Newsletter - 06 ottobre 2003 |
Polizze assicurative e privacy Il diritto di accesso ai dati di un defunto non riguarda informazioni relative a terzi, come ad esempio i beneficiari di polizze assicurative. Questa la sostanza del provvedimento emesso dall’Autorità dopo aver esaminato il ricorso dell’erede legittimo di una donna che, poco prima di morire, aveva stipulato con una società di assicurazioni una polizza a favore di un terzo le cui generalità non erano note al ricorrente. Il Garante, infatti, pur riconoscendo all’erede legittimo il diritto ad accedere a tutte le informazioni personali che riguardano la defunta, non ha consentito alla società assicuratrice di comunicare il nome del beneficiario della polizza. La vicenda prende avvio da un’istanza avanzata dall’erede alla società di assicurazioni allo scopo di ricevere informazioni e notizie riguardanti la stipula della polizza di assicurazione sottoscritta dalla defunta e volta ad ottenere anche copia della stessa polizza. Davanti al rifiuto della società non solo a fornire la documentazione, ma anche a dare all’interessato informazioni verbali al riguardo, l’erede si rivolgeva al Garante chiedendo che gli fosse riconosciuto il diritto di ricevere in forma intelligibile i dati riguardanti la polizza, l’origine del contratto di assicurazione, l’esistenza di dati contenuti nella polizza, ribadendo anche nel ricorso la richiesta di voler ricevere dalla controparte copia della polizza, eventualmente corredata da notizie relative ad eventi verificatisi successivamente alla data di tipula. La società resistente, invitata dall’Autorità ad aderire alle richieste, ribadiva però il proprio rifiuto sostenendo che, accogliendo le richieste dell’erede, si poteva integrare l’ipotesi di illecita comunicazione di dati personali perché di fatto sarebbero state rese note le generalità del beneficiario, mentre il disposto dell’art. 13, della legge n. 675/1996, andrebbe interpretato proprio al fine di tutelare l’ interesse della persona deceduta a non divulgare i dati del beneficiario della polizza da lei sottoscritta. Nel provvedimento il Garante ha riconosciuto legittima la richiesta del ricorrente di accedere ai dati personali riconducibili alla defunta, benché impropriamente formulata nella parte in cui si chiedeva l’accesso ad interi documenti detenuti dalla società di assicurazioni. La messa a disposizione dell’intera documentazione da parte del titolare del trattamento, in copia o in visione, può infatti essere permessa - ha ribadito l’Autorità - solo qualora sussistano reali, oggettive difficoltà di estrapolazione dei dati richiesti all’interno di documenti, e comunque avendo cura di oscurare i dati personali eventualmente riferiti a terzi. In tal senso, alla società resistente è stato intimato di estrarre dagli atti e dai documenti da essa detenuti, comprese pertanto le eventuali polizze sottoscritte, tutte le informazioni personali relative alla defunta, comunicandole in modo intelligibile all’erede legittimo, avendo però cura di escludere tutte le informazioni non direttamente riferite alla signora scomparsa e, quindi, nello specifico, non comunicando i dati personali relativi al beneficiario della polizza.
