g-docweb-display Portlet

Newsletter del 19 aprile 2013

Stampa Stampa Stampa

 
 


Banche: sì all´uso della firma biometrica, ma con precise garanzie

 

Il Garante per la privacy ha autorizzato [doc. web n. 2311886 e 2304808] l´avvio di due progetti innovativi che consentono ad alcune banche di identificare i propri clienti tramite l´analisi biometrica della firma apposta su dei lettori digitali, ma solo in seguito all´adozione di apposite garanzie a tutela della privacy.

La nuova procedura prevede che l´utente non firmi più su un normale foglio di carta, ma su un tablet elettronico "grafometrico" in grado di acquisire alcuni parametri biometrici della persona come il ritmo, la velocità, la pressione esercitata durante il movimento di firma. I dati registrati sono poi confrontati con quelli già memorizzati in precedenza al fine di consentire l´autenticazione informatica del cliente che l´ha apposta.

Nel corso dell´istruttoria sui due progetti presentati per una verifica preliminare, il Garante ha riconosciuto l´effettiva utilità del nuovo strumento, anche alla luce della specifica normativa del settore bancario - che richiede, ad esempio, l´identificazione certa e rigorosa dell´utenza, in un´ottica di sana e prudente gestione del rischio.

L´Autorità non ha riscontrato significativi profili di criticità nel primo progetto, presentato da un unico istituto bancario. Sono infatti assicurate adeguate misure di sicurezza e procedure per garantire la corretta gestione dei dati trattati. Il Garante ha però rimarcato che, data la particolare delicatezza delle informazioni raccolte (dati biometrici che potrebbero anche consentire, tra l´altro, di risalire a eventuali patologie dell´utente che appone la firma), esse dovranno essere usate esclusivamente per effettuare l´identificazione dell´utente.

Sono state invece prescritte alcune integrazioni al secondo progetto di firma biometrica, proposto da quattro diverse banche appartenenti allo stesso gruppo e da una società che offre servizi tecnologici alla PA e alle imprese, al fine di renderlo conforme alla normativa sulla privacy. Il Garante ha rilevato che, diversamente da quanto sostenuto nella documentazione, nel caso specifico le banche e la società di servizi tecnologici condividono la titolarità della gestione dei dati: dovranno quindi definire insieme le modalità del trattamento per le parti di rispettiva competenza e fornire ai clienti un´adeguata informativa in merito. L´Autorità ha poi sottolineato che non si può imporre, neppure indirettamente, alla clientela di aderire alla nuova procedura di analisi biometrica della firma. Gli utenti, infatti, devono poter esprimere il loro consenso al trattamento dei dati in forma libera, con la garanzia di poter usufruire di procedure alternative per la sottoscrizione di documenti bancari. L´Autorità ha infine evidenziato che i dati biometrici così raccolti, a meno che non sia previsto da apposite normative di settore, potranno essere conservati solo per il tempo strettamente necessario a offrire il servizio o per rispondere a eventuali contestazioni presentate anche in sede giudiziaria.
 

 



Vietato diffondere dati sanitari dei cittadini sui siti web dei Comuni
Dopo i primi dieci provvedimenti, il Garante fa rimuovere i dati personali dalle ordinanze di altri 16 Comuni. E sono in arrivo sanzioni

 


Sì alla trasparenza on line nella Pa, ma rispettando la dignità delle persone. Sui siti dei Comuni non possono essere pubblicati atti e documenti contenenti dati sullo stato di salute dei cittadini.

Dopo i primi dieci provvedimenti di divieto adottati nelle scorse settimane, il Garante per la privacy ha fatto oscurare dai siti web di altri sedici Comuni italiani, di piccola e media grandezza, i dati personali contenuti in alcune ordinanze con le quali i sindaci disponevano il trattamento sanitario obbligatorio per determinati cittadini [I provvedimenti sono disponibili nella colonna di sinistra di questa pagina].

Nelle ordinanze, con le quali si disponeva il ricovero immediato di diversi cittadini,  erano  infatti indicati "in chiaro" non solo i dati anagrafici (nome, cognome, luogo e data di nascita) e la residenza, ma anche la patologia della quale soffriva la persona (ad es. "infermo mentale"), o altri dettagli davvero eccessivi, quali ad esempio l´indicazione di "persona  affetta da manifestazioni di ripetuti tentativi di suicidio".

Il trattamento dei dati effettuato dai Comuni è risultato dunque illecito: come ha ricordato l´Autorità, le disposizioni del Codice della privacy, richiamate anche dalle Linee guida sulla trasparenza on line della Pa emanate dallo stesso  Garante nel 2011, vietano espressamente la diffusione di dati idonei a rivelare lo stato di salute delle persone.

Le ordinanze, per giunta, oltre ad essere visibili e liberamente consultabili sui siti istituzionali dei Comuni, attraverso link che rimandavano all´archivio degli atti dell´ente, erano nella maggioranza dei casi facilmente reperibili anche sui più usati motori di ricerca, come Google: bastava digitare il nome e cognome delle persone.

