News
21 luglio 2017
Il Garante interviene con un comunicato stampa per chiarire una volta per tutti il perimetro di efficacia delle numerose “certificazioni ufficiali” che già oggi diversi soggetti offrono in riferimento al nuovo Regolamento UE.
19 luglio 2017
Non si realizza una violazione della normativa sulla riservatezza se il datore di lavoro si limita a verificare l'esistenza di accessi indebiti alla rete ed i relativi tempi di collegamento, senza compiere alcuna analisi dei siti visitati dal dipendente durante la navigazione o della tipologia dei dati scaricati.
17 luglio 2017
Il numero particolarmente elevato di interessati può determinare per il Titolare del trattamento, da un lato, l’esonero dall’obbligo di rendere l’informativa in forma individualizzata e, dall’altro, l’autorizzazione ad acquisire il consenso al trattamento dei dati personali, anche di natura sensibile, con modalità semplificate.
Formazione

Per conoscere veramente la privacy iscrivetevi ai nostri corsi!

Newsletter

Per essere sempre aggiornati in materia di privacy iscrivetevi alla nostra newsletter!

Dettaglio news
venerdì 14 luglio 2017

I dati biometrici e il rilascio della Carta Multiservizi della Difesa.

Il Garante per la protezione dei dati personali, con il provvedimento n. 249 del 24 maggio 2017, ha ritenuto illecito il trattamento dei dati personali effettuato dal Ministero della Difesa, in occasione del rilascio della “Carta Multiservizi della Difesa” (CMD).
Nel caso di specie, il provvedimento è stato adottato a seguito della segnalazione di un dipendente civile del Ministero che aveva dovuto fornire, senza ricevere alcuna informativa, i propri dati biometrici, al fine di ottenere la CMD, presso il Centro Rifornimenti del Commissariato di Napoli.
Il dipendente aveva chiesto, quindi, l’adozione di un provvedimento da parte del Garante che accertasse l’illiceità del trattamento operato dal Ministero e che riconoscesse il diritto alla cancellazione delle proprie impronte digitali.
Il dicastero, titolare del trattamento, in risposta alle richieste di elementi rivolte dall’Autorità circa le caratteristiche dei trattamenti dei dati biometrici effettuati in occasione del rilascio / rinnovo della CMD, aveva chiarito che l'Amministrazione disponeva di un sistema per l'acquisizione delle “evidenze informatiche” (foto, immagine della firma del Titolare e Template dell'impronta digitale) utilizzate per l'emissione della Tessera personale di  riconoscimento dei  propri  dipendenti,  ai  sensi  del D.P.C.M. 24 maggio 2010. L'identificazione del personale tramite l'utilizzo del template dell'impronta digitale, custodito unicamente all'interno del chip del modello Ate/CMD, era stato previsto, ai soli fini istituzionali, per determinate figure, titolari di specifiche attribuzioni.
Nello specifico il riconoscimento biometrico era stato utilizzato unicamente per l'accesso alle aree protette che ospitavano l'infrastruttura della Certification Authority  del  Ministero  della  Difesa: per tali aree era  necessario assicurare elevati e specifici livelli di sicurezza che richiedevano uno stretto controllo  dell'accesso,  sia  "fisico"  ai  locali  sia  "logico"  ai  sistemi informativi presso  gli  stessi  installati, unicamente  al personale autorizzato.
Il Ministero nel corso dell’attività istruttoria effettuata dal Garante aveva, altresì, precisato che, nell’ambito della procedura di rilascio del CMD, erano stati trattati solo i dati biometrici del personale militare utilizzati poi esclusivamente al fine di limitare l’accesso in aree sensibili per motivi di sicurezza.
In occasione del rilascio della CMD, l'amministrazione avrebbe, a suo dire, fornito un'informativa agli interessati mediante "copia del modulo di rilascio del modello ATe, recentemente adeguato e completato con l'informativa sul trattamento dei dati", mentre in precedenza l'informativa era stata resa verbalmente.
All’esito dell’istruttoria, il Garante ha accertato l’illiceità del trattamento operato dal Ministero in quanto compiuto in violazione dei principi di liceità e correttezza sanciti dall’art. 11, comma1, lett. a) del Codice della Privacy. L’Amministrazione stessa ha, inoltre, riferito che il trattamento dei dati biometrici, avvenuto dal 2004 al 2014, era stato realizzato mediante l’estrazione del template dell’impronta digitale e la successiva conservazione del dato biometrico sulla CMD. Alla luce di tale ulteriore dato, il Garante ha potuto constatare anche il mancato rispetto da parte del Ministero dell’art. 17 del Codice della Privacy, che prevede la richiesta di verifica preliminare, non pervenuta in relazione al periodo suddetto. Tale adempimento è peraltro previsto dall’art. 66, comma 8, del D.lgs 7 marzo 2005, n. 82 (Codice dell’Amministrazione digitale) ai sensi del quale la tessera di riconoscimento rilasciata dalle Amministrazioni dello Stato può contenere i dati personali, compresi quelli biometrici, purchè nel rispetto delle disposizioni di cui all’art. 17 del Codice Privacy.
Il Ministero non ha infine adempiuto all’obbligo di notificazione, stabilito dall’art. 37, comma1, lettera a) del Codice e, come riferito dal dipendente, ha omesso di fornire una adeguata informativa.
In considerazione, pertanto, delle dichiarazioni rese e della mancata osservazione delle norme in materia di privacy, il Garante ha ritenuto illecito il trattamento complessivamente effettuato dal Ministero della Difesa in occasione del rilascio e del rinnovo della Carta Multiservizi della Difesa in quanto effettuato in violazione degli articoli 11, comma 1, lett. a), 13, 17 e 37, comma 1, lett. a) del Codice.
In conseguenza di ciò ha prescritto all'Amministrazione, quale misura necessaria, l’attuazione di un programma di aggiornamento delle CMD volto ad inibire il trattamento dei dati biometrici memorizzati in violazione delle disposizioni vigenti e la comunicazione delle iniziative intraprese al fine di dare attuazione a quanto prescritto nel provvedimento e di fornire comunque un riscontro adeguatamente documentato.