Documento di lavoro sulle liste nere

GRUPPO DI LAVORO EX ARTICOLO 29 IN TEMA DI TUTELA DEI
DATI PERSONALI
11118/02/IT/def.
WP 65
Documento di lavoro sulle liste nere
adottato il 3 ottobre 2002
Il Gruppo di lavoro è stato istituito dall’articolo 29 della direttiva 95/46/CE. Si tratta dell’organo indipendente di consulenza
dell’UE per la protezione dei dati e della vita privata. I suoi compiti sono stabiliti dall’articolo 30 della direttiva 95/46/CE e
dall’articolo 14 della direttiva 97/66/CE. Il servizio di segretariato è fornito da:
Commissione Europea, DG Mercato Interno, Unità Libera circolazione delle informazioni e protezione dei dati,
B-1049 Bruxelles - Belgio - Ufficio C100-6/136
Linea diretta (32-2) 299 27 19. Centralino: 299 11 11. Fax: (32-2) 296 80 10.
Indirizzo internet: http://europa.eu.int/comm/privacy
LISTE NERE
Il GRUPPO DI LAVORO PER LA TUTELA DELLE PERSONE PER QUANTO
RIGUARDA IL TRATTAMENTO DEI DATI PERSONALI
istituito dalla direttiva 95/46/CE del 24 ottobre 1955 del Parlamento Europeo e del
Consiglio1,
visti l’articolo 29 e l’articolo 30, paragrafo 1, lettera a) e paragrafo 3 della direttiva,
visto il proprio regolamento interno, in particolare gli articoli 12 e 14,
ha adottato il presente documento di lavoro:
Il Gruppo di lavoro ricorda anzitutto che il diritto della persona di proteggere i propri
dati personali è un diritto fondamentale sancito dall’articolo 8 della Convenzione europea
per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, riconosciuto dalla
Carta dei diritti fondamentali dell’Unione Europea e sviluppato nell’ambito delle direttive
95/46/CE e 97/66/CE relative alla tutela dei dati personali.
Il diritto fondamentale alla tutela dei dati, quale diritto indipendente e autonomo dal
diritto alla vita privata e dal diritto alla riservatezza delle comunicazioni, rappresenta per
la nostra società un punto di partenza e un elemento innovativo. L’esigenza di trovare il
giusto equilibrio tra questo ed altri diritti fondamentali da un lato e l’insieme degli
interessi pubblici e privati legittimi con ripercussioni individuali e generali dall’altro, in
concomitanza con i progressi tecnici dell’importanza e della portata di cui siamo
testimoni grazie ai quali è divenuto possibile diffondere, conservare e trattare quantità
enormi d’informazioni in tempi brevi e a costi trascurabili, esige che si tenga conto di un
aspetto assai importante delle condizioni in cui si trova un elevato numero di cittadini in
circostanze che possono generare conflitti (in teoria tutti indesiderati) nel corso di
operazioni commerciali, finanziarie, professionali o private.
L’inserimento di dati riguardanti le persone in banche dati in cui esse sono identificate in
connessione a situazioni o a fatti specifici costituisce un’intrusione. Il fenomeno, sempre
più comune, è noto con il nome di “liste nere”. Tali liste nere non si prestano facilmente a
una definizione in quanto, a prescindere dalla difficoltà di definire in modo uniforme il
concetto e la natura delle stesse, è necessario considerare anche le differenze causate
dalle diverse normative e tradizioni giuridiche e costituzionali di ciascuno Stato membro2.
1
La Gazzetta Ufficiale L 281 del 23.11.1995, pag. 31, può essere consultata all’indirizzo internet:
http://europa.eu.int/comm/internal_market/en/dataprot/index.htm
2
È da notare che in alcuni Stati membri la normativa sulla protezione dei dati è applicabile anche alle
persone legali.
2
Impostando in modo generale la ricerca di un possibile concetto di base, una “lista nera”
può definirsi come la raccolta e la diffusione d’informazioni specifiche relative a un
gruppo di persone, compilata in base a criteri particolari dettati dal tipo di lista nera in
questione. In genere ciò implica effetti negativi sulle persone in essa registrate e può
avere effetti discriminanti per esse, impedendo loro l’accesso a determinati servizi o
ledendone la reputazione.
In considerazione del fatto che qualsiasi operazione od insieme di operazioni sui dati
personali costituisce, indipendentemente dal fatto che avvenga con procedure
automatizzate o no, un trattamento dei dati personali soggetto alle disposizioni della
direttiva 95/46/CE, e quindi alle rispettive norme di recepimento dei vari Stati membri,
per essere legali le liste nere devono risultare conformi ai principi di legittimità definiti
dalla direttiva e rispettare i diritti che essa conferisce ai cittadini, fatti salvi i casi in cui
esse rientrino in una delle eccezioni previste dalla direttiva stessa.
Il presente documento è stato elaborato basandosi su informazioni fornite dalle autorità
di controllo degli Stati membri dell’Unione Europea nel corso di consultazioni interne tra
i membri del gruppo di lavoro ex articolo 29, il quale ha repertoriato le principali
categorie o tipologie di liste nere e le loro principali caratteristiche. Il lavoro di
consultazione ha rilevato la diffusione di alcuni tipi di liste nere, come registri di debiti o
di reati oppure elenchi riguardanti la prevenzione delle frodi, che possiedono una certa
base giuridica nell’ambito delle diverse normative nazionali.
