Il Garante per la protezione dei dati personali ha pubblicato la newsletter n. 293 del 26 luglio 2007.
Due i temi affrontati:

1. No alla pubblicazione di e-mail private senza consenso;
2. Quando il dato è personale.

Di seguito una sintesi.

No a pubblicazione e-mail private senza consenso

Il Garante ordina ad un quotidiano di cancellare la lettera dal sito web. Non si può pubblicare una lettera privata, anche se inviata via e-mail a più persone, senza il consenso dell'autore e dei destinatari. Il principio è stato ribadito dal Garante in seguito al ricorso presentato dal capo di un'associazione a carattere religioso, che aveva lamentato la pubblicazione di una e-mail su un quotidiano a diffusione nazionale, a lui indirizzata, contenente fatti confidenziali e riguardanti la propria vita intima. Nell'accogliere il ricorso, l'Autorità ha ordinato la cancellazione della lettera dall'edizione on line del quotidiano (…). L'Autorità ha, inoltre, osservato che la pubblicazione pedissequa di parti della lettera contravviene ai principi della legge sul diritto d'autore, per i quali non può essere diffusa, pubblicata o riprodotta la corrispondenza a carattere confidenziale o che si riferisca all'intimità della vita privata senza il consenso dell'autore e del destinatario. Principio che trova applicazione anche in ambito giornalistico.

Quando il dato è personale

I Garanti europei hanno recentemente approvato un documento (Opinion Nº 4/2007 on the concept of personal data [pdf, 136 K, 26 pp])) che chiarisce la nozione di "dato personale" fornendo alcune indicazioni concrete che possano facilitare l'applicazione delle disposizioni della direttiva 95/46 ai trattamenti effettuati con le nuove tecnologie (quali l'Rfid) o in contesti altamente tecnologici (e-Government, cartelle cliniche elettroniche, ecc.). Il punto di partenza è la definizione di dato personale contenuta nella direttiva: "qualsiasi informazione concernente una persona fisica identificata o identificabile".

Qualsiasi informazione

"Qualsiasi informazione" significa, ad esempio, che le istruzioni impartite dal cliente alla propria banca e registrate su nastro sono un dato personale, ma lo sono anche le immagini filmate da un impianto di videosorveglianza nella misura in cui i singoli individui siano riconoscibili. Un dato biometrico (l'impronta digitale) è un dato personale perché identifica una persona, ma i campioni di tessuto (o il dito) dai quali si estraggono i dati biometrici non sono dati personali di per sé – tuttavia, le operazioni effettuate per estrarre tali informazioni biometriche configurano un trattamento di dati personali (e in realtà sono state previste norme apposite per tali trattamenti).

Identificabilità

Quanto all' "identificabilità", questa può essere "diretta" o "indiretta", secondo la direttiva; per capire se una persona sia "indirettamente identificabile", occorre valutare tutte le circostanze del caso specifico: così, notizie di stampa su un vecchio procedimento penale che aveva avuto grande risonanza possono costituire un dato personale poiché è possibile ricostruire l'identità della persona di cui si parla andando a consultare vecchi numeri del giornale; informazioni apparentemente frammentarie e prive di riferimenti diretti all'identità di una persona (il nome) costituiscono dato personale nella misura in cui il titolare le ha raccolte con l'intento di utilizzarle per identificare una determinata persona e possiede presumibilmente i mezzi per ricostruire tale identità (si pensi alla videosorveglianza, il cui scopo è esattamente quello di favorire l'eventuale identificazione di determinati soggetti, o agli indirizzi IP raccolti per individuare presunte violazioni del copyright, come in casi recenti relativi al fenomeno del "peer-to-peer").

Persona fisica

Infine, la direttiva parla di informazioni concernenti una "persona fisica": ciò deve intendersi come una persona fisica vivente, perché la personalità giuridica ha inizio con la nascita e termina con la morte dell'individuo. Tuttavia, il trattamento di dati relativi a defunti può essere un trattamento di dati personali in determinate circostanze: perché la legge nazionale lo ammette, oppure perché esistono interessi legittimi del defunto (onore, immagine) che continuano a necessitare tutela anche dopo la morte. E anche le persone giuridiche possono godere della stessa tutela: la Corte europea di giustizia ha chiarito che "nulla impedisce che uno Stato membro estenda la portata della normativa nazionale di attuazione della direttiva 95/46 a settori non compresi nell'ambito di applicazione di quest'ultima, purché non vi osti alcun'altra disposizione del diritto comunitario". Così hanno fatto, ad esempio, Italia, Austria e Lussemburgo, dove la tutela offerta dalla legge alle persone fisiche è stata estesa anche al trattamento di dati concernenti persone giuridiche.

Articoli collegati

• EU: rapporto sull’impatto dei sistemi RFID sulla Privacy
• Privacy: Relazione annuale del Garante
• Privacy: Linee guida del Garante per il pubblico impiego
• CLUSIT: no all’esonero per le PMI dalle misure minime di sicurezza
• Garante Privacy: Guida pratica e misure di semplificazione per le piccole e medie imprese
• Intervista a Fiorello Cortiana
• Garante Privacy: provvedimenti contro le compagnie telefoniche per comportamenti illeciti dei loro call center
• Il Garante (della privacy) colpisce ancora!
• Privacy: una buona notizia - i genitori possono filmare e fotografare i figli nelle recite scolastiche
• Guida GTAG sulla Privacy
• RFID: aspetti di sicurezza e privacy

Link

• Sito del Garante per la protezione dei dati personali
• Pagina della newsletter n. 293 del 26 luglio 2007
• Sito dei Garanti Europei
• Opinion Nº 4/2007 on the concept of personal data (pdf, 136 K, 26 pp)
• Tutte le newsletter del Garante