Newsletter: privacy


INDICE:
*
I. PRESCRIZIONI E PROVVEDIMENTI DEL GARANTE DELLA PRIVACY 1-3
1. INDICAZIONI DEL GARANTE PRIVACY PER UNA DISCIPLINA DI CONTRASTO DELLE FRODI RC AUTO
2. USO DI DATI ECCEDENTI ALLO SCOPO IN CONTENZIOSO
3. CONTROLLI SULLA TOSSICODIPENDENZA E TUTELA DELLA RISERVATEZZA
4. CALL CENTER EXTRA UE E INDICAZIONI PER UNA MAGGIORE TRASPARENZA
 
***
Prosegue la collaborazione del Garante privacy con l'Ivass per giungere a una disciplina che renda più efficace la prevenzione e il contrasto alle frodi nel settore delle assicurazioni Rc auto.
Nell'esprimere parere favorevole sullo schema di provvedimento che regola il funzionamento della banca dati dei sinistri e delle neocostituite "anagrafe testimoni" e "anagrafe danneggiati", l'Autorità ha fornito all'Istituto alcune indicazioni e suggerimenti per perfezionare il testo sotto il profilo della protezione dei dati.
Nel parere, reso su un testo provvisorio che sarà sottoposto a consultazione pubblica, il Garante raccomanda di informare anche in forma sintetica coloro che possono trovarsi coinvolti in un sinistro (contraenti e assicurati, ma anche danneggiati e testimoni) dell'esistenza sia della banca dati sinistri, sia dei due nuovi archivi informatici costituiti al suo interno e dei tipi di operazioni effettuate sui dati personali. E ciò, suggerisce l'Autorità, potrebbe avvenire già in occasione della compilazione del modulo di Constatazione amichevole di incidente – Denuncia sinistro (Cid) di cui si avvale la maggior parte di automobilisti in caso di incidenti stradali. Una soluzione non obbligatoria in base alla legge ma che potrebbe avere il duplice risultato di portare a conoscenza di milioni di persone la costituzione e il funzionamento della banca dati sinistri, un enorme database alimentato e consultato dalle società di assicurazioni che raccoglie una miriade di informazioni sugli incidenti stradali, e di accentuare l'effetto dissuasivo di possibili comportamenti fraudolenti.
L'Autorità inoltre, nel giudicare positivamente la scelta dell'Ivass di consentire alle compagnie assicurative accessi selettivi e graduati alle diverse tipologie di informazioni contenute negli archivi informatici, ha tuttavia raccomandato di limitare la consultazione della banca dati ai soggetti indicati dalla legge al solo scopo di rendere più efficace la prevenzione e il contrasto alle frodi assicurative.
Il Garante ritiene, infine, opportuno che i dati identificativi degli interessati (parti coinvolte, testimoni, ecc.) siano cancellati dalla banca dati, trascorsi 5 anni dalla definizione dell'incidente e dopo il previsto riversamento su copie di backup.
*** *** ***
Per difendersi in giudizio la banca non può inserire nelle memorie difensive considerazioni relative al procuratore della controparte che esulano dal merito del contenzioso e risultano eccendenti il concreto diritto di difesa. E' il principio stabilito dal Garante per la privacy in un provvedimento con il quale ha dichiarato illecito il trattamento di dati svolto da una banca nei confronti di un procuratore che rappresentava in giudizio alcuni clienti della banca stessa. L'interessato aveva lamentato, con una segnalazione al Garante, l'uso improprio - nell'ambito di memorie difensive presentate dall'istituto bancario davanti all'Arbitro bancario e finanziario competente - di suoi dati personali riferiti ad un pregresso rapporto di lavoro con il medesimo istituto bancario.
La banca aveva chiesto, infatti, al Collegio arbitrario di considerare incompatibile l'attività di rappresentanza svolta dal procuratore perché questi, già dipendente dall'istituto, era stato licenziato per giusta causa e la vertenza instaurata era ancora pendente.
Nel suo provvedimento, il Garante ha ricordato i principi stabiliti dal Codice privacy e quanto contenuto in particolare nelle Linee guida in materia di rapporti tra banche e clienti e cioè che i dati prodotti in giudizio devono essere solo quelli pertinenti a far valere o difendere un diritto in sede giudiziaria, evitando la comunicazione di informazioni non rilevanti per le citate finalità di difesa. Nel caso specifico, invece, il trattamento dei dati personali del segnalante in occasione dei procedimenti celebrati dinanzi all'Arbitro bancario è risultato eccedente rispetto alle concrete esigenze difensive della banca perché volto, non tanto a dimostrare la eventuale scarsa attendibilità delle affermazioni rese dai clienti che avevano fatto ricorso contro la banca, quanto a rendere un immagine negativa, per fatti extraprocessuali, e comunque estranei alla materia del contendere, del loro procuratore.