Esistono altri tipi di “liste nere”, meno diffuse delle precedenti, per le quali le normative
in materia sono tutt’altro che uniformi. Le principali riguardano le infrazioni
amministrative, le scorrettezze professionali, i registri o gli archivi di lavoratori in cui
sono contenute informazioni su specifici comportamenti personali che taluni settori
sociali ritengono inadeguati.
Registro dei debitori e dei servizi di informazione sul solvibilità e credito
Questo tipo di archivi rappresenta probabilmente la lista nera che più spesso interessa un
elevato numero di cittadini ed è presente in tutti gli Stato membri. Il trattamento dei dati
personali contenuti in questi archivi provoca un elevato numero di reclami indirizzati alle
autorità europee di controllo della protezione dei dati. Per quanto riguarda questi registri
bisogna anzitutto ricordare che tutti gli Stati membri possiedono normative di vario tipo
in materia. In alcuni casi tali normative rientrano nel novero delle normative per il
recepimento della direttiva 95/46/CE, in altri casi s’inscrivono tra le normative del
settore commerciale o finanziario. Il presente documento non intende valutare né
giudicare la legittimità di tali archivi che, come già detto, possiedono una base giuridica
negli Stati membri, ma si prefigge piuttosto lo scopo di analizzare il modo in cui essi
sono realizzati ed operano nella prassi.
La creazione di tali archivi comporta una serie di consultazioni tra diverse imprese volte
a raccogliere, in genere attraverso un organismo centrale, informazioni sui clienti, con
conseguenze dirette e significative sulle condizioni commerciali e di fornitura dei servizi.
La disciplina giuridica di tali liste si basa sulla necessità delle imprese di possedere
informazioni che consentano di valutare i rischi connessi alla fornitura di beni o di servizi
a credito, in modo da conferire stabilità ed ordine alle operazioni commerciali.
3
È necessario operare una netta distinzione tra le registrazioni che riguardano le
informazioni sulla solvibilità e i crediti, e quelle che forniscono informazioni sulle
violazioni delle obbligazioni pecuniarie.
Le prime servono a valutare le possibilità economiche e finanziarie di una persona di
assumersi futuri impegni in relazione ad un credito. Le seconde raccolgono dati
sull’adempimento o la violazione delle obbligazioni pecuniarie nell’intento di stabilire se
una persona non ha rispettato impegni precedentemente assunti, con un inevitabile
giudizio negativo in vista di un ulteriore credito.
Gli archivi che contengono una registrazione positiva dei pagamenti effettuati da una
persona (vietati in alcuni Stati membri in considerazione del fatto che un debitore il quale
abbia rispettato i propri impegni non costituisce un rischio per la stabilità del sistema
finanziario e che in linea di massima la trasmissione di tale informazione non è necessaria
ai fini di buone relazioni contrattuali tra le parti), inclusa la registrazione di tali dati in
archivi comuni, dovrebbero avere la propria base in normative che autorizzano tale
procedura (per esempio consentendo alle autorità finanziare competenti di valutare il
rischio generale assunto dalle società finanziarie) o nel consenso libero, inequivocabile,
specifico ed informato della persona interessata.
Tali archivi sono qui menzionati poiché è necessario tenere presente che l’impiego
diffuso di questi archivi positivi, che a differenza delle liste nere non hanno lo scopo di
stigmatizzare un gruppo di persone, potrebbe comunque avere lo stesso effetto di una
discriminazione positiva (chi figura nell’elenco è buono, chi non vi figura è cattivo, o
quanto meno sospetto).
Un’ulteriore distinzione deve essere fatta tra due tipi di archivi che riguardano le
violazioni delle obbligazioni pecuniarie.
Il primo tipo è un archivio del creditore, in cui sono registrati tutti i pagamenti
effettuati da un debitore, che trae origine dalle relazioni contrattuali tra creditore
e debitore. Il secondo tipo, chiamato archivio comune, attribuisce la
responsabilità del trattamento dei dati ad un organismo che fornisce informazioni
sulla solvibilità e i crediti e riceve informazioni dai creditori. Tali archivi sono noti
anche con il nome di “archivi dei crediti inesigibili”. In genere un certo numero di
organismi (a volte appartenenti allo stesso settore, a volte operanti in una serie di
settori) conclude un accordo con un terzo al quale s’impegnano a comunicare le
informazioni sui propri clienti che hanno debiti insoluti; tali informazioni sono
quindi inserite nell’archivio comune dei debitori che il responsabile del
trattamento mette a disposizioni delle parti all’accordo onde valutare le diverse
opzioni di credito disponibili.
