Garante privacy – Newsletter n. 307 del 6 giugno 2008

Password più sicure con il riconoscimento vocale – Graduatorie on line: no a elenchi separati per le categorie protette – L’indagine eurobarometro sulla protezione dati in Ue: ancora molte ombre


Password più sicure con il riconoscimento vocale

Password più sicure con il riconoscimento vocale. Il Garante privacy ha autorizzato una multinazionale ad utilizzare un sistema di riconoscimento biometrico basato sul rilevamento delle impronte vocali dei propri dipendenti per gestire in maniera sicura e reimpostare automaticamente la password necessaria per accedere ai sistemi informatici. La società, che dovrà informare i dipendenti sul trattamento dei dati biometrici e acquisirne il consenso, dovrà comunque garantire sistemi alternativi per cambiare le password.

Il sistema di rilevamento biometrico, sottoposto alla verifica preliminare dell’Autorità, si basa sull’identificazione dell’utente attraverso l’elaborazione dell’impronta vocale, registrata e memorizzata su un server. Per la trasmissione dei dati è previsto l’uso di una rete protetta.

Gli utenti durante la cosiddetta fase di addestramento, “parlano” per telefono con il sistema pronunciando per quattro volte tre coppie di parole per rendere possibile la registrazione della voce. Le informazioni vocali così raccolte vengono trasformate in un modello di riferimento digitale (“template”) che il sistema confronta con le parole pronunciate dall’utente che intende cambiare password. Una volta accertata l’identità dell’utente, il sistema procede automaticamente ad impostare la parola chiave comunicandola al dipendente.

Nell’ambito della verifica preliminare il Garante ha ritenuto (con un provvedimento di cui è stato relatore Giuseppe Fortunato) che il sistema sottoposto alla sua attenzione sia in grado di garantire, per il rinnovo delle password d’accesso dei dipendenti ai servizi informatici, un elevato livello tecnologico di sicurezza, tenuto anche conto che l’impronta vocale, acquisita e codificata secondo il processo descritto, sarebbe impossibile da “ricostruire” e, quindi, inutilizzabile per altri scopi.
L’Autorità ha comunque prescritto alla società l’adozione di misure organizzative per prevenire eventuali rischi di utilizzo abusivo dei dati personali raccolti nella fase di addestramento. Infine, in caso di cessazione del rapporto di lavoro devono essere tempestivamente cancellati tutti i dati del dipendente.

Graduatorie on line: no a elenchi separati per le categorie protette
Non si possono diffondere via web dati idonei a rivelare lo stato di salute di una persona, specie se questa appartiene ad una categoria protetta. É quanto ribadito dall’Autorità nel richiamare due sedi provinciali del Ministero della pubblica istruzione che sul loro sito Internet avevano inserito i nominativi del personale cui sono riservati posti nei concorsi pubblici (in quanto appartenenti a categorie protette) in un elenco separato, che ne precisava le caratteristiche: “Gruppo 2 Disabili art 1 L.n. 68/99”. La suddivisione dei riservisti in tre gruppi in base alla specifica disabilità, adottata da taluni uffici scolastici provinciali, era stata successivamente inibita, attraverso una circolare, dal Ministero della pubblica istruzione poiché questo tipo di trattamento di dati sensibili è eccedente rispetto all’obiettivo perseguito con la pubblicazione delle graduatorie e determina la diffusione di informazioni sullo stato di salute e sulle condizioni familiari degli interessati. Diversi uffici scolastici, tuttavia, avevano continuato a mantenere nella pubblicazione dei loro elenchi la suddivisione in gruppi.

A seguito di alcuni accertamenti, l’Ufficio del Garante ha individuato l’inadempienza dei due enti provinciali interessati ed ha constatato che la loro condotta non era conforme alla disciplina in materia di protezione dei dati personali. La dicitura utilizzata nel sito, infatti, riportava un dato in grado di rivelare lo stato di salute dei soggetti individuati. Ma soprattutto, ha sottolineato l’Autorità, non risultava espressamente prevista dalla normativa vigente la costituzione di una separata graduatoria dei soggetti appartenenti alle categorie protette.

L’Ufficio del Garante ha pertanto richiamato l’ufficio invitandolo ad eliminare dalle graduatorie provinciali il separato “Elenco riservisti” ” Gruppo 2 Disabili art. 1 L.n. 68/99″ e ogni altra dicitura dalla quale si possa desumere l’appartenenza dei soggetti a specifiche categorie protette.

Da parte loro, i due uffici scolastici hanno immediatamente adempiuto e dato conferma al Garante dell’avvenuta cancellazione dell’elenco.

L’indagine Eurobarometro sulla protezione dati in Ue: ancora molte ombre
Il 64% dei cittadini europei è preoccupato per la propria privacy
Per la quarta volta, dal 1991, un’indagine Eurobarometro prende in esame la percezione di cittadini ed imprese rispetto alla protezione dei dati personali in Europa (http://ec.europa.eu/…pdf; http://ec.europa.eu/…pdf). Il quadro che emerge è molto composito.

Il campione comprende circa 27.000 cittadini nei 27 Paesi UE e 4.835 imprese (“titolari di trattamento”), intervistati ad inizio 2008. Le domande poste ai due gruppi, seppure formulate e organizzate in modo diverso, hanno riguardato sostanzialmente la conoscenza della normativa nazionale e dei propri diritti/doveri, la percezione del livello di pericolo per i propri dati personali, anche rispetto all’uso di Internet, la conoscenza delle autorità nazionali e del loro lavoro, il rapporto fra protezione dati e sorveglianza per finalità connesse alla lotta contro il terrorismo.

