Pillole, news, informazioni varie dal mondo della sicurezza.
Questo sito, nato come integrazione del sito aziendale vuole essere uno strumento per mettere a disposizione di tutti gli operatori del settore le notizie, gli eventi, le opportunità, le novità, le normative, la privacy e tutto quanto ruota intorno al mondo della sicurezza, raccolto in giro per il web.
![www.diesissrl.it - Sito Diesis istituzionale - presentazione azienda, catalogo prodotti, accesso ad area riservata agli iscritti, contatti - [collegamento a pagina esterna]](logo_diesis_small_2.gif){kind=logo}
![sostieni constile.org il sito italiano dedicato ai fogli di stile - [collegamento a pagina esterna]](constile.gif){kind=small}
![www.dmoz.org Open Directory Project [collegamento a pagina esterna]](http://dmoz.org/user-banners/button.gif){kind=small}
![www.google.it [collegamento a pagina esterna]](Logo_25wht.gif){kind=logo}
Impronte digitali e iride. Le indicazioni dei Garanti Europei
Fonte: Garante
per la protezione dei dati personali News Letter 8 - 14
settembre 2003
Riportiamo di seguito il testo della news letter relativo ai
sistemi biometrici:
Rischi, limiti e garanzie per un uso proporzionato dei dati
biometrici, anche al fine di non costituire grandi banche
dati.
L’impiego di sistemi biometrici non è lecito se non
è proporzionato agli scopi che si vogliono raggiungere, in
particolare nei casi in cui si propone di creare archivi
centralizzati. Tali informazioni sono particolarmente delicate e
il loro uso, se da un alto può contribuire a salvaguardare
la privacy riducendo il ricorso ad altri dati personali quali
nome, indirizzo o domicilio, dall’altro può
comportare rischi legati all’utilizzazione indebita o
indiscriminata di informazioni desunte da tracce fisiche (come le
impronte digitali) che una persona può lasciare anche
senza rendersene conto.
Queste, in sintesi, le indicazioni emerse da un documento di
lavoro che i Garanti Europei riuniti a Bruxelles nel Gruppo
presieduto da Stefano Rodotà hanno approvato lo scorso 1
agosto (disponibile in lingua inglese all’indirizzo http://www.europa.eu.int)
I Garanti si sono riservati di tornare sul tema in futuro
proprio per fare in modo che le imprese ed i soggetti interessati
all’impiego di sistemi biometrici sviluppino dispositivi
sempre più “a misura di privacy”; il Gruppo
richiama l’attenzione anche sull’opportunità
di redigere appositi codici deontologici che fissino i criteri da
seguire nello sviluppo e nell’utilizzo di sistemi
biometrici.
Nel documento i Garanti partono dalla considerazione della
diffusione crescente dei sistemi biometrici e dai seri rischi
connessi alla possibile assuefazione dell’opinione pubblica
rispetto all’impiego di tali sistemi. Dopo una rapida
analisi delle tipologie di sistemi attualmente in uso - basati su
informazioni “fisiologiche” (impronte digitali,
iride, contorno della mano, DNA) oppure su informazioni di tipo
comportamentale (andatura, analisi della tipologia di digitazione
su tastiera) - le Autorità per la privacy chiariscono che
le considerazioni svolte riguardano soltanto i dispositivi
biometrici utilizzati per finalità di autenticazione e
verifica, e non già quelli utilizzati per scopi di
identificazione. E’ una distinzione importante, anche se,
di fatto, la maggioranza dei sistemi biometrici sono utilizzati
spesso per entrambi gli scopi.
I Garanti hanno sottolineato come la fase dell’acquisizione
del dato biometrico assuma un valore fondamentale. Infatti, nella
fase detta di “arruolamento” (enrolment) il dato
“grezzo” di partenza (impronta, iride, DNA),
l’algoritmo utilizzato per estrarne un modello matematico
da memorizzare (template) e quello utilizzato per la cifratura di
tale modello, sono tutti compresenti. Sarà, dunque,
particolarmente necessario garantire la massima sicurezza in
questa fase, anche alla luce dei requisiti fissati dalla
Direttiva europea in materia di protezione dei dati personali
(Art. 15 - Misure di sicurezza). Inoltre, per autenticare o
verificare l’identità di una persona, non è
necessario disporre di un archivio centralizzato contenente tutti
i dati biometrici raccolti - cosa che è invece necessaria
ai fini dell’identificazione, dovendosi confrontare il dato
relativo al singolo soggetto con quelli di tutti i soggetti le
cui informazioni sono conservate, appunto, nell’archivio.
