Newsletter - 16 ottobre 2006 N. 282 del 16 ottobre 2006. Smart card per autobus e metro a prova di privacy. Proseguono le ispezioni del Garante. Scambio di dati e garanzie per i cittadini europeri


Stampa la pagina		Invia ad un amico

Newsletter - 16 ottobre 2006 N. 282 del 16 ottobre 2006. Smart card per autobus e metro a prova di privacy. Proseguono le ispezioni del Garante. Scambio di dati e garanzie per i cittadini europeri
Autore: Garante Privacy - aggiornato il 16/10/2006	N° doc. 1722


Newsletter - 16 ottobre 2006

N. 282 del 16 ottobre 2006

� Smart card per autobus e metro a prova di privacy
� Proseguono le ispezioni del Garante
� Scambio di dati e garanzie per i cittadini europeri

Smart card per autobus e metro a prova di privacy
Non si possono usare i dati personali per controllare gli spostamenti degli abbonati

S� all'uso di smart card per salire su metro e autobus, ma no al controllo degli spostamenti degli abbonati. Tempi di conservazione limitati e solo dati anonimi per monitorare flussi di traffico e effettuare analisi statistiche. Nuove tecnologie e diritti dei cittadini possono convivere.

Queste le principali prescrizioni che il Garante ha dato ad Atac, azienda romana di trasporto pubblico e ad Atm, azienda di trasporto della citt� di Milano, al termine delle verifiche svolte per accertare eventuali violazioni della privacy ipotizzate nelle segnalazioni pervenute all'Autorit�. Le due societ� hanno da tempo introdotto tessere di abbonamento elettroniche nominative dotate di microchip, in cui sono contenute una serie di informazioni, tra le quali il numero identificativo dell'abbonamento, la data di scadenza, il luogo e l'ora di convalida. La registrazione dei dati avviene ogni volta che il passeggero utilizza la tessera mediante gli appositi lettori presso i tornelli di ingresso della metro o sui mezzi di superficie per usufruire del servizio pubblico.

L'Autorit� ha inoltre bloccato l'uso di tutti i dati raccolti che potrebbero consentire di ricostruire gli spostamenti degli utenti, imponendo alle due societ� di renderli anonimi entro il 31 dicembre. Dagli accertamenti � infatti emerso che le societ�, associando i dati sulla convalida al codice della tessera, potrebbero individuare i punti della rete in cui l'abbonamento � "passato", con l'indicazione del giorno e dell'ora.

Sulla base delle indicazioni del Garante le societ� dovranno utilizzare tessere elettroniche che consentano di memorizzare al proprio interno i dati degli utenti solo per un numero ridotto di convalide. Il Garante ha ritenuto infatti sufficiente, per verificare eventuali malfunzionamenti della tessera e controllarne il suo uso regolare, la registrazione di non pi� di 5 convalide.

Ridotti a 72 ore anche i tempi di conservazione dei dati di convalida raccolti nel data base centralizzato aziendale, periodo ritenuto sufficiente per controllare anomalie, annotare furti o smarrimenti e provvedere al rilascio di una nuova tessera, dopodich� i dati vanno resi anonimi. Attualmente i tempi di conservazione consentono di risalire fino alla data di introduzione dell'abbonamento elettronico (2005 per Atm e 2000 per l'Atac).

Le aziende di trasporto dovranno infine riformulare l'informativa agli abbonati rendendo pi� "trasparenti" tipologie di dati raccolti, loro modalit� d'uso e specificando chiaramente le finalit� perseguite, come ad esempio il contrasto alle falsificazioni degli abbonamenti, delle tessere e dei titoli di viaggio.

Proseguono le ispezioni del Garante
Verifiche sui gestori telefonici per accertare la messa in sicurezza dei dati di traffico e dei tabulati

Prosegue l'attivit� ispettiva del Garante sul rispetto delle norme, in particolare nel settore telefonico.

