Banca dati. Se la sofferenza è sanata va immediatamente disposta la cancellazione. E il parere del Garante per la Privacy

Garante per la privacy. Newsletter 3-9 marzo 2003

Finanziarie. La ’sofferenza’ sanata va cancellata dalla banca dati

Primi effetti delle regole indicate dallAutorità Garante per la tutela di chi finisce nelle banche dati delle cosiddette “centrali rischi” private. LAutorità ha ordinato ad una centrale rischi di cancellare i dati di un consumatore che, in ritardo sui pagamenti, aveva successivamente sanato la sua posizione debitoria.

Nel provvedimento a carattere generale adottato nel luglio 2002, il Garante ha infatti stabilito, tra laltro, che le segnalazioni di inadempienze, quali “sofferenze”, “credito ceduto” o simili, relative a finanziamenti completamente rimborsati devono essere cancellate al più tardi entro un anno dalla loro regolarizzazione, e non più entro i cinque attualmente in uso. Non è sufficiente aggiungere accanto ai nominativi degli interessati una dicitura che specifichi la regolarizzazione del debito. Nelle banche dati delle centrali rischi devono essere poi presenti solo dati personali esatti ed aggiornati.

Il principio ha trovato dunque nuova e specifica applicazione con laccoglimento di un ricorso presentato dal cliente di una finanziaria che aveva chiesto invano a questultima di cancellare il proprio nominativo dalla banca dati, consultabile anche da altre società prima della concessione di prestiti. Accanto al nominativo dellinteressato risultava semplicemente la segnalazione di “sofferenza” e “credito ceduto”, nonostante questi avesse sanato ogni debito sin dal 1999 presso la società di recupero crediti incaricata dalla banca.

La società, invitata dal Garante a fornire chiarimenti, comunicava di aver aggiornato il dato relativo al finanziamento subito dopo ladozione del provvedimento di carattere generale sulle centrali rischi, apponendo accanto al nominativo della ricorrente lannotazione di “regolarizzato” per documentare lintegrale pagamento del dovuto. La scelta di questa modalità, in luogo della cancellazione richiesta, veniva comunque ritenuta temporanea e la società affermava di essere anche disposta a cancellare in futuro la segnalazione definitivamente o a riattivarne la visibilità a seconda delle disposizioni che saranno presto introdotte nel previsto Codice deontologico per il settore in via di elaborazione.

Tale misura “temporanea” e interlocutoria – afferma il Garante – non risultava però soddisfacente e conforme a quanto segnalato con il provvedimento del luglio 2002, secondo il quale i dati relativi agli eventuali inadempimenti sanati senza perdite, debiti residui o pendenze devono essere cancellati dalle “centrali rischi” private entro un anno dalla loro regolarizzazione. E stata ritenuta quindi illecita ogni ulteriore conservazione dei dati della ricorrente relativi ad un finanziamento estinto da un termine ben più ampio di quello sopra indicato.

Sindacati. Finalita’ pubblica o niente nomi allassessore comunale

Lassessore comunale non può conoscere i nomi dei dipendenti comunali iscritti al sindacato se non è indispensabile per una precisa finalità di interesse pubblico. Liscrizione ad un determinata sigla sindacale, infatti, costituisce un dato di natura sensibile, sottoposto a particolare tutela.

Lo ha stabilito lAutorità in un parere reso ad un Comune che chiedeva se fosse legittimo comunicare i dati sullappartenenza sindacale dei dipendenti allassessore comunale che ne aveva fatto richiesta.

LAutorità ha rilevato che la disciplina sullordinamento degli enti locali, mentre riconosce ai consiglieri comunali il diritto di ottenere dagli uffici del Comune, comprese aziende ed enti collegati, ogni informazione utile allespletamento del loro mandato, nel rispetto del segreto dufficio, non prevede analogo diritto per gli assessori in quanto tali. Le norme dispongono, invece, che il sindaco e i singoli assessori per gli specifici settori ad essi delegati, debbano solo sovrintendere al funzionamento degli uffici e dei servizi e non con atti di diretta gestione, ma con direttive generali. Lordinamento degli enti locali, infatti, prevede che si applichino le norme del decreto legislativo n. 29/1993, in particolare la distinzione tra le funzioni di indirizzo e controllo politico-amministrativo, che spettano agli organi di governo dellente, e le funzioni di attuazione e gestione amministrativa, che spettano ai dirigenti.

