Newsletter del 29 giugno 2004

Garante per la protezione
dei dati personali

Newsletter

SMART CARDS: IL DECALOGO DEL CONSIGLIO D'EUROPA

Nessuna deroga ai principi sanciti se non in casi eccezionali. Dati sulla salute solo se previsti per legge o con il consenso dell'interessato.

I dati personali raccolti e trattati attraverso smart card devono limitarsi al minimo indispensabile e devono essere utilizzati solo per scopi legittimi e specifici. I dati sulla salute, in particolare, possono essere trattati solo se vi è una previsione di legge oppure con il consenso dell'interessato e dovranno essere adottate misure di garanzie come la cifratura. I cittadini devono essere informati sull'uso che viene fatto delle loro informazioni personali. Occorre procedere con cautela nell'utilizzazione di smart card come mezzo di pagamento se in esse sono registrati dati sensibili.

Questi i principi guida sanciti in un recente documento del Consiglio d'Europa riguardo all'uso dei dati personali nelle "carte intelligenti", ossia carte contenenti un microchip in grado di effettuare particolari operazioni (accesso ai servizi in rete, pagamenti on line etc.) e nel quale è possibile inserire un notevole numero di informazioni personali, dai dati identificativi a quelli biometrici, come le impronte digitali (il documento è disponibile in lingua inglese all'indirizzo http://www.coe.int/T/E/Legal_affairs/Legal_co-operation/Data_protection/Documents/Reports
A-Adopted%20Guiding%20Principles%20Smart%20cards.asp#TopOfPage ).

Il CoE ha sottolineato che, quando si trattano dati personali attraverso smart card, è necessario rispettare tutti i principi stabiliti nella Convenzione del Consiglio d'Europa in materia di protezione dei dati personali (Convenzione 108). Non è ammissibile venire a meno a tali principi salvo che in casi del tutto eccezionali e quando ciò sia necessario, in una società democratica, per tutelare gli interessi dello Stato (sicurezza pubblica, repressione dei reati) oppure quelli dell'interessato o le libertà ed i diritti di terzi.

I principi guida sono rivolti in via primaria ai soggetti che rilasciano le smart card in quanto titolari delle relative operazioni di trattamento, ma riguardano anche tutte le altri parti in causa (progettisti di sistemi, gestori, operatori, interessati). Ad essi non è possibile derogare se non in casi del tutto eccezionali, quando ciò costituisca "una misura necessaria, in una società democratica" per tutelare gli interessi dello Stato nel settore della sicurezza pubblica e della lotta alla criminalità, oppure per tutelare gli interessi della persona interessata o "i diritti e le libertà altrui".

Ecco, in sintesi, alcuni punti fondamentali del documento :

- i cittadini devono essere adeguatamente informati;

- i dati personali eventualmente raccolti e trattati attraverso smart card devono limitarsi al minimo indispensabile (principio di necessità);

- chi gestisce il sistema determinandone finalità e strumenti di funzionamento ha la responsabilità del trattamento dei dati personali. Dunque, nel caso di una carta multiuso, si avrà una situazione di contitolarità da parte dei soggetti che raccolgono ed utilizzano i dati;

- il trattamento di dati sensibili è ammesso solo se previsto specificamente da norme di legge, oppure con il consenso espresso dell'interessato. Devono essere previste particolari garanzie, come, ad esempio, la cifratura dei dati stessi;

- occorre stabilire a priori quali soggetti terzi possano accedere ai dati registrati sulla carta, ed a quali condizioni. Da questo punto di vista, il Consiglio d'Europa non è favorevole all'utilizzazione di smart card come mezzo di pagamento se in esse sono registrati dati sensibili (ad esempio, per il pagamento di prestazioni sanitarie), a causa del maggiore rischio di abusi.

Il Consiglio d'Europa ha precisato che oltre alla Convenzione del Consiglio n. 108, che ha costituito fonte d'ispirazione anche per i lavori che hanno portato all'adozione della Direttiva 95/46/CE sulla protezione dei dati personali, numerosi e importanti riferimenti sono contenuti nelle Raccomandazioni che il Consiglio d'Europa ha successivamente formulato nel corso degli anni per quanto riguarda, ad esempio, la protezione dei dati sanitari, la protezione dei dati personali nel settore dei servizi di telecomunicazione, nei rapporti di lavoro, nelle attività di marketing diretto, nella previdenza sociale, ecc.

