Finanziarie. La “sofferenza” sanata va cancellata dalla banca dati

Primi effetti delle regole indicate dall?Autorit?? Garante per la tutela di chi finisce nelle banche dati delle cosiddette ?centrali rischi? private. L?Autorit? ha ordinato ad una centrale rischi di cancellare i dati di un consumatore che, in ritardo sui pagamenti, aveva successivamente sanato la sua posizione debitoria.

Nel provvedimento a carattere generale adottato nel luglio 2002, il Garante ha infatti stabilito, tra l?altro, che le segnalazioni di inadempienze, quali ?sofferenze?, ?credito ceduto? o simili, relative a finanziamenti? completamente? rimborsati devono essere cancellate? al pi? tardi entro un anno dalla loro regolarizzazione, e non pi? entro i cinque attualmente in uso. Non ? sufficiente aggiungere accanto ai nominativi degli interessati una dicitura che specifichi la regolarizzazione del debito. Nelle banche dati delle centrali rischi devono essere poi presenti solo dati personali esatti ed aggiornati.?

Il principio ha trovato dunque nuova e specifica applicazione? con l?accoglimento di un ricorso presentato dal cliente di una finanziaria che aveva chiesto invano a quest?ultima di cancellare? il proprio nominativo dalla banca dati, consultabile anche da altre societ? prima della concessione di prestiti. Accanto al nominativo dell?interessato risultava semplicemente la segnalazione di ?sofferenza? e? ?credito ceduto?, nonostante questi avesse sanato ogni debito sin dal 1999 presso la societ? di recupero crediti incaricata dalla banca.

La societ?, invitata dal Garante a fornire chiarimenti, comunicava di aver aggiornato il dato relativo al finanziamento subito dopo l?adozione del provvedimento di carattere generale sulle centrali rischi, apponendo accanto al nominativo della ricorrente l?annotazione di ?regolarizzato? per documentare l?integrale pagamento del dovuto. La scelta di questa modalit?, in luogo della cancellazione richiesta, veniva comunque ritenuta temporanea e la societ?? affermava di essere anche disposta a? cancellare in futuro la segnalazione definitivamente o a riattivarne la visibilit? a seconda delle disposizioni che saranno presto introdotte nel previsto Codice deontologico per il settore in via di elaborazione.

Tale misura ?temporanea? e interlocutoria ? afferma il Garante – non risultava per? soddisfacente e conforme a quanto segnalato con il provvedimento del luglio 2002,

secondo il quale i dati relativi agli eventuali inadempimenti sanati senza perdite, debiti residui o

pendenze devono essere cancellati dalle ?centrali rischi? private entro un anno dalla loro regolarizzazione. E? stata ritenuta quindi illecita ogni ulteriore conservazione dei dati della ricorrente relativi ad un finanziamento estinto da un termine ben pi? ampio di quello sopra indicato.

?

SINDACATI. SENZA FINALITA? PUBBLICA NIENTE DATI DEGLI ISCRITTI ALL?ASSESSORE COMUNALE

L?assessore comunale non pu? conoscere i nomi dei dipendenti comunali iscritti al sindacato se non? ? indispensabile per una precisa finalit? di interesse pubblico. L?iscrizione ad un determinata sigla sindacale, infatti, costituisce un dato di natura sensibile, sottoposto a particolare tutela.

Lo ha stabilito l?Autorit? in un parere reso ad un Comune che chiedeva se fosse legittimo comunicare i dati sull?appartenenza sindacale dei dipendenti all?assessore comunale che ne aveva fatto richiesta. L?Autorit? ha rilevato che la disciplina sull?ordinamento degli enti locali, mentre riconosce ai consiglieri comunali? il diritto di ottenere dagli uffici del Comune, comprese aziende ed enti collegati, ogni

informazione utile all?espletamento del loro mandato, nel rispetto del segreto d?ufficio, non prevede analogo diritto per gli assessori in quanto tali. Le norme dispongono, invece, che il sindaco e i singoli assessori per gli specifici settori ad essi delegati, debbano solo sovrintendere al funzionamento degli uffici e dei servizi e non con atti non di diretta gestione, ma con direttive generali. L?ordinamento degli enti locali, infatti, prevede che si applichino le norme del decreto legislativo n.29/1993, in particolare la distinzione tra le funzioni di indirizzo e controllo politico-amministrativo, che spettano agli organi di governo dell?ente, e le funzioni di attuazione e gestione amministrativa, che spettano ai dirigenti.