Sul versante cittadini, colpisce soprattutto l’elevata preoccupazione manifestata in tutti i Paesi per i propri dati personali (media: 64%), un dato che rimane sostanzialmente invariato nel corso degli anni; in Italia, tuttavia, solo 12 persone su 100 si dicono “molto preoccupate” al riguardo. I cittadini hanno scarsissima fiducia, in particolare, nelle società che fanno marketing, nelle centrali rischi e nelle agenzie di viaggio, mentre si fidano dei medici, delle forze dell’ordine e degli organismi di previdenza sociale – ed il livello di fiducia in questi ultimi soggetti è andato crescendo negli anni. Quali sono gli elementi positivi? In primo luogo, il fatto che la stragrande maggioranza dei cittadini sappia di avere alcuni diritti rispetto ai propri dati personali (opporsi all’uso per scopi di marketing diretto, dare il consenso, chiedere la cancellazione o rettifica) compreso il diritto ad un’informativa adeguata (2/3); l’Italia si allinea sulla media europea in questi ambiti. Va poi sottolineato che più dell’80% sa che si corrono rischi specifici su Internet e che sono necessarie cautele adeguate a protezione dei dati; più del 40% di chi usa Internet (una percentuale molto più alta rispetto al 2004) sa che esistono tecnologie che possono aiutare gli utenti a difendersi, ad esempio, dal rischio di un furto di identità, e 1 su 4 vi ha fatto ricorso.

Sono però più numerose le ombre, come dicevamo. Più della metà dei cittadini non ritiene che la protezione offerta ai propri dati (dalle norme nazionali) sia sufficiente; più di un terzo, in media, non sa che un cittadino ha diritto al risarcimento in caso di danni derivanti da abusi dei suoi dati personali (in alcuni Paesi questa percentuale supera la metà degli intervistati); la metà non sa che ha il diritto di accedere ai propri dati personali detenuti da terzi. Appena 1 cittadino su 6 (17%) sa che non si possono trasferire dati verso Paesi extra-Ue che non garantiscono un livello adeguato di protezione (in Italia appena il 13% ne è consapevole). E poi: solo il 28% sa che esiste un’autorità nazionale incaricata della protezione dei dati (in Italia 1 cittadino su 3 ne è consapevole) – un dato che non è cambiato rispetto a quattro anni fa. Sembra quindi che ci sia molto da fare, soprattutto per sensibilizzare i cittadini rispetto ai propri diritti e far conoscere le attività ed i poteri delle autorità nazionali – anche perché un dato comune è che la conoscenza di diritti e doveri aumenta con il livello di educazione e l’età degli intervistati. Il fattore educazione risulta quindi estremamente importante: è su questo versante che le autorità sembrano chiamate ad impegnarsi di più.
Per quanto riguarda le “imprese”, l’indagine mostra invece qualche ombra in meno. La metà non crede che le norme nazionali siano in grado di tutelare sufficientemente i cittadini, e circa il 50% non ritiene sufficiente l’armonizzazione delle norme a livello europeo; tuttavia, 9 imprese su 10 vedono positivamente l’esistenza di norme (nazionali ed europee) a tutela dei diritti dei cittadini in questo ambito, e solo 3 imprese su 10 non adottano misure di sicurezza nei trasferimenti di dati personali effettuati attraverso Internet (prassi comune al 65% di esse). Oltre la metà sa che esistono strumenti (come le Pet, Privacy Enhancing Technologies) che consentono di potenziare la tutela della privacy online; in Italia la percentuale è superiore al 65%. La consapevolezza dei doveri legati alla normativa in materia è diffusa, e qui l’Italia guida la classifica: il 96% delle imprese italiane sa che deve fornire un’informativa sulla privacy (o una privacy policy) e la aggiorna regolarmente, e più di 2/3 verifica quante volte la policy sia visitata dagli utenti. Ben 4 imprese su 10 in Italia hanno contattato il Garante (soprattutto per chiarimenti sulla normativa e/o in materia di notificazione dei trattamenti) – contro una media europea del 13%. Per l’80% delle imprese, inoltre, occorre concentrarsi in futuro su norme più armonizzate in materia di informativa, e ben il 75% chiede maggiori chiarimenti sull’applicazione di definizioni e concetti-chiave della direttiva UE. Ancora una volta, c’è spazio per le attività di sensibilizzazione ed educazione da parte delle autorità di protezione dati; occorre rilevare, in modo particolare, che le iniziative adottate negli ultimi anni anche dalla Commissione europea e dal Gruppo Articolo 29 per una “migliore attuazione della direttiva” si sono concentrate sugli stessi obiettivi. Tuttavia, resta evidentemente ancora molto da fare.

Un discorso a parte merita il rapporto fra protezione dati e lotta al terrorismo, sul quale cittadini ed imprese hanno manifestato lo stesso atteggiamento. La maggioranza è nettamente favorevole ad una sorveglianza potenziata (telefono, Internet, linee aeree), ma è anche nettamente contraria a misure generalizzate e di durata illimitata. Sì, dunque, a misure di sorveglianza più severe se finalizzate alla lotta contro il terrorismo internazionale, ma deve trattarsi di misure limitate nel tempo e focalizzate su alcune categorie di soggetti (ad esempio, solo soggetti sospettati di appartenere ad organizzazioni di stampo terroristico – indicazione espressa da circa 1/3 degli intervistati).

NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 – 00186 Roma.
Tel: 06.69677.752 – Fax: 06.69677.755
Newsletter è consultabile sul sito Internet www.garanteprivacy.it

printfriendly pdf button - Garante privacy - Newsletter n. 307 del 6 giugno 2008