Nel disporre il divieto di ulteriore diffusione dei dati, l´Autorità per la privacy ha  prescritto alle amministrazioni comunali non solo di oscurare i dati personali, presenti nei provvedimenti, da qualsiasi area del sito, ma anche di attivarsi presso i responsabili dei principali motori di ricerca per fare in modo che vengano rimosse le copie web delle ordinanze e di tutti gli altri atti aventi ad oggetto il ricovero per trattamento sanitario obbligatorio dagli indici e dalla cache.

I Comuni, inoltre, per il futuro dovranno far sì che la pubblicazione di atti e documenti in Internet avvenga nel rispetto della normativa privacy e delle Linee guida in materia di trasparenza on line della Pa.

L´Autorità procederà ad avviare nei confronti dei Comuni interessati le previste procedure sanzionatorie per trattamento illecito di dati personali.

 



Ok del Garante al monitoraggio dei trapianti di cellule e tessuti umani
Dati anonimi e no all´identificazione anche indiretta dei pazienti

 

Via libera del Garante privacy [doc. web n. 2380087] su uno schema di Accordo tra il Governo, le Regioni e le province autonome di Trento e Bolzano con il quale si intende avviare una ricognizione a livello nazionale dei  trapianti sperimentali di cellule e tessuti umani (cornee, cute, valvole cardiache) e dei nuovi medicinali per terapie avanzate.

L´Accordo, che tiene conto delle indicazioni fornite dall´Ufficio del Garante nel corso di contatti informali, esclude la raccolta di dati personali e  prevede di rilevare per ogni trattamento terapeutico (terapia cellulare somatica, terapia genica, ingegneria tissutale, trapianto sperimentale) informazioni sul numero dei pazienti coinvolti, lo scopo del trattamento e  le patologie curate,  il numero delle reazioni o gli eventi avversi gravi.

Nell´esprimere parere favorevole il Garante ha comunque chiesto di innalzare ulteriormente le garanzie, adottando  opportuni accorgimenti di aggregazione dei dati relativi al numero dei pazienti coinvolti da parte delle strutture sanitarie al fine di escludere il rischio di identificazione anche indiretta dei pazienti. Il sistema, in attesa dell´istituzione del registro nazionale in materia, prevede che il Ministero della salute metta a disposizione sul proprio sito due schede. La prima, compilata dalla struttura  sanitaria che ha effettuato i trattamenti, va trasmessa alla autorità regionale o provinciale di riferimento, che a sua volta  riempie la seconda scheda con i dati riepilogativi regionali.

Le due schede vanno poi inviate da Regioni e province autonome al Ministero della salute attraverso una apposita casella di posta elettronica certificata. Ogni sei mesi, con le stesse modalità le strutture sanitarie devono provvedere all´aggiornamento dei dati, mentre l´elenco dei trattamenti terapeutici censiti  e delle strutture sanitarie che li hanno effettuati dovrà essere pubblicato annualmente sul sito del Ministero.



Telecamere "intelligenti" contro i vandali, ma attenzione alla privacy

 

Sì ad occhi "intelligenti" contro atti vandalici e danneggiamenti a monumenti e sedi istituzionali, ma tutelando la privacy dei cittadini. Il Garante per la protezione dei dati personali ha dato il via libera [doc. web n. 2380059] all´utilizzo da parte del Comune di Bergamo di un sistema di controllo dei luoghi pubblici a fini di sicurezza urbana.

L´impianto di telecamere con inquadratura fissa, sottoposto alla verifica preliminare dell´Autorità, oltre a riprendere e registrare le immagini, aziona in tempo reale un allarme sul monitor della postazione di polizia in caso di permanenza prolungata di un soggetto, nelle aree adiacenti monumenti e sedi istituzionali, con l´obiettivo di consentire un eventuale pronto intervento.

In base al provvedimento generale del 2010 del Garante in materia di videosorveglianza, l´uso di questi sistemi di ripresa "intelligenti" - che non si limitano a riprendere e registrare le immagini, ma sono in grado di rilevare automaticamente comportamenti o eventi anomali, segnalarli ed eventualmente registrarli - deve essere sottoposto alla verifica preliminare dell´Autorità. L´uso di tali sistemi infatti risulta giustificato  solo in casi particolari, e sempre tenendo conto delle finalità perseguite e del contesto in cui i dati sono trattati. Nella sua decisione, il Garante ha osservato che il sistema, per le sue caratteristiche, non comporta in concreto un pregiudizio rilevante per i diritti e le libertà fondamentali dei cittadini, in quanto, nel rilevare la presenza prolungata degli interessati nell´area adiacente i monumenti e le sedi istituzionali, ha come unico effetto quello di richiamare l´attenzione dell´operatore di polizia addetto alla centrale operativa, al fine di favorire un tempestivo intervento.

Il Garante ha però imposto al Comune di informare i cittadini in modo chiaro sulle modalità di funzionamento del sistema. L´Autorità ha infine richiamato l´attenzione del Comune sulle misure di sicurezza da adottare, al fine di consentire, in particolare, la verifica delle attività sugli accessi alle immagini o sul controllo dei sistemi di ripresa, nonché sulla necessità di rispettare i tempi limitati di conservazione delle immagini registrate.
 


L´ATTIVITÁ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall´Autorità

 


NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma.
Tel: 06.69677.2752 - Fax: 06.69677.3755
Newsletter è consultabile sul sito Internet www.garanteprivacy.it


Documenti citati