Sicurezza biometrica per i sistemi informatici giudiziari

L'Autorità Garante ha autorizzato via Arenula ad utilizzare dati sensibili per garantire meglio la protezione di luoghi ad alta criticità e banche dati di particolare delicatezza. La prima chiave personale sarà basata sulle impronte digitali

Il ministero della Giustizia potrà utilizzare anche i dati biometrici, come le impronte digitali, ma dovrà adottare le necessarie cautele. L'Autorità garante per la privacy ha autorizzato via Arenula ad utilizzare dati sensibili, ma solo per potenziare la sicurezza dei suoi sistemi informatici e degli accessi a luoghi ad alta criticità o a banche dati particolarmente riservate come il casellario giudiziale, registri generali dei procedimenti penali e civili, base dati investigative . A rendere nota la decisione è stata l'Autorità che nella sua ultima Newsletter leggibile tra i documenti correlati avverte che le impronte digitali non potranno essere conservate in una banca dati né potranno essere usate per controllare le presenze dei lavoratori o regolare altri tipi di accessi non compresi tra quelli sensibili . Per quanto riguarda la sicurezza, il Garante che chiesto una verifica preliminare su un progetto tecnico volto proprio a innalzare il livello di protezione attraverso accessi più sicuri ai sistemi informatici. Il progetto, che interessa gli uffici giudiziari delle regioni meridionali, prevede l'impiego di una carta dotata di un microprocessore, chiamata Carta multiservizi giustizia Cmg , nella quale vengono registrati dati anagrafici e impronte digitali, con una rappresentazione sintetica numerica delle caratteristiche dell'impronta. Alla carta è associato l'uso di lettori biometrici che, attraverso il riconoscimento dell'impronta, rendono ancora più sicura l'autenticazione del lavoratore. I dati raccolti per la realizzazione della Cmg - dice l'Autorità - non potranno essere usati per fini diversi, ad esempio per il controllo delle presenze o gli eccessi diversi da quelli ad alta criticità e andranno conservati solo per il tempo strettamente necessario . Inoltre le informazioni relative al dipendente non più abilitato all'accesso dovranno essere immediatamente cancellate. Vista la particolare natura delle informazioni, il Garante ha chiesto al ministero misure ed accorgimenti cui attenersi per assicurare un elevato livello di sicurezza dei dati e il rispetto della riservatezza e della dignità delle persone . Particolare attenzione quindi, meriteranno le regole del rapporto tra ministero, Istituto Poligrafico dello Stato, che fornirà le carte ed eventuali altri soggetti esterni. La valutazione generale del progetto, avvenuta in una fase preliminare all'avvio delle procedure per la sua realizzazione, è sostanzialmente positiva e l'Autorità ha ritenuto l'impiego delle impronte digitali dei lavoratori necessario e proporzionato rispetto allo scopo di garantire un accesso sicuro a sistemi informatici così importanti e delicati . Del tutto ingiustificata, invece, l'intenzione del dicastero di creare una banca dati delle Cmg, con il solo fine di rilasciare copie o duplicati in caso di smarrimento della Carta .

Autorità Garante per la protezione dei dati personali Newsletter 14 novembre 2005 n. 266 - Notiziario settimanale - Sistemi informatici giudiziari più sicuri - Protocollo di intesa Garante - Guardia di finanza - Tlc conservazione dei dati di traffico, il parere dei Garanti Ue Sistemi informatici giudiziari più sicuri Il progetto del ministero della Giustizia, sottoposto alla verifica preliminare del Garante, prevede l'uso delle impronte digitali. Per potenziare la sicurezza dei suoi sistemi informatici e degli accessi a luoghi ad alta criticità es. sale C.e.d. o a banche dati particolarmente riservate casellario giudiziale, registri generali dei procedimenti penali e civili, basi dati investigative , il Ministero della giustizia potrà utilizzare anche dati biometrci, come le impronte digitali, ma dovrà adottare le necessarie cautele. Le impronte digitali non potranno essere conservate in una banca dati né potranno essere usate per controllare le presenze dei lavoratori o regolare altri tipi di accessi non compresi tra quelli sensibili. Queste alcune delle prescrizioni del Garante al Ministero della giustizia che ha chiesto una verifica preliminare su un progetto tecnico volto ad innalzare il livello di protezione dei dati sensibili e giudiziari attraverso accessi più sicuri ai sistemi informatici. Il progetto, che interessa gli uffici giudiziari delle regioni meridionali, prevede