Diritti interna

Doveri interna

ricerca avanzata

Newsletter del 14.07.16 - Internet banking: analisi comportamentale contro le frodi, ma rispettare privacy

Internet banking: analisi comportamentale contro le frodi, ma rispettare privacy Per invio dati sanitari piloti a compagnie aeree occorre integrare i regolamenti Newsletter promozionali: no senza consenso

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
5251963
Data:
14/07/16
Argomenti:
Biometria , Comunicazioni indesiderate , Trasporti , Sicurezza dei dati bancari , Dati sanitari , Lavoro privato , E-mail promozionali
Tipologia:
Newsletter

 


Internet banking: analisi comportamentale contro le frodi, ma rispettare privacy

 

Per combattere i furti di identità o le frodi nell´internet banking, una banca potrà analizzare informazioni biometrico-comportamentali dei clienti, quali la pressione sul touch screen o i movimenti del mouse,  in occasione della loro "navigazione" nell´area privata del proprio sito web.

Il sistema, sottoposto al Garante della privacy per una verifica preliminare [doc. web n. 5252271], si propone di innalzare i livelli di tutela attualmente previsti(come password per l´accesso al conto corrente on line, oppure one time password per bonifici e altre operazioni) con nuove modalità di "identificazione" dell´utente.

Per raggiungere tale obiettivo, l´istituto di credito ha chiesto a un partner tecnologico di generare profili univoci dei propri clienti basati sull´analisi del loro comportamento durante le operazioni svolte nell´area riservata del sito di internet banking. La società, in una prima fase, raccoglie informazioni su azioni spontanee dell´utente, come i movimenti del mouse (incluse reazioni inconsce a "interferenze" prodotte appositamente dal sistema), la pressione del dito su schermi tattili, oppure la velocità di digitazione sulla tastiera. Tali dati biometrici sono combinati con altre informazioni relative alla tecnologia usata per collegarsi (pc, tablet, smartphone), come i parametri del sistema operativo e del browser di navigazione.

Ogni volta che il cliente si ricollega ai servizi bancari on line, il sistema provvede a comparare le caratteristiche della sua navigazione sul sito con quelle associate al profilo in memoria, così da individuare eventuali tentativi di accesso illecito ai conti on-line, informandone i clienti ed eventualmente inibendo determinate operazioni.

Il Garante ha riconosciuto l´importanza delle finalità perseguite dalla banca a garanzia della sicurezza dei servizi on-line ma, proprio per la delicatezza dei dati personali trattati, ha vincolato l´attivazione del nuovo sistema alla rigorosa osservanza delle misure individuate a tutela della privacy degli interessati.

La banca, ad esempio, potrà attivare il sistema di verifica biometrico-comportamentale solamente su base volontaria, dopo aver fornito al cliente una completa informativa e averne ottenuto lo specifico consenso. Dovrà inoltre valutare con attenzione l´effettiva pertinenza e non eccedenza di tutti i "dati di navigazione" astrattamente utilizzabili, configurando il sistema in modo tale da acquisire e trattare, fin dall´inizio, solo quelli strettamente necessari all´esecuzione del servizio.

Il partner tecnologico non avrà accesso alle schede anagrafiche dei clienti dell´istituto di credito in modo tale da non poter risalire alla loro identità e, in ogni caso, non potrà interconnettere i profili comportamentali con le informazioni contenute in altre banche dati, così da scongiurare il rischio di trattamenti illeciti.

Sono state inoltre definite precise misure di sicurezza e limiti ai tempi di conservazione dei dati raccolti per la fornitura del servizio, garantendo comunque gli adempimenti previsti da specifiche normative di settore e la tutela di eventuali diritti in sede giudiziaria.

 

 

Per invio dati sanitari piloti a compagnie aeree occorre integrare i regolamenti

 

Ministero della salute ed Enac potranno comunicare al medico di una compagnia aerea i dati sanitari dei piloti acquisiti in fase di rilascio delle licenze aereonautiche per l´aviazione civile, integrando i  regolamenti sui dati sensibili già adottati. Questo è il parere [doc. web n. 5149198] del Garante per la protezione dei dati personali al Ministero della Salute in merito ad una richiesta, avanzata da Alitalia allo stesso Ministero e all´Enac, di poter avere accesso a tale specifica documentazione allo scopo di implementare e perfezionare l´attività di sorveglianza sanitaria sui piloti e i relativi giudizi di idoneità.

