Newsletter 12-01-2004, n. 197
Impronte digitali in
mensa e in biblioteca
Il Garante interviene contro l’uso indiscriminato da parte delle
pubbliche amministrazioni
Stop del Garante all’uso indiscriminato
dei sistemi di rilevazione delle impronte digitali da parte delle
amministrazioni pubbliche. Occasione per la presa di posizione due casi,
uno relativo al controllo degli accessi degli studenti in una mensa
universitaria e l’altro riguardante il controllo dei dipendenti in una
biblioteca comunale, per i quali l’Autorità (Stefano Rodotà, Giuseppe
Santaniello, Gaetano Rasi, Mauro Paissan), fin dall’inizio del
procedimento, ha già ribadito la necessità di evitare l’utilizzo di
strumenti sproporzionati agli scopi che si intende perseguire e di
prevedere rigorose cautele.
Nel primo caso, gli accertamenti sono
stati avviati nei confronti di un ente regionale per il diritto allo
studio universitario, che, secondo notizie di stampa, era in procinto di
bandire una gara di appalto per installare lettori di impronte digitali
in ristoranti e pizzerie convenzionati per controllare che l’accesso al
servizio di ristorazione avvennisse esclusivamente da parte degli aventi
diritto (studenti vincitori di borse di studio o in particolari
condizioni di reddito, studenti apolidi, etc.). Ciò perché vi è il
sospetto che i ticket siano ceduti e utilizzati da chi non ne ha
diritto, con danno per l’ente che partecipa alla spesa dei pasti.
Nel secondo caso, gli accertamenti
riguardano un comune che avrebbe invitato tutti i dipendenti, ed in
particolare quelli in servizio presso la biblioteca comunale, a
depositare le proprie impronte digitali per costituire addirittura una
banca dati da utilizzare per la rilevazione delle presenze.
I due procedimenti, che verranno
definiti in breve tempo, si sono resi necessari in considerazione della
particolare delicatezza del trattamento di dati personali ipotizzato,
cioè la raccolta e l’ uso delle impronte digitali. Trattamento che deve
essere effettuato nel rispetto di precise garanzie in materia di tutela
della privacy.
Il Garante intende, anzitutto,
accertare se l’uso di un sistema così invasivo come quello di
rilevazione delle impronte digitali sia, come previsto dalla normativa
sulla privacy, proporzionato alla finalità che si vuole perseguire,
ossia di consentire l’accesso al servizio di mensa universitaria, di
controllare l’orario di servizio dei dipendenti o l’accesso alla
biblioteca comunale da parte degli aventi diritto. Entro trenta giorni
l’ente universitario e il comune dovranno fornire al Garante ogni
elemento o documento che permetta di valutare le caratteristiche del
progetto. Dovranno precisare, tra l’altro, per quali motivi non
sarebbero idonei altri sistemi o procedure che creano minori pericoli o
rischi per i diritti e le libertà fondamentali di chi deve rilasciare
le impronte ed indicare le finalità perseguite nell’utilizzare tali
sistemi di rilevazione. I due enti dovranno altresì specificare le
modalità di registrazione del dato biometrico ed il successivo confronto
dell’impronta digitale registrata con quella rilevata dai lettori
ottici, ed indicare periodo di conservazione dei dati personali, misure
di sicurezza adottate e modalità di consultazione della banca dati da
parte di soggetti autorizzati.
Nel 2003 quasi triplicate le ispezioni
del Garante
Il bilancio di un anno di attività
Nel settore privato aziende più grandi
iniziano ad affrontare meglio la legge predisponendo anche “uffici
privacy”, avvalendosi magari di collaborazioni esterne, mentre aziende
medio piccole trascurano di più la materia ed evidenziano un livello
inferiore di adeguamento alla normativa e agli indirizzi del Garante.
Nella pubblica amministrazione la cultura della privacy stenta ad
affermarsi: processi di lavoro e gestione delle pratiche di ufficio poco
rispettosi della legge sulla tutela dei dati personali e, in alcuni
casi, assoluta noncuranza e superficialità nel trattamento dei dati.
Questo il quadro che emerge dalle 56
ispezioni che l’Ufficio del Garante, a cura del Dipartimento vigilanza
e controllo, ha effettuato lo scorso anno nei confronti di pubbliche
amministrazioni e privati. Complessivamente 30 in più rispetto al 2002.
L’incremento dell’attività ispettiva si è potuto realizzare anche grazie
allo stretto rapporto di collaborazione con la Guardia di finanza
stabilito con il protocollo siglato nell’ottobre 2002, che prevede uno
stretto rapporto con il Comando Unità speciali del Corpo.
I controlli sono stati originati da
segnalazioni di cittadini o di organi di stampa (48%), che hanno reso
necessaria una verifica sul posto e da ricorsi (42%), dai quali sono
emersi profili che meritavano accertamenti autonomi. Cicli di
ispezioni e controlli incrociati, pari al 10% del totale, sono stati
effettuati d’ufficio per verificare il rispetto della normativa in
determinati settori.
Le ispezioni hanno riguardato nel 34%
dei casi le modalità di acquisizione del consenso, soprattutto
nell’ambito delle comunicazioni commerciali indesiderate via Internet e
nel 26% il rispetto della normativa in materia di videosorveglianza.
In un ulteriore 26% dei casi
l’ispezione ha accertato l’origine dei dati personali trattati mentre
nel 12% ha verificato le misure di sicurezza. Gli interventi recenti
sono stati effettuati su tutta la penisola, anche se in questa fase si
sono concentrati nelle regioni settentrionali e centrali dove sono
localizzate in prevalenza le aziende private controllate. Nel corso
delle attività ispettive sono state accertate numerose violazioni
amministrative e, nel 10% dei casi, si è proceduto ad inviare
segnalazioni all’Autorità giudiziaria per violazioni costituenti reato
quali: il trattamento illecito di dati personali, la mancata adozione
delle misure di sicurezza, l’inottemperanza ai provvedimenti del
Garante.
Alcune ispezioni hanno consentito
inoltre di portare alla luce gravi inadempienze per l’accertamento delle
quali sono state avviate complesse indagini di polizia giudiziaria
ancora in corso.
L’esperienza ha evidenziato anche un
buon rapporto istituzionale con i presidenti dei tribunali competenti
per il territorio che, nei casi in cui occorreva una loro
autorizzazione, hanno accolto tempestivamente con provvedimenti motivati
le richieste dell’Autorità.
Per quanto riguarda il futuro, pubblica
amministrazione, Internet, trattamento informatico dei dati saranno i
settori sui quali maggiormente si concentrerà l’attività ispettiva del
Garante Privacy. All’inizio dell’anno 2004 è stato rafforzato il
rapporto di collaborazione con la Guardia di finanza, con l’obiettivo di
incrementare ancora l’efficacia dell’attività di controllo
dell’Autorità.
|
