g-docweb-display Portlet

Newsletter 31 gennaio - 6 febbraio 2005

Stampa Stampa Stampa

 

N. 243 del 31 gennaio - 6 febbraio 2005

• Controlli sulle telecamere
• Rfid e privacy: un binomio possibile


Controlli sulle telecamere
Il ciclo di ispezioni del Garante e della Guardia di finanza sui sistemi di videosorveglianza mostra uno scarso rispetto delle regole

È un’immagine con luci ed ombre quella che emerge al termine del nuovo ciclo di ispezioni disposte dal Garante per verificare lo stato di attuazione della disciplina in materia di videosorveglianza. Bloccati i data base di un ente pubblico e di una società privata per impedire un ulteriore trattamento illecito di dati personali; avviati  procedimenti nei confronti di sette soggetti, sia pubblici, sia privati, per mancata informativa agli utenti (punibile con una sanzione amministrativa che va da un minimo di tremila a diciottomila euro, fatta salva la sanzione accessoria della pubblicazione della decisione).

A meno di un anno dall’adozione del provvedimento generale, il 29 aprile 2004, dopo varie ispezioni in casi specifici, il Garante ha effettuato una nuova verifica di carattere generale sull’applicazione delle nuove regole. Stazioni della metropolitana di grandi città, aeroporti, centri commerciali, zone di imbarco dei traghetti e numerose aree dove ogni giorno transitano migliaia di persone, in varie regioni d’Italia, sono stati controllati dall’Ufficio del Garante in collaborazione con il Nucleo  speciale funzione pubblica e privacy della Guardia di finanza. Le ispezioni, che hanno riguardato in particolare 12 aree amministrate da soggetti pubblici (tre) e privati (nove), intendevano accertare, tra l’altro, la liceità dei sistemi installati, le modalità di raccolta dei dati, tempi di conservazione delle immagini, l’idoneità della necessaria informativa all’utenza. La scelta dei soggetti da controllare è stata effettuata sulla base di alcune notizie di stampa, di segnalazioni di cittadini o di semplice sorteggio all’interno della categoria individuata.

Accanto a realtà che hanno conformato il trattamento dei dati personali a quanto previsto nel provvedimento generale del 2004 si trovano ancora casi di scarsa applicazione delle regole. Talvolta le due situazioni coesistono. Emblematico il caso del comune di Firenze nel quale il sistema di videosorveglianza affidato al Comandante della Polizia municipale e impiegato per monitorare il traffico e le aree pedonali è risultato conforme alle indicazioni del Garante, al contrario di quello utilizzato per il controllo di altre aree, affidato ad un altro responsabile. In alcuni casi le tecnologie impiegate sono risultate molto avanzate, anche con la realizzazione di sale operative dalle quali gli addetti possono tenere costantemente sotto controllo le aree videosorvegliate ed azionare telecamere dotate di brandeggio e zoom; in altri  invece, gli impianti sono risultati poco efficienti. Nell’aeroporto di Olbia, ad esempio,  pur essendo stato installato di recente un sistema di telecamere a fini di sicurezza, per problemi tecnici le immagini non sono registrate e la stessa funzionalità delle telecamere installate nel piazzale di sosta degli aerei risulta fortemente pregiudicata dopo il tramonto e in caso di scarsa luminosità. Esempi di “commistione” di trattamenti di dati personali sono stati rilevati nella metropolitana di Milano, dove, in particolare, la società di gestione “condivide” le immagini riprese con  la polizia. In questi casi determina problemi la difficile separazione tra esigenze e finalità di trattamento. Infatti, se per controllare i piazzali di sosta e di imbarco delle stazioni sarebbero sufficienti riprese a bassa definizione, che non comportano necessariamente il trattamento di dati personali, per motivi di sicurezza e accertamento di reati sono state richieste immagini dettagliate.

Sono stati riscontrati anche casi di omessa informazione ai cittadini dell’esistenza di sistemi di videosorveglianza, come nella metropolitana di Roma e di Milano e riguardo ad edifici di un’agenzia dell’amministrazione finanziaria. Dalle ispezioni è emerso infine che anche laddove vi è maggiore attenzione ai profili relativi alla privacy, gli incaricati dei trattamenti non sono apparsi del tutto consapevoli delle loro responsabilità.

Il ciclo di ispezioni si conclude mentre il Dipartimento della pubblica sicurezza del Ministero dell’interno dirama una circolare a prefetture, questure ed altri organi per richiamare ad un uso più selettivo della videosorveglianza, specie se collegata a sale operative, e richiama altresì in più punti al rispetto del decalogo del Garante del 2004.

 

RFID e privacy: un binomio possibile

L’impiego di dispositivi RFID può comportare il trattamento di dati personali, e in tal caso occorre rispettare tutti i principi di protezione dati sanciti dalle direttive comunitarie e dalle leggi nazionali. Ciò deve avvenire, a giudizio delle Autorità europee per la protezione dei dati, fin dalla fase di produzione, utilizzando accorgimenti tecnologici già oggi disponibili.

