Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Newsletter del 9 febbraio 2015 - Internet: adottate dagli Ixp le misure di sicurezza richieste dal Garante

• Internet: adottate dagli Ixp le misure di sicurezza richieste dal Garante

• Sanità: no alle informazioni sulla salute nelle attestazioni dell'ospedale

• Banca d'Italia: sì a videosorveglianza "lunga" in stabilimento produttivo

SCHEDA



Internet: adottate dagli Ixp le misure di sicurezza richieste dal Garante

 

Con l'adozione delle misure richieste dal Garante privacy, i principali Internet eXchange Point italiani (Ixp) hanno innalzato il livello di protezione delle reti di comunicazione. In alcuni casi specifici le misure dovranno essere ulteriormente sviluppate. E' quanto emerge dalla ricognizione effettuata dal Garante al termine della prima fase del percorso intrapreso dai gestori dei principali snodi Internet nazionali per la messa in sicurezza delle reti e l'avvio del costante, necessario processo di aggiornamento dei sistemi all'evoluzione tecnologica.
 
Rilevanti  criticità erano emerse nel corso di una serie di ispezioni condotte nel 2014 dall'ufficio del Garante presso gli Internet eXchange Point (Ixp) nazionali, presenti a Roma, Milano e Torino. In questi centri si interconnettono le infrastrutture di rete dei maggiori operatori di tlc nazionali e internazionali, degli Internet Service Provider, nonché di importanti fornitori di servizi on-line (come Google e Facebook). Le sedi degli Ixp, tra l'altro, ospitano gli apparati che gestiscono le reti di comunicazione tra quasi tutte le pubbliche amministrazioni italiane, nonché quelle degli enti di ricerca.
 
Come richiesto dall'Autorità a seguito delle ispezioni, gli Ixp hanno introdotto adeguati sistemi di tracciamento delle attività svolte dai tecnici sugli apparati, in modo da rilevare eventuali anomalie, come la possibile deviazione o duplicazione del traffico Internet, oppure il collegamento di altri apparati elettronici alla rete interna. Eliminate anche le credenziali tecniche "condivise", così da poter identificare con certezza le attività svolte dal singolo operatore o amministratore di sistema e adottati meccanismi di audit e alert per prevenire o scoprire eventuali attività ostili. Migliorata, inoltre, la sicurezza fisica dei locali, essendo stato rafforzato il controllo degli accessi e la sorveglianza dei locali tecnici, con particolare attenzione anche alle infrastrutture e ai data center immediatamente accessibili dall'esterno. Per quanto riguarda questo ultimo aspetto, l'Autorità ha raccomandato, agli Ixp che hanno parte dei loro apparati dislocati in data center esterni, di operare controlli attivi e regolari sulle strutture che li ospitano.
 
Il Garante, consapevole del fatto che la sicurezza delle comunicazioni elettroniche coinvolge le competenze anche di altri soggetti istituzionali, aveva inviato, nei mesi scorsi, il rapporto ispettivo al Presidente del Consiglio affinché fosse valutato dagli organismi preposti alla sicurezza cibernetica del Paese. Alla segnalazione del Garante ha fatto seguito un'attività del Nucleo per la sicurezza cibernetica della Presidenza del Consiglio dei ministri, nell'ambito della quale sono state individuate linee di azione per la sicurezza delle reti.

 



Sanità: no alle informazioni sulla salute nelle attestazioni dell'ospedale 

 
Nelle certificazioni rilasciate ai pazienti o ai loro accompagnatori per attestare la presenza in ospedale e giustificare ad es. l'assenza dal lavoro, non devono essere riportate indicazioni della struttura presso la quale è stata erogata la prestazione,  il timbro con la specializzazione del sanitario, o comunque informazioni che possano far risalire allo stato di salute. Il principio è stato ribadito nell'istruttoria avviata dal Garante privacy a seguito della segnalazione di un paziente, il quale lamentava una violazione della privacy a causa dalla presenza di informazioni sulla salute nelle certificazioni rilasciate da un policlinico.
 
A differenza di quanto accaduto in altre strutture sanitarie in cui gli era stata  rilasciata una attestazione di carattere generico, in quella del policlinico era indicato il reparto - dal quale si poteva evincere la patologia sofferta -  e  il timbro con la specializzazione  dell'operatore sanitario.
 
A seguito dell'intervento del Garante il direttore sanitario dell'azienda ospedaliera ha immediatamente inviato a tutto il personale sanitario una nuova modulistica - priva dell'indicazione del reparto ove si è recato il paziente- e precise raccomandazioni per mettersi in regola con le disposizioni dettate dal Garante. Fin dal 2005, l'Autorità ha, infatti, adottato un provvedimento generale [doc. web n. 1191411] in cui ha prescritto l'adozione di specifiche procedure per prevenire la conoscenza, da parte di estranei,  dello stato di salute di un paziente attraverso la semplice correlazione tra la sua identità e l'indicazione della struttura o del reparto in cui è stato visitato o ricoverato.
 
Tali cautele devono essere osservate anche nella stesura delle certificazioni richieste per fini amministrative (ad es. per giustificare un'assenza dal lavoro o l'impossibilità di partecipare ad un concorso).

 



 Banca d'Italia: sì a videosorveglianza "lunga" in stabilimento produttivo*

 
La Banca d'Italia potrà conservare fino a un anno le immagini riprese dal proprio sistema di videosorveglianza nello stabilimento in cui si svolgono attività di produzione, confezionamento e distruzione di banconote euro e di carta filigranata, al fine di accrescere i presidi di sicurezza a tutela dell'integrità delle banconote stabiliti dalla Banca Centrale Europea.
 
Lo ha deciso* il Garante per la protezione dei dati personali al quale la Banca d'Italia aveva presentato una richiesta di verifica preliminare per avere l'autorizzazione all'allungamento dei tempi di conservazione delle immagini registrate da un impianto di videosorveglianza installato presso lo stabilimento produttivo.
 
La richiesta nasce dall'esigenza di Bankitalia di rispettare le specifiche misure di sicurezza fissate dalla Banca centrale europea. La Bce, infatti, in forza del suo potere normativo vincolante, ha prescritto ai soggetti accreditati l'obbligo di installare sistemi di videoregistrazione nelle aree degli stabilimenti dove vengono effettuate attività di produzione, confezionamento e distruzione di banconote in euro.
 

La Bce ha stabilito anche precisi termini minimi di conservazione delle immagini registrate: 12 mesi per le immagini riferite alla produzione, confezionamento e distruzione di banconote e 4 mesi per le immagini raccolte nelle aree dove si effettua la conservazione delle banconote, della carta filigranata o di altri elementi di sicurezza dell'euro.

Il Garante, dopo aver valutato la peculiarità dell'attività produttiva svolta, anche alla luce delle specifiche regole europee di settore, e tenuto conto dell'autorizzazione rilasciata dalla Direzione territoriale del lavoro in materia di controllo a distanza dei lavoratori, ha ritenuto il sistema di videosorveglianza conforme ai principi di pertinenza e non eccedenza e ha ammesso la conservazione delle immagini registrate per i  termini indicati dalla Bce.

*[E' stata disposta la non pubblicazione del provvedimento ai sensi dell'art. 24 del Regolamento del Garante del 1° agosto 2013]

 

L'ATTIVITÁ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall'Autorità

 


NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma.
Tel: 06.69677.2752 - Fax: 06.69677.3755
Newsletter è consultabile sul sito Internet www.garanteprivacy.it