Italia
Il Garante Privacy lancia l’allarme sul Decreto del Fare, approvato il 15 giugno (Leggi Articolo Key4biz). In una segnalazione inviata a Governo e Parlamento, l’Autorità ha richiamato l’attenzione sui rischi per la privatezza dei cittadini che potrebbero derivare da alcune norme contenute nel recente provvedimento e nel Disegno di legge sulle semplificazioni.
Due gli articoli del Decreto del Fare che hanno suscitato forti perplessità da parte dell’Autorità: quello sul cosiddetto “Wi-Fi libero” e quello sul Fascicolo sanitario elettronico.
L’articolo 10 del Decreto Legge n.69 del 21 giugno scorso prevede che “L’offerta di accesso ad internet al è libera e non richiede la identificazione personale degli utilizzatori. Resta fermo l’obbligo del gestore di garantire la tracciabilità del collegamento (MAC address)”.
Al secondo comma si legge “La registrazione della traccia delle sessioni, ove non associata all’identità dell’utilizzatore, non costituisce trattamento di dati personali e non richiede adempimenti giuridici. Se l’offerta di accesso ad internet non costituisce l’attività commerciale prevalente del gestore, non trovano applicazione l’articolo 25 del decreto legislativo 1° agosto 2003, n. 259 e l’articolo 7 del decreto legge 27 luglio 2005 , n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155″.
Per il Garante la norma ribadisce, “come già avviene adesso, che quanti offrono accessi a Internet tramite Wi-Fi (es. bar, ristoranti, alberghi) non debbano più identificare i clienti che utilizzano il terminale”.
Ma, aggiunge l’Autorità, “stabilisce al contempo l’obbligo di tracciare alcune informazioni relative all’accesso alla rete (come il cosiddetto “indirizzo fisico” del terminale, MAC Address) che, a differenza di quanto sostenuto nella norma, sono – ai sensi della Direttiva europea sulla riservatezza e del Codice privacy – dati personali, in quanto molto spesso riconducibili all’utente che si è collegato a Internet”.
Peraltro, l’adempimento richiesto, sottolinea il Garante, “non solo grava su una platea considerevole di imprese, ma reintroduce obblighi di monitoraggio e registrazione dei dati che, stabiliti a suo tempo dal decreto Pisanu per categorie di gestori diverse da quanti offrono accesso ad internet con modalità wireless, sono stati successivamente soppressi anche in ragione delle difficoltà e degli oneri legati alla loro applicazione“.
Per queste ragioni, l’Autorità guidata da Antonello Soro, chiede a Governo e Parlamento “lo stralcio della norma e l’approfondimento di questi aspetti nell’ambito di un provvedimento che non abbia carattere d’urgenza”.
Sull’argomento le opinioni sono molte e anche divergenti. Alcuni hanno posto l’accento sulle difficoltà di tracciabilità dei criminali informatici che conseguirebbero con l’entrata in vigore del decreto (Leggi Articolo Key4biz).
L’avvocato Fulvio Sarzana, esperto di new media, spiega che senza indagini sofisticate e costose, il numero MAC address non potrà identificare a fini di tutela e di repressione di reati nessun soggetto. (Leggi Articolo Key4biz).
Sulla questione Nicola De Carne, amministratore delegato Wi-Next, azienda italiana leader sul mercato wireless, osserva che: “Solo le Telco potranno effettuare la tracciatura per la quale servono software e hardware anche costosi. La norma apre sicuramente una potenziale falla di sicurezza. Credo che l’Agcom interverrà“.
L’articolo sulla liberalizzazione del Wi-Fi conterrebbe, inoltre, alcune gravi sviste. Formulazioni ambigue che rischiano di scardinare l’attuale impianto normativo relativo all’assegnazione di autorizzazioni e licenze per l’offerta di servizi di telecomunicazioni, oggi riservate agli Operatori di TLC, facendo venir meno la presumibile intenzione del legislatore di semplificare l’accesso Wi-Fi sul quale Alleanza per Internet è sul punto di lanciare nei prossimi giorni una grande campagna (Leggi Articolo Key4biz).
Passando poi all’articolo 17, che modifica precedenti disposizioni riguardanti il Fascicolo sanitario elettronico (Fse), il Garante sostiene che, “a fini di ricerca epidemiologica e di programmazione e controllo della spesa sanitaria, le Regioni e le Province autonome, il Ministero del Lavoro e il Ministero della Salute possano accedere alle informazioni sanitarie presenti nel Fse di tutti gli assistiti, compresi i documenti clinici prima espressamente esclusi“.
In questo modo tali amministrazioni, per l’Autorità, “si troverebbero a utilizzare una enorme mole di dati sensibili (ricoveri, accessi ambulatoriali, referti, risultati di analisi cliniche, farmaci prescritti) che, per quanto non immediatamente riconducibili agli interessati, non sono indispensabili per il raggiungimento di finalità diverse da quella della cura“. Il Garante chiede che la norma venga modificata affinché i soggetti pubblici interessati possano accedere alle sole informazioni effettivamente necessarie per lo svolgimento di tali finalità.
Il Garante ha infine espresso la sua contrarietà alla possibile riproposizione di disposizioni che risulterebbero inserite nel Disegno di Legge sulle semplificazioni di recente approvato dal Consiglio dei ministri, volte ad escludere gli imprenditori dall’applicazione del Codice privacy. Una segnalazione che l’Autorità aveva già fatto nei giorni scorsi (Leggi Articolo Key4biz).
Nel Ddl semplificazioni si stabilisce, infatti, che al pari di quanto avviene in altri Paesi UE, “ai fini del trattamento dei dati personali previsto dal Codice della privacy, qualsiasi imprenditore, anche individuale, è considerato e trattato come persona giuridica: quindi, escluso dal trattamento dei dati personali ivi previsto”.
Per il Garante, però, “tali norme privano di fatto le persone fisiche – sia pure quando agiscano nell’esercizio della propria attività imprenditoriale – del diritto alla protezione dei dati, con conseguenze paradossali e non certo semplificatorie. E anzi perfino pregiudizievoli per la stessa attività d’impresa, stante la difficoltà di distinguere, nella vita concreta, il dato della persona fisica da quello riferito alla sua qualità di imprenditore”.
In questo modo, spiega l’Autorità, gli imprenditori si troverebbero ad avere meno diritti (ad esempio non potrebbero più rivolgersi al Garante per tutelarsi in caso di informazioni non corrette presenti nelle banche dati), ma gli stessi oneri ai quali erano prima soggetti.
La disposizione, peraltro, ricorda il Garante, si porrebbe in netto contrasto con la Direttiva europea con la conseguenza di costringere l’Autorità a sollevare la questione in sede comunitaria.