Questo è il messaggio contenuto nel Documento adottato dal Gruppo che riunisce le autorità di protezione dati dei 25 paesi dell’Unione europea (disponibile all’indirizzo http://www.europa.eu.int/... .pdf ). Su questo documento è stata aperta, inoltre, una consultazione pubblica per sollecitare commenti ed osservazioni da tutte le parti interessate (http://www.europa.eu.int/...).

L’utilizzo delle tecnologie RFID (Radio Frequency Identification) pone numerosi interrogativi rispetto alla violazione della dignità umana e della privacy. Pur caratterizzate da evidenti vantaggi da un punto di vista economico - anche in considerazione dei costi relativamente contenuti  - esse possono consentire alle imprese e ai governi di introdursi nella sfera più intima degli individui. Attraverso questi sistemi è infatti possibile raccogliere surrettiziamente differenti categorie di dati, tutti riconducibili a una stessa persona; profilare i clienti monitorando i loro comportamenti; conoscere i capi di abbigliamento, gli accessori o le medicine utilizzate.

Il documento approvato dal Gruppo di lavoro è rivolto non solo agli utilizzatori di queste tecnologie, ma anche (e soprattutto) ai produttori ed agli organismi che si occupano di standardizzazione, i quali sono responsabili della creazione di una tecnologia rispettosa della privacy. Se i principi fondamentali in materia di privacy sono presi in considerazione sin dalla fase iniziale di produzione dei dispositivi RFID, sarà più semplice anche per gli utilizzatori rispettare gli obblighi in materia di protezione dei dati personali.

Quali sono le principali componenti di un sistema RFID? Un “tag”, ossia un circuito elettronico miniaturizzato che contiene memorizzate alcune informazioni ed è unito ad un’antenna in grado di comunicare queste informazioni attraverso onde radio; un lettore (dotato a sua volta di un’antenna di trasmissione/ricezione); un decodificatore che traduce i dati in entrata in dati digitali potenzialmente trattabili da un computer.

La tecnologia RFID è in rapida evoluzione in numerosi settori, fra i quali si possono ricordare il settore dei trasporti, della distribuzione, dell’aviazione, della sanità, del controllo degli accessi, della vendita al dettaglio (ricordiamo il clamore suscitato, in Italia ed all’estero, dalla notizia secondo cui un importante produttore italiano di capi di abbigliamento stava valutando l’inserimento di tag RFID in tutti i capi di un certo tipo).

Dopo aver richiamato l’attenzione sulla necessità di applicare comunque tutti i principi contenuti nelle direttive europee in materia di protezione dati, laddove si trattino dati relativi ad un individuo identificato e identificabile, il gruppo dei Garanti europei ha voluto sottolineare la possibilità di utilizzare dispositivi tecnologici e accorgimenti di varia natura al fine di dare effettiva attuazione a questi principi. Fatta salva l’esigenza di garantire a priori il rispetto dei diritti e delle libertà fondamentali nell’utilizzo di questa e di qualunque altra tecnologia (principio contenuto nella direttiva 95/46, che i Garanti hanno voluto riaffermare con grande forza), esistono già oggi strumenti che, a vari livelli, permettono di incorporare i principi di protezione dati all’interno di dispositivi come quelli basati sulle tecnologie RFID.

Ecco alcune delle indicazioni specifiche fornite dal Gruppo di lavoro:

  • diritto degli interessati ad essere informati: nel documento si ricorda la possibilità di utilizzare pittogrammi per segnalare in modo semplice e inequivocabile la presenza di dispositivi RFID su qualunque oggetto. L’interessato ha inoltre il diritto di essere informato dell’attivazione di tali dispositivi, il che può avvenire, ad esempio, attraverso segnalazioni luminose o di altra natura (mutamento del colore del tag, ecc.).
  • diritto di accesso, rettifica, cancellazione etc. da parte dell’interessato: i Garanti suggeriscono di utilizzare linguaggi standard come l’XML per descrivere le informazioni memorizzate nei tag RFID (ciò faciliterà l’accesso e la rettifica). Per quanto riguarda la cancellazione, esistono dispositivi cosiddetti di kill che consentono la disattivazione permanente o temporanea dei tag RFID; tuttavia, si sottolinea che non in tutti casi deve esistere questa possibilità (es. i chip RFID inseriti nei passaporti).
  • consenso dell’interessato come presupposto del trattamento dei suoi dati personali: in alcune applicazioni nelle quali l’interessato deve avere la possibilità di ritirare il proprio consenso al trattamento, è possibile utilizzare dispositivi che disattivino facilmente il tag RFID (tag disabler).
  • sicurezza dei dati trattati: su questo punto il Gruppo ha ricordato la necessità di tutelare adeguatamente i dati personali eventualmente contenuti nei tag RFID attraverso misure proporzionali alla natura del trattamento effettuato (cifratura e autenticazione del lettore RFID, impiego di protocolli standard di autenticazione secondo norme ISO, impiego di metodi di autenticazione crittografica etc.).


 

NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma.
Tel: 06.69677.1 - Fax: 06.69677.785
Newsletter è consultabile sul sito Internet www.garanteprivacy.it