All´esito dell´istruttoria, l´Autorità  ha riconosciuto l´importanza di tale scambio di dati finalizzata a preservare la salute e l´incolumità fisica di piloti, passeggeri e collettività attraverso una più efficiente attività di sorveglianza sanitaria in base ai giudizi di idoneità al volo. Ma ha ritenuto che la disciplina di settore non consenta allo stato un flusso di dati sanitari dei piloti dagli organismi competenti in favore del medico operante presso i vettori aerei o la consultazione da parte dello stesso delle medesime informazioni eventualmente disponibili in banche dati.

Esaminata la normativa anche internazionale sulla sicurezza del traffico e del trasporto aereo, coinvolgendo anche l´Enac e l´Aereonautica Militare, il Garante ha dunque stabilito che tale flusso di informazioni deve essere disciplinato introducendo, nei regolamenti sul trattamento dei dati sensibili e giudiziari già adottati dai soggetti pubblici coinvolti, specifiche norme che prevedano espressamente la comunicazione dei dati sanitari dei piloti, in coerenza con quanto stabilito dal Codice privacy (art. 20, comma 2). 

Il Garante potrà esprimere le valutazioni di competenza sulle disposizioni regolamentari in occasione del parere conforme che dovrà adottare ai sensi del Codice. Una volta integrati i regolamenti, il medico competente  del vettore potrà trattare i dati sanitari nei limiti fissati  dall´autorizzazione del Garante  n. 1/2014 in materia di lavoro.

 

 

 



Newsletter promozionali: no senza consenso  

 

No alle newsletter promozionali senza consenso. È quanto ha riaffermato il Garante per la privacy [doc. web n. 4988238] affrontando il caso di un utente che lamentava la ricezione sulla propria mail di una newsletter a carattere promozionale proveniente dall´indirizzo di posta elettronica di una società che opera nell´e-commerce di articoli medicali. La comunicazione, giunta all´utente dopo l´acquisto on line di alcuni prodotti sul sito della società,  era stata inviata senza che avesse fornito un esplicito e specifico consenso al ricevimento di materiale pubblicitario. Una procedura più volte sanzionata dall´Autorità perché in aperta violazione con quanto stabilito dal Codice sulla protezione dei dati personali.

Dalle verifiche effettuate dall´Autorità sul sito dell´azienda è emerso che gli utenti non solo non potevano esprimere uno specifico consenso per le finalità di marketing ma erano per di più impossibilitati a procedere all´acquisto di un prodotto senza aver prima fornito un generico consenso al "trattamento dei dati personali". Inoltre, dai riscontri è risultato che anche l´informativa fornita dalla società presentava profili di inidoneità, non specificando le modalità di contatto per lo svolgimento di attività a contenuto promozionale.

Il Garante ha quindi vietato alla società l´ulteriore trattamento per finalità di marketing dei dati personali raccolti in assenza di idonea informativa e di consenso legittimamente manifestato, imponendole, inoltre, la riformulazione del form con il quale si chiede il consenso, l´integrazione del testo con le modalità utilizzate per il contatto promozionale e, infine, l´adozione delle misure opportune affinché la manifestazione del consenso da parte degli interessati al trattamento per finalità di marketing non sia condizione necessaria per il perfezionamento dell´acquisto tramite sito web.

L´Autorità si è riservata di verificare, con autonomo procedimento, la sussistenza dei presupposti per contestare le violazioni amministrative concernenti l´inidonea informativa e il consenso per l´utilizzo dei dati a fini di marketing.

 

L´ATTIVITÁ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall´Autorità

 


NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma.
Tel: 06.69677.2752 - Fax: 06.69677.3755
Newsletter è consultabile sul sito Internet www.garanteprivacy.it