Questi archivi, di particolare importanza in quanto in essi sono condivise e centralizzate
informazioni l’accesso alle quali è regolato dagli organismi e dalle società partecipanti,
rappresentano vere e proprie liste nere di persone che in un dato momento non hanno
assolto i propri impegni finanziari. La legittimità dell’inserimento delle informazioni in
tali archivi deve fondarsi sulla presenza di clausole contrattuali specifiche che
autorizzano il creditore a comunicare dati sul debito ad un archivio comune ovvero (e
4
questo è un aspetto d’importanza cruciale) sull’interesse legittimo del responsabile del
trattamento di sapere se chi richiede un credito sia registrato per mancati pagamenti.
È appunto tale interesse legittimo di tutelare il sistema finanziario e la sua stabilità che
giustifica la trasmissione di queste informazioni a terzi. Poiché comporta pesanti
conseguenze negative per la persona interessata tale pratica deve tener peraltro conto dei
principi della direttiva e disporre provvedimenti di garanzia dei diritti legittimi della
persona interessata.
Per mantenere un equilibrio tra gli interessi è necessario che la diffusione di dati che
possono avere effetti negativi per gli interessati sia sottoposta a una serie di prescrizioni
ed ai provvedimenti di tutela prescritti dalla direttiva e dalle normative degli Stati
Membri.
a)
Occorre innanzitutto rispettare i principi dell’articolo 6 della direttiva relativi alla
qualità dei dati. Ciò significa sostanzialmente che un debito registrato è
affettivamente rimasto impagato e che il debitore interessato ha ricevuto un
sollecito di pagamento.
Le informazioni contenute nell’archivio devono essere esatte e aggiornate. A tal
fine il fatto di conservare o cancellare la registrazione su un debito una volta che
questo è stato pagato acquista un’enorme importanza. A questo proposito, ferma
restando la necessità di stabilire un criterio sul limite di tempo in cui i dati negativi
rimangono archiviati, va rilevato che manca un accordo unanime sulla durata di tale
periodo e che i vari Stati membri hanno affrontato la questione in vari modi. In
alcuni Stati la registrazione del debito non può essere conservata dopo il
pagamento, anche se questo ha luogo in ritardo. In altri paesi l’informazione può
invece restare archiviata per un periodo massimo che varia da un paese all’altro3.
Indipendentemente da tali divergenze, è chiaro che il principio dell’aggiornamento
delle informazioni comporta l’obbligo d’indicare chiaramente il fatto che il debito è
stato pagato anche se l’informazione circa i mancati pagamenti rimane in archivio
oltre la data del pagamento.
b)
A norma dell’articolo 11 della direttiva gli interessati, giacché non sono loro a
fornire le informazioni sul debito registrate nell’archivio comune, vanno informati
al momento stesso dell’introduzione dei loro dati personali nell’archivio. Affinché
le informazioni archiviate siano corrette occorre prendere ogni provvedimento per
garantire che la persona interessata riceva tale notifica. In tal modo s’intende
tutelare il diritto degli interessati a difendersi nonché evitare errori (relativi ad
esempio all’identificazione della persona interessata od alla registrazione di debiti
che non vengono pagati perché si ha contestazione circa l’importo in questione o la
qualità del servizio fornito).
c)
Un altro aspetto d’importanza capitale è la necessità di garantire il pieno diritto dei
cittadini di accedere agli archivi e quello di rettificare o cancellare le informazioni
3
In alcuni casi il periodo di conservazione dipende dagli accordi contrattuali tra il creditore e il debitore
sebbene non possa superare il termine massimo stabilito dagli accordi.
5
ivi contenute nel caso siano errate o contengano dati che non dovrebbero figurare
nell’archivio. Il fatto di ostruire o negare tali diritti (per esempio indirizzando i
cittadini sono indirizzati a una serie di diversi responsabili del trattamento o
presentando informazioni incomprensibili) rappresenta un comportamento
inaccettabile che offusca la trasparenza degli archivi e ne intralcia il funzionamento.
Bisogna quindi che nella notifica sull’immissione di dati personali di un cittadino sia
specificato un solo interlocutore incaricato di fornire tutte le informazioni
necessarie e di operare per la tutela dei diritti dei cittadini.
d)
Un altro aspetto importante di questo tipo di archivi riguarda le decisioni
individuali automatizzate di cui all’articolo 15 della direttiva. Considerata la
diffusione nelle società finanziarie di programmi informatici per valutare la capacità
di credito di una persona (credit scoring) è assolutamente indispensabile osservare
le disposizioni dell’articolo 15, il quale salvaguarda il diritto di una persona a non
essere sottoposta a tali decisioni salvo che nei casi previsti dalla legge, a meno che
la decisione non sia presa su richiesta della persona interessata nel contesto della
conclusione o dell’esecuzione di un contratto ovvero che non esistano
provvedimenti adeguati (quale ad esempio la possibilità di far valere il proprio
punto di vista) atti a salvaguardare il suo interesse legittimo.
Per quanto riguarda tali decisioni è altresì da ricordare l’articolo 12 della direttiva
che stabilisce il diritto dei cittadini a conoscere la logica applicata nei trattamenti
automatizzati da cui dipendono queste decisioni.
Reati
L’articolo 8, paragrafi 5 e 6 della direttiva 95/46/CE menziona il trattamento di dati
relativi a reati e condanne penali4 e stabilisce che in generale può aver luogo solo sotto il
controllo dell’autorità pubblica, fatte salve le deroghe che gli Stati membri possono
stabilire disponendo garanzie per un’adeguata tutela dei diritti fondamentali dei cittadini
e che devono essere notificate alla Commissione europea.
