Smart card sì ma non troppo

Il Consiglio d'Europa vara un decalogo di cui dovranno tenere conto gli stati che si apprestano a introdurre, come l'Italia, card intelligenti per l'identità, la salute e le transazioni

Roma - I cittadini dovranno essere adeguatamente informati sul senso, gli scopi e il funzionamento delle smart card, che dovranno comunque contenere e raccogliere soltanto dati strettamente indispensabili. Questi due dei punti-chiave di un decalogo varato dal Consiglio d'Europa per impedire che la diffusione delle card intelligenti, come la Carta di identità digitale italiana, si rivelino un disastro per il diritto alla riservatezza dell'individuo.

"Smart card" è una definizione che raccoglie tutte quelle card in cui viene integrato un microchip che consente una nuova interazione con i servizi pubblici e privati anche grazie all'archiviazione su card di dati potenzialmente di qualsiasi genere, compresi quelli identificativi o quelli biometrici.

Il decalogo, frutto di una decisione che riguarda tutti gli stati membri, afferma inoltre che:
- il trattamento di dati sensibili è ammesso solo se previsto specificamente da norme di legge, oppure con il consenso espresso dell'interessato. Devono essere previste particolari garanzie, come, ad esempio, la cifratura dei dati stessi;
- chi gestisce il sistema determinandone finalità e strumenti di funzionamento ha la responsabilità del trattamento dei dati personali. Dunque, nel caso di una carta multiuso, si avrà una situazione di contitolarità da parte dei soggetti che raccolgono ed utilizzano i dati;
- occorre stabilire a priori quali soggetti terzi possano accedere ai dati registrati sulla carta, ed a quali condizioni. Ed in questo senso è sconsigliato assolutamente l'uso come mezzo di pagamento di card utilizzate anche per conservare dati sensibili come quelli sulla salute.
Più in generale, si legge in una nota diffusa dal Garante per la privacy, i dati personali raccolti e trattati attraverso smart card devono essere utilizzati solo per scopi legittimi e specifici. "I dati sulla salute, in particolare - spiega la nota - possono essere trattati solo se vi è una previsione di legge oppure con il consenso dell'interessato".

Secondo il Consiglio d'Europa sono principi che non possono essere derogati in una società democratica "salvo che in casi del tutto eccezionali", per esempio per la sicurezza pubblica o per tutelare i diritti dell'interessato o di terzi.
24 Commenti alla Notizia Smart card sì ma non troppo
Ordina
  • "Secondo il Consiglio d'Europa sono principi che non possono essere derogati in una società democratica "salvo che in casi del tutto eccezionali", per esempio per la sicurezza pubblica o per tutelare i diritti dell'interessato o di terzi."

    La vedo brutta, se vogliono tutelare la salute pubblica (di terzi) potranno fare una ricerchina nel loro DB nazionale su chi ha l'aids e frequenta case di tolleranza pubbliche?

    Di esempi ce ne saranno moltissimo, il problema è che schedare la salute tramite le smart card e dare questi dati allo stato, è una pessima idea.
  • ...e molto spesso devono essere archiviati.
    Ognuno di noi ha, sparsi per chissà quali uffici pubblici, cartelle mediche, personali, i dati che ti hanno preso alla visita di leva etc.
    Ora io preferisco che le mie radiografie siano archiviate su una card con adeguati sistemi di cifratura invece che infilati come capita in una cartella in qualche archivio pubblico in cui entra ed esce chi vuole.
  • Il punto è che i dati sparsi in diversi archivi separati, specie se cartacei, sono difficili da collegare, i dati raggruppati su una SC malauguratamente violata ti lasciano nudoA bocca storta
    Roberto

    - Scritto da: logitech
    > ...e molto spesso devono essere archiviati.
    > Ognuno di noi ha, sparsi per chissà
    > quali uffici pubblici, cartelle mediche,
    > personali, i dati che ti hanno preso alla
    > visita di leva etc.
    > Ora io preferisco che le mie radiografie
    > siano archiviate su una card con adeguati
    > sistemi di cifratura invece che infilati
    > come capita in una cartella in qualche
    > archivio pubblico in cui entra ed esce chi
    > vuole.
    non+autenticato

  • - Scritto da: logitech
    > ...e molto spesso devono essere archiviati.
    > Ognuno di noi ha, sparsi per chissà
    > quali uffici pubblici, cartelle mediche,
    > personali, i dati che ti hanno preso alla
    > visita di leva etc.

    Dati che nessuno potrà mai collegare a noi, perché nessuno sa che hai fatto una radiografia all'ospedale di Orbetello.

    > Ora io preferisco che le mie radiografie
    > siano archiviate su una card con adeguati
    > sistemi di cifratura invece che infilati
    > come capita in una cartella in qualche
    > archivio pubblico in cui entra ed esce chi
    > vuole.

    Ma scherzi? Sai quel che dici? I dati nella smart card saranno usati anche dallo stato che con una leggina potrà pure metterli in un data base e con un'altra potrà consultarli per motivi di terrorismo, o perché nonna papera ne ha bisogno.