l'impiego di una carta dotata di un microprocessore, denominata Carta multiservizi giustizia Cmg , nella quale vengono registrati dati anagrafici e template delle impronte digitali rappresentazioni sintetiche numeriche delle caratteristiche dell'impronta . Alla Carta è associato l'uso di lettori biometrici che attraverso il riconoscimento dell'impronta rendono ancora più sicura l'autenticazione del lavoratore. I dati raccolti per la realizzazione della Cmg, non potranno essere usati per fini diversi ad es., controllo delle presenze, accessi diversi da quelli ad alta criticità e andranno conservati solo per il tempo strettamente necessario. Le informazioni relative al dipendente non più abilitato all'accesso dovranno essere immediatamente cancellate. Considerata la particolare natura delle informazioni personali impiegate, il Garante ha prescritto al Ministero misure e accorgimenti cui attenersi per rispetto della riservatezza e della dignità delle persone. In questo senso, una particolare attenzione andrà posta nel regolare i rapporti tra Ministero, l'Istituto poligrafico dello Stato che fornirà le carte ed eventuali altri soggetti esterni. La valutazione del progetto da parte del Garante - che è avvenuta in una fase preliminare all'avvio delle procedure per la sua realizzazione - è stata comunque sostanzialmente positiva. L'impiego delle impronte digitali dei lavoratori è stato ritenuto, infatti, necessario e proporzionato rispetto allo scopo di garantire un accesso sicuro a sistemi informatici così importanti e delicati. Del tutto ingiustificata, invece, a parere del Garante, l'intenzione del Ministero di creare una banca dati delle Cmg, con il solo fine di rilasciare copie o duplicati in caso di smarrimento della carta. Protocollo di intesa - Garante-Guardia di finanza Potenziata l'attività ispettiva dell'Autorità Venerdì 11 novembre 2005 è stato firmato il nuovo protocollo d'intesa tra la Guardia di Finanza e il Garante per la protezione dei dati personali. Il protocollo è stato siglato dal Presidente del Garante, Prof. Francesco Pizzetti e dal Comandante Generale della Guardia di Finanza, Gen. di Corpo d'Armata Roberto Speciale. Per il garante erano presenti oltre al Presidente il Vice presidente Giuseppe Chiaravalloti, il componente Mauro Paissan e il segretario generale, Giovanni Buttarelli. Lo scopo dell'accordo è quello di dare - sulla base dell'eccellente livello di collaborazione già raggiunto tra le due Istituzioni a seguito del precedente protocollo del 2002 - ulteriore impulso all'attività di accertamento e verifica sul rispetto delle norme in materia di protezione dei dati personali, regolando le reciproche forme di intesa. Il Garante, ogni qualvolta ritenga necessario avvalersi della collaborazione del Corpo, attiverà il Nucleo Speciale funzione pubblica e privacy che assicurerà su tutto il territorio nazionale, avvalendosi anche dei 2 reparti del Corpo territorialmente competenti, gli adempimenti richiesti. Le richieste del Garante potranno riguardare anche pluralità di soggetti nei cui confronti svolgere accertamenti relativamente a determinati adempimenti. In particolare, la Guardia di Finanza collaborerà alle attività ispettive attraverso - reperimento di dati e informazioni sui soggetti da controllare - partecipazione del proprio personale agli accessi alle banche dati, ispezioni, verifiche e alle altre rilevazioni nei luoghi dove viene effettuato il trattamento dei dati - assistenza nei rapporti con l'autorità giudiziaria - sviluppo delle attività delegate per l'accertamento delle violazioni di natura penale ed amministrativa - contestazione delle sanzioni amministrative rilevate nell'ambito delle attività delegate. Il Garante provvederà al supporto necessario per la formazione del personale del Corpo in materia di protezione dei dati personali. Il protocollo prevede, infine, che la Guardia di Finanza, assicuri, in stretta collaborazione con il Garante, la diffusione delle informazioni sull'applicazione delle norme in materia di protezione dei dati personali, anche attraverso i propri Uffici relazioni con il pubblico. Il protocollo - ha spiegato il generale Speciale - permetterà all'Authority di avvalersi in maniera ancora più incisiva della Guardia di Finanza, che agirà con le facoltà ed i poteri previsti dalle leggi e dai regolamenti per svolgere, in particolare, attività conoscitive, informative ed ispettive tese a far luce sui fenomeni di illecito ed irregolare trattamento di dati personali . L'intesa siglata, ha affermato il Presidente del