Ne consegue, a giudizio dei Garanti, che per le procedure di
autenticazione e/o verifica attraverso sistemi biometrici
è preferibile utilizzare, in linea di principio,
dispositivi decentralizzati - ad esempio, smart cards, nei cui
chip siano contenuti i dati biometrici del soggetto da
autenticare.
Un altro elemento di specificità connesso ai dati
biometrici riguarda la possibilità di raccoglierli
più che mai all’insaputa del singolo interessato -
soprattutto nel caso delle impronte digitali o del DNA.
Ciò comporta, in particolare, il rischio di
un’utilizzazione indiscriminata proprio per il coefficiente
di “ridotta invasività” che caratterizza la
raccolta di alcune categorie di dati biometrici.
Alla luce di queste considerazioni, i Garanti hanno elaborato una
serie di indicazioni che intendono fornire un quadro di
riferimento omogeneo a livello europeo sia per l’industria
dei sistemi biometrici sia per gli utenti di tali sistemi.
a) In primo luogo, i Garanti ribadiscono che il trattamento di
dati biometrici è un trattamento di dati personali. Il
dato biometrico resta assolutamente personale anche in forma di
“template”, ossia di modello matematico - essendo
possibile considerarlo come un’informazione relativa ad una
persona fisica “identificata o identificabile” anche
attraverso “uno o più elementi specifici
caratteristici della sua identità fisica”. Dunque si
applicano integralmente i principi della Direttiva in materia di
protezione dei dati personali, fin dalla fase di
“arruolamento” sopra descritta.
b) E’ necessario identificare con chiarezza le
finalità del ricorso a sistemi biometrici e valutare se
tale ricorso sia realmente proporzionato rispetto alle
finalità stesse, ossia se lo scopo che ci si prefigge
può essere raggiunto egualmente attraverso modalità
meno invasive. E’ questo uno dei principi-cardine della
direttiva, dal quale discende anche la preferenza accordata dai
Garanti al trattamento di dati che possano essere memorizzati su
un dispositivo periferico (smart card, tessera magnetica),
anziché in un archivio centralizzato: così facendo,
si riducono i rischi per i diritti e le libertà
fondamentali degli interessati (possibili incroci di dati,
interconnessioni, accessi non autorizzati).
c) Il rispetto del principio di finalità comporta inoltre
il divieto di utilizzare i dati biometrici per finalità
incompatibili con quelle per cui essi sono stati raccolti -
dunque, se il dato biometrico viene raccolto per verificare
l’accesso dei dipendenti a determinate aree o settori, non
può essere utilizzato per monitorarne
l’attività lavorativa.
d) Se si decide di ricorrere a sistemi centralizzati, ad esempio
per installazioni di massima sicurezza, i Garanti ritengono che i
rischi possibili per i diritti e le libertà fondamentali
degli interessati impongano un controllo preliminare ai sensi
dell’art. 20 della Direttiva da parte delle singole
autorità nazionali.
e) Restano fermi anche tutti i requisiti legati
all’informazione degli interessati - ovviamente con il
divieto di utilizzare dati biometrici raccolti all’insaputa
di questi ultimi (e in questo senso, i rischi legati a sistemi
basati sulla raccolta di impronte digitali o sul riconoscimento
vocale sembrano più consistenti).
Anche la legittimità del trattamento deve basarsi sui
principi stabiliti nella Direttiva (Art. 7), fra i quali il
consenso del singolo interessato - che deve essere veramente
“specifico” e “libero”.
La Newsletter è consultabile sul sito Internetwww.garanteprivacy.it
![inviaci il tuo commento [apertura del Client di posta per l’invio della e-mail]](commenti.jpg){kind=small}
Lo spamming è un reato. Previste sanzioni fino alla carcerazione
Fonte: Garante
per la protezione dei dati personali Comunicato stampa del 3
settembre 2003
Nuovo intervento del Garante sul problema dello spam.
Riportiamo di seguito il testo integrale del comunicato
stampa:
Lo spamming a fini di profitto è un reato.
Inviare e-mail pubblicitarie senza il consenso del destinatario
è vietato dalla legge. Se questa attività, specie
se sistematica, è effettuata a fini di profitto si viola
anche una norma penale e il fatto può essere denunciato
all’autorità giudiziaria. Sono previste varie
sanzioni e, nei casi più gravi, la reclusione. La
normativa sulla privacy non permette di utilizzare indirizzi di
posta elettronica per inviare messaggi indesiderati a scopo
promozionale o pubblicitario anche quando si omette di indicare
in modo chiaro il mittente del messaggio e l’indirizzo
fisico presso il quale i destinatari possono rivolgersi per
chiedere che i propri dati personali non vengano più
usati.