Presa di posizione dell’Europarlamento contro il trasferimento dei dati dei passeggeri in volo verso gli Stati Uniti. Il Parlamento europeo ha adottato il 9 ottobre scorso una risoluzione in cui chiede alla Commissione europea di stabilire quali dati possono essere trasferiti legittimamente alle autorità Usa. Nell’ambito delle norme antiterrorismo varate dopo l’11 settembre dalle autorità statunitensi, ve ne sono alcune in base alle quali le autorità Usa sono legittimate a richiedere alle compagnie aeree di fornire tutta una serie di informazioni sui passeggeri che volano o transitano negli Stati Uniti. Il Parlamento ha indicato le condizioni da rispettare per procedere al trasferimento dei dati, ed ha chiesto alla Commissione (che ha condotto sinora negoziati con le autorità Usa) di vietare ogni trasferimento se tali condizioni non vengano rispettate. Il Parlamento ha anche invitato la Commissione a valutare la cooperazione fra Europa ed Usa nella lotta al terrorismo ed alla criminalità tenendo conto dell’esigenza di rispettare i diritti fondamentali, e ha sollecitato la definizione di un accordo internazionale nel cui ambito siano stabilite anche le garanzie per il trasferimento dei dati personali in questione. Alla Risoluzione i parlamentari europei sono giunti dopo un’analisi delle informazioni fornite dalla Commissione rispetto al negoziato in corso, in particolare attraverso la valutazione dell’adeguatezza della protezione dei dati personali offerta negli Usa per le informazioni richieste. Il giudizio in merito è negativo, poiché, secondo il Parlamento, le finalità che giustificherebbero la raccolta e la memorizzazione dei dati restano dubbie e non si limitano alla lotta al terrorismo, con il rischio che i dati siano utilizzati per altri scopi; inoltre, il numero di dati richiesti (39 diversi elementi del Passenger Name Record, ossia la scheda contenente tutti i dati sui singoli passeggeri registrati nei sistemi di prenotazione aerea) appare eccessivo ed è in ogni modo sproporzionato rispetto alle finalità perseguite, come pure eccessivo è il periodo di conservazione dei dati (6-7 anni), in particolare per quanto concerne quelli relativi a persone che non comportano alcun rischio per la sicurezza del Paese. Inoltre, il Parlamento ritiene che gli “impegni” assunti dall’amministrazione Usa attraverso una “Dichiarazione di intenti” unilaterale presentata alla Commissione lo scorso 22 maggio, non configurino alcun obbligo vincolante, né sia possibile utilizzarli in sede giudiziaria da parte di singoli passeggeri che ritengano di avere subito una violazione dei propri diritti, senza contare che non sono disponibili altri strumenti efficaci di ricorso in sede extragiudiziaria ad autorità indipendenti. Il Parlamento giudica indispensabile fare chiarezza sul tema, sia per garantire i diritti dei cittadini sia per fornire alle imprese coinvolte un’indicazione coerente a livello europeo, anche sulla scorta delle raccomandazioni elaborate dalle autorità di protezione dati proprio su questo punto (durante la Conferenza internazionale di Sydney, v. Newsletter 8-14 settembre 2003, e nell’ambito del Gruppo di lavoro che riunisce le autorità europee di protezione dati, v. Newsletter 16-22 giugno 2003). Riportiamo di seguito il testo della Risoluzione adottata dal Parlamento europeo (B5-0411/2003):
La Commissione europea ha organizzato per il 16 ottobre prossimo un seminario a Bruxelles per esaminare i cambiamenti legati all’entrata in vigore della direttiva 2002/58/CE sulla privacy nelle comunicazioni elettroniche e discutere sugli strumenti di contrasto al fenomeno dello spamming, cioè l’invio sistematico di e-mail indesiderate. Al recepimento della direttiva da parte degli Stati membri, previsto entro il 31 ottobre 2003, l’Italia ha già provveduto con l’emanazione del Codice della protezione dati del 30 giugno scorso. I lavori del seminario, che saranno introdotti dal Commissario europeo per la Società dell’informazione Erkki Liikanen, si concentreranno in particolare sul regime dell’”opt-in” (consenso preventivo) previsto dalla Direttiva per le comunicazioni elettroniche, e sulle misure da adottare per combattere lo spamming. Fra queste ultime, oltre alle disposizioni di legge, si farà riferimento ad attività di sensibilizzazione e prevenzione, alla collaborazione con le imprese interessate (autoregolamentazione, elaborazione di codici di condotta, risoluzione extragiudiziaria di controversie, dispositivi tecnici di filtraggio), ed ai meccanismi in grado di migliorare l’attuazione delle norme in oggetto (collaborazione fra autorità nazionali di controllo, potenziamento della gestione dei ricorsi presentati da cittadini, definizione di sanzioni adeguate, sensibilizzazione di Paesi terzi). Secondo le stime della Commissione europea le perdite di produttività per le imprese dell’Unione nel 2002 sono state di 2,5 miliardi di euro, mentre lo spamming avrebbe ormai superato il 50% del traffico mondiale di posta elettronica. I risultati del seminario, al quale parteciperanno rappresentanti degli Stati membri, del mondo dell’impresa e delle associazioni dei consumatori, saranno utilizzati per il testo della Comunicazione che la Commissione sta preparando in materia di spamming, la cui pubblicazione è attesa entro la fine del 2003. (Per ulteriori informazioni: http://europa.eu.int/...).
NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002). Direttore responsabile: Baldo Meo. Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma. Tel: 06.69677.1 - Fax: 06.69677.785 Newsletter è consultabile sul sito Internet www.garanteprivacy.it |
||