Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Newsletter del 23.12.15 - Spid: rafforzate le garanzie per i cittadini - Ok a registro elettronico testamenti, ma privacy va garantita

 


Spid: rafforzate le garanzie per i cittadini
Stabilita la collaborazione tra Garante e Agid per la vigilanza sul sistema

 

Prosegue il lavoro di implementazione dello Spid, il sistema pubblico per la gestione dell'identità digitale di cittadini e imprese, con il parere favorevole [doc. web n. 4538528] del  Garante  privacy su due provvedimenti dell'Agid.  Il primo relativo ad una versione aggiornata di uno  schema di regolamento che disciplina le modalità attuative per la realizzazione del sistema; il secondo riguardante lo schema tipo di convenzione che regola i rapporti fra l'Agid e i gestori dell'identità digitale.

Sia la versione aggiornata del regolamento sia lo schema di convenzione sono stati elaborati  dall'Agid all'esito di riunioni avute con l'Ufficio del Garante, modificando e integrando l'originaria formulazione di alcuni articoli, alla luce delle osservazioni emerse durante il tavolo tecnico.

Per quanto riguarda il regolamento, sono stati apportati alcuni  perfezionamenti che riguardano, in particolare, il rafforzamento dei controlli dell'Agid in tema di sicurezza informatica e protezione dei dati; una più puntuale definizione delle modalità di conservazione della documentazione inerente la creazione e il rilascio dell'identità digitale;  la specificazione delle caratteristiche del servizio all'utente  dell'avvenuto utilizzo delle sue credenziali; una migliore esplicitazione delle procedure di sospensione e revoca dei gestori. E' stata inoltre sancita la collaborazione tra Agid e Garante Privacy con l'obiettivo di vigilare sul funzionamento di un sistema così delicato.

Il Garante, tuttavia, attribuendo particolare importanza alla materia in esame, per le implicazioni che possono derivare alla riservatezza e alla tutela dei dati personali di  milioni di cittadini,  ha ritenuto  necessario innalzare ulteriormente i livelli di garanzia. L'Autorità ha chiesto, in particolare, di perfezionare la descrizione dei differenti livelli di sicurezza delle identità digitali Spid, per rendere più coerente il regolamento con quanto previsto dalla normativa europea in materia. E' necessario, inoltre, specificare che, se il gestore dell'identità digitale fornisce solo l'identificazione da remoto come modalità per la verifica dell'identità del richiedente, ciò deve essere  messo in evidenza, oltre che nelle condizioni e termini del contratto, anche nell'informativa da rendere all'utente.

Per quanto riguarda poi la convenzione relativa ai gestori dell'identità digitale essa risulta sostanzialmente conforme alle indicazioni rese durante il tavolo tecnico. Sono state, innalzate le garanzie previste dalla normativa sulla protezione dati nel caso in cui il gestore si avvalga di soggetti  esterni per la fornitura dell'identità digitale e specificati gli obblighi dei gestori riguardo al trattamento dei dati, alle misure di sicurezza e agli strumenti crittografici adottati. Precisate, inoltre, le modalità di comunicazione da parte del gestore di eventuali violazioni o intrusioni nei dati personali (i c.d. data breach) e le procedure che l'Agid è tenuta ad adottare in caso di inadempimenti del gestore.

 

Ok al registro elettronico dei testamenti, ma la privacy  va garantita
Vai libera anche alla firma grafometrica per gli atti notarili

 
I notai e le altre figure abilitate potranno iscrivere per via telematica al registro generale dei testamenti gli atti di ultima volontà dei loro clienti, ma dovranno adottare precise misure per garantirne la riservatezza.
 
Il Garante della privacy ha dato parere positivo [doc. web n. 4538494] allo schema di Regolamento, predisposto dal Ministero della Giustizia, per la trasmissione telematica dei dati al "registro generale dei testamenti", istituito presso l'Ufficio centrale degli archivi notarili del Ministero stesso. L'Autorità ha però chiesto di rafforzare le misure di sicurezza previste, nonché di perfezionare il testo dello schema di decreto al fine di garantire la piena validità dei testamenti e la loro segretezza fino alla morte di chi li ha presentati.
 
