g-docweb-display Portlet

Newsletter del 5 ottobre 2012

Stampa Stampa Stampa

NEWSLETTER N. 363 del 5 ottobre 2012

• Banche: cassette di sicurezza "self service" con le impronte digitali   
• Lotta contro il cancro: ok del Garante al Registro dei tumori del Veneto 
• "Centrali rischi": i database devono essere aggiornati

 


Banche: cassette di sicurezza "self service" con le impronte digitali
Sì del Garante, ma il dato biometrico criptato deve essere solo nella smart card del cliente

 

Il Garante privacy ha autorizzato una banca ad installare un sistema automatizzato per la gestione delle cassette di sicurezza che consente ai clienti, attraverso l´uso delle impronte digitali, l´accesso tutti i giorni dell´anno, 24 ore su 24,  senza l´intervento del personale dell´istituto di credito. Il sistema, sottoposto a verifica preliminare dell´Autorità,  non comporta la creazione di un archivio centralizzato di dati biometrici, poiché l´impronta digitale, o meglio il codice numerico (template) da essa ricavato alla prima rilevazione, è conservato esclusivamente nella smart card in possesso del cliente. Per accedere alle cassette di sicurezza  il cliente deve procedere alla propria "autenticazione"mediante un codice PIN e il confronto tra la propria impronta digitale e il template  memorizzato sulla smart card. A quanti, invece, non vogliono o non possono avvalersi del sistema di riconoscimento biometrico sarà comunque garantita una modalità di accesso alternativo alle cassette di sicurezza, in tal caso però fruibile solo durante l´orario di sportello e previa identificazione personale.

Nel dare il via libera al progetto, l´Autorità ha ritenuto lecito e proporzionato il trattamento di dati biometrici dei clienti, ai quali va richiesto un consenso scritto. In particolare è lecita – secondo il Garante - la finalità perseguita dalla banca di voler innalzare il livello di sicurezza e poter così coniugare la tutela dei beni  conservati nelle cassette con l´utilità di garantire alla clientela un servizio continuativo. Il trattamento inoltre – sempre a parere del Garante -  è risultato proporzionato, poiché non è prevista la conservazione dei dati biometrici in archivi centralizzati ma il dato criptato dell´impronta è memorizzato esclusivamente nella smart card.  All´istituto di credito è stato inoltre prescritto di informare chiaramente i clienti  della possibilità di un accesso alternativo alle cassette di sicurezza  senza rilevazione delle impronte e  di notificare all´Autorità il trattamento dei dati biometrici prima dell´inizio delle operazioni. La banca dovrà infine designare per iscritto il personale incaricato del trattamento dei dati e fornire loro adeguate istruzioni alle quali attenersi.

 



Lotta contro il cancro: ok del Garante al Registro dei tumori del Veneto

 

Sì del Garante alla richiesta di parere avanzata dalla Regione Veneto sul regolamento che reca norme per il funzionamento del Registro dei Tumori. L´Autorità ha però chiesto maggiori tutele per i dati dei malati. Il regolamento consentirà finalmente di attuare la legge Regionale del 16 febbraio 2010 n. 11, che prevede l´istituzione di diversi registri di interesse sanitario, tra i quali appunto quello dei tumori. Sarà così possibile raccogliere dal territorio dati essenziali per la ricerca sul cancro, allo scopo di descriverne l´incidenza, le cause, la mortalità e i trattamenti più efficaci, anche mediante studi epidemiologici.
 
Il Regolamento prevede che i medici del Servizio sanitario regionale (Ssr), dopo aver informato i malati affetti da neoplasie, raccolgano in un´apposita scheda i loro dati anagrafici e sanitari. Le informazioni registrate verranno trasmesse, con periodicità mensile, alle strutture sanitarie che, a loro volta, trasmetteranno telematicamente i dati al Registro regionale. Il personale incaricato di trattare i dati del Registro potrà comunque alimentarlo e aggiornarlo richiedendo le informazioni alle ULSS e ad altre strutture sanitarie o accedendo direttamente ai loro archivi, previa stipula di apposite convenzioni, che dovranno essere sottoposte alla valutazione del Garante privacy.
 
Tutte le trasmissioni e le comunicazioni di dati dovranno avvenire nel rispetto di alti standard di sicurezza. I dati sanitari contenuti nel Registro verranno infatti trattati mediante codici identificativi, in modo tale da tutelare l´identità e la riservatezza dei malati. Saranno previste, inoltre, rigorose misure, quali, in particolare, l´uso del certificato digitale (per identificare le postazioni di lavoro utilizzate per i trattamenti dei dati), l´utilizzo di canali di trasmissione protetti, la cifratura dei dati con chiave asimmetrica, la conservazione dei log delle operazioni effettuate e sistemi di "strong authentication".
 
I dati raccolti nel Registro potranno essere pubblicati, a fini statistici, solo in forma aggregata, rendendo impossibile l´identificazione, anche indiretta, dei malati.
 
Sui dati del Registro potranno essere condotti studi anche in collaborazione con Università, Enti, Istituti di ricerca e società scientifiche. I dati potranno essere comunicati ai Registri tumori di altre Regioni, se legittimamente istituiti, previe apposite convenzioni, che dovranno garantire adeguati livelli di protezione dei dati.
 
Il personale incaricato di trattare i dati del Registro dovrà rispettare precise regole di condotta, analoghe al segreto professionale, anche quando non sia tenuto per legge. Sarà vietato, infine, utilizzare dispositivi automatici che consentano di consultare i dati in forma massiva.



"Centrali rischi": i database devono essere aggiornati
I ritardi di due rate, poi sanati, vanno cancellati dopo un anno

 

I dati registrati nei Sistemi di informazioni creditizie (Sic), le vecchie "centrali rischi" private, devono essere esatti e puntualmente aggiornati. Le informazioni su ritardi nella restituzione di un prestito quando riguardano non più di due rate poi pagate, non possono essere conservate oltre un anno.

Il principio è stato affermato dal Garante per la privacy intervenuto a seguito del  ricorso di un cittadino che si era rivolto all´Autorità ritenendo illegittima la presenza del suo nominativo in un Sic oltre il temine previsto dal codice deontologico. Nonostante, infatti, una prima richiesta di cancellazione indirizzata, come prevede la normativa, dal ricorrente direttamente alla "centrale rischi"privata,  la segnalazione continuava ad essere presente nel data base della società, l´archivio elettronico nel quale confluiscono informazioni sui cittadini che chiedono un prestito personale o un mutuo e al quale accedono banche e finanziarie per verificarne l´affidabilità e la solvibilità prima di concedere finanziamenti. E´ stato quindi necessario l´avvio di un´istruttoria e l´invito del Garante a soddisfare le richieste del ricorrente per far attivare la centrale rischi, che dopo aver effettuato una verifica con la società finanziaria che aveva segnalato i ritardi nei pagamenti, ha  aggiornato il rapporto di credito, censendolo senza alcuna segnalazione di insolvenza. Poiché la centrale rischi ha cancellato le informazioni negative, l´Autorità ha  dichiarato non luogo a provvedere sul ricorso, ma ha comunque addebitato al Sic le spese del procedimento, determinate in 500 euro, da rifondere direttamente al ricorrente.

 


 


NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma.
Tel: 06.69677.2752 - Fax: 06.69677.3755
Newsletter è consultabile sul sito Internet www.garanteprivacy.it