Sulla base del programma di ispezioni varato prima della pausa estiva e che vedr� impegnata l'Autorit� fino a dicembre, gli accertamenti in corso riguardano innanzitutto la raccolta, l'uso e la conservazione dei dati di traffico da parte delle compagnie telefoniche. Oltre che volta ad una verifica del rispetto delle norme e dell'effettiva messa in sicurezza dei dati riguardanti gli abbonati e gli utenti del servizio telefonico fisso e mobile, l'attivit� ispettiva � finalizzata alla acquisizione di elementi utili in vista della adozione del provvedimento, previsto dal Codice della privacy, (art.132, comma 5) sulla conservazione dei dati di traffico da parte dei gestori telefonici.

Il piano di verifiche programmato prevede una serie di accertamenti anche in altri settori, sia in ambito pubblico che privato. Gli accertamenti riguarderanno, ad esempio, il settore sanitario relativamente ai trattamenti di dati finalizzati alla somministrazione di farmaci e alla fornitura di prestazioni sanitarie. Ma verr� posta particolare attenzione anche alle informazioni rese agli assistiti sull'uso dei loro dati per sponsorizzare attivit� di cura o di ricerca.

Sotto la lente del Garante anche il rispetto delle norme per quanto riguarda le misure minime di sicurezza sia da parte delle amministrazioni pubbliche sia da parte dei privati.

Scambio di dati e garanzie per i cittadini europei
Conferenza internazionale a Bruxelles organizzata da Commissione Ue, Autorit� Garanti per la privacy e amministrazione Usa

Un'analisi a tutto campo delle problematiche connesse ai flussi di dati nel mondo globalizzato, con lo sguardo rivolto sia agli sviluppi immediati e sia di lungo periodo. Questo l'obiettivo della Conferenza organizzata il 23 e il 24 ottobre dalla Commissione europea a Bruxelles, insieme al Gruppo che riunisce le autorit� europee per la protezione dei dati e al Dipartimento del Commercio degli USA (http://ec.europa.eu/...htm).

Oltre ai rappresentanti istituzionali, la Conferenza vedr� la partecipazione di studiosi universitari, rappresentanti della societ� civile, imprese, giuristi, studi legali. Particolarmente significativa la presenza dell'Autorit� italiana, alla quale � stato affidato il compito di moderare il primo workshop e quello di chiusura, in cui si tenter� di tracciare un primo bilancio e di fornire alcune prospettive concrete e condivise da tutti i soggetti interessati.

La Conferenza intende partire dai risultati di un seminario che, a dicembre 2005, l'amministrazione americana aveva organizzato a Washington per fare il punto sul sistema di "Approdo Sicuro" (Safe Harbor) ormai in essere da qualche anno per i trasferimenti di dati fra Europa e Stati Uniti. La Commissione europea ha riconosciuto che tale sistema garantisce una protezione adeguata ai sensi della direttiva 95/46 sulla protezione dei dati. Tuttavia dal seminario erano emersi alcuni problemi e settori rispetto ai quali occorreva maggiore chiarezza (ad esempio, il trasferimento di dati relativi a servizi finanziari) e, pi� in generale, la necessit� di potenziare i meccanismi di garanzia soprattutto relativamente alla presentazione di eventuali ricorsi da parte degli interessati.

La Commissione, il Gruppo Art. 29 e il Dipartimento del Commercio USA hanno quindi deciso di tornare sul tema ampliando l'ambito del dibattito al di l� dei soli flussi Europa-Stati Uniti. I singoli workshop nei quali � strutturata la conferenza di Bruxelles affronteranno dunque le questioni connesse a tutti gli strumenti previsti dalla Direttiva o comunque utilizzati al fine di garantire che il trasferimento dei dati al di fuori dell'Unione europea non comporti un affievolimento delle garanzie previste dalla direttiva (clausole contrattuali standard, altri presupposti di legittimit� del trasferimento di dati, le cosiddette "norme vincolanti d'impresa").