Pertanto, solo nel caso in cui la richiesta di dati relativi al personale dipendente, anche di natura sensibile, sia effettivamente indispensabile allassessore per espletare la funzione di controllo politico-amministrativo sullandamento dellufficio del personale, lacquisizione dei dati potrebbe risultare conforme alle norme sulla privacy.

Le norme sulla protezione dei dati personali, infatti, considerano di rilevante interesse pubblico i trattamenti di dati effettuati per lespletamento di funzioni di controllo della rispondenza dellattività amministrativa a requisiti di razionalità, economicità, efficienza ed efficacia, attribuite dalla legge a soggetti pubblici (specificando comunque che, trattandosi di dati sensibili, occorre rispettare alcune precise cautele, quali, ad esempio, lesigenza che comunicazione deve riguardare solo dati realmente indispensabili allattività istituzionale svolta dal soggetto pubblico che li richiede e che vi sia una stretta pertinenza tra i compiti a questi attributi e i dati raccolti).

Se invece sono proprio le ricordate finalità di rilevante interesse pubblico a mancare la comunicazione di questi dati non è legittima e laccesso da parte dellassessore non è quindi consentito.

Biometria: pronto uno standard internazionale. Dubbi dagli Usa

LOrganizzazione per il progresso degli standard informativi strutturati (OASIS), un consorzio no profit costituito dalle maggiori aziende hardware e software a livello mondiale, ha presentato di recente la versione preliminare di un linguaggio standard XML che dovrebbe consentire ai vari sistemi biometrici di “dialogare” e di scambiarsi le informazioni registrate nei singoli database (http://www.oasis-open.org/…). LOASIS ha sviluppato una serie di specifiche, scritte secondo lo standard XML (un linguaggio utilizzato per scrivere numerosi programmi, soprattutto per la gestione di database), che intendono consentire lo scambio di informazioni fra sistemi biometrici così da facilitare la visualizzazione, la registrazione e linterrogazione di banche dati contenenti informazioni biometriche. I due standard attualmente utilizzati per le applicazioni di tipo biometrico non prevedono specifiche XML, ossia non prevedono definizioni univoche dei vari tipi di informazioni rilevate, in linguaggio “machine-readable”, così da facilitare ricerche incrociate e scambi di dati fra sistemi diversi. Questo nuovo standard, denominato “XML Common Biometric Format 1.0” (XCBF 1.0) intende ovviare al problema; secondo la tabella di marcia di OASIS, la versione definitiva sarà rilasciata nel mese di novembre 2003.

E in questa fase che si inseriscono le critiche formulate da Epic, uno degli organismi più attivi nella tutela della privacy e dei diritti civili, che ha immediatamente sottolineato la scarsa attenzione del sistema alle problematiche di privacy, soprattutto alla luce dei rischi potenzialmente associati alla maggiore facilità di interazione fra sistemi biometrici utilizzati nei contesti più diversi (www.epic.org/…).

Marc Rotenberg, direttore di Epic, sottolinea che non si tratta di un protocollo tale da garantire il rispetto della privacy. Di fatto, lo standard elaborato si concentra esclusivamente sugli aspetti di sicurezza (garantire lintegrità dei dati, impedire accessi non autorizzati) al fine di promuovere linteroperabilità dei sistemi biometrici e favorire la creazione e lanalisi di database contenenti informazioni biometriche, mentre non sembra considerare, a detta di Epic, i problemi derivanti dalluso di un linguaggio ampiamente diffuso come XML che facilita laccumulo e laggregazione di dati provenienti dalle banche dati più diverse. Rotenberg inviata, dunque, gli autori dello standard a riconoscere chiaramente che, allo stato, esso non garantisce il rispetto della privacy, e suggerisce di sviluppare nei prossimi mesi alcune specifiche che servano a tutelare la privacy dei soggetti i cui dati biometrici saranno raccolti ed elaborati secondo lo standard messo a punto.