L'innovazione introdotta dà attuazione alla normativa del settore, in particolare alla Convenzione di Basilea che istituisce un sistema comune di registrazione dei testamenti, così da consentirne la conoscenza agli aventi diritto che si trovano anche in altri paesi europei.
 
Per l'iscrizione telematica al registro, i notai e gli altri soggetti abilitati, inclusi i capi degli archivi notarili dovranno compilare una apposita scheda - sottoscritta mediante firma digitale o firma elettronica qualificata -  nella quale saranno riportati i dati personali la cui trasmissione è obbligatoria: nome e cognome, data e luogo di nascita, domicilio o residenza del testatore e nome e cognome e sede del pubblico ufficiale che ha ricevuto o è depositario dell'atto.
 
Al fine di assicurare maggiori tutele ai dati personali - anche in considerazione del fatto che non solo il contenuto del testamento ma l'informazione della sua stessa esistenza devono rimanere segrete fino alla morte del soggetto – il Garante ha chiesto di migliorare le modalità tecnico operative adottando, tra l'altro, non le misure "minime" di sicurezza, ma quelle "idonee" al trattamento. Particolare attenzione è stata posta anche sulla gestione delle eventuali iscrizioni non andate a buon fine (ad esempio per il mancato pagamento dell'imposta di bollo o per la non conformità del documento informatico inviato), in modo tale che il documento non vada perso o non divenga accessibile a persone che non ne hanno diritto. L'Autorità ha inoltre chiesto di essere consultata al momento della predisposizione delle regole tecniche che dovranno essere predisposte dal direttore generale dell'Ufficio centrale degli archivi notarili.
 
Sempre in riferimento all'attività notarile, il Garante ha anche dato via libera [doc. web n. 4538440] all'introduzione di un sistema di firma grafometrica – sottoposto all'Autorità  dal Consiglio Nazionale del Notariato - da utilizzare per rafforzare le garanzie di autenticità e integrità dei documenti informatici sottoscritti. Nel corso della verifica preliminare del nuovo sistema, l'Autorità ha prescritto ai titolari dei trattamenti di adottare alcune misure per accrescere le tutele relative ai dati biometrici degli interessati.
 

 

 

 

 



Sanità in convenzione e controllo della spesa
Sì alla comunicazione dei dati dei pazienti alle Regioni, ma solo informazioni indispensabili

 

Le strutture sanitarie, accreditate e convenzionate, possono inviare i dati dei loro pazienti e dei medici curanti agli organismi sanitari di controllo regionale per consentire la verifica di eventuali sprechi o inesattezze in merito alle prescrizioni di farmaci e prestazioni sanitarie a carico del Servizio sanitario.

Lo ha precisato l'Ufficio del Garante, interpellato da un'Associazione Onlus, che gestisce comunità terapeutiche per tossicodipendenti. Si conferma così la compatibilità delle procedure di controllo per la riduzione di sprechi nell'uso delle risorse pubbliche con la normativa in materia di protezione dei dati personali. Nel rispondere al quesito, l'Autorità ha affermato che il trattamento di dati di carattere sensibile da parte di soggetti pubblici per finalità di carattere amministrativo è consentito solo se autorizzato da espressa disposizione di legge, nel rispetto di quanto indicato più nel dettaglio nel Regolamento per il trattamento dei dati sensibili che ogni Regione ha adottato.

Il Regolamento specifica, infatti, i tipi di dati che possono essere trattati, le operazioni eseguibili su di essi e le finalità di rilevante interesse pubblico perseguite, tra cui rientra appunto anche il controllo della spesa sanitaria. La comunicazione dei dati sanitari degli assistiti verso le strutture sanitarie di controllo regionali deve comunque limitarsi ai soli dati indispensabili a consentire l'esercizio delle funzioni di vigilanza e monitoraggio previste dalla normativa di settore.

Tenuto conto della particolare natura delle informazioni che verranno comunicate, l'Ufficio del Garante ha infine chiesto di porre particolare attenzione alle modalità di trasmissione dei dati.

 

L'ATTIVITÁ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall'Autorità

 


NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma.
Tel: 06.69677.2752 - Fax: 06.69677.3755
Newsletter è consultabile sul sito Internet www.garanteprivacy.it