La legittimità di trattare questo tipo di archivi, contenenti informazioni sui reati, si basa
sul dovere delle autorità di mantenere la sicurezza e l’ordine pubblico. Senza dubbio tale
principio giustifica il trattamento a condizione che siano rispettate le restrizioni definite al
paragrafo precedente, in conformità con l’articolo 7, lettera e) della direttiva.
4
Articolo 8 della direttiva 95/46/CE: “(...) 5.I trattamenti riguardanti i dati relativi alle infrazioni, alle
condanne penali o alle misure di sicurezza possono essere effettuati solo sotto il controllo
dell’autorità pubblica, o se vengono fornite opportune garanzie specifiche, sulla base del diritto
nazionale, fatte salve deroghe che possono essere fissate dallo Stato membro in base ad una
disposizione nazionale che preveda garanzie appropriate specifiche. Tuttavia un registro completo
delle condanne penali può essere tenuto solo sotto il controllo dell’autorità pubblica. Gli Stati
membri possono prevedere che i trattamenti di dati riguardanti sanzioni amministrative o
procedimenti civili siano ugualmente effettuati sotto il controllo dell’autorità pubblica.
6. Le deroghe al paragrafo 1 di cui ai paragrafi 4 e 5 sono notificate alla Commissione”.
6
Per quanto concerne il trattamento di dati personali riguardanti reati, la maggior parte
degli Stati membri possiede archivi posti sotto il controllo dell’autorità pubblica.
Ciononostante numerose autorità di controllo hanno scoperto che nei vari paesi esistono
archivi di questo tipo creati e gestiti privatamente; si tratta soprattutto di registri di
grandi supermercati o d’imprese di autonoleggio. Nei casi in cui le autorità di controllo
hanno scoperto che dati personali di “clienti indesiderati” erano raccolti e trattati da
supermercati, ipermercati o grandi magazzini, hanno obbligato i responsabili del
trattamento a porvi fine in quanto è inammissibile che società private siano in possesso di
questo tipo di archivi.
Il trattamento di questi dati deve sempre tener conto dei principi di qualità contenuti
nella direttiva, con particolare riguardo per l’esattezza e l’aggiornamento delle
informazioni. Altrettanta attenzione va dedicata al diritto di rettifica di routine o
automatizzata e di cancellazione dei dati personali allo scadere del periodo previsto dalla
legge nonché all’introduzione a tale scopo di vari dispositivi che rendono possibile
effettuare tali rettifiche e cancellazioni in modo semplice e veloce, poiché la
conservazione delle informazioni oltre il periodo previsto può avere effetti negativi.
Ciò vale soprattutto in caso di verdetto di non colpevolezza, limitazione della
responsabilità o riabilitazione civile del fallito, in quanto non avrebbe senso conservare
tali dati. Va rilevato che la maggior parte degli Stati membri disciplina tali aspetti
nell’ambito del proprio diritto penale e che i criteri impiegati variano da un paese
all’altro.
Un altro punto importante da considerare è l’accesso alle informazioni, ossia la necessità
di stabilire quali persone od istituzioni siano autorizzate ad accedere ai dati contenuti
negli archivi. La persona interessata deve sempre avere il diritto di accedere alle
informazioni dell’archivio che la riguardano.
Tale regolamentazione dell’accesso può provocare situazioni complesse e problematiche,
come nel caso in cui la persona interessata sia alla ricerca di un lavoro in uno degli Stati
membri in cui, nell’ambito del processo di selezione, il datore di lavoro può richiedere al
candidato di presentare l’estratto del casellario giudiziario emesso dall’autorità pubblica
responsabile del trattamento. Il candidato otterrà quindi un certificato che potrebbe
contenere dati su qualsiasi condanna penale o su altre misure di sicurezza. In tal modo il
datore di lavoro ottiene accesso a talune informazioni che non sono state direttamente
riconosciute giuridicamente.
Quest’ipotesi potrebbe complicarsi ulteriormente nel caso in cui il datore di lavoro
impieghi in seguito le informazioni ottenute. In linea di principio infatti la semplice
visione delle informazioni prodotte dal candidato non rappresenta una violazione alla
disposizione dell’articolo 8, paragrafo 5 della direttiva, laddove potrebbe invece
configurare una violazione il successivo trattamento manuale o automatizzato dei dati.
7
Lotta alle frodi
In alcuni settori dell’economia, e soprattutto nel settore assicurativo, i tentativi di frode
possono essere così frequenti e provocare costi talmente elevati per le compagnie di
assicurazione che queste hanno creato dei sistemi per la comunicazione d’informazioni
attraverso archivi comuni, che consentono di combattere le frodi e quindi di ridurre i
costi d’esercizio.
Archivi comuni o centralizzati che raccolgono informazioni fornite dalle società5
vengono utilizzati per trasmettere informazioni sui pagamenti effettuati dai clienti
sospettati di frode o di atti in violazione delle vigenti disposizioni relative al settore in
questione6.
