Polizze assicurative e privacy
L’erede può conoscere i dati del defunto, ma non quelli dei beneficiari di una polizza

Il diritto di accesso ai dati di un defunto non riguarda informazioni relative a terzi, come ad esempio i beneficiari di polizze assicurative.

Questa la sostanza del provvedimento emesso dall’Autorità dopo aver esaminato il ricorso dell’erede legittimo di una donna che, poco prima di morire, aveva stipulato con una società di assicurazioni una polizza a favore di un terzo le cui generalità non erano note al ricorrente. Il Garante, infatti, pur riconoscendo all’erede legittimo il diritto ad accedere a tutte le informazioni personali che riguardano la defunta, non ha consentito alla società assicuratrice di comunicare il nome del beneficiario della polizza.

La vicenda prende avvio da un’istanza avanzata dall’erede alla società di assicurazioni allo scopo di ricevere informazioni e notizie riguardanti la stipula della polizza di assicurazione sottoscritta dalla defunta e volta ad ottenere anche copia della stessa polizza.

Davanti al rifiuto della società non solo a fornire la documentazione, ma anche a dare all’interessato informazioni verbali al riguardo, l’erede si rivolgeva al Garante chiedendo che gli fosse riconosciuto il diritto di ricevere in forma intelligibile i dati riguardanti la polizza, l’origine del contratto di assicurazione, l’esistenza di dati contenuti nella polizza, ribadendo anche nel ricorso la richiesta di voler ricevere dalla controparte copia della polizza, eventualmente corredata da notizie relative ad eventi verificatisi successivamente alla data di tipula.

La società resistente, invitata dall’Autorità ad aderire alle richieste, ribadiva però il proprio rifiuto sostenendo che, accogliendo le richieste dell’erede, si poteva integrare l’ipotesi di illecita comunicazione di dati personali perché di fatto sarebbero state rese note le generalità del beneficiario, mentre il disposto dell’art. 13, della legge n. 675/1996, andrebbe interpretato proprio al fine di tutelare l’ interesse della persona deceduta a non divulgare i dati del beneficiario della polizza da lei sottoscritta.

Nel provvedimento il Garante ha riconosciuto legittima la richiesta del ricorrente di accedere ai dati personali riconducibili alla defunta, benché impropriamente formulata nella parte in cui si chiedeva l’accesso ad interi documenti detenuti dalla società di assicurazioni.

La messa a disposizione dell’intera documentazione da parte del titolare del trattamento, in copia o in visione,  può infatti essere permessa - ha ribadito l’Autorità - solo qualora sussistano reali, oggettive difficoltà di estrapolazione dei dati richiesti all’interno di documenti, e comunque avendo cura di oscurare i dati personali eventualmente riferiti a terzi.

In tal senso, alla società resistente è stato intimato di estrarre dagli atti e dai documenti da essa detenuti, comprese pertanto le eventuali polizze sottoscritte, tutte le informazioni personali relative alla defunta, comunicandole in modo intelligibile all’erede legittimo, avendo però cura di escludere tutte le informazioni non direttamente riferite alla signora scomparsa e, quindi, nello specifico, non comunicando i dati personali relativi al beneficiario della polizza.

Dati passeggeri aerei: per Parlamento Ue trasferimenti negli Usa solo se garantiti
Indicate le condizioni da rispettare. Necessario un accordo internazionale.

Presa di posizione dell’Europarlamento contro il trasferimento dei dati dei passeggeri in volo verso gli Stati Uniti.

Il Parlamento europeo ha adottato il 9 ottobre scorso una risoluzione in cui chiede alla Commissione europea di stabilire quali dati possono essere trasferiti legittimamente alle autorità Usa. Nell’ambito delle norme antiterrorismo varate dopo l’11 settembre dalle autorità statunitensi, ve ne sono alcune in base alle quali le autorità Usa sono legittimate a richiedere alle compagnie aeree  di fornire tutta una serie di informazioni sui passeggeri che volano o transitano negli Stati Uniti.

