g-docweb-display Portlet

  1. Home
  2. Stampa e comunicazione
  3. Newsletter
  4. Newsletter 19 -25 febbraio 2001

Newsletter 19 -25 febbraio 2001

Stampa Stampa Stampa

Newsletter 19 -25 febbraio 2001

 

  • Misure di sicurezza: il dipendente deve usare una password
  • Le ispezioni del Garante mettono in luce diffuse illegalità
  • Multa del Garante spagnolo per liste di morosi non aggiornate
  • Il sito della settimana - http://www.cnil.fr 

 

Misure di sicurezza: il dipendente deve usare una password

I dipendenti possono modificare in maniera autonoma le password loro assegnate a protezione dei dati conservati nei computer.

Lo ha ricordato l´Autorità in risposta ad un quesito rivolto da alcuni dipendenti di una società privata che hanno chiesto di sapere se è conforme alla normativa in materia di misure di sicurezza il divieto, imposto dalla società ai lavoratori che utilizzano strumenti informatici, di cambiare autonomamente la password loro singolarmente assegnata.

L´Autorità ha innanzitutto ricordato che la legge n. 675 del 1996 ha previsto l´obbligo di custodire e controllare i dati utilizzati mediante l´adozione di idonee misure di sicurezza, individuate alla luce dell´evoluzione delle conoscenze tecnologiche, in relazione alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo tale da ridurre al minimo i rischi di distruzione delle informazioni, perdita accidentale, accesso non autorizzato, trattamento non consentito o non conforme alle finalità della raccolta. La mancata predisposizione di tali misure comporta la responsabilità per i danni che si dovessero eventualmente causare.

Il regolamento sulle misure minime di sicurezza, emanato con il d.p.r. n. 318 del 1999 , richiede poi l´adozione di una parola chiave per l´accesso ai dati, la quale deve essere fornita al personale incaricato del trattamento quando esso è effettuato tramite strumenti elettronici o, comunque, automatizzati.

Alla luce di questo quadro normativo, al dipendente deve essere consentito di procedere autonomamente alla sostituzione della parola chiave, quando ciò è tecnicamente possibile in base alle caratteristiche degli elaborati, previa comunicazione ai soggetti preposti alla custodia delle password.

La prescritta comunicazione della sostituzione delle chiavi al personale preposto alla custodia deve essere effettuata con modalità tali da non consentire la facile conoscibilità della password, ma da renderla in casi particolari accessibile da parte dell´azienda o dell´amministrazione pubblica per interventi consentiti dalla legge, come nel caso di assenza o di impedimento del dipendente: un esempio può essere quello della comunicazione in busta chiusa.

Tali modalità consentono di proteggere i dati personali dalla possibile intrusione da parte di soggetti non legittimati all´accesso, permettendo contestualmente al titolare del trattamento di accedere in caso di necessità e di urgenza alle informazioni contenute nella memoria del computer per utilizzi consentiti dalla legge.

In caso di elaboratori accessibili in rete, ha poi precisato il Garante, oltre alla parola chiave è necessario utilizzare i codici identificativi assegnati, come previsto dal d.p.r. 318, ad ogni utente della rete. 

 

Le ispezioni del Garante mettono in luce diffuse illegalita´

Il Garante, attraverso le prime ispezioni effettuate nel corso del 2000, ha accertato numerosi casi di violazione di obblighi che soggetti pubblici e privati sono tenuti a rispettare.

I risultati dell´attività ispettiva, svolta direttamente presso le sedi delle banche dati, mostrano l´esistenza di diversi trattamenti illeciti di dati di cittadini, per i quali l´Autorità ha contestato violazioni amministrative o ha inoltrato, nei casi indicati dalla legge sulla privacy, denuncia di reato alla magistratura.

Dei vari casi accertati dal servizio ispettivo del Garante, il più complesso riguarda un gruppo di società che hanno effettuato trattamenti finalizzati all´invio di sollecitazioni commerciali a famiglie di bambini nati dopo l´entrata in vigore della legge n. 675. Gli accertamenti, effettuati anche in collaborazione con la Guardia di finanza e con la Polizia postale delle comunicazioni, sono stati estesi a editori ed anagrafi comunali ed hanno portato all´emissione, nei confronti di tre società, di un provvedimento di blocco dei trattamenti e di segnalazioni all´autorità giudiziaria per i reati di trattamento illecito di dati personali (art. 35 della legge n.675 del 1996) o di omessa e incompleta notificazione al Garante (art. 34). Per questi reati la legge prevede la reclusione fino a due anni.

Altre ispezioni esterne hanno riguardato la sicurezza dei dati, con una denuncia per omessa adozione di misure di sicurezza (art. 36) nei confronti di una struttura sanitaria pubblica di assistenza ad anziani, e la videosorveglianza, con la contestazione ad un istituto bancario di una violazione amministrativa per

la mancata informativa ai clienti sulla presenza delle telecamere, sugli scopi della raccolta delle immagini e sui diritti dei cittadini (art. 39). Nei confronti di questo stesso istituto bancario il Garante ha anche adottato un provvedimento di divieto di raccolta di impronte digitali.

