TIZIANO TESSARO www.tizianotessaro.it Tiziano Tessaro IL DELICATO RAPPORTO TRA PUBBLICITA’ DEI DATI E RISERVATEZZA Prima di iniziare nell’analisi …. …due considerazioni preliminari e una considerazione di sintesi … PRIMA CONSIDERAZIONE PRELIMINARE Prima considerazione Indubbiamente il tema del rapporto tra pubblicità e riservatezza è uscito dagli spazi angusti che gli erano stati attribuiti all’inizio ,all’introduzione cioè della legge 675/1996. A questo ha senz’altro contribuito un diverso clima culturale maturato negli anni successivi Prima considerazione È USCITA DAL QUEL CLIMA DA STREGONI E DA INIZIATI ,PER DIVENTARE UN PATRIMONIO COMUNE ,CHE FONDA UN NUOVO DIRITTO DI LIBERTA ‘:IL DIRITTO ALLA RISERVATEZZA GLI ANNI 90 Agli inizi degli anni ‘90 la parola d’ordine era trasparenza …e che testualmente dalla legge viene posta a base del diritto di accesso previsto dalla legge 241… … ovvero la Pubblica Amministrazione come Casa di Vetro … Una diversa parola d’ordine: sicurezza Solo successivamente ci si è resi conto che di troppa trasparenza si puo’ morire La necessita di avere adeguate misure che bilancino la pubblicita’ dei dati ,è dettata in fondo da esigenze che attengono alla necessita’ di una maggiore sicurezza e in definitiva alla tutela della liberta’ individuale ,con riferimento al massiccio avvento delle nuove tecnologie informatiche Una politica di sicurezza come sfondo al mutato rapporto tra pubblicita e riservatezza Opportunità di sviluppo Definizione di Politica di sicurezza “La politica di sicurezza è un insieme formale di regole alle quali, le persone a cui è dato l’accesso alla tecnologia ed alle informazioni di un’organizzazione, devono attenersi. ” SECONDA CONSIDERAZIONE PRELIMINARE Seconda considerazione Il tema del rapporto tra pubblicita e riservatezza ,tra accesso e privacy assume diverse colorazioni e diverse implicazioni,tutte di estrema attualita’ Esso lascia spazio a numerose preoccupazioni , certamente non presenti nella societa di appena 20 anni fa Il confine tra autorita’ e liberta’ individuale Vi è la necessità di dare soluzione a problemi delicati di tutela del cittadino ,lasciando tuttavia spazio a forme di controllo sull’operato di questo da parte dell’autorità …solo se non saremo implacabilmente inseguiti dalla registrazione di ogni traccia che lasciamo…potrà nascere la libertà di uomini e donne nel millennio a venire… Stefano Rodotà Relazione annuale al Parlamento luglio 2007 "In Italia c'e' una emergenza nella protezione dei dati che ha assunto una dimensione pari ad altre nostre emergenze nazionali, quali quella ambientale, quella energetica, quella infrastrutturale, che tanto negativamente incidono anche sull'immagine del Paese". Bisogna evitare "che si sviluppi una sindrome 'bulimica' per la raccolta e l'archiviazione dei dati" personali, che trasformi "anche l'Unione europea in un universo di controllati e di spiati". I problemi della societa dell’immagine e delle nuove tecnologie Sono in fondo problemi che emergono dalla mutata conformazione della societa ,che è diventata una societa dell’immagine e delle nuove tecnologie I diritti di quarta generazione Ecco quindi l’emersione di quei diritti di quarta generazione ,in cui cioè vengono rilievi bisogni e aspirazioni dell’individuo diversi dalla semplice esigenza dell’uguaglianza formale o del diritto sociale alla pensione o alla salute Il diritto ad essere lasciato solo … Il caso Vallettopoli Il caso Peppermint vicenda italiana della casa discografica Peppermint relativa alla causa intentata a circa 4000 utenti che hanno scaricato "illegalmente" tramite Shareaza un brano musicale di un loro artista Il caso Peppermint la Peppermint, Peppermint, casa discografica tedesca, era riuscita all'inizio del 2007 ad ottenere, attraverso un'ingiunzione un'ingiunzione del tribunale di Roma, gli indirizzi IP - che nella rete equivalgono agli indirizzi di casa - dei clienti di vari Provider italiani, che avevano utilizzato gli accessi della rete e sistemi P2P per scaricare file audio sui quali la casa tedesca rivendicava il copyright. Ad ognuno dei 3636 soggetti, i legali tedeschi della Peppermint inviavano una lettera raccomandata, con la richiesta di cessare immediatamente l'utilizzo del P2P riguardo i loro file, ma anche invitandoli ad una transazione transazione pecunaria, pecunaria, e minacciando azioni legali nel caso in