Privacy Redazione 17 Luglio 2004 0 Commenti

Smart card : il “decalogo” del Consiglio d’Europa

Nessuna deroga ai principi sanciti se non in casi eccezionali.
Dati sulla salute solo se previsti per legge o con il consenso dell’interessato.

I dati
personali raccolti e trattati attraverso smart card devono limitarsi al minimo
indispensabile e devono utilizzati solo per scopi legittimi e specifici. I dati
sulla salute, in particolare, possono essere trattati solo se vi è una
previsione di legge oppure con il consenso dell’interessato e dovranno essere
adottate misure di garanzie come la cifratura. I cittadini devono essere
informati sull’uso che viene fatto dei loro informazioni personali. Occorre
procedere con cautela nell’utilizzazione di smart card come mezzo di pagamento
se in esse sono registrati dati sensibili.

Questi i
principi guida sanciti in un recente documento del Consiglio d’Europa riguardo
all’uso dei dati personali nelle "carte intelligenti", ossia carte contenenti un
microchip in grado di effettuare particolari operazioni (accesso ai servizi in
rete, pagamenti on line etc.) e nel quale è possibile inserire un notevole
numero di informazioni personali, dai dati identificativi a quelli biometrici,
come le impronte digitali (il documento è disponibile in lingua inglese
all’indirizzo http://www.coe.int/…).

Il CoE ha
sottolineato che, quando si trattano dati personali attraverso smart card, è
necessario rispettare tutti i principi stabiliti nella Convenzione del Consiglio
d’Europa in materia di protezione dei dati personali (Convenzione 108). Non è
ammissibile venire a meno a tali principi salvo che in casi del tutto
eccezionali e quando cio’ sia necessario, in una società democratica, per
tutelare gli interessi dello Stato (sicurezza pubblica, repressione dei reati)
oppure quelli dell’interessato o le libertà ed i diritti di terzi.

I principi
guida sono rivolti in via primaria ai soggetti che rilasciano le smart card
in quanto titolari delle relative operazioni di trattamento, ma riguardano anche
tutte le altri parti in causa (progettisti di sistemi, gestori, operatori,
interessati). Ad essi non è possibile derogare se non in casi del tutto
eccezionali, quando cio’ costituisca "una misura necessaria, in una società
democratica" per tutelare gli interessi dello Stato nel settore della sicurezza
pubblica e della lotta alla criminalità, oppure per tutelare gli interessi
della persona interessata o "i diritti e le libertà altrui".

Ecco, in
sintesi, alcuni punti fondamentali del documento:

i cittadini devono
essere adeguatamente
informati;
i dati personali
eventualmente raccolti e trattati attraverso smart card devono limitarsi al
minimo indispensabile (principio
di necessità );
chi gestisce il sistema
determinandone finalità e strumenti di funzionamento ha la

responsabilità del trattamento dei dati personali.
Dunque, nel caso di una carta multiuso, si avrà una situazione di
contitolarità da parte dei soggetti che raccolgono ed utilizzano i dati;
il trattamento di

dati sensibili è ammesso solo se
previsto specificamente da norme di legge, oppure con il

consenso espresso dell’interessato. Devono
essere previste particolari garanzie, come, ad esempio, la cifratura dei dati
stessi;
occorre stabilire a
priori quali
soggetti terzi
possano accedere ai dati registrati sulla carta, ed a quali condizioni. Da
questo punto di vista, il Consiglio d’Europa non è favorevole
all’utilizzazione di smart card come mezzo di pagamento se in esse sono
registrati dati sensibili (ad esempio, per il pagamento di prestazioni
sanitarie), a causa del maggiore rischio di abusi.

Il Consiglio
d’Europa ha precisato che oltre alla Convenzione del Consiglio n. 108, che ha
costituito fonte d’ispirazione anche per i lavori che hanno portato all’adozione
della Direttiva
95/46/CE

sulla protezione dei dati personali, numerosi e importanti riferimenti
sono contenuti nelle Raccomandazioni che il Consiglio d’Europa ha
successivamente formulato nel corso degli anni per quanto riguarda, ad esempio,
la protezione dei dati sanitari, la protezione dei dati personali nel settore
dei servizi di telecomunicazione, nei rapporti di lavoro, nelle attività di
marketing diretto, nella previdenza sociale, ecc.

Pubblichiamo
qui di seguito, in una traduzione non ufficiale, il documento del CoE:

Principi
guida elaborati dal Consiglio d’Europa rispetto al trattamento di dati personali
attraverso smart card.