Analoghi accertamenti in tema di impronte digitali sono stati avviati nei riguardi di altri tre istituti bancari.

Sempre riguardo ai sistemi di videosorveglianza, inoltre, il Garante ha avviato interventi "in loco" per controllare le installazioni di telecamere nei negozi di artigiani e di esercizi commerciali di piccole e grandi dimensioni, che spesso, come risulta dalle numerose segnalazioni pervenute, omettono di rendere ai clienti la preventiva, completa informativa prevista dalla legge.

Già in un primo caso, il Garante ha contestato la violazione dell´art. 39 della legge che prevede una sanzione amministrativa fino a tre milioni.

 

Attività ispettiva per il 2001

Il Garante ha deliberato il complessivo programma di ispezioni per il primo semestre 2001, che si svolgerà attraverso investigazioni su casi direttamente individuati dall’Ufficio e sulla base di segnalazioni, avvalendosi anche della collaborazione di altri organi dello Stato quando ciò sia necessario per assicurare la speditezza e la completezza degli interventi.

L’attività ispettiva riguarderà per un terzo casi per i quali vi siano stati reclami e specifiche segnalazioni; per un terzo indagini conoscitive sullo stato di attuazione della legge; per un terzo investigazioni d´iniziativa propria e collaborazioni su richiesta di autorità giudiziaria e forze di polizia.

Le ispezioni verranno effettuate sulla base dei seguenti criteri: i sopralluoghi verranno di regola disposti quando, per acquisire gli elementi necessari, non sia ritenuto utile rivolgere una richiesta di informazioni o di esibizione di documenti; gli accessi alle banche dati verranno di regola disposti quando non sia ritenuto opportuno procedere alla richiesta di informazioni o di esibizione di documenti oppure se le informazioni o i documenti richiesti o pervenuti siano ritenuti incompleti e non veritieri; le collaborazioni effettuate su richiesta della magistratura e delle forze di polizia verranno disposte dando priorità ai contesti dai quali emergono o potrebbero emergere notizie di reato.

 

Multa del Garante spagnolo per liste di morosi non aggiornate
(El Pais, 17 febbraio)

Juan Manuel Fernandez Lopez, direttore della Agencia de Proteccion de Datos (APD, l’autorità spagnola per la protezione dei dati) ha imposto una multa alla Caja Insular de Ahorros de Canarias [Cassa insulare di risparmi delle Canarie] per violazione della Legge Organica sulla protezione dei dati personali del 1999 (LOPD), avendo la Caja comunicato dati che non rispecchiavano in modo veritiero "la situazione corrente" di un cliente che risultava essere moroso quando in realtà non lo era più. La APD ricorda che la nuova legge non consente che l’esistenza pregressa di debiti sia segnalata nei registri di morosità dall’indicazione "saldo 0". Poiché la legge oggetto di violazione è stata approvata di recente, la sanzione imposta ammonta soltanto a 100.000 pesetas [ca. 1.170.000 lire] (…).

La decisione finale, che è impugnabile dinanzi al Tribunale del contenzioso amministrativo della Audiencia Nacional, esclude ogni responsabilità a carico di Equifax Iberica in quanto semplice intermediaria, e riduce all’importo di 100.000 pesetas la multa comminata alla Caja Insular de Ahorros de Canarias. La APD giustifica tale riduzione con il fatto che la legge precedente consentiva di mantenere l’indicazione "saldo 0" per i debiti già estinti, e che la norma giuridica che oggi vieta tale indicazione è di recente approvazione. Ciò permette di configurare "una motivata attenuante di colpevolezza rispetto all’imputato". La denuncia è stata presentata da Antonio Rodriguez Margalef, il quale aveva chiesto alla Caja Insular de Ahorros de Canarias un prestito ipotecario, insieme alla moglie, per l’acquisto di un appartamento. Dopo la separazione consensuale e l’attribuzione alla moglie sia dell’appartamento sia dell’ipoteca, Rodriguez cercò di farsi cancellare dalla lista dei debitori ipotecari; quando però chiese un prestito all’istituto bancario di cui era divenuto cliente fu informato del fatto che la Caja Insular aveva incluso il suo nominativo nel registro della Associazione Nazionale degli Istituti Finanziari di credito (ASNEF). Il motivo di tale inserimento era che nel 1999 risultavano inevasi due pagamenti delle cedole ipotecarie. Tuttavia, nel 2000, avendo pagato l’importo del debito, Rodriguez presentò la propria denuncia alla APD il cui servizio ispettivo potè dimostrare che in data 11 maggio 2000 egli figurava nel registro ASNEF come debitore per "un importo inevaso di 0 pesetas".