Considerate le somiglianze tra le due categorie (archivi centralizzati, trasmissione di dati
a terzi, diffusione delle informazioni tra le parti al sistema, ecc.), i problemi da affrontare
e le garanzie da disporre sono simili a quelle esaminate in relazione agli archivi sulle
violazioni delle obbligazioni pecuniarie (i cosiddetti “archivi di crediti inesigibili”)7 di cui
sopra.
Tali elenchi vanno compilati nell’ambito di una normativa conforme alla legislazione in
tema di protezione dei dati personali, ossia: esercizio del diritto di accesso, notificazione
alla persona interessata dell’inserimento d’informazioni che la riguardano nell’archivio8,
conservazione dei dati per un periodo commisurato alla finalità della raccolta ed obbligo
di cancellare dati che non sono più necessari al fine per il quale sono stati raccolti.
Un’altra questione importante è l’impiego di meccanismi necessari ad evitare errori
nell’identificazione delle persone inserite nell’archivio (soprattutto nei casi in cui le
persone interessate sono omonime), tra cui l’inserimento di debiti errati (per esempio
debiti in discussione) o d’importi errati nonché errori nell’aggiornamento qualora il
5
Vedi il secondo paragrafo della sezione dedicata agli archivi dei debitori e dei servizi di informazione
sulla solvibilità e il credito.
6
In alcuni paesi le compagnie di assicurazione raccolgono informazioni sui clienti che si ritiene
rappresentino rischio specifico, in base a criteri quali, ad esempio, il numero di danni connessi con il
cliente in un dato periodo, a volte senza tener conto della responsabilità del cliente nel danno. La
giustificazione delle compagnie di assicurazione è che il numero di danni, anche a prescindere dalla
responsabilità del cliente, può essere letto come un elemento preliminare per sospettare una frode.
Alcune autorità di protezione dei dati hanno già sottolineato la mancanza di conformità di alcuni aspetti
di questo trattamento con la normativa in materia di tutela dei dati, a meno che nel diritto nazionale non
esistano disposizioni giuridiche che specificano garanzie adeguate.
7
I principi di legittimazione sono simili, vale a dire: l’esistenza di interessi pubblici, quali la lotta alle
frodi, la stabilità del sistema finanziario, la regolamentazione e la protezione delle operazioni
commerciali, ecc, o gli interessi legittimi del responsabile del trattamento, a condizione che non
prevalgano gli interessi, i diritti e le libertà della persona interessata.
8
Un modo di evitare errori e problemi potrebbe essere quello di definire un periodo di tempo
ragionevole tra la notificazione inviata alla persona interessata e l’effettivo inserimento delle
informazioni nell’archivio comune. Tale procedimento potrebbe essere utilizzato anche per gli archivi
sulle violazioni delle obbligazioni pecuniarie.
8
debito sia stato pagato, ecc. 9. Gli errori di questo tipo vanno rettificati non appena
individuati; occorre quindi impiegare sistemi di verifica rigorosi. Nella maggior parte dei
paesi questi archivi sono privati e, almeno nelle normative interne dei vari Stati membri,
le persone interessate vengono in genere informate di essere state inserite in un archivio,
in conformità con le norme in vigore. Tuttavia le informazioni date alla persona
interessata non sempre risultano complete e l’esercizio del diritto di accesso può risultare
ostacolato da varie complicazioni.
Altri tipi di liste nere
Dopo aver velocemente considerato le categorie di “liste nere” che sono diffuse e
regolate in modo più uniforme negli Stati membri e sulle quali di conseguenza esistono
più informazioni disponibili passiamo ora ad un’altra categoria che, pur non essendo a
tutt’oggi altrettanto diffusa né regolata, riveste particolare importanza per le gravissime
ripercussioni che può avere sulla vita delle persone coinvolte. Gli archivi più significativi
in questa categoria contengono dati negativi su lavoratori o persone in cerca di lavoro,
ovvero dati relativi alla salute, a comportamenti sociali o politici ed a scorrettezze
professionali.
Della categoria in questione fanno parte le liste nere basate sulla raccolta e la diffusione
di dati che godono di una particolare protezione in quanto atti a produrre conseguenze
gravi sugli interessi delle persone interessate, ed a quanto sembra i problemi che le
autorità di controllo devono più spesso affrontare riguardano soprattutto questa
categoria.
I dati raccolti nell’ambito di questi archivi sono regolati dagli articoli 810, 13 e 1511 della
direttiva 95/46/CE, in applicazione della quale la maggior parte degli Stati membri vieta
9
Questo punto può essere riferito anche alle categorie di liste nere analizzate nel presente documento di
lavoro pur tenendo conto dei tratti distintivi particolari di ciascuna categoria.
10
Articolo 8 della direttiva 95/46/CE: “1 . Gli Stati membri vietano il trattamento di dati personali che
rivelano origine razziale o etnica, le opinioni politiche, le convinzioni religiose e filosofiche,
l’appartenenza sindacale, nonché il trattamento di dati relativi alla salute e alla vita sessuale.