Il Parlamento ha indicato le condizioni da rispettare per procedere al trasferimento dei dati, ed ha chiesto alla Commissione (che ha condotto sinora negoziati con le autorità Usa) di vietare ogni trasferimento se tali condizioni non vengano rispettate. Il Parlamento ha anche invitato la Commissione a valutare la cooperazione fra Europa ed Usa nella lotta al terrorismo ed alla criminalità tenendo conto dell’esigenza di rispettare i diritti fondamentali, e ha sollecitato la definizione di un accordo internazionale nel cui ambito siano stabilite anche le garanzie per il trasferimento dei dati personali in questione.

Alla Risoluzione i parlamentari europei sono giunti dopo un’analisi delle informazioni fornite dalla Commissione rispetto al negoziato in corso, in particolare attraverso la valutazione dell’adeguatezza della protezione dei dati personali offerta negli Usa per le informazioni richieste. Il giudizio in merito è negativo, poiché, secondo il Parlamento, le finalità che giustificherebbero la raccolta e la memorizzazione dei dati restano dubbie e non si limitano alla lotta al terrorismo, con il rischio che i dati siano utilizzati per altri scopi; inoltre, il numero di dati richiesti (39 diversi elementi del Passenger Name Record, ossia la scheda contenente tutti i dati sui singoli passeggeri registrati nei sistemi di prenotazione aerea) appare eccessivo ed è in ogni modo sproporzionato rispetto alle finalità perseguite, come pure eccessivo è il periodo di conservazione dei dati (6-7 anni), in particolare per quanto concerne quelli relativi a persone che non comportano alcun rischio per la sicurezza del Paese. Inoltre, il Parlamento ritiene che gli “impegni” assunti dall’amministrazione Usa attraverso una “Dichiarazione di intenti” unilaterale presentata alla Commissione lo scorso 22 maggio, non configurino alcun obbligo vincolante, né sia possibile utilizzarli in sede giudiziaria da parte di singoli passeggeri che ritengano di avere subito una violazione dei propri diritti, senza contare che non sono disponibili altri strumenti efficaci di ricorso in sede extragiudiziaria ad autorità indipendenti. Il Parlamento giudica indispensabile fare chiarezza sul tema, sia per garantire i diritti dei cittadini sia per fornire alle imprese coinvolte un’indicazione coerente a livello europeo, anche sulla scorta delle raccomandazioni elaborate dalle autorità di protezione dati proprio su questo punto (durante la Conferenza internazionale di Sydney, v. Newsletter  8-14 settembre 2003, e nell’ambito del Gruppo di lavoro che riunisce le autorità europee di protezione dati, v. Newsletter  16-22 giugno 2003).

Riportiamo di seguito il testo della Risoluzione adottata dal Parlamento europeo (B5-0411/2003):

Risoluzione del Parlamento europeo sul trasferimento di dati personali da parte di compagnie aeree in caso di voli transatlantici: stato dei negoziati con gli USA

Il Parlamento europeo,
- visto l'articolo 42, paragrafo 5, del suo regolamento,

A. considerando la sua risoluzione del 13 marzo 2003 sulla trasmissione di dati personali da parte delle compagnie aeree in occasione di voli transatlantici,

B. considerando che, dopo l'11 settembre 2001, gli USA hanno attuato differenti misure volte a rafforzare i controlli alle proprie frontiere; rilevando, in particolare, che dal 1º ottobre 2003 soltanto i passeggeri provvisti di un 'passaporto leggibile a macchina' possono entrare senza visto e che nel prossimo futuro i passeggeri dovranno presentare un passaporto contenente dati biometrici,

C. considerando le verifiche svolte dalla Commissione nel corso degli ultimi mesi, sia a livello amministrativo che politico, al fine di accertare se le misure adottate e previste dalle autorità statunitensi garantiscono un'adeguata protezione dei dati, in conformità delle disposizioni della direttiva 95/46/CE  nonché dei principi sanciti dalla Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali e dalla Carta dei diritti fondamentali dell'Unione europea,