Pertanto, solo nel caso in cui la richiesta di dati relativi al personale dipendente, anche di natura sensibile, sia effettivamente indispensabile all?assessore per espletare la funzione di controllo politico-amministrativo sull?andamento dell?ufficio del personale, l?acquisizione dei dati potrebbe risultare conforme alle norme sulla privacy.

Le norme sulla protezione dei dati personali, infatti, considerano di rilevante interesse pubblico i trattamenti di dati effettuati per l?espletamento di funzioni di controllo della rispondenza dell?attivit? amministrativa a requisiti di razionalit?, economicit?, efficienza ed efficacia, attribuite dalla legge a soggetti pubblici (specificando comunque che, trattandosi di dati sensibili, occorre rispettare alcune precise cautele, quali, ad esempio, l?esigenza che comunicazione deve riguardare solo dati realmente indispensabili all?attivit? istituzionale svolta dal soggetto pubblico che li richiede e che vi sia una stretta pertinenza tra i compiti a questi attributi e i dati raccolti).

Se invece sono proprio le ricordate finalit? di rilevante interesse pubblico a mancare la comunicazione di questi dati non ? legittima e l?accesso da parte dell?assessore non ? quindi consentito.

?

BIOMETRIA : PRONTO UNO STANDARD INTERNAZIONALE. DUBBI DAGLI USA

L?Organizzazione per il progresso degli standard informativi strutturati (OASIS), un consorzio no profit costituito dalle maggiori aziende hardware e software a livello mondiale, ha presentato di recente la versione preliminare di un linguaggio standard XML che dovrebbe consentire ai vari sistemi biometrici di ?dialogare? e di scambiarsi le informazioni registrate nei singoli database (http://www.oasis-open.org/committees/xcbf). L?OASIS ha sviluppato una serie di specifiche, scritte secondo lo standard XML (un linguaggio utilizzato per scrivere numerosi programmi, soprattutto per la gestione di database), che intendono consentire lo scambio di informazioni fra sistemi biometrici cos? da facilitare la visualizzazione, la registrazione e l?interrogazione di banche dati contenenti informazioni biometriche. I due standard attualmente utilizzati per le applicazioni di tipo biometrico non prevedono specifiche XML, ossia non prevedono definizioni univoche dei vari tipi di informazioni rilevate, in linguaggio ?machine-readable?, cos? da facilitare ricerche incrociate e scambi di dati fra sistemi diversi. Questo nuovo standard, denominato ?XML Common Biometric Format 1.0? (XCBF 1.0) intende ovviare al problema; secondo la tabella di marcia di OASIS, la versione definitiva sar? rilasciata nel mese di novembre 2003.

E? in questa fase che si inseriscono le critiche formulate da Epic, uno degli organismi pi? attivi nella tutela della privacy e dei diritti civili, che ha immediatamente sottolineato la scarsa attenzione del sistema alle problematiche di privacy, soprattutto alla luce dei rischi potenzialmente associati alla maggiore facilit? di interazione fra sistemi biometrici utilizzati nei contesti pi? diversi (www.epic.org/privacy/biometrics/oasis_commentsl).

Marc Rotenberg, direttore di Epic, sottolinea che non si tratta di un protocollo tale da garantire il rispetto della privacy. Di fatto, lo standard elaborato si concentra esclusivamente sugli aspetti di sicurezza (garantire l?integrit? dei dati, impedire accessi non autorizzati) al fine di promuovere l?interoperabilit? dei sistemi biometrici e favorire la creazione e l?analisi di database contenenti informazioni biometriche, mentre non sembra considerare, a detta di Epic,? i problemi derivanti dall?uso di un linguaggio ampiamente diffuso come XML che facilita l?accumulo e l?aggregazione di dati provenienti dalle banche dati pi? diverse. Rotenberg invita, dunque, gli autori dello standard a riconoscere chiaramente che, allo stato, esso non garantisce il rispetto della privacy, e suggerisce di sviluppare nei prossimi mesi alcune specifiche che servano a tutelare la privacy dei soggetti i cui dati biometrici saranno raccolti ed elaborati