2. Il paragrafo 1 non si applica qualora: la persona interessata abbia dato il proprio consenso
esplicito a tale trattamento, salvo nei casi in cui la legislazione dello Stato membro preveda che il
consenso della persona interessata non si sufficiente per derogare al divieto di cui al paragrafo 1,
oppure
il trattamento sia necessario per assolvere gli obblighi e i diritti specifici del responsabile del
trattamento in materia di diritto del lavoro, nella misura in cui il trattamento stesso sia autorizzato da
norme nazionali che prevedono adeguate garanzie; oppure
c) il trattamento sia necessario per salvaguardare un interesse vitale della persona interessata o di un
terzo nel caso in cui la persona interessata è nell’incapacità fisica o giuridica di dare il proprio
consenso [...];
3. Il paragrafo 1 non si applica quando il trattamento dei dati è necessario alla prevenzione e alla
diagnostica medica, alla somministrazione di cure o alla gestione di centri di cura e quando il
trattamento dei medesimi dati viene effettuato da un professionista in campo sanitario soggetto al
segreto professionale sancito dalla legislazione nazionale, comprese le norme stabilite dagli organi
nazionali competenti, o da un’altra persona egualmente soggetta a un obbligo di segreto
equivalente".
9
che particolari categorie di dati personali vengano trattati senza il consenso esplicito della
persona interessata.
Alcuni Stati autorizzano il trattamento di questo tipo di dati se questo è consentito dalla
legge oppure se sono in causa interessi pubblici o commerciali legittimi12. La direttiva
consente infatti agli Stati membri di stabilire ulteriori deroghe che giustificano il
trattamento dei dati particolarmente protetti, purché siano disposte le garanzie del caso13.
Altri Stati membri invece vietano per legge la costituzione di liste nere di lavoratori.
I tribunali di alcuni Stati membri hanno infatti condannato la compilazione di archivi
contenenti dati relativi alle opinioni politiche, all’appartenenza sindacale ed alle questioni
etiche ovvero informazioni sulla salute dei lavoratori. I tribunali hanno vietato questo
tipo di archivi anche nei casi, come quelli già citati, in cui essi erano stati costituiti ed
impiegati soltanto ad uso limitato dell’azienda.
Per quanto concerne le liste nere che contengono dati particolarmente protetti, come le
informazioni relative alla salute, va fatto notare che gli archivi di questo tipo sono
costituiti soprattutto in relazione alle assicurazioni sulla vita offerte da società del
settore. In questi casi, in assenza di norme giuridiche che dispongano le opportune
garanzie questi archivi possono essere compilati solo con il consenso libero, specifico,
esplicito ed informato delle persone interessate, che godono della facoltà di revocarlo.
Anche in questi casi è tuttavia necessario tener debito conto dell’articolo 6 della
direttiva, soprattutto per quanto concerne la compatibilità di questi archivi con le finalità
previste. Per quanto la persona interessata abbai dato il proprio consenso è infatti
comunque necessario appurare che nello Stato membro in questione non esistano norme
specifiche che vietano questa pratica.
A questo proposito giova ricordare le restrizioni sulle decisioni individuali automatizzate
di cui all’articolo 15 della direttiva 95/46/CE.
11
12
13
Articolo 15 della direttiva 95/46/CE: Decisioni individuali automatizzate: “1. Gli Stati membri
riconoscono a qualsiasi persona il diritto di non essere sottoposta ad una decisione che produca
effetti giuridici significativi nei suoi confronti fondata esclusivamente su un trattamento automatizzato
di dati destinati a valutare taluni aspetti della sua personalità, quali il rendimento professionale, il
credito, l’affidabilità, il comportamento, ecc.; 2. Gli Stati membri dispongono, salve le altre
disposizioni della presente direttiva, che una persona può essere sottoposta a una decisione di cui al
paragrafo 1, qualora una tale decisione: sia presa nel contesto della conclusione o dell’esecuzione di
un contratto, a condizione che la domanda relativa alla conclusione o all’esecuzione del contratto,
presentata dalla persona interessata sia accolta, oppure che misure adeguate, fra le quali la
possibilità di far valere il proprio punto di vista garantiscano la salvaguardia del suo interesse
legittimo;oppure b) sia autorizzata da una legge che precisi i provvedimenti atti a salvaguardare un
interesse legittimo della persona interessata.”.
Vedi articolo 8.2b) della direttiva 95/46/CE.
Articolo 8, paragrafo 4 della direttiva 95/46/CE: Purché siano previste le opportune garanzie, gli
Stati membri possono, per motivi di interesse pubblico rilevante, stabilire ulteriori deroghe oltre a
quelle previste dal paragrafo 2 sulla base della legislazione nazionale o di una decisione dell’autorità
di controllo.
10
A titolo di esempio specifico d’azione intrapresa contro questo tipo di liste nere, alcune
autorità nazionali di controllo hanno condannato gli archivi comuni centralizzati che
facevano capo ad un’associazione di compagnie di assicurazione e contenevano dati su
persone alle quali era stata rifiutata l’assicurazione sulla vita a causa dei loro problemi di
salute. L’autorità di controllo ha stabilito che tali archivi dovevano essere cancellati o
autorizzati a norma della direttiva, in quanto ha ritenuto insufficiente la necessità che tali
informazioni fossero a disposizione delle compagnie che avevano concluso contratti
d’assicurazione sulla vita con le persone interessate, le cui relazioni contrattuali potevano
giustificare la registrazione di tali informazioni.
