CONSIGLIO D'EUROPA

Principi guida per la protezione dei dati personali in relazione alle "carte intelligenti" (smart card)

(Adottati dal CDCJ [Gruppo di progetto sulla cooperazione giuridica] in occasione della sua 79ma riunione plenaria (11-14 maggio 2004)

INTRODUZIONE

I comitati del Consiglio d'Europa che si occupano di questioni attinenti la protezione dei dati desideravano richiamare l'attenzione su alcuni aspetti specifici della tutela dei dati personali in relazione all'impiego di "carte intelligenti" (smart cards). Il Gruppo di progetto sulla protezione dei dati (CJ-PD) del Consiglio d'Europa ha, pertanto, chiesto ad un consulente, il dr. Karel Neuwirt (Presidente dell'Autorità ceca per la protezione dei dati), di redigere una Relazione sulla protezione dei dati in rapporto all'impiego di smart cards. Nella Relazione si riconosceva che qualunque studio in materia sarebbe stato necessariamente connesso agli sviluppi tecnologici e, pertanto, avrebbe dovuto essere collocato nel rispettivo contesto storico. Si esprimeva dunque l'auspicio di redigere un elenco di principi-guida specifici dei quali tenere conto in riferimento all'impiego di smart cards.

Dopo avere esaminato la Relazione del dr. Neuwirt ed i principi-guida ad essi allegati, il CJ-PD ha accettato di rivedere e specificare meglio alcuni di essi ed ha predisposto il documento di seguito riportato.

Ai fini dei presenti principi-guida, per "smart card" si intende un vettore mobile di dati personali dotato di funzioni automatiche di elaborazione, il quale viene rilasciato ad un interessato ed è in grado di trattare dati personali secondo le finalità e le specifiche del soggetto che lo rilascia in rapporto ad un sistema informativo cui tale vettore è collegato. La carta può essere utilizzata, ad esempio, al fine di identificare l'interessato, di svolgere operazioni che non possono essere effettuate in forma anonima, o di consentire l'accesso a luoghi o database specifici. È necessario distinguere la smart card dalle carte a banda magnetica o di memorizzazione, le quali non possono essere utilizzate per effettuare autonome operazioni sui dati secondo criteri logici ed aritmetici.

Le smart card trovano impiego crescente per una vasta gamma di applicazioni. Le caratteristiche e le potenzialità delle smart card sollevano numerosi interrogativi in termini di protezione dati, ai quali è necessario fornire risposta. Ad esempio, chi ha la titolarità dei dati personali utilizzati dal sistema? Chi è responsabile dell'accuratezza e della sicurezza dei dati qualora il sistema sia accessibile ad una pluralità di soggetti diversi? Come evitare il moltiplicarsi dei rischi di possibili violazioni della privacy dei cittadini a causa dell'impiego di tecnologie legate alle smart card? Chi deve accedere ai dati personali dell'interessato, ed a quali condizioni? ecc.

I sistemi d'informazione che utilizzino smart card associate al trattamento di dati personali ricadono nell'ambito di applicazione della Convenzione del Consiglio d'Europa per la protezione delle persone con riguardo al trattamento automatizzato di dati personali [ETS 108] (nel prosieguo, "Convenzione 108"). Tale Convenzione è stata elaborata quando ci si è resi conto che, al fine di garantire un'efficace tutela giuridica dei dati personali, sarebbe stato necessario sviluppare in modo più specifico ed organico il riferimento generico al rispetto per la vita privata contenuto nell'Articolo 8 della Convenzione per la tutela dei diritti umani e delle libertà fondamentali (nel prosieguo, "CEDU").

Diritti e garanzie ulteriori sono previsti in varie Raccomandazioni del Consiglio d'Europa, fra cui in particolare:

a) la Raccomandazione N. R(2002)9 sulla protezione dei dati personali raccolti e trattati per scopi assicurativi,

b) la Raccomandazione N. R(99)14 sul servizio universale, relativa ai nuovi servizi di comunicazione ed informazione,

c) la Raccomandazione N. R(99)5, per la tutela della privacy su Internet,

d) la Raccomandazione N. R(97)5, sulla protezione dei dati sanitari,

e) la Raccomandazione N. R(95)4, sulla protezione dei dati personali nel settore dei servizi di telecomunicazione, con particolare riguardo ai servizi telefonici,

f ) la Raccomandazione N. R(90)19, sulla protezione dei dati personali utilizzati per operazioni di pagamento e per altre operazioni connesse,

g) la Raccomandazione N. R(89)2, sulla protezione dei dati personali utilizzati nel rapporto di lavoro,

h) la Raccomandazione N. R(86)1, sulla protezione dei dati personali utilizzati per scopi di previdenza sociale,

i) la Raccomandazione N. R(85)20, sulla protezione dei dati personali utilizzati per scopi di marketing diretto.

