Skip to main content

L’uso della biometria per consentire l’accesso h24 alle cassette di sicurezza


 
L’Autorità Garante, con provvedimento del 12 settembre 2012, ha autorizzato una banca di Bolzano (al termine del procedimento di verifica preliminare) ad adottare un sistema di rilevazione dell’impronta digitale in grado di consentire l’accesso ai clienti del servizio “cassette di sicurezza”, a prescindere dalla presenza del personale dell’Istituto di credito (24 hours).
Una semplice soluzione ha abbattuto i rischi e gli impatti in termini di tutela dei dati personali (per di più biometrici) dei clienti. Infatti l’impronta digitale (ovvero il codice numerico/template da essa ricavato) non risiede su un database conservato presso l’istituto di credito ma viene registrata, e criptata, nella smartcard in possesso esclusivo del cliente.
Naturalmente ciò non esclude la necessità di rispettare alcuni adempimenti, comunque previsti dal quadro normativo vigente, in particolare all’istituto di credito è stato prescritto di:
- informare chiaramente i clienti della possibilità di un accesso alternativo alle cassette di sicurezza senza rilevazione delle impronte
- notificare all’Autorità il trattamento dei dati biometrici prima dell’inizio delle operazioni.
- designare per iscritto il personale incaricato del trattamento dei dati
- fornire al personale adeguate istruzioni alle quali attenersi.

Comments

Popular posts from this blog

China data protection framework evolution

Il 1 giugno 2012 il MIIT (Ministro dell'Industria e dell'Information Technology) ha evidenziato l'adozione di un aggiornamento normativo, attualmente sottoposto a pubblica consultazione (in scadenza il 6 luglio 2012), che attiene la  raccolta e l'alterazione delle informazioni personali degli utenti. In esso  viene dato un giro di vite ad alcuni abusi perpetrati da parte dei produttori di telefonini (o comunque di mobile device) e degli Online Content Providers. Il provvedimento parte dalla constatazione che, accanto alla crescente diffusione di mobile device, è invalsa l'abusiva attività di commercio delle informazioni che riguardano l'utente finale, abbinata alla pre-installazione (già dalla "fabbrica") di "malware designed to siphon the users' mobile phone balance overtime". L'emendamento proibisce ai destinatari (manufacturer e OCP) di pre-installare ovvero fornire altrimenti agli utenti, qualsiasi applicazione che: - c...

Peppermint 2 ... Logistep SA raccoglie, segretamente, gli IP degli user delle reti p2p

Il caso è nato dal fatto che, su incarico di alcune case discografiche (e non solo) Logistep SA ha iniziato ad acquisire, nell'ambito delle reti p2p, gli indirizzi IP degli user coinvolti nell'attività di file sharing . In seguito alla raccolta di queste informazioni venivano avviati procedimenti penali finalizzati alla conoscenza degli estremi identificativi degli user stessi (in virtù del diritto alla consultazione degli atti) e alla conseguente richiesta di risarcimento in ambito civilistico. Conseguendone l'elusione del segreto delle comunicazioni, applicabile senza eccezioni nel diritto privato, e che può essere sciolto soltanto nell'ambito di un procedimento penale. L'IFPDT (l'Autorità per la protezione dei dati nella Confederazione Elvetica) giudicando questa pratica abusiva, in particolare perché l'utente interessato non è a conoscenza del trattamento di dati personali, come invece esige la legge sulla protezione dei dati, chiede in una raccomandazi...

Il Garante si pronuncia su telecomunicazioni e profilazione

Dall’attività ispettiva dell’Autorità sono emerse attività di profilazione prive dei presupposti di legge. Nulla di nuovo sotto il cielo, noi consumatori abbiamo sempre saputo che determinate telefonate, magari accompagnate da improvvise interruzioni della comunicazione nel momento in cui chiedevamo l’origine dei dati trattati dall’operatore, sottendevano che i nostri dati subissero trattamenti – non consentiti – anche molto tempo dopo aver cambiato operatore tlc. In parte noi consumatori dobbiamo assumerci le nostre responsabilità, diciamo la verità è piuttosto raro che un utente eserciti i diritti previsti dall’art. 7, comma 3, lettere b) e c) del codice privacy, ossia: - la richiesta di “cancellazione o trasformazione in forma anonima dei dati trattati in violazione di legge”; - l'attestazione che l’operazione di “cancellazione o trasformazione in forma anonima” sia stata portata a conoscenza, anche per quanto riguarda il contenuto, “di coloro ai quali i dati sono stati comunica...