D. considerando le informazioni fornite dalla Commissione e il fatto che attualmente non è possibile ritenere adeguata la protezioni dei dati assicurata dalle autorità statunitensi perché:

a) l'obiettivo che giustificherebbe l'acquisizione e la conservazione dei dati permane oscuro e non è limitato alla lotta contro il terrorismo; di conseguenza, sussiste il rischio che i dati possano essere utilizzati per altri scopi, ivi compreso il lorotrasferimento ad altri servizi dell'amministrazione statunitense oppure a terzi,
b) il numero di dati richiesti  (39 elementi diversi del codice di prenotazione del passeggero) appare eccessivo ed è in ogni caso sproporzionato rispetto all'obiettivo perseguito,
c) la conservazione dei dati (6/7 anni) appare ingiustificata, in particolare rispetto ai dati riguardanti persone che non costituiscono una minaccia per la sicurezza del paese,
d) le iniziative previste dall'amministrazione statunitense non solo appaiono insufficienti, ma non rappresentano neppure un obbligo, né possono essere invocate in tribunale dall'Unione europea o dai passeggeri ai quali, oltretutto, non vengono offerti altri strumenti efficaci di ricorso extragiudiziale presso autorità indipendenti,

E. convinto dell'urgente necessità di fornire quanto prima possibile ai passeggeri, alle compagnie aeree e ai sistemi di prenotazione indicazioni chiare sulle misure da adottare a fronte delle richieste delle autorità statunitensi,

F. tenendo conto dell'articolo 232 del trattato CE che prevede la possibilità che il Parlamento europeo adisca la Corte di giustizia quando, in violazione del trattato, si sia omesso di agire,

G. considerando le raccomandazioni espresse dalla Conferenza internazionale dei Garanti per la protezione dei dati e della riservatezza (Sydney, 10-12 settembre 2003) in cui si propone che il trasferimento internazionale dei dati sia effettuato nel quadro di accordi internazionali che definiscano:

a) le condizioni necessarie per assicurare la protezione dei  dati,
b) obiettivi chiari che giustificano la raccolta dei dati,
c) un numero di dati specifico e non eccessivo,
d) limiti severi per il periodo di archiviazione,
e) informazione adeguata delle persone interessate,
f)  dispositivi per rettificare eventuali errori, nonché autorità di controllo indipendenti;

1. si compiace in linea di principio che il dialogo con gli USA avvenga al massimo livello politico; invita tuttavia la Commissione a garantire una genuina cooperazione tra i commissari interessati, in particolare la sig.ra de Palacio, e i sigg. Bolkestein, Vitorino e Patten, in modo che tutti gli aspetti dei negoziati con gli USA vengano coperti integralmente;

2. chiede alla Commissione, ai sensi dell'articolo 232 del trattato CE, di prendere le misure appropriate per far rispettare il egolamento (CEE) n. 2299/89, in particolare l'articolo 11, entro due mesi dall'adozione della presente risoluzione;