Il trattamento di dati operato dalla banca è risultato dunque illecito. Di conseguenza, i dati eccedenti riferiti al procuratore non potranno essere più utilizzati dalla banca
*** *** ***
Gli organismi sanitari che per accertare l'assenza di tossicodipendenza intendono usare sistemi di videosorveglianza all'interno dei propri servizi igienici dovranno adottare cautele e accorgimenti a tutela della riservatezza di lavoratori e pazienti sottoposti alla raccolta dei campioni di urina. Lo ha deciso l'Autorità per la privacy intervenuta a seguito di istanze pervenute dagli organismi sanitari, tra i quali i Sert, ma anche dagli stessi lavoratori e pazienti. Nei Sert e in altre strutture sanitarie i lavoratori destinati a mansioni che comportano rischi per la sicurezza, l'incolumità e la salute di terzi vengono sottoposti per legge, prima dell'assunzione in servizio e poi con cadenza periodica, ad accertamento di assenza di tossicodipendenza attraverso l'esame dell'urina. L'occhio di un operatore sanitario garantisce che a ciascun soggetto sottoposto al controllo corrisponda esattamente il suo campione di urina. Stessa procedura viene prevista per i soggetti affetti da dipendenze per finalità di cura. Ora, sulla base dell'esperienza maturata e delle richieste degli interessati le strutture sanitarie hanno proposto, in luogo dell'osservazione diretta, l'impiego di telecamere in grado di assicurare la corretta raccolta - sotto il profilo dell'inalterabilità e della provenienza - del campione urinario. Con un provvedimento a valenza generale, il Garante ha dunque prescritto le misure da rispettare. All'interessato deve essere data innanzitutto la facoltà di scegliere se avvalersi della osservazione diretta di un operatore sanitario o della rilevazione delle immagini attraverso l'occhio elettronico. Le immagini rilevate non devono essere registrabili. Il servizio igienico dotato di telecamere, inoltre, deve essere dedicato in via esclusiva a tali controlli, se ciò non è possibile, devono essere introdotti opportuni accorgimenti per evitare di riprendere soggetti diversi da quelli da controllare. Infine, il personale sanitario preposto ai controlli, il solo abilitato a visionare le immagini e preferibilmente dello stesso sesso della persona da controllare, deve essere designato per iscritto incaricato del trattamento e gli deve essere preclusa la possibilità di registrare le immagini che appaiono sullo schermo, anche tramite telefoni cellulari o altri dispositivi elettronici.
*** *** ***
Con un provvedimento a carattere generale adottato al termine di una articolata istruttoria, il Garante ha ribadito le regole alle quali devono attenersi società e enti pubblici, che si avvalgono per le loro attività di customer care o di telemarketing di call center situati in Paesi dove non sono assicurate le garanzie previste dalla normativa comunitaria. L'Autorità, inoltre, sulla base delle recenti modifiche normative apportate dal legislatore italiano nel settore, ha chiesto maggiori informazioni per gli utenti, possibilità di scegliere un operatore collocato sul territorio nazionale, più trasparenza nei trattamenti di dati personali. L'Autorità ha avviato anche una ricognizione dei soggetti che si avvalgono dei call center stabiliti fuori dall'Ue, verificando i tipi di operazioni effettuate e le modalità di trasferimento adottate.
Il nuovo provvedimento ricorda le regole generali da rispettare per i trasferimenti di dati: autorizzazione del Garante, adozione di regole di condotta infragruppo (le cosiddette "binding corporate rules", Bcr), sottoscrizione tra le parti delle clausole contrattuali tipo stabilite dalla Commissione europea o quelle già indicate in specifici ambiti di attività (ad.es. per il telemarketing). Ma soprattutto introduce importanti novità. I titolari del trattamento (società e enti pubblici) che utilizzano tali call center dovranno infatti integrare l'informativa resa al momento del contatto con l'utente specificando anche la nazione dalla quale chiamano o rispondono.
Per le chiamate in entrata, in analogia a quanto previsto dalla normativa in vigore, i call center dovranno adottare apposite procedure per dare all'utente la possibilità di scegliere un operatore collocato sul territorio nazionale (ad es. deviando la telefonata o disponendo un successivo contatto da parte di un operatore italiano). D'ora in poi, inoltre, i titolari dal trattamento che intendono trasferire (o affidare) il trattamento di dati personali a un call center situato in Paesi extra Ue dovranno prima darne comunicazione al Garante, utilizzando un modello che sarà messo a disposizione sul sito dell'Autorità.
I call center che già operano in Pesi extra Ue dovranno invece informare il Garante entro 30 giorni dalla pubblicazione del provvedimento nella Gazzetta ufficiale. Ciò consentirà di acquisire elementi utili a comprendere l'ampiezza di un fenomeno in continua espansione e permetterà all'Autorità di valutare la portata del trasferimento dei dati personali al di fuori dall'Unione europea per i trattamenti operati dai call center, anche al fine di intervenire con tempestività ed efficacia in caso di violazioni del Codice privacy.
Disclaimer: Il presente documento ha esclusivamente natura informativa e non costituisce un parere legale. Le informazioni in esso contenute possono essere non aggiornate o complete.
Per ulteriori informazioni o approfondimenti si invita a prendere contatti con lo studio legale associato Quorum. www. quorumlegal.com