cui le persone non avessero avessero aderito all'accordo, indipendentemente dal tipo di file audio o dall'uso fatto dello stesso. Contro la Peppermint, Peppermint, soprattutto per la tutela del diritto alla privacy, si sono schierate diverse associazioni di consumatori e privati, ottenendo una vittoria iniziale che si riteneva avesse posto un freno all'intera questione. questione. Non solo gli avvocati della Peppermint sono andati avanti con la loro azione legale davanti al tribunale di Roma, ottenendo altri provvedimenti provvedimenti in loro favore e costringendo un noto Provider italiano all'impegno di consegnare consegnare gli indirizzi IP dei suoi utenti La ricerca ubiquitaria di dati su Internet CONSIDERAZIONI DI SINTESI Il rapporto tra pubblicità e riservatezza … In estrema sintesi e nel concreto il rapporto tra pubblicita’ e riservatezza puo’ avere implicazioni A)documentali A)documentali e B) informatiche IMPLICAZIONI DEL RAPPORTO TRA PUBBLICITA E RISERVATEZZA ACCESSO AI DOCUMENTI DOCUMENTI AMMINISTRATIVI LIMITI DERIVANTI DAL SEGRETO BILANCIAMENTO TRA ACCESSO E PRIVACY TENUTA SITO WEB PROFILI INFORMATICI (NELL’ENTE O AZIENDA) MISURE SICUREZZA E DPS POSTA ELETTRONICA A)Il rapporto tra pubblicità e riservatezza nei documenti amministrativi Casistica dei DATI (art.24 comma 7) DATI COMUNI DATI SENSIBILI E GIUDIZIARI DATI SUPERSENSIBILI Rapporto tra accesso e riservatezza • Nel valutare le esigenze di trasparenza e riservatezza occorre fare riferimento a un bilanciamento • Differenziato per ognuna delle tre categorie di dati Il controlimite della tutela del diritto di difesa • Art.24 c.7: (art.17 L.15/05) comma 7: prevalenza del diritto di accesso per la cura e la difesa degli interessi giuridici del richiedente. Obbligo di garantire l’accesso prioritariamente per curare o difendere gli interessi giuridici del richiedente: dati sensibili: accesso consentito nei indispensabili” (cfr. art. 59 D.Lgs. N.196/03); limiti “strettamente per particolari dati (salute e vita sessuale): richiamo espresso alle procedure previste dall’art. 60 del D.Lgs. 196/03. Dott. Tiziano TESSARO B)Il rapporto tra pubblicità e riservatezza nel trattamento dei dati informatici La decisione del Garante della privacy n. 17 del 19 aprile 2007 Linee guida in materia di trattamento di dati personali per finalità di pubblicazione e diffusione di atti e documenti di enti locali fa il punto sul delicato tema del rapporto tra: obblighi di divulgazion e garanzie di riservatez za L’AUTORITA’ FISSA LE REGOLE AFFINCHE’ VENGA GARANTITA LA RISERVATEZZA DEI CITTADINI E LA TRASPARENZA DELLA PUBBLICA AMMINISTRAZIONE NELLA DIFFUSIONE SUL WEB DEI DATI INDIVIDUALI Dott. Tiziano TESSARO la deliberazione definisce principi e limiti che gli enti locali sono tenuti a rispettare quando, in particolare, pubblicano e diffondono i dati personali contenuti in atti e deliberazioni dai quali possono anche emergere delicate informazioni Dott. Tiziano TESSARO Il principio affermato : temporaneità e selezionabilita’ dei dati diffondibili dal sito web LA DIFFUSIONE DI DATI PERSONALI SU INTERNET TRAMITE PAGINA WEB La diffusione in Internet di dati personali pone specifiche valutazioni in rapporto ai diritti degli interessati. I dati così messi a disposizione di un numero indefinito di persone sono consultabili da molteplici luoghi e in qualsiasi momento. Il loro "carattere ubiquitario" è valorizzato dal crescente accesso ad Internet. Attraverso i motori interni ed esterni di ricerca può essere ricostruito unitariamente un numero ingente di dati riferiti a soggetti individuati, più o meno aggiornati e di natura differente. Dott. Tiziano TESSARO Tuttavia, si sottolinea come decorsi determinati periodi di tempo, la diffusione tramite siti web di tali dati può comportare un sacrificio sproporzionato dei diritti degli interessati specie se si tratta di provvedimenti risalenti nel tempo e che hanno raggiunto le loro finalità. LA DIFFUSIONE DI DATI PERSONALI SU INTERNET TRAMITE PAGINA WEB Decorsi determinati periodi di tempo, la diffusione tramite siti web di tali dati può comportare un sacrificio sproporzionato dei diritti degli interessati specie se si tratta di provvedimenti risalenti nel tempo e che hanno raggiunto le loro finalità. L'ente locale, oltre ad assicurare l'esattezza, l'aggiornamento e la pertinenza e non eccedenza dei dati, deve garantire il rispetto