttiva 95/46/CE: Purché siano previste le opportune garanzie, gli Stati membri possono, per motivi di interesse pubblico rilevante, stabilire ulteriori deroghe oltre a quelle previste dal paragrafo 2 sulla base della legislazione nazionale o di una decisione dell’autorità di controllo. 10 A titolo di esempio specifico d’azione intrapresa contro questo tipo di liste nere, alcune autorità nazionali di controllo hanno condannato gli archivi comuni centralizzati che facevano capo ad un’associazione di compagnie di assicurazione e contenevano dati su persone alle quali era stata rifiutata l’assicurazione sulla vita a causa dei loro problemi di salute. L’autorità di controllo ha stabilito che tali archivi dovevano essere cancellati o autorizzati a norma della direttiva, in quanto ha ritenuto insufficiente la necessità che tali informazioni fossero a disposizione delle compagnie che avevano concluso contratti d’assicurazione sulla vita con le persone interessate, le cui relazioni contrattuali potevano giustificare la registrazione di tali informazioni. Sono ammesse le liste nere che contengono dati particolarmente protetti relativi ad attività che possono avere ripercussioni sociali o politiche, e di fatto esistono in alcuni Stati membri (registri o archivi pubblici di persone ritenute pericolose) nei casi in cui le disposizioni giuridiche per la compilazione delle stesse specificano i provvedimenti di garanzia e le restrizioni di accesso ai dati. Benché infine le autorità di controllo concordino ampiamente sull’illegittimità di tali registri, in alcuni Stati membri sono sorti conflitti tra il diritto alla vita privata delle persone che appaiono nei registri e il diritto alla libertà di espressione delle persone che le circondano. In alcuni casi i tribunali di alcuni Stati membri hanno favorito quest’ultimo diritto, in altri lo hanno respinto. Il presente documento non intende analizzare le decisioni giuridiche né fornire una regola generale sull’equilibrio da raggiungere tra questi due diritti; va tuttavia ricordato che anche in casi molto specifici in cui tradizioni giuridiche e costituzionali danno un’interpretazione estensiva del diritto alla libertà d’espressione, nulla impedisce di rispettare i principi della finalità di raccolta dei dati, di commensurabilità, di aggiornamento dei dati né di rispettare il diritto di accesso, di rettifica e di cancellazione dei dati. Qualora tali diritti siano negati le autorità di controllo hanno il dovere di esprimere il loro parere. 11 CONCLUSIONI E RACCOMANDAZIONI Il presente documento di lavoro, come affermato nell’introduzione, intende porre in rilievo il fenomeno delle liste nere nell’Unione europea descrivendo la situazione attuale alla luce delle informazioni fornite dalle autorità di controllo degli Stati membri dell’UE nel corso di riunioni interne tra i membri del gruppo di lavoro ex articolo 29. L’analisi svolta permette di trarre due conclusioni principali circa l’incidenza, gli effetti e le conseguenze negative di questo tipo di archivi comuni sulla vita privata (e sociale) delle persone, e l’esistenza di evidenti divari nella regolamentazione in materia negli Stati membri. In linea di massima è quindi importante ribadire la necessità di definire criteri uniformi e armonizzati14 per il trattamento dei dati personali contenuti nelle cosiddette “liste nere”, che forniscano gli strumenti atti a garantire alle persone interessate i diritti prescritti dalle norme che tutelano il diritto alla vita privata e ai dati personali. In base al presente documento, l’armonizzazione delle normative è particolarmente importante in considerazione dei seguenti fattori. È essenziale stabilire meccanismi che determinino in modo chiaro e trasparente il tipo di dati personali che possono essere trattati, le finalità del trattamento e le disposizioni di garanzia disponibili per le persone interessate (per esempio, la costituzione di sistemi di verifica e controllo delle informazioni trattate), nonché le circostanze e i presupposti che autorizzano la compilazione di tali archivi. Queste condizioni vanno definite nell’ambito dei principi che legittimano il trattamento a norma dell’articolo 7 della direttiva 95/46/CE. Un altro aspetto fondamentale è l’aggiornamento delle informazioni15. Sarebbe assai utile cercare di definire parametri generali per uniformare i tempi entro i quali i dati contenuti negli archivi possono essere conservati o bloccati. La mancanza di trasparenza della direttiva per quanto concerne questo principio di qualità dei dati rischia di lasciare indifese gli interessati a causa dell’assenza di meccanismi che possano riparare in un secondo momento il danno eventualmente prodotto (per esempio nei casi in cui i dati sono comunicati a terzi all’insaputa della persona interessata). Impegnandosi per raggiungere la massima armonizzazione sulla questione si renderebbe possibile eliminare il divario tra i criteri attualmente adottati in molti Stati membri e si 14 Nell’ambito della direttiva 95/46/CE e delle rispettive legislazioni nazionali. 15 Articolo 6.1.d) della direttiva 95/46/CE: Principi relativi alla qualità dei dati: “1. Gli Stati membri dispongono che i dati personali devono essere: [...]esatti e, se necessario, aggiornati; devono sempre essere prese tutte le misure ragionevoli per cancellare o rettificare i dati inesatti o incompleti rispetto alle finalità per le quali sono rilevati o sono successivamente trattati, cancellati o rettificati”. Vedi in alto il paragrafo “Registri di debitori e servizi di informazione sulla solvibilità e il credito”. 