1.
La raccolta ed il
trattamento di dati personali attraverso smart card devono avvenire in modo
lecito e leale. Si deve prevedere di raccogliere e memorizzare sulla carta
soltanto i dati personali necessari a raggiungere gli scopi per i quali la carta
stessa è utilizzata. I sistemi che utilizzano smart card devono essere
trasparenti per gli interessati i cui dati personali siano oggetto di
trattamento.

2.
I dati personali
devono essere raccolti e memorizzati su una smart card soltanto per scopi
legittimi, specifici ed espliciti. Non devono essere utilizzati successivamente
secondo modalità che siano incompatibili con tali scopi.

3.
Gli obblighi
attinenti la protezione dei dati personali pertengono al soggetto che determina
gli scopi del sistema e gli strumenti utilizzati per raggiungere tali scopi.
Cio’ comporta, nel caso di carte multifunzionali, che titolari diversi siano
responsabili ciascuno per la parte che gli compete.

4.
Qualora una smart
card sia utilizzata per scopi di tipo diverso, il trattamento deve essere
organizzato in modo da non utilizzare i dati per scopi diversi da quelli per cui
sono stati raccolti. Qualora gli stessi dati siano utilizzati per scopi di tipo
diverso, essi devono limitarsi a quelli strettamente necessari.

5.
La raccolta di
dati personali sensibili da registrare nella memoria della carta deve essere
effettuata soltanto se prevista da norme di legge, oppure se l’interessato vi ha
acconsentito esplicitamente. Tali dati devono essere trattati soltanto nel
rispetto di opportune garanzie previste per legge. [Cio’ puo’ avvenire, a
giudizio del CoE, attraverso la cifratura dei dati] Qualora la raccolta ed il
trattamento dei dati in questione si fondino sul consenso esplicito,
l’interessato deve avere il diritto di ritirare tale consenso in qualsiasi
momento. Il rifiuto o il ritiro del consenso non devono comportare conseguenze
negative per l’interessato.

6.
I dati registrati
su una smart card devono essere tutelati da accessi, alterazioni e/o
cancellazioni non autorizzati o accidentali. La carta deve assicurare un livello
adeguato di sicurezza alla luce delle conoscenze tecnologiche, della natura
sensibile o non sensibile dei dati registrati, del numero e della tipologia
delle applicazioni, e della valutazione dei possibili rischi. E’ necessario
stabilire in anticipo, relativamente a ciascuno dei diversi scopi per i quali la
carta viene utilizzata, a quali condizioni sia consentito a soggetti terzi di
accedere ai dati registrati sulla carta stessa. [Da questo punto di vista, il
CoE giudica che il rischio di abusi aumenti se la smart card è dotata di
funzioni di pagamento, e sconsiglia l’associazione fra tali funzioni ed
applicazioni che comportino la registrazione di dati sensibili sulla card]

7.
Qualora si
raccolgano e memorizzino dati personali su una smart card, l’interessato deve
essere informato delle finalità del trattamento, dell’identità del titolare,
delle categorie di dati in oggetto e dei destinatari, o delle categorie di
destinatari, dei dati memorizzati. L’interessato deve ricevere ulteriori
informazioni se cio’ è necessario per garantire la lealtà del trattamento di
dati personali.

8.
All’atto del
rilascio della carta, il titolare deve essere informato adeguatamente delle
modalità di utilizzazione e dei passi da compiere in caso di frode o
comunicazione non autorizzata.

9.
Ogniqualvolta si
realizzi uno scambio di dati personali fra una smart card ed il sistema,
l’interessato deve esserne informato, a meno che sia già in possesso di tale
informazione. Cio’ riveste particolare importanza con riguardo alle carte "contactless",
ossia qualora l’interessato non debba provvedere direttamente all’inserimento o
alla presentazione della carta al sistema.

10.
Gli interessati
devono avere il diritto di accedere ai dati personali che li riguardano
contenuti nella carta, e devono avere il diritto di farli correggere o, se
necessario, aggiornare.

11.
I dati derivanti
dall’utilizzazione di una smart card [ad esempio, le informazioni concernenti
data e luogo di utilizzazione] devono essere cancellati se non sono più
necessari per lo scopo specifico in rapporto al quale la carta è stata
utilizzata.

<font

https://www.litis.it

L’Inferno Monacale di Suor Arcangela Tarabotti

Antitrust blocca Meta: WathsApp deve aprire ai Chtbot rivali

I limiti del Pacifismo

LA RIVOLUZIONE CONCRETA DEL ” LO STATO MODERNO”

LA NOSTRA SEZIONE SHOPPING

LA PAZZIA DI FRA TOMMASO CAMPANELLA

Il fascino eterno dei portafortuna

Servizi Cloud tra sovranità digitale, privacy e proprietà intellettuale: il caso Kaganski e la crisi del modello cloud-centrico