Pubblichiamo qui di seguito, in una traduzione non ufficiale, il documento del CoE:

Principi guida elaborati dal Consiglio d'Europa rispetto al trattamento di dati personali attraverso smart card.

1. La raccolta ed il trattamento di dati personali attraverso smart card devono avvenire in modo lecito e leale. Si deve prevedere di raccogliere e memorizzare sulla carta soltanto i dati personali necessari a raggiungere gli scopi per i quali la carta stessa è utilizzata. I sistemi che utilizzano smart card devono essere trasparenti per gli interessati i cui dati personali siano oggetto di trattamento.

2. I dati personali devono essere raccolti e memorizzati su una smart card soltanto per scopi legittimi, specifici ed espliciti. Non devono essere utilizzati successivamente secondo modalità che siano incompatibili con tali scopi.

3. Gli obblighi attinenti la protezione dei dati personali pertengono al soggetto che determina gli scopi del sistema e gli strumenti utilizzati per raggiungere tali scopi. Ciò comporta, nel caso di carte multifunzionali, che titolari diversi siano responsabili ciascuno per la parte che gli compete.

4. Qualora una smart card sia utilizzata per scopi di tipo diverso, il trattamento deve essere organizzato in modo da non utilizzare i dati per scopi diversi da quelli per cui sono stati raccolti. Qualora gli stessi dati siano utilizzati per scopi di tipo diverso, essi devono limitarsi a quelli strettamente necessari.

5. La raccolta di dati personali sensibili da registrare nella memoria della carta deve essere effettuata soltanto se prevista da norme di legge, oppure se l'interessato vi ha acconsentito esplicitamente. Tali dati devono essere trattati soltanto nel rispetto di opportune garanzie previste per legge. [Ciò può avvenire, a giudizio del CoE, attraverso la cifratura dei dati] Qualora la raccolta ed il trattamento dei dati in questione si fondino sul consenso esplicito, l'interessato deve avere il diritto di ritirare tale consenso in qualsiasi momento. Il rifiuto o il ritiro del consenso non devono comportare conseguenze negative per l'interessato.

6. I dati registrati su una smart card devono essere tutelati da accessi, alterazioni e/o cancellazioni non autorizzati o accidentali. La carta deve assicurare un livello adeguato di sicurezza alla luce delle conoscenze tecnologiche, della natura sensibile o non sensibile dei dati registrati, del numero e della tipologia delle applicazioni, e della valutazione dei possibili rischi. E' necessario stabilire in anticipo, relativamente a ciascuno dei diversi scopi per i quali la carta viene utilizzata, a quali condizioni sia consentito a soggetti terzi di accedere ai dati registrati sulla carta stessa. [Da questo punto di vista, il CoE giudica che il rischio di abusi aumenti se la smart card è dotata di funzioni di pagamento, e sconsiglia l'associazione fra tali funzioni ed applicazioni che comportino la registrazione di dati sensibili sulla card]

7. Qualora si raccolgano e memorizzino dati personali su una smart card, l'interessato deve essere informato delle finalità del trattamento, dell'identità del titolare, delle categorie di dati in oggetto e dei destinatari, o delle categorie di destinatari, dei dati memorizzati. L'interessato deve ricevere ulteriori informazioni se ciò è necessario per garantire la lealtà del trattamento di dati personali.

8. All'atto del rilascio della carta, il titolare deve essere informato adeguatamente delle modalità di utilizzazione e dei passi da compiere in caso di frode o comunicazione non autorizzata.

9. Ogniqualvolta si realizzi uno scambio di dati personali fra una smart card ed il sistema, l'interessato deve esserne informato, a meno che sia già in possesso di tale informazione. Ciò riveste particolare importanza con riguardo alle carte "contactless", ossia qualora l'interessato non debba provvedere direttamente all'inserimento o alla presentazione della carta al sistema.

10. Gli interessati devono avere il diritto di accedere ai dati personali che li riguardano contenuti nella carta, e devono avere il diritto di farli correggere o, se necessario, aggiornare.

11. I dati derivanti dall'utilizzazione di una smart card [ad esempio, le informazioni concernenti data e luogo di utilizzazione] devono essere cancellati se non sono più necessari per lo scopo specifico in rapporto al quale la carta è stata utilizzata.