Archivio rubriche 2015

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI (1/2015)

(Aggiornato al 31/1/2015)

Nel periodo di riferimento considerato (Novembre 2014-Gennaio 2015), si segnalano due provvedimenti prescrittivi di carattere generale[1] del Garante per la protezione dei dati personali (di seguito «Garante»): 1) il «Provvedimento generale prescrittivo in tema di biometria» del 12 novembre 2014[2] e 2) il Provvedimento intitolato «Informazioni sulle convinzioni religiose dei pazienti: i casi in cui possono essere raccolte durante il ricovero» del 12 novembre 2014[3].

1) Con il primo Provvedimento il Garante è intervenuto sulla complessa materia del trattamento dei dati personali connesso all’utilizzo di «dispositivi e tecnologie per la raccolta e il trattamento di dati biometrici» (es.: impronte digitali, firma grafometrica, caratteristiche dell’emissione vocale o del volto, struttura venosa delle dita o della mano, struttura vascolare della retina, forma dell’iride, topografia della mano ecc.)[4] ormai sempre più diffusi «per l’accertamento dell’identità personale nell’ambito dell’erogazione di servizi della società dell’informazione e dell’accesso a banche dati informatizzate, per il controllo degli accessi a locali e aree, per l’attivazione di dispositivi elettromeccanici ed elettronici, anche di uso personale, o di macchinari, nonché per la sottoscrizione di documenti informatici».

Come si può facilmente desumere, si tratta di trattamenti estremamente delicati perché, l’utilizzo in maniera impropria di dati biometrici, può costituire una seria minaccia agli interessati e alla loro sfera personale. Come sottolineato dal Garante, fra l’altro, il «rischio intenzionale o accidentale, consiste nella vulnerabilità di un asset o di un gruppo di asset tecnologici in grado di causare un trattamento illecito dei dati e il pericolo di furti di identità per l’interessato»[5]. In proposito, l’Autorità di protezione dei dati ha ben rappresentato un’«Analisi dei rischi» legata al trattamento dei dati biometrici, che va dal potenziale utilizzo dei predetti dati a fini di «Controllo sociale e usi discriminatori», al «Furto di identità biometrica»; dalla possibilità di errore legati ai cc.dd. «falsi» positivi e/o negativi biometrici (i.e. problema dell’«Accuratezza del riconoscimento biometrico»), alla «Falsificazione biometrica» e ai pericoli legati ai trattamenti biometrici «effettuati con dispositivi mobili (es. tablet)»[6].

In tale quadro, sono state pertanto elaborate una serie di misure e accorgimenti per un corretto trattamento dei dati biometrici, che sia conforme alla normativa in materia di protezione dei dati personali, contenuta nel d. lgs. 2003 n. 196 recante il «Codice in materia di protezione dei dati personali» (di seguito «Codice privacy»).

A tal fine, sono state elaborate apposite «Linee-guida in materia di riconoscimento biometrico e firma grafometrica», contenute nell’allegato A al predetto Provvedimento.

In tale documento è, in primo luogo, evidenziato come i dati biometrici sono dati personali[7] e, pertanto, possono essere trattati solo nel rispetto dei principi di liceità, necessità, finalità, proporzionalità, previa informativa al soggetto interessato e rispettando specifiche misure di sicurezza[8]. Inoltre, il trattamento è lecito solo dopo avere effettuato la «notifica»[9] e – se non si rientra nei casi di esonero previsti dal Provvedimento e in seguito descritti – la «verifica preliminare»[10] al Garante.

Ciò comporta, fra l’altro, che per il trattamento dei dati biometrici è necessario acquisire il previo consenso della persona fisica cui si riferiscono i dati personali – «sempre revocabile» e «manifestato in forma libera ed espressa, ossia deve essere scevro da eventuali pressioni o condizionamenti» –, a meno che non si rientri nei casi di esonero previsti dal Codice privacy (artt. 23-24), oppure quando il trattamento sia effettuato da soggetti pubblici[11].

In ogni caso, il soggetto interessato deve essere sempre previamente informato in ordine all’utilizzo dei dati biometrici. L’informativa deve «contenente tutti gli elementi previsti dall’art. 13 del Codice» e deve «puntualizzare, in particolare, la finalità perseguita e la modalità del trattamento (anche enunciando, sia pure sinteticamente, le cautele adottate, i tempi di conservazione dei dati, l’eventuale loro centralizzazione)»[12]. Inoltre, nella stessa deve essere «dare adeguata rilevanza alla natura obbligatoria o facoltativa del conferimento dei dati rispetto al perseguimento delle finalità del trattamento» e – «Laddove sia previsto un sistema alternativo ovvero gli interessati non vogliano o non possano, anche in ragione di proprie caratteristiche fisiche, servirsi del sistema di riconoscimento biometrico, oppure successivamente decidano di non usufruirne più» – deve essere anche precisata «la facoltà di utilizzare modalità diverse per avvalersi comunque del servizio nel cui ambito è prevista una procedura biometrica»[13]. È, altresì, previsto che «Nel caso in cui il dato biometrico sia registrato in un dispositivo posto nell’esclusiva disponibilità dell’interessato, l’informativa dovrà fornire adeguate istruzioni sulla sua corretta custodia e sugli adempimenti connessi ad un eventuale suo smarrimento, sottrazione, malfunzionamento»[14].