12 favorirebbe il lavoro degli operatori economici nell’ambito delle regole di concorrenza, in linea con il preambolo della direttiva 95/46/CE 16. Un’altra questione cruciale è rappresentata dal diritto delle persone interessate di essere informate sul trattamento dei loro dati personali. Qualsiasi violazione di questo principio fondamentale rende i cittadini vulnerabili se non sono a conoscenza del fatto che i loro dati personali sono stati inseriti in una lista nera a seguito della trasmissione dei dati da un’altra fonte. Tale situazione impedisce alle persone interessate di esercitare i diritti di accesso, rettifica, cancellazione e di opposizione17. È assolutamente necessaria una normativa adeguata sulle procedure di notificazione alle persone interessate, che stabilisca tra l’altro criteri per un’informazione tempestiva e nelle debite forme nonché una dichiarazione chiara di tutte le condizioni in base alle quali i dati possono essere comunicati a terzi18. Si potrebbero altresì mettere a punto dispositivi che prevedono la notificazione alle persone interessate nel caso sia negato un particolare servizio e la possibilità di effettuare verifiche successive (nell’ambito delle garanzie di cui sopra). La direttiva riconosce infatti alle persone interessate il diritto di non essere sottoposte ad una decisione che produca effetti giuridici o abbia effetti significativi nei loro confronti e sia fondata esclusivamente sul trattamento automatizzato di dati destinati solo a valutare taluni aspetti della loro personalità19. 16 “Considerando che il divario nei livelli di tutela dei diritti e delle libertà personali, in particolare della vita privata, garantiti negli Stati membri relativamente al trattamento di dati personali può impedire la trasmissione dei dati stessi fra territori degli Stati membri e che tale divario può pertanto costituire un ostacolo all’esercizio di una serie di attività economiche su scale comunitaria, falsare la concorrenza e ostacolare, nell’adempimento dei loro compiti, le amministrazioni che intervengono nell’applicazione del diritto comunitario; che detto divario nel grado di protezione deriva dalla diversità delle disposizioni legislative, regolamentari ed amministrative nazionali.” 17 Articolo 11 della direttiva 95/46/CE: Informazioni in caso di dati non raccolti presso la persona interessata: 1. In caso di dati non raccolti presso la persona interessata, gli Stati membri dispongono che, al momento della registrazione dei dati o qualora sia prevista una comunicazione dei dati a un terzo, al più tardi all’atto della prima comunicazione ai medesimi, il responsabile del trattamento o un suo rappresentante debba fornire alla persona interessata almeno le informazioni elencate qui di seguito, a meno che tale persona ne sia già informata: a) l’identità del responsabile del trattamento ed eventualmente del suo rappresentante; b) le finalità del trattamento; c) ulteriori informazioni riguardanti quanto segue: le categorie di dati interessati; i destinatari o le categorie di destinatari dei dati; se esiste un diritto di accesso di dati e di rettifica in merito ai dati che la riguardano, nella misura in cui, in considerazione delle specifiche circostanze in cui i dati vengono raccolti, tali informazioni siano necessarie per effettuare un trattamento leale nei confronti della persona interessata. 2. Le disposizioni del paragrafo 1 non si applicano quando, in particolare nel trattamento di dati a scopi statistici, o di ricerca storica o scientifica, l’informazione della persona interessata si rivela impossibile o richiede sforzi sproporzionati o la registrazione o la comunicazione è prescritta per legge. In questi casi gli Stati membri prevedono garanzie appropriate.” Vedi nel presente documento il paragrafo sui “Registri di debitori e servizi di informazioni sulla solvibilità e il credito”. Ciò non è applicabile ai casi in cui le informazioni sono raccolte presso la persona interessata. 18 Vedi l’articolo 11.1 della direttiva 95/46/CE.”Informazioni in caso di dati non raccolti presso la persona interessata”. 19 Articolo 15 della direttiva 95/46/CE “decisioni individuali automatizzate”. 13 Vi sono parimenti buone ragioni per valutare la possibilità di mettere a punto dispositivi che consentano alla persona interessata d’intervenire e, se può far valere validi motivi in caso di controversia, di richiedere informazioni tempestive atte a giustificare l’inserimento dei suoi dati nell’archivio. Un altro elemento cruciale riguardante gli archivi centralizzati comuni e condivisi è l’obbligo del responsabile del trattamento di disporre e mettere in atto i provvedimenti e le condizioni tecniche e organizzative del caso per l’accesso a tali archivi20. Come si è già visto dunque, visto anche che l’esistenza di archivi di cui fanno parte liste nere in settori specifici che forniscono servizi di grande importanza (quale il settore finanziario e quello delle telecomunicazioni) interessa un elevato numero di cittadini, il Gruppo di lavoro per la tutela delle persone in tema di trattamento dei dati personali desidera sensibilizzare tutte le istituzioni comunitarie sulla necessità di progredire sugli aspetti tratteggiati nelle conclusioni del presente lavoro e mette altresì in rilievo la necessità di stabilire criteri, indirizzi o direttrici d’intervento comuni in questo settore, nell’ambito e nel rispetto di quanto disposto dalla direttiva 95/46/CE e dalle rispettive legislazioni nazionali degli Stati membri. Fatto a Bruxelles il 3 ottobre 2002 Per il Gruppo di lavoro Il Presidente Stefano RODOTA 20 Articolo 17 della direttiva 95/46/CE “Sicurezza dei trattamenti”. 14