Numerosi sono i documenti e le attività del Consiglio d'Europa, in particolare attraverso i gruppi di esperti che si occupano di protezione dei dati personali, connessi indirettamente alle questioni sollevate dall'utilizzazione di smart card. In particolare, poiché le smart card possono essere utilizzate per la memorizzazione di dati biometrici, si richiama l'attenzione sui principi-guida relativi alla protezione dei dati personali sotto forma di dati biometrici attualmente in via di definizione da parte del T-PD. Le tecnologie moderne arrecano molteplici vantaggi alla vita quotidiana dei cittadini, ma comportano anche alcuni rischi legati alla possibilità di ingerenze nella privacy delle persone. Pertanto, il presente documento non si propone di descrivere i vantaggi dell'utilizzazione di smart card, bensì di specificare l'approccio da seguire per migliorare la tutela dei dati personali qualora si utilizzino tecnologie connesse alle smart card.

La raccolta ed il trattamento di dati personali in sistemi che utilizzino smart card devono rispettare tutti i principi fissati dalla normativa nazionale in materia di protezione dei dati personali.

I principi-guida che seguono non intendono fornire una risposta esauriente a tutti gli interrogativi concernenti la protezione dei dati che nascono dall'utilizzazione di smart card. Una smart card viene sempre utilizzata nell'ambito di un sistema d'informazione più ampio, e l'effettività della protezione complessiva dei dati personali utilizzati in un sistema del genere dipende da fattori e circostanze numerosi e di natura diversa. Anche la sicurezza del sistema dipende in larga parte dal comportamento di coloro che vi hanno a che fare. La tecnologia legata alle smart card sta attraversando una fase di rapidissimo sviluppo. I principi-guida in questione vogliono fissare alcuni principi fondamentali che non subiranno modifiche significative in rapporto alle innovazioni introdotte in campo tecnologico. Cionondimeno, può essere opportuno integrare tali principi alla luce degli incessanti sviluppi in questo settore.

È necessario ricordare che, nella misura in cui i presenti principi-guida contengano garanzie per i diritti e le libertà fondamentali di ognuno, ed in particolare per il diritto al rispetto della vita privata, sanciti negli Articoli 5, 6 ed 8 della Convenzione 108 e nell'Articolo 8 della CEDU, è possibile derogare a tali diritti, ai sensi dell'Articolo 9 della Convenzione 108, elaborato sulla base dell'Articolo 8 della CEDU, se ciò è previsto da norme di legge e costituisce una misura necessaria in una società democratica nell'interesse

a. della tutela della sicurezza dello Stato, della sicurezza pubblica, degli interessi economici dello Stato, o della repressione dei reati;

b. della tutela dell'interessato o dei diritti e delle libertà altrui.

Per quanto concerne tali deroghe, è opportuno sottolineare che esse vanno interpretate in maniera restrittiva e devono essere applicate solo in casi eccezionali, secondo le indicazioni fornite dalla giurisprudenza della Corte europea dei diritti umani relativa al comma 2 dell'Articolo 8 della CEDU.

I principi-guida sono rivolti precipuamente ai soggetti che rilasciano la carta, i quali hanno la responsabilità primaria della protezione dei dati personali in essa contenuti. I principi si rivolgono, inoltre, a tutti gli altri soggetti che partecipano ai sistemi d'informazione: progettisti, gestori, operatori, e gli stessi interessati. Tutti i soggetti in questione dovrebbero tenere presenti i principi enunciati nel prosieguo. I principi elaborati dovrebbero essere applicati con la massima coerenza possibile; solo in tal modo sarà possibile contribuire alla diffusione di applicazioni basate su smart card che consentano la massima interoperabilità a livello internazionale e gli standard più elevati di sicurezza.

PRINCIPI GUIDA

1. La raccolta ed il trattamento di dati personali attraverso smart card devono avvenire in modo lecito e leale. Si deve prevedere di raccogliere e memorizzare sulla carta soltanto i dati personali necessari a raggiungere gli scopi per i quali la carta stessa è utilizzata. I sistemi che utilizzano smart card devono essere trasparenti1 per gli interessati i cui dati personali siano oggetto di trattamento.

2. I dati personali devono essere raccolti e memorizzati su una smart card soltanto per scopi legittimi, specifici ed espliciti. Non devono essere utilizzati successivamente secondo modalità che siano incompatibili con tali scopi.

3. Gli obblighi attinenti la protezione dei dati personali pertengono al soggetto che determina gli scopi del sistema e gli strumenti utilizzati per raggiungere tali scopi. Ciò comporta, nel caso di carte multifunzionali, che titolari diversi siano responsabili ciascuno per la parte che gli compete.