Il Garante ha ancora precisato che non è possibile utilizzare sistemi biometrici se le finalità connesse al trattamento possono «essere perseguite mediante dati anonimi oppure tramite il sistema biometrico ma con modalità tali da permettere l’individuazione dell’interessato solo in caso di necessità» (art. 3 del Codice privacy)[15].

Non è poi ammesso che il trattamento di dati biometrici avvenga per finalità diverse da quelle che «il titolare intende legittimamente perseguire, previamente indicate nell’informativa che verrà resa agli interessati», né che i dati biometrici «poss[a]no essere utilizzati in altre operazioni di trattamento che siano con queste incompatibili» (art. 11 del Codice privacy)[16] o che possano essere acquisiti «dati ultronei rispetto a quelli necessari per la finalità perseguita nel caso concreto»[17].

Dato il rischio e la delicatezza del trattamento dei dati biometrici prima descritti, sono previste misure di sicurezza ulteriori rispetto alle misure «minime» previste dal Codice privacy (artt. 33 ss.), che riguardano aspetti specifici come le caratteristiche dei sensori, la cifratura dei dati e dei canali di trasmissione, la memorizzazione dei dati, la registrazione degli accessi ai dati biometrici nonché i tempi di conservazione dei dati[18].

Va aggiunto che l’Autorità di protezione dei dati ha, altresì, previsto – anche sulla «base dell’esperienza maturata» in materia – che in presenza di determinati e specifici presupposti, nonché di rigorose misure di sicurezza accuratamente descritte, vi possono essere ipotesi di esonero dalla verifica preliminare di cui all’art. 17 del d. lgs. n. 196/2003[19]. Ciò avviene in alcuni casi di «Autenticazione informatica», di «Controllo di accesso fisico ad aree “sensibili” dei soggetti addetti e utilizzo di apparati e macchinari pericolosi», di «Uso dell’impronta digitale o della topografia della mano a scopi facilitativi», di «Sottoscrizione di documenti informatici»[20].

Infine, è stato prescritto ai titolari del trattamento[21] «l’obbligo di comunicare al Garante il verificarsi di violazioni dei dati (data breach) o incidenti informatici (accessi abusivi, azione di malware…) che, pur non avendo un impatto diretto su di essi, possano comunque esporli a rischi di violazione».

 

2) Con il secondo Provvedimento il Garante è intervenuto a seguito di diverse segnalazioni sulla «prassi seguita in alcune strutture sanitarie del Servizio sanitario nazionale (Ssn) relativa alla somministrazione sistematica e preventiva ai pazienti, all’atto del ricovero, di questionari volti ad acquisire informazioni relative anche al credo religioso di appartenenza degli stessi». Tale raccolta di informazioni era motivata dal fine di «assicurare al paziente un’assistenza personalizzata con specifico riferimento al regime alimentare, alla possibilità di dedicarsi a momenti di preghiera o di ricevere un conforto da un religioso, nonché al rifiuto a sottoporsi ad alcune pratiche mediche (es. quelle trasfusionali)».

In merito, l’Autorità di protezione dei dati ha, in primo luogo, evidenziato che il trattamento deve rispettare i principi di pertinenza e non eccedenza rispetto alle «alle finalità legittimamente perseguite» e, pertanto, le strutture sanitarie sono tenute a «circoscrivere il trattamento ai soli dati personali che siano, caso per caso, strettamente necessari»[22]. Nel caso specifico, inoltre, poiché le informazioni raccolte erano idonee a rivelare le convinzioni religiose del paziente, e, quindi, si trattava di dati sensibili, era necessario verificare l’ulteriore «essenzialità» e «indispensabilità dei dati trattati»[23].

Pertanto, è stato rappresentato che le strutture sanitarie del SSN non possono raccogliere informazioni sulla religione dei pazienti «in maniera sistematica e preventiva», ma «solo su richiesta dell’interessato o, qualora lo stesso sia impossibilitato, di un terzo legittimato, quale, ad esempio, un familiare, un parente o un convivente». Inoltre, le medesime strutture possono «trattare le informazioni idonee a rilevare le convinzioni religiose dell’interessato laddove quest’ultimo richieda di usufruire dell’assistenza religiosa e spirituale durante il ricovero, ovvero nei casi in cui ciò si rilevi indispensabile durante l’esecuzione dei servizi necroscopici per rispettare specifiche volontà espresse in vita dall’interessato»[24].

Analogamente, anche con riferimento alla «finalità di assicurare un regime alimentare aderente alla volontà espressa dall’interessato» o a «quella di rispettare le scelte terapeutiche espresse in modo consapevole dall’interessato (ad es. rifiuto al trattamento trasfusionale nell’ambito dell’espressione del diritto ad un autodeterminazione terapeutica)», il Garante ha sottolineato che, nel rispetto del principio di indispensabilità, deve essere assicurato al paziente «di esprimere tali volontà, senza che siano raccolte le eventuali motivazioni religiose che ne sono alla base»[25].



