News
18 settembre 2017
Via libera al riconoscimento via webcam di professionisti durante la partecipazione ad un corso di formazione in diretta streaming finalizzato all’acquisizione di crediti formativi, seppur nel rispetto di alcuni importanti accorgimenti a tutela della loro riservatezza.
15 settembre 2017
Per la particolare vulnerabilità dei soggetti coinvolti, acuita dai pericoli che si nascondono dietro ad un uso non consapevole delle nuove tecnologie, il Garante ha pubblicato sul proprio sito una scheda informativa in cui ha spiegato, con linguaggio semplice e immediato, le nuove tutele per i minori vittime di cyberbullismo, apportate con la Legge n. 71/2017.
13 settembre 2017
Il diritto all’oblio, oltre a soffrire il limite dell’attualità e dell’esattezza della notizia, deve necessariamente essere valutato alla luce dell’interesse della collettività a conoscere le informazioni per le quali viene invocato.
Formazione

Per conoscere veramente la privacy iscrivetevi ai nostri corsi!

Newsletter

Per essere sempre aggiornati in materia di privacy iscrivetevi alla nostra newsletter!

Dettaglio news
venerdì 14 luglio 2017

I dati biometrici e il rilascio della Carta Multiservizi della Difesa.

Il Garante per la protezione dei dati personali, con il provvedimento n. 249 del 24 maggio 2017, ha ritenuto illecito il trattamento dei dati personali effettuato dal Ministero della Difesa, in occasione del rilascio della “Carta Multiservizi della Difesa” (CMD).
Nel caso di specie, il provvedimento è stato adottato a seguito della segnalazione di un dipendente civile del Ministero che aveva dovuto fornire, senza ricevere alcuna informativa, i propri dati biometrici, al fine di ottenere la CMD, presso il Centro Rifornimenti del Commissariato di Napoli.
Il dipendente aveva chiesto, quindi, l’adozione di un provvedimento da parte del Garante che accertasse l’illiceità del trattamento operato dal Ministero e che riconoscesse il diritto alla cancellazione delle proprie impronte digitali.
Il dicastero, titolare del trattamento, in risposta alle richieste di elementi rivolte dall’Autorità circa le caratteristiche dei trattamenti dei dati biometrici effettuati in occasione del rilascio / rinnovo della CMD, aveva chiarito che l'Amministrazione disponeva di un sistema per l'acquisizione delle “evidenze informatiche” (foto, immagine della firma del Titolare e Template dell'impronta digitale) utilizzate per l'emissione della Tessera personale di  riconoscimento dei  propri  dipendenti,  ai  sensi  del D.P.C.M. 24 maggio 2010. L'identificazione del personale tramite l'utilizzo del template dell'impronta digitale, custodito unicamente all'interno del chip del modello Ate/CMD, era stato previsto, ai soli fini istituzionali, per determinate figure, titolari di specifiche attribuzioni.
Nello specifico il riconoscimento biometrico era stato utilizzato unicamente per l'accesso alle aree protette che ospitavano l'infrastruttura della Certification Authority  del  Ministero  della  Difesa: per tali aree era  necessario assicurare elevati e specifici livelli di sicurezza che richiedevano uno stretto controllo  dell'accesso,  sia  "fisico"  ai  locali  sia  "logico"  ai  sistemi informativi presso  gli  stessi  installati, unicamente  al personale autorizzato.
Il Ministero nel corso dell’attività istruttoria effettuata dal Garante aveva, altresì, precisato che, nell’ambito della procedura di rilascio del CMD, erano stati trattati solo i dati biometrici del personale militare utilizzati poi esclusivamente al fine di limitare l’accesso in aree sensibili per motivi di sicurezza.
In occasione del rilascio della CMD, l'amministrazione avrebbe, a suo dire, fornito un'informativa agli interessati mediante "copia del modulo di rilascio del modello ATe, recentemente adeguato e completato con l'informativa sul trattamento dei dati", mentre in precedenza l'informativa era stata resa verbalmente.
All’esito dell’istruttoria, il Garante ha accertato l’illiceità del trattamento operato dal Ministero in quanto compiuto in violazione dei principi di liceità e correttezza sanciti dall’art. 11, comma1, lett. a) del Codice della Privacy. L’Amministrazione stessa ha, inoltre, riferito che il trattamento dei dati biometrici, avvenuto dal 2004 al 2014, era stato realizzato mediante l’estrazione del template dell’impronta digitale e la successiva conservazione del dato biometrico sulla CMD. Alla luce di tale ulteriore dato, il Garante ha potuto constatare anche il mancato rispetto da parte del Ministero dell’art. 17 del Codice della Privacy, che prevede la richiesta di verifica preliminare, non pervenuta in relazione al periodo suddetto. Tale adempimento è peraltro previsto dall’art. 66, comma 8, del D.lgs 7 marzo 2005, n. 82 (Codice dell’Amministrazione digitale) ai sensi del quale la tessera di riconoscimento rilasciata dalle Amministrazioni dello Stato può contenere i dati personali, compresi quelli biometrici, purchè nel rispetto delle disposizioni di cui all’art. 17 del Codice Privacy.
Il Ministero non ha infine adempiuto all’obbligo di notificazione, stabilito dall’art. 37, comma1, lettera a) del Codice e, come riferito dal dipendente, ha omesso di fornire una adeguata informativa.
In considerazione, pertanto, delle dichiarazioni rese e della mancata osservazione delle norme in materia di privacy, il Garante ha ritenuto illecito il trattamento complessivamente effettuato dal Ministero della Difesa in occasione del rilascio e del rinnovo della Carta Multiservizi della Difesa in quanto effettuato in violazione degli articoli 11, comma 1, lett. a), 13, 17 e 37, comma 1, lett. a) del Codice.
In conseguenza di ciò ha prescritto all'Amministrazione, quale misura necessaria, l’attuazione di un programma di aggiornamento delle CMD volto ad inibire il trattamento dei dati biometrici memorizzati in violazione delle disposizioni vigenti e la comunicazione delle iniziative intraprese al fine di dare attuazione a quanto prescritto nel provvedimento e di fornire comunque un riscontro adeguatamente documentato.