4. Qualora una smart card sia utilizzata per scopi di tipo diverso, il trattamento deve essere organizzato in modo da non utilizzare i dati per scopi diversi da quelli per cui sono stati raccolti. Qualora gli stessi dati siano utilizzati per scopi di tipo diverso, essi devono limitarsi a quelli strettamente necessari.2

5. La raccolta di dati personali sensibili3 da registrare nella memoria della carta deve essere effettuata soltanto se prevista da norme di legge oppure se l'interessato vi ha acconsentito esplicitamente.4 Tali dati devono essere trattati soltanto nel rispetto di opportune garanzie previste per legge.5 Qualora la raccolta ed il trattamento dei dati in questione si fondino sul consenso esplicito, l'interessato deve avere il diritto di ritirare tale consenso in qualsiasi momento. Il rifiuto o il ritiro del consenso non devono comportare conseguenze negative per l'interessato.6

6. I dati registrati su una smart card devono essere tutelati da accessi, alterazioni e/o cancellazioni non autorizzati o accidentali. La carta deve assicurare un livello adeguato di sicurezza alla luce delle conoscenze tecnologiche, della natura sensibile o non sensibile dei dati registrati, del numero e della tipologia delle applicazioni, e della valutazione dei possibili rischi.7 È necessario stabilire in anticipo, relativamente a ciascuno dei diversi scopi per i quali la carta viene utilizzata, a quali condizioni sia consentito a soggetti terzi di accedere ai dati registrati sulla carta stessa.8

7. Qualora si raccolgano e memorizzino dati personali su una smart card, l'interessato deve essere informato delle finalità del trattamento, dell'identità del titolare, delle categorie di dati in oggetto e dei destinatari, o delle categorie di destinatari, dei dati memorizzati. L'interessato deve ricevere ulteriori informazioni9 se ciò è necessario per garantire la lealtà del trattamento di dati personali.

8. All'atto del rilascio della carta, il titolare deve essere informato adeguatamente delle modalità di utilizzazione e dei passi da compiere in caso di frode o comunicazione non autorizzata.10

9. Ogniqualvolta si realizzi uno scambio di dati personali fra una smart card ed il sistema, l'interessato deve esserne informato, a meno che sia già in possesso di tale informazione. Ciò riveste particolare importanza con riguardo alle carte contactless, ossia qualora l'interessato non debba provvedere direttamente all'inserimento o alla presentazione della carta al sistema.

10. Gli interessati devono avere il diritto di accedere ai dati personali che li riguardano contenuti nella carta, e devono avere il diritto di farli correggere o, se necessario, aggiornare.11

11. I dati derivanti dall'utilizzazione di una smart card12 devono essere cancellati se non sono più necessari per lo scopo specifico in relazione al quale la carta è stata utilizzata.

NOTE

1 Il concetto di trasparenza implica che l'interessato sia informato dei dati memorizzati e della loro utilizzazione.
2 Ad esempio, nel caso di una smart card utilizzata da un'istituzione scolastica sia per i servizi di mensa sia per quelli di biblioteca, devono essere memorizzati soltanto i dati comuni alle due funzionalità, come il nome dell'alunno e la rispettiva classe di appartenenza.
3 Ai sensi dell'Articolo 6 della Convenzione 108, per dati sensibili si intendono "i dati a carattere personale che rivelano l'origine razziale, le opinioni politiche, le convinzioni religiose o altre convinzioni, nonché i dati a carattere personale relativi alla salute o alla vita sessuale […] [e] i dati a carattere personale relativi a condanne penali". Si considerano dati sensibili anche gli altri dati definiti come tali dal diritto nazionale.
4 Tuttavia, in taluni casi il diritto nazionale può prevedere che il consenso non è sufficiente a conferire liceità alla raccolta e/o al trattamento dei dati.
5 Tali opportune garanzie atte a tutelare ulteriormente i dati possono trovare applicazione, ad esempio, attraverso la cifratura dei dati stessi, che attualmente rappresenta l'approccio più sofisticato. Tuttavia, è necessario tenere conto dei possibili sviluppi futuri in campo tecnologico.
6 Se la memorizzazione di dati sensibili è necessaria per fornire un servizio all'interessato, e quest'ultimo rifiuta il proprio consenso esplicito ovvero ritira tale consenso, non sarà ovviamente più possibile continuare la prestazione del servizio a favore dell'interessato.
7 Ad esempio, se si utilizzano carte con un chip di memoria, è ammessa, in linea di principio, soltanto la registrazione di dati identificativi. Vi possono essere anche altri criteri da tenere presenti, come la quantità dei dati, il numero di potenziali lettori, le finalità del trattamento, ecc.
8 Il rischio di utilizzazioni improprie dei dati registrati nella carta aumenta se quest'ultima è dotata di funzioni di pagamento. Si sconsiglia l'associazione fra funzioni di pagamento ed applicazioni che comportino la registrazione sulla carta di dati sensibili relativi al titolare della carta stessa.
9 Le informazioni da fornire all'interessato possono comprendere anche le specifiche tecniche relative al sistema utilizzato.
10 In particolare, è necessario richiamare l'attenzione del titolare della carta sulle possibili conseguenze in caso di utilizzazione impropria, comunicazione delle modalità di accesso ai dati (ad esempio, il codice) o comunicazione dei dati, nonché sulla circostanza che, in taluni casi, egli può essere chiamato a rispondere personalmente.
11 Una possibilità per garantire l'accesso consiste nell'installazione di lettori di smart card.
12 Ad esempio, le informazioni relative alla data ed al luogo di utilizzazione della carta.