Garante, Pizzetti, è molto improntate per l'attività dell'Authority. In questi anni, ha spiegato Pizzetti, c'è stato un incremento molto significativo dell'attività ispettive si è passati, infatti, dalle 26 ispezioni del 2002, alle 56 del 2003, alle 100 del 2004 per giungere alle 182 ispezioni avviate nell'anno in corso, di cui 150 dal mese di aprile 2005. Questo protocollo - ha concluso Pizzetti - è un ulteriore salto in avanti nella collaborazione tra Garante e Guardia di Finanza . Tlc conservazione dei dati di traffico, il parere dei Garanti Ue Conservare i dati di traffico interferisce con il diritto fondamentale alla riservatezza delle comunicazioni dunque, è possibile ricorrervi solo in casi eccezionali, per motivate e pressanti esigenze sociali, e sulla base di adeguate e specifiche garanzie. Così si sono espresse le autorità europee per la protezione dei dati adottando un Parere, di cui è stato coordinatore il Garante italiano 113/2005, disponibile in lingua inglese all'indirizzo http //europe.eu.int/comm/justice_home/fsj/privacy/ind ex _en.htm in merito alla proposta di Direttiva sulla conservazione dei dati presentata dalla Commissione europea nel mese di settembre COM 2005 438 . La proposta fa parte di un pacchetto di misure messe a punto dalla Commissione nel quadro della lotta contro il terrorismo e la criminalità organizzata. I Garanti, come già ribadito in altre occasioni dopo gli eventi del settembre 2001, hanno sottolineato di essere ben consapevoli delle sfide poste dal terrorismo e della necessità di farvi fronte in modo efficace tuttavia, ciò deve avvenire senza minare i diritti fondamentali compreso il diritto alla privacy che sono alla base delle società democratiche. La proposta, presentata dal Vice presidente della Commissione Ue e Commissario per libertà, sicurezza e giustizia Frattini, prevede, per la prima volta, un obbligo generalizzato per tutti i fornitori di servizi di comunicazione di conservare i dati di traffico per finalità non connesse alla fatturazione, bensì per scopi investigativi il periodo di conservazione proposto è di un anno per il traffico telefonico, e di sei mesi per il traffico Internet. Pur prendendo atto con favore dell'intento di armonizzare il quadro normativo europeo in questo campo, in cui sussistono numerose diversità, i Garanti non ritengono che le motivazioni addotte dalle competenti autorità dei Paesi membri a sostegno della conservazione obbligatoria dei dati siano sufficientemente solide, in particolare rispetto al periodo massimo di conservazione previsto nella proposta di Direttiva. In questo contesto, i Garanti chiedono alla Commissione ed al Parlamento chiamato a decidere congiuntamente sull'adozione della Direttiva di prevedere alcune garanzie essenziali anche alla luce di altri strumenti internazionali, come la Convenzione europea dei diritti umani, prima di licenziare il documento - specificare chiaramente le finalità della conservazione dei dati, che devono essere connesse alla lotta contro il terrorismo e la criminalità organizzata e non già contro generiche forme di grave criminalità - indicare chiaramente a quali condizioni le autorità competenti potrebbero accedere ai dati in oggetto ed utilizzarli per combattere la minaccia del terrorismo - limitare al massimo il periodo di eventuale conservazione, chiarendo che esso rappresenta il tetto massimo applicabile dagli Stati membri che però potranno prevedere periodi più brevi - dare la massima pubblicità alle misure introdotte - prevedere un riesame periodico delle motivazioni alla base delle misure di conservazione obbligatoria dei dati almeno ogni 2-3 anni - prevedere che, in ogni caso, si tratti di misure ad applicazione limitata nel tempo tre anni proprio per la natura circostanziale delle motivazioni che stanno alla base della proposta della Commissione. I Garanti hanno richiamato queste ed altre specifiche garanzie in forma sintetica attraverso un elenco finale di venti prescrizioni. Tra di esse vanno citati il divieto di trattamenti ulteriori dei dati conservati se non in presenza di rigide e specifiche garanzie l'opportunità di autorizzare l'accesso caso per caso attraverso decisioni dell'autorità giudiziaria o comunque delle autorità competenti le misure concernenti la sicurezza e la separazione logica dei dati che i fornitori di servizi devono adottare la definizione precisa delle categorie di dati da conservare e la previsione di meccanismi di revisione di tali categorie la necessità di escludere comunque i dati relativi ai contenuti delle comunicazioni.