del diritto all'oblìo dell'interessato una volta perseguite le finalità poste alla base del trattamento (art. 11, comma 1, lett. c), d) ed e), del Codice). LA DIFFUSIONE DI DATI PERSONALI SU INTERNET TRAMITE PAGINA WEB Decorsi tali periodi, determinati documenti o sezioni del sito dovrebbero rimanere in rete, ma essere consultabili solo a partire dal sito stesso. Dott. Tiziano TESSARO Nelle linee guida il Garante afferma innanzitutto che, prima di pubblicare gli atti, renderli accessibili a terzi o metterli in rete, l'ente locale deve valutare se le finalità di trasparenza possano essere perseguite senza divulgare dati personali o attraverso modalità che permettano di identificare gli interessati solo se necessario. Negli atti poi devono comparire solo dati pertinenti e non eccedenti rispetto alle finalità che l'ente intende raggiungere. I dati sensibili e giudiziari possono essere diffusi solo se realmente indispensabili e se l'ente abbia adottato il regolamento previsto dal Codice sull'uso di questi dati. É sempre vietato diffondere informazioni sulla salute. Dott. Tiziano TESSARO L'impiego delle nuove tecnologie impone all'ente locale sia di assicurare sempre l'esattezza, l'aggiornamento e la pertinenza dei dati pubblicati in rete, sia di garantire il diritto all'oblio delle persone interessate: ad esempio, trascorso un certo periodo dalla pubblicazione, è opportuno spostare i nominativi in una parte del sito dove non siano più rintracciabili dai motori di ricerca esterni. Dott. Tiziano TESSARO Il suggerimento fornito dal Garante è quello di rispettare la riservatezza attraverso tutta una serie di accorgimenti che mirano a tutelare la riservatezza utilizzando accorgimenti a cio’ finalizzati ,ma che ovviamente impediscono una divulgazione totale e una pubblicita’ indiscriminata. L’adozione di misure di sicurezza e il dps La sicurezza La sicurezza non è un problema solo tecnologico … … e non si risolve solo comperando dispositivi di protezione. Riguarda tutte le informazioni su qualunque supporto… Le norme di sicurezza servono a difendersi dalle debolezze delle reti e dagli attacchi al sistema Internet Vu att lner acc ab hi ilità est ern da i Vulnerabilità delle linee di comunicazione Vulnerabilità da attacchi interni La sicurezza e’ un sistema integrato Telecamera Serratura Reparto Sicurezza Card Key Guardia Riferimenti normativi Normativa sulla privacy (D. Lsg. 30.06.2003 n. 196) entrata in vigore l’1 gennaio 2004. Art. 2050 Cod. Civ. Responsabilità per danni derivanti dallo svolgimento di attività pericolose. Uso della posta elettronica Linee guida per l’utilizzo di internet … Provvedimento del Garante privacy dell’01 marzo 2007 Il provvedimento raccomanda l'adozione da parte delle aziende di un disciplinare interno, definito coinvolgendo anche le rappresentanze sindacali, sindacali, nel quale siano chiaramente indicate le regole per l'uso di Internet e della della posta elettronica. Il datore di lavoro è inoltre chiamato ad adottare ogni misura in in grado di prevenire il rischio di utilizzi impropri, così da ridurre controlli successivi sui lavoratori. Per quanto riguarda Internet è opportuno ad esempio: individuare preventivamente i siti considerati correlati o meno con la prestazione lavorativa; utilizzare filtri che prevengano determinate operazioni, quali l'accesso l'accesso a siti inseriti in una sorta di black list o il download di file musicali o multimediali. … obblighi per l’uso della posta elettronica Provvedimento del Garante privacy dell’01 marzo 2007 Per quanto riguarda la posta elettronica, è opportuno che l'azienda: renda disponibili anche indirizzi condivisi tra più lavoratori ([email protected]; [email protected]; [email protected]), rendendo così chiara la natura non privata della corrispondenza; valuti la possibilità di attribuire al lavoratore un altro indirizzo (oltre quello di lavoro), destinato ad un uso personale; preveda, in caso di assenza del lavoratore, messaggi di risposta automatica con le coordinate di altri lavoratori cui rivolgersi; metta in grado il dipendente di delegare un altro lavoratore (fiduciario) a verificare il contenuto dei messaggi a lui indirizzati e a inoltrare al titolare quelli ritenuti rilevanti per l'ufficio, ciò in caso di assenza prolungata o non prevista del lavoratore interessato e di improrogabili necessità legate all'attività lavorativa.