SMART
CARD E PRIVACY
LE INDICAZIONI
DEL CONSIGLIO D'EUROPA
SMART
CARD o "carte intelligenti"
Sono
carte contenenti un microchip nel quale è possibile inserire un notevole numero
di informazioni personali (dati identificativi, dati sulla salute, impronte
digitali ecc.)
PRINCIPI
GUIDA
Questi
i principi guida sanciti in un recente documento del Consiglio d’Europa:
- quando si trattano dati
personali attraverso smart card, è necessario rispettare tutti i principi
stabiliti nella Convenzione del Consiglio d’Europa in materia di protezione
dei dati personali (Convenzione 108).
-
non è ammissibile venire a meno a tali principi salvo che in casi del tutto
eccezionali;
-
i dati personali devono essere
raccolti e memorizzati su una smart card soltanto per scopi legittimi,
specifici ed espliciti. Non devono essere utilizzati successivamente secondo
modalità che siano incompatibili con tali scopi.
-
i cittadini devono essere adeguatamente informati. Il
rifiuto o il ritiro del consenso non devono comportare conseguenze negative
per l’interessato;
-
i dati personali eventualmente
raccolti e trattati attraverso smart card devono limitarsi al minimo
indispensabile;
-
ogniqualvolta si realizzi uno scambio di dati personali fra una smart card
ed il sistema, l’interessato deve esserne informato, a meno che sia già
in possesso di tale informazione. Ciò riveste particolare importanza con
riguardo alle carte "contactless", ossia qualora l’interessato
non debba provvedere direttamente all’inserimento o alla presentazione
della carta al sistema;
-
gli interessati devono avere il diritto di accedere ai dati personali che li
riguardano contenuti nella carta, e devono avere il diritto di farli
correggere o, se necessario, aggiornare.
-
all’atto del rilascio della carta, il titolare deve essere informato
adeguatamente delle modalità di utilizzazione e dei passi da compiere in caso
di frode o comunicazione non autorizzata.
-
chi gestisce il sistema ha la responsabilità del trattamento dei dati
personali (carta multiuso = più titolari insieme):
-
il trattamento di dati sensibili
è ammesso solo se previsto specificamente da norme di legge, oppure con il
consenso espresso dell’interessato;
-
devono essere previste particolari garanzie, come, ad esempio, la cifratura
dei dati stessi;
-
occorre stabilire a priori quali
soggetti terzi possano accedere ai dati registrati sulla carta, ed a quali
condizioni.
-
I dati registrati su una smart
card devono essere tutelati da accessi, alterazioni e/o cancellazioni non
autorizzati o accidentali. La carta deve assicurare un livello adeguato di
sicurezza alla luce delle conoscenze tecnologiche, della natura sensibile o
non sensibile dei dati registrati, del numero e della tipologia delle
applicazioni, e della valutazione dei possibili rischi
-
I dati derivanti dall’utilizzazione di una smart card [ad esempio, le
informazioni concernenti data e luogo di utilizzazione] devono essere
cancellati se non sono più necessari per lo scopo specifico in rapporto al
quale la carta è stata utilizzata.
parzialmente
tratto dal
sito del Garante www.garanteprivacy.it
anno 2004