[1] Sulla portata giuridica di tale tipologia di provvedimenti si rinvia alle considerazioni già svolte, e alla bibliografia ivi citata, nel precedente Osservatorio M. Viggiano, Osservatorio Garante per la protezione dei dati personali (fasc. 1/2014), in www.osservatoriosullefonti.it, Archivio rubriche, Autorità indipendenti: AGCM - AGCOM - AVCP - Garante Privacy.

[2] In G.U. n. 280 del 2 dicembre 2014 e in www.gpdp.it, doc. web n. 3556992, rettificato con Provvedimento del 15 gennaio 2015, in G.U. n. 34 dell'11 febbraio 2015 e in www.gpdp.it, doc. web n. 3701432. Il Provvedimento prescrittivo in materia di biometria reca, inoltre, in allegato le «Linee-guida in materia di riconoscimento biometrico e firma grafometrica», in www.gpdp.it, doc. web n. 3563006 (di seguito «Linee guida»).

[3] In www.gpdp.it, doc. web n. 3624070.

[4] Come ha sottolineato il Garante nelle Linee guida allegate al Provvedimento in materia di biometria, «Pur non esistendo, allo stato, una definizione normativa concernente i “dati biometrici”, questi vengono convenzionalmente definiti come dati ricavati da “proprietà biologiche, aspetti comportamentali, caratteristiche fisiologiche, tratti biologici o azioni ripetibili laddove tali caratteristiche o azioni sono tanto proprie di un certo individuo quanto misurabili, anche se i metodi usati nella pratica per misurarli tecnicamente comportano un certo grado di probabilità» (pag. 4. Cfr., inoltre, il parere, citato nel provvedimento, del Gruppo Articolo 29 n. 3/2012 sugli sviluppi nelle tecnologie biometriche, WP193, del 27 aprile 2012). Per una descrizione più dettagliata delle caratteristiche dei diversi dati biometrici si rimanda al contenuto delle predette Linee guida par. 3.1-3.8.

[5] Linee guida, par. 7.

[6] Per una descrizione più dettagliata e specifica dei rischi descritti si rinvia ai parr. 7.1-7.5 delle Linee guida.

[7] Dato personale è, infatti, «qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale» (art. 4, comma 1, lett b, del d. lgs. n. 196/2003).

[8] Cfr. parr. 4.1-4.5 delle Linee guida.

[9] L’art. 37, comma 1, lett. a, del d. lgs. n. 196/2003 prevede, infatti, la notificazione del trattamento al Garante da parte del titolare per «dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica».

[10] Ai sensi dell’art. 17 del d. lgs. n. 196/2003 il trattamento dei dati personali, diversi da quelli sensibili e giudiziari che «presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare» è ammesso previa presentazione di una verifica preliminare al Garante nell’ambito della quale sono eventualmente prescritti misure e accorgimenti a garanzia dell'interessato in applicazione dei principi sanciti dal Codice privacy.

[11] Artt. 18 ss., d. lgs. n. 196/2013; Linee guida, par. 4.1 (principio di liceità).

[12] Par. 4.5.1, delle Linee guida.

[13] Ibidem.

[14] Ibidem.

[15] Par. 4.2 delle Linee guida.

[16] Par. 4.3, ivi.

[17] Cfr. par. 4.4, ivi, in cui il Garante evidenzia che, ad esempio, «se la finalità è quella dell’autenticazione informatica, i dati biometrici non devono essere trattati in modo da poter desumere anche informazioni di natura sensibile dell’interessato» (principio di proporzionalità) .

[18] Cfr. par. 8.1-8.5 delle Linee guida.

[19] Par. 4, ivi.

[20] Per maggiori dettagli sui casi di esonero e i relativi presupposti si rinvia alle specifiche contenute nei parr. 4.1-4.4 del Provvedimento.

[21] Ai sensi dell’art. 4, comma 1, lett. f, del d. lgs. n. 196/2003 titolare del trattamento è «la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza»

[22] Art. 11, comma 1, lett. d, del d. lgs. n. 196/2003.

[23] Art. 22, ivi.

[24] Cfr. par. 2 del Provvedimento.

[25] Cfr. par. 3, ivi.

Osservatorio sulle fonti

Rivista telematica registrata presso il Tribunale di Firenze (decreto n. 5626 del 24 dicembre 2007). ISSN 2038-5633.

L’Osservatorio sulle fonti è stato riconosciuto dall’ANVUR come rivista scientifica e collocato in Classe A.

Contatti

Per qualunque domanda o informazione, puoi utilizzare il nostro form di contatto, oppure scrivici a uno di questi indirizzi email:

Direzione scientifica: direzione@osservatoriosullefonti.it
Redazione: redazione@osservatoriosullefonti.it

Il nostro staff ti risponderà quanto prima.

© 2017 Osservatoriosullefonti.it. Registrazione presso il Tribunale di Firenze n. 5626 del 24 dicembre 2007 - ISSN 2038-5633