La decisione della APD è giunta lo scorso 13 febbraio. In essa, il direttore della Agencia analizza il mutamento del quadro normativo dovuto all’approvazione della nuova legge spagnola sulla protezione dei dati, del 13 dicembre 1999, rispetto a quanto previsto nella legge precedente del 1992, nonché la sentenza della Corte Costituzionale spagnola del 2000 in cui si è stabilito, fra l’altro, che "il diritto fondamentale alla protezione dei dati è finalizzato a garantire alla persona il potere di controllo sui propri dati personali, sul loro utilizzo e sulla destinazione finale, con l’obiettivo di impedire il commercio illecito di tali dati e la violazione della dignità e dei diritti dell’interessato".

Il direttore della APD rileva che tanto nella legge precedente quanto in quella attualmente in vigore resta valido il principio per cui i dati negativi concernenti un debitore possono essere conservati nei registri di morosità per un massimo di sei anni. Tuttavia, mentre in base alla legge del 1992 era necessario che tali dati negativi corrispondessero "in modo veritiero alla situazione reale dell’interessato", la legge vigente dispone che questi dati negativi "corrispondano in modo veritiero alla situazione corrente dell’interessato" (…) .La modifica legislativa impone una corrispondenza con la situazione corrente, in modo da "evitare che risulti come debitore il soggetto la cui situazione corrente è quella di non essere un debitore", spiega Fernandez Lopez. Il direttore della APD ritiene pertanto "che non sia legittimo, una volta estinto il debito, continuare a comparire in un registro comune di morosità con l’indicazione "saldo 0", visto che quest’ultima implica il riconoscimento come ex-debitore di un soggetto che ha cessato di esserlo e la cui situazione corrente, ossia "riferita al presente", "del momento", è quella di non essere un debitore; inoltre non è legittima l’inclusione di un riferimento ad una situazione sfavorevole che appartiene al passato, per quanto corrispondente al vero, cosa che invece sarebbe permessa dall’indicazione "saldo 0" - la quale rivela un inadempimento, indefinito nella sua entità, che appartiene al passato". Alla luce dell’applicazione di una norma giuridica innovativa, l’importanza che viene attribuita a questa decisione in ambito dottrinale consiste nel suo essere un avvertimento per chiunque utilizzi o fornisca dati riferiti a registri di morosità affinché si astenga dall’impiegare la vecchia dicitura "saldo 0" in rapporto a debitori che non siano più tali. Tanto più che il fatto di comparire in un registro di morosità non è mai un elemento favorevole per il cliente. Gli istituti finanziari spagnoli utilizzano sia Equifax Iberica (la filiale spagnola della multinazionale americana Equifax) sia il Registro di accettazione degli inevasi (RAI); i due archivi vengono consultati in modo automatico ogniqualvolta un soggetto chieda un prestito ad una banca o ad una cassa di risparmio. Secondo l’opinione di esperti del settore rischi, il fatto di comparire in questi elenchi, anche se con l’indicazione "saldo debitore zero", "non è mai un dato positivo". (Bonifacio de la Cuadra, I. de Barron)

 

Il sito della settimana - http://www.cnil.fr

Sono diversi i motivi di interesse che possono indurre questa settimana a digitare nella barra degli indirizzi del nostro browser l’indirizzo http://www.cnil.fr della CNIL, il Garante francese per la protezione dei dati. Intanto il sito contiene una pagina (raggiungibile cliccando su "Liens", poi su "Commissions étrangères"), di link a tutti i Garanti per la privacy del mondo, utili a chi voglia tenersi aggiornato sulle attività svolte in difesa della privacy ai massimi livelli istituzionali. Per inciso, osservando la relativa cartina geografica, colpisce la mancanza di Garanti in Africa e America del Sud, e la presenza di uno in America del Nord (Canada) e in Asia (Hong Kong). Cliccando sulle voci "Actualité" e "Dernières infos" si può leggere e scaricare (nei formati HTML, PDF o RTF) l’ultimo Rapporto annuale che affronta temi quali l’archivio nazionale delle impronte genetiche, le condizioni di utilizzazione da parte del fisco francese del numero di sicurezza sociale (l’equivalente del nostro codice fiscale), la localizzazione geografica dei telefoni portatili e la sorveglianza dei lavoratori. Ugualmente interessante, alla voce "Comment déclarer", la modalità di notificazione in linea, che in Francia deve essere effettuata anche per i siti Internet, in base al principio che "non si può effettuare alcun trattamento di informazioni personali senza avere svolto in precedenza le formalità presso la CNIL". Infine, a chi crede che la sua navigazione sia sicura e al riparo dai "famigerati" cookies, consigliamo di cliccare su "Découvrez comme vous êtes pisté su Internet", per vedere una demo che vale più di tante parole.

Scheda

Doc-Web
44118
Data
19/02/01

Tipologie

Newsletter