Sono ammesse le liste nere che contengono dati particolarmente protetti relativi ad
attività che possono avere ripercussioni sociali o politiche, e di fatto esistono in alcuni
Stati membri (registri o archivi pubblici di persone ritenute pericolose) nei casi in cui le
disposizioni giuridiche per la compilazione delle stesse specificano i provvedimenti di
garanzia e le restrizioni di accesso ai dati. Benché infine le autorità di controllo
concordino ampiamente sull’illegittimità di tali registri, in alcuni Stati membri sono sorti
conflitti tra il diritto alla vita privata delle persone che appaiono nei registri e il diritto alla
libertà di espressione delle persone che le circondano. In alcuni casi i tribunali di alcuni
Stati membri hanno favorito quest’ultimo diritto, in altri lo hanno respinto.
Il presente documento non intende analizzare le decisioni giuridiche né fornire una regola
generale sull’equilibrio da raggiungere tra questi due diritti; va tuttavia ricordato che
anche in casi molto specifici in cui tradizioni giuridiche e costituzionali danno
un’interpretazione estensiva del diritto alla libertà d’espressione, nulla impedisce di
rispettare i principi della finalità di raccolta dei dati, di commensurabilità, di
aggiornamento dei dati né di rispettare il diritto di accesso, di rettifica e di cancellazione
dei dati. Qualora tali diritti siano negati le autorità di controllo hanno il dovere di
esprimere il loro parere.
11
CONCLUSIONI E RACCOMANDAZIONI
Il presente documento di lavoro, come affermato nell’introduzione, intende porre in
rilievo il fenomeno delle liste nere nell’Unione europea descrivendo la situazione attuale
alla luce delle informazioni fornite dalle autorità di controllo degli Stati membri dell’UE
nel corso di riunioni interne tra i membri del gruppo di lavoro ex articolo 29.
L’analisi svolta permette di trarre due conclusioni principali circa l’incidenza, gli effetti e
le conseguenze negative di questo tipo di archivi comuni sulla vita privata (e sociale)
delle persone, e l’esistenza di evidenti divari nella regolamentazione in materia negli Stati
membri.
In linea di massima è quindi importante ribadire la necessità di definire criteri uniformi e
armonizzati14 per il trattamento dei dati personali contenuti nelle cosiddette “liste nere”,
che forniscano gli strumenti atti a garantire alle persone interessate i diritti prescritti dalle
norme che tutelano il diritto alla vita privata e ai dati personali. In base al presente
documento, l’armonizzazione delle normative è particolarmente importante in
considerazione dei seguenti fattori.
È essenziale stabilire meccanismi che determinino in modo chiaro e trasparente il tipo di
dati personali che possono essere trattati, le finalità del trattamento e le disposizioni di
garanzia disponibili per le persone interessate (per esempio, la costituzione di sistemi di
verifica e controllo delle informazioni trattate), nonché le circostanze e i presupposti che
autorizzano la compilazione di tali archivi. Queste condizioni vanno definite nell’ambito
dei principi che legittimano il trattamento a norma dell’articolo 7 della direttiva
95/46/CE.
Un altro aspetto fondamentale è l’aggiornamento delle informazioni15. Sarebbe assai utile
cercare di definire parametri generali per uniformare i tempi entro i quali i dati contenuti
negli archivi possono essere conservati o bloccati. La mancanza di trasparenza della
direttiva per quanto concerne questo principio di qualità dei dati rischia di lasciare
indifese gli interessati a causa dell’assenza di meccanismi che possano riparare in un
secondo momento il danno eventualmente prodotto (per esempio nei casi in cui i dati
sono comunicati a terzi all’insaputa della persona interessata).
Impegnandosi per raggiungere la massima armonizzazione sulla questione si renderebbe
possibile eliminare il divario tra i criteri attualmente adottati in molti Stati membri e si
14
Nell’ambito della direttiva 95/46/CE e delle rispettive legislazioni nazionali.
15
Articolo 6.1.d) della direttiva 95/46/CE: Principi relativi alla qualità dei dati: “1. Gli Stati membri
dispongono che i dati personali devono essere: [...]esatti e, se necessario, aggiornati; devono sempre
essere prese tutte le misure ragionevoli per cancellare o rettificare i dati inesatti o incompleti rispetto
alle finalità per le quali sono rilevati o sono successivamente trattati, cancellati o rettificati”. Vedi in
alto il paragrafo “Registri di debitori e servizi di informazione sulla solvibilità e il credito”.
12
favorirebbe il lavoro degli operatori economici nell’ambito delle regole di concorrenza, in
linea con il preambolo della direttiva 95/46/CE 16.
Un’altra questione cruciale è rappresentata dal diritto delle persone interessate di essere
informate sul trattamento dei loro dati personali. Qualsiasi violazione di questo principio
fondamentale rende i cittadini vulnerabili se non sono a conoscenza del fatto che i loro
dati personali sono stati inseriti in una lista nera a seguito della trasmissione dei dati da
un’altra fonte. Tale situazione impedisce alle persone interessate di esercitare i diritti di
accesso, rettifica, cancellazione e di opposizione17.