3. invita pertanto la Commissione

a)   a determinare immediatamente, entro i limiti fissati dal gruppo di lavoro istituito ai sensi della direttiva 95/46/CE, quali dati possano essere legittimamente trasferiti a terzi dalle compagnie aeree e/o dai sistemi computerizzati d'informazione e a quali condizioni, purché
   - non sussistano discriminazioni nei confronti di passeggeri non statunitensi e i dati non siano conservati oltre la durata del soggiorno del passeggero sul territorio degli Stati Uniti,
   - i passeggeri siano informati in modo esauriente ed accurato prima dell'acquisto del biglietto e diano il proprio consenso informato in merito al trasferimento di tali dati agli Stati Uniti;
   - i passeggeri abbiano accesso ad una rapida ed efficace procedura di ricorso, nell'eventualità che sorgano dei problemi;
b) a vietare alle compagnie aeree e ai sistemi computerizzati d'informazione ogni accesso e/o trasferimento se non è conforme ai principi stabiliti nel punto (a) o se essi violano in maniera evidente gli obblighi derivanti dalla direttiva 95/46/CE e dal regolamento (CEE) n. 2299/89;
c) ad avviare immediatamente negoziati su un accordo internazionale, nel quadro della base giuridica appropriata (articolo 300 del trattato CE) e nel dovuto rispetto della legislazione comunitaria (direttiva 95/46/CE);
d) a valutare la cooperazione tra le forze di polizia dell'Ue e degli Usa nella lotta contro il terrorismo e la grave criminalità, dal punto di vista dell'efficacia e del rispetto dei diritti fondamentali e, inoltre, ad esaminare la compatibilità tra i due obiettivi in parola;
e) ad esaminare la compatibilità con la direttiva 95/46/CE di qualsiasi altro progetto, quale l'introduzione nei passaporti Ue di piastrine elettroniche sulle quali possono essere immagazzinati, in modo facilmente accessibile, dati biometrici e di altro tipo;
f) a prendere le iniziative necessarie per agevolare l'applicazione di sistemi filtro computerizzati per controllare l'accesso ai dati dei passeggeri, quale il 'Secured Short-Term PNR-Store', un progetto sviluppato dalle Austrian Airlines e dall'Autorità austriaca per la protezione dei dati e sostenuto dagli altri membri dell'Associazione delle compagnie aeree europee;

4.  sollecita la creazione di un gruppo di contatto diretto tra i deputati del Parlamento europeo e i membri del Congresso Usa, perché scambino informazioni e discutano la strategia su temi attuali e futuri;

5. incarica il suo Presidente di trasmettere la presente risoluzione al Consiglio e alla Commissione, ai governi e ai parlamenti degli Stati membri nonché al Congresso degli Stati Uniti.

(Il testo della Risoluzione in italiano si trova sul sito http://www3.europarl.eu.int/...)

Spamming: seminario della Commissione europea
Riuniti Governi ed imprese per l’entrata in vigore della direttiva sulle comunicazioni elettroniche

La Commissione europea ha organizzato per il 16 ottobre prossimo un seminario a Bruxelles per esaminare i cambiamenti legati all’entrata in vigore della direttiva 2002/58/CE sulla privacy nelle comunicazioni elettroniche e discutere sugli strumenti di contrasto al fenomeno dello spamming, cioè l’invio sistematico di e-mail indesiderate. Al recepimento della direttiva da parte degli Stati membri, previsto entro il 31 ottobre 2003, l’Italia ha già provveduto con l’emanazione del Codice della protezione dati del 30 giugno scorso.

I lavori del seminario, che saranno introdotti dal Commissario europeo per la Società dell’informazione Erkki Liikanen, si concentreranno in particolare sul regime dell’”opt-in” (consenso preventivo) previsto dalla Direttiva per le comunicazioni elettroniche, e sulle misure da adottare per combattere lo spamming. Fra queste ultime, oltre alle disposizioni di legge, si farà riferimento ad attività di sensibilizzazione e prevenzione, alla collaborazione con le imprese interessate (autoregolamentazione, elaborazione di codici di condotta, risoluzione extragiudiziaria di controversie, dispositivi tecnici di filtraggio), ed ai meccanismi in grado di migliorare l’attuazione delle norme in oggetto (collaborazione fra autorità nazionali di controllo,  potenziamento della gestione dei ricorsi presentati da cittadini, definizione di sanzioni adeguate, sensibilizzazione di Paesi terzi).

Secondo le stime della Commissione europea le perdite di produttività per le imprese dell’Unione nel 2002 sono state di 2,5 miliardi di euro, mentre lo spamming avrebbe ormai superato il 50% del traffico mondiale di posta elettronica.

I risultati del seminario, al quale parteciperanno rappresentanti degli Stati membri, del mondo dell’impresa e delle associazioni dei consumatori, saranno utilizzati per il testo della Comunicazione che la Commissione sta preparando in materia di spamming, la cui pubblicazione è attesa entro la fine del 2003.

(Per ulteriori informazioni: http://europa.eu.int/...).