Il Garante per la protezione dei dati personali ha posto in
chiara evidenza i profili penali tornando ad occuparsi con un
provvedimento generale del fenomeno dello spamming, cioè
dell’invio massiccio ed indiscriminato di messaggi
pubblicitari non richiesti, che interessa singoli utenti Internet
e piccole e medie imprese costrette a sopportare vari
costi.
Oltre a rappresentare una fastidiosa intrusione, lo spamming
comporta infatti ingenti spese, in termini di tempo, di costi di
utilizzazione della linea telefonica, di misure organizzative e
tecnologiche per contrastare virus, tentate truffe, messaggi e
immagini inadatti a minori, riversando sugli utenti i costi di
una pubblicità a volte aggressiva e insistente.
Dopo una serie di interventi mirati che hanno portato a
sospendere l’attività illecita di alcune aziende e
persone fisiche e a denunciarne talune all’autorità
giudiziaria, e di linee comuni concordate su scala europea, il
Garante ha adottato un nuovo provvedimento per precisare vari
aspetti legati all’invio in Internet di e-mail promozionali
o pubblicitarie, anche alla luce del recepimento della recente
direttiva europea avvenuto con il Codice in materia di protezione
dei dati personali da poco pubblicato decreto legislativo n.
196/2003.
Chi intende utilizzare le e-mail per comunicazioni commerciali e
promozionali senza mettere in atto comportamenti illeciti deve
tenere resente che:
1 è necessario il consenso informato del
destinatario. Gli indirizzi e-mail recano dati personali e il
fatto che essi possano essere reperiti facilmente su Internet non
implica il diritto di utilizzarli liberamente per qualsiasi
scopo, come per l’invio di messaggi pubblicitari: in
particolare, i dati di chi partecipa a newsgroup, forum, chat, di
chi è inserito in una lista anagrafica di abbonati ad un
Internet provider o ad una newsletter, o i dati pubblicati su
siti web di soggetti privati o di pubblici per fini
istituzionali. Gli indirizzi e-mail, insomma, non sono "pubblici"
nel senso corrente del termine
2 il consenso è necessario anche quando gli
indirizzi e-mail sono formati ed utilizzati automaticamente
mediante un software, senza verificare se essi siano
effettivamente attivati e a chi pervengano, e anche quando non
sono registrati dopo l’invio dei messaggi
3 il consenso del destinatario deve essere chiesto prima
dell’invio e solo dopo averlo informato chiaramente sugli
scopi per i quali i suoi dati personali verranno usati: vale
dunque la regole dell’opt-in, cioè della
accettazione preventiva di chi riceve le e-mail, non del rifiuto
a posteriori (opt-out)
4 non è ammesso l’invio anonimo di messaggi
pubblicitari, cioè senza l’indicazione della fonte
di provenienza del messaggio o di coordinate veritiere. È
comunque opportuno indicare nell’oggetto del messaggio la
sua tipologia pubblicitaria o commerciale
5 chi detiene i dati deve sempre assicurare agli
interessati la possibilità di far valere i diritti
riconosciuti dalla normativa sulla privacy (revoca del consenso,
richiesta di conoscere la fonte dei dati, cancellazione dei dati
dall’archivio etc.)
6 chi acquista banche dati con indirizzi di posta
elettronica è tenuto ad accertare che ciascuno degli
interessati presenti nella banca dati abbia effettivamente
prestato il proprio consenso all’invio di materiale
pubblicitario
7 la formazione di appositi elenchi di chi intende
ricevere e-mail pubblicitarie o di chi è contrario (le
cosiddette black list) non deve comportare oneri per gli
interessati.
L’autorità ha disposto per un’ampia serie di
destinatari un ulteriore divieto dell’attività,
già illecita in base alla legge, indicando alcune
modalità per tutelare i diritti degli interessati anche di
fronte all’autorità giudiziaria penale o in caso di
e-mail provenienti dall’estero. Le sanzioni per chi viola
le disposizioni di legge vanno dalla "multa", in particolare per
omessa informativa all’utente (fino a 90mila euro); alla
sanzione penale qualora l’ uso illecito dei dati sia stato
effettuato al fine di trarne per sè o per altri un
profitto o per arrecare ad altri un danno (reclusione da 6 mesi a
3 anni).
È prevista anche la sanzione accessoria della
pubblicazione della pronuncia penale di condanna o
dell’ordinanza amministrativa di ingiunzione. Ulteriori
conseguenze possono riguardare l’eventuale risarcimento del
danno e le spese in controversia giudiziaria o
amministrativa.
Il provvedimento
del Garante è consultabile sul sito www.garanteprivacy.it
Roma 3 settembre 2003