È assolutamente necessaria una normativa adeguata sulle procedure di notificazione alle
persone interessate, che stabilisca tra l’altro criteri per un’informazione tempestiva e
nelle debite forme nonché una dichiarazione chiara di tutte le condizioni in base alle quali
i dati possono essere comunicati a terzi18.
Si potrebbero altresì mettere a punto dispositivi che prevedono la notificazione alle
persone interessate nel caso sia negato un particolare servizio e la possibilità di effettuare
verifiche successive (nell’ambito delle garanzie di cui sopra). La direttiva riconosce
infatti alle persone interessate il diritto di non essere sottoposte ad una decisione che
produca effetti giuridici o abbia effetti significativi nei loro confronti e sia fondata
esclusivamente sul trattamento automatizzato di dati destinati solo a valutare taluni
aspetti della loro personalità19.
16
“Considerando che il divario nei livelli di tutela dei diritti e delle libertà personali, in particolare
della vita privata, garantiti negli Stati membri relativamente al trattamento di dati personali può
impedire la trasmissione dei dati stessi fra territori degli Stati membri e che tale divario può pertanto
costituire un ostacolo all’esercizio di una serie di attività economiche su scale comunitaria, falsare la
concorrenza e ostacolare, nell’adempimento dei loro compiti, le amministrazioni che intervengono
nell’applicazione del diritto comunitario; che detto divario nel grado di protezione deriva dalla
diversità delle disposizioni legislative, regolamentari ed amministrative nazionali.”
17
Articolo 11 della direttiva 95/46/CE: Informazioni in caso di dati non raccolti presso la persona
interessata: 1. In caso di dati non raccolti presso la persona interessata, gli Stati membri dispongono
che, al momento della registrazione dei dati o qualora sia prevista una comunicazione dei dati a un
terzo, al più tardi all’atto della prima comunicazione ai medesimi, il responsabile del trattamento o
un suo rappresentante debba fornire alla persona interessata almeno le informazioni elencate qui di
seguito, a meno che tale persona ne sia già informata: a) l’identità del responsabile del trattamento
ed eventualmente del suo rappresentante; b) le finalità del trattamento; c) ulteriori informazioni
riguardanti quanto segue: le categorie di dati interessati; i destinatari o le categorie di destinatari dei
dati; se esiste un diritto di accesso di dati e di rettifica in merito ai dati che la riguardano, nella
misura in cui, in considerazione delle specifiche circostanze in cui i dati vengono raccolti, tali
informazioni siano necessarie per effettuare un trattamento leale nei confronti della persona
interessata. 2. Le disposizioni del paragrafo 1 non si applicano quando, in particolare nel trattamento
di dati a scopi statistici, o di ricerca storica o scientifica, l’informazione della persona interessata si
rivela impossibile o richiede sforzi sproporzionati o la registrazione o la comunicazione è prescritta
per legge. In questi casi gli Stati membri prevedono garanzie appropriate.” Vedi nel presente
documento il paragrafo sui “Registri di debitori e servizi di informazioni sulla solvibilità e il
credito”. Ciò non è applicabile ai casi in cui le informazioni sono raccolte presso la persona
interessata.
18
Vedi l’articolo 11.1 della direttiva 95/46/CE.”Informazioni in caso di dati non raccolti presso la
persona interessata”.
19
Articolo 15 della direttiva 95/46/CE “decisioni individuali automatizzate”.
13
Vi sono parimenti buone ragioni per valutare la possibilità di mettere a punto dispositivi
che consentano alla persona interessata d’intervenire e, se può far valere validi motivi in
caso di controversia, di richiedere informazioni tempestive atte a giustificare
l’inserimento dei suoi dati nell’archivio.
Un altro elemento cruciale riguardante gli archivi centralizzati comuni e condivisi è
l’obbligo del responsabile del trattamento di disporre e mettere in atto i provvedimenti e
le condizioni tecniche e organizzative del caso per l’accesso a tali archivi20.
Come si è già visto dunque, visto anche che l’esistenza di archivi di cui fanno parte liste
nere in settori specifici che forniscono servizi di grande importanza (quale il settore
finanziario e quello delle telecomunicazioni) interessa un elevato numero di cittadini, il
Gruppo di lavoro per la tutela delle persone in tema di trattamento dei dati personali
desidera sensibilizzare tutte le istituzioni comunitarie sulla necessità di progredire sugli
aspetti tratteggiati nelle conclusioni del presente lavoro e mette altresì in rilievo la
necessità di stabilire criteri, indirizzi o direttrici d’intervento comuni in questo settore,
nell’ambito e nel rispetto di quanto disposto dalla direttiva 95/46/CE e dalle rispettive
legislazioni nazionali degli Stati membri.
Fatto a Bruxelles il 3 ottobre 2002
Per il Gruppo di lavoro
Il Presidente
Stefano RODOTA
20
Articolo 17 della direttiva 95/46/CE “Sicurezza dei trattamenti”.
14