  • - Scritto da: Sandro kensan
    >
    > - Scritto da: logitech
    > > ...e molto spesso devono essere
    > archiviati.
    > > Ognuno di noi ha, sparsi per
    > chissà
    > > quali uffici pubblici, cartelle mediche,
    > > personali, i dati che ti hanno preso
    > alla
    > > visita di leva etc.
    >
    > Dati che nessuno potrà mai collegare
    > a noi, perché nessuno sa che hai
    > fatto una radiografia all'ospedale di
    > Orbetello.

    Bhe... qualche mese fa a Striscia hanno mostrato centinaia di cartelle cliniche, con nome, cognome, tutta l'anamnesi dei pazienti e risultati di visite specialistiche, abbandonate all'aperto in attesa di essere buttate.

    > > Ora io preferisco che le mie radiografie
    > > siano archiviate su una card con
    > adeguati
    > > sistemi di cifratura invece che infilati
    > > come capita in una cartella in qualche
    > > archivio pubblico in cui entra ed esce
    > chi
    > > vuole.
    >
    > Ma scherzi? Sai quel che dici? I dati nella
    > smart card saranno usati anche dallo stato
    > che con una leggina potrà pure

    Basta dare il permesso di visionare i dati solo a chi ne ha effettiva necessità (per questo è necessario un sistema di cifratura a chiave pubblica e privata, in modo che chi guarda i dati possa verificarne l'autenticità, mentre l'utente possa negarne la visione totale o parziale).
    Certo, se il medico o chi per esso è un farabutto, può spifferare i dati, ma questo lo può fare anche adesso.

  • - Scritto da: logitech

    > Bhe... qualche mese fa a Striscia hanno
    > mostrato centinaia di cartelle cliniche, con
    > nome, cognome, tutta l'anamnesi dei pazienti
    > e risultati di visite specialistiche,
    > abbandonate all'aperto in attesa di essere
    > buttate.

    Appunto. per mettere in collegamento gli interessati con la radiografia fatta a Orbetello c'è bisogno di una trasmissione televisiva, Come hai detto tu la privacy è assicurata a meno che si impieghi ore di trasmissione per fare vedere le pratiche degli ammalati.

    Il caso di striscia dimostra che i dati personali che riguardano la salute sono in una botte di ferro per quanto riguarda la privacy, il rovescio della medaglia è che questi dati possono essere distrutti per noncuranza e che se noi dimentichiamo di essere stati ricoverati a Milano nel tal reparto, allora nessuno lo saprà mai.

    > Basta dare il permesso di visionare i dati
    > solo a chi ne ha effettiva necessità

    Scherzi? chi ne ha necessità coincide con chi ha le chiavi, in questo caso lo stato, di leggi che violano i diritti della persona ce ne sono anche troppe e dargli le chiavi dei dati della salute è autolesionistico.

    > (per questo è necessario un sistema
    > di cifratura a chiave pubblica e privata, in
    > modo che chi guarda i dati possa verificarne
    > l'autenticità, mentre l'utente possa
    > negarne la visione totale o parziale).

    basta una leggina per passare sopra la testa della gente.

    > Certo, se il medico o chi per esso è
    > un farabutto, può spifferare i dati,
    > ma questo lo può fare anche adesso.

    Non c'è bisogno di tirare in ballo i casi umani, basta una leggina e tutto si può fare.

  • - Scritto da: Sandro kensan
    >
    > - Scritto da: logitech
    >
    > > Bhe... qualche mese fa a Striscia hanno
    > > mostrato centinaia di cartelle
    > cliniche, con
    > > nome, cognome, tutta l'anamnesi dei
    > pazienti
    > > e risultati di visite specialistiche,
    > > abbandonate all'aperto in attesa di
    > essere
    > > buttate.
    >
    > Appunto. per mettere in collegamento gli
    > interessati con la radiografia fatta a
    > Orbetello c'è bisogno di una
    > trasmissione televisiva, Come hai detto tu
    > la privacy è assicurata a meno che si
    > impieghi ore di trasmissione per fare vedere
    > le pratiche degli ammalati.
    >
    > Il caso di striscia dimostra che i dati
    > personali che riguardano la salute sono in
    > una botte di ferro per quanto riguarda la
    > privacy, il rovescio della medaglia è

    Stai scherzando, vero? =:|
    Chiunque poteva prendere quegli incartamenti e leggerli!

    > > Basta dare il permesso di visionare i
    > dati
    > > solo a chi ne ha effettiva
    > necessità
    >
    > Scherzi? chi ne ha necessità coincide
    > con chi ha le chiavi, in questo caso lo
    > stato, di leggi che violano i diritti della

    No, la chiave te la tieni tu, e la usi solo quando chi hai davanti è affidabile. Le tecnologie per implementare una cosa del genere esistono già.

    > persona ce ne sono anche troppe e dargli le
    > chiavi dei dati della salute è
    > autolesionistico.
    >
    > > (per questo è necessario un
    > sistema
    > > di cifratura a chiave pubblica e
    > privata, in
    > > modo che chi guarda i dati possa
    > verificarne
    > > l'autenticità, mentre l'utente
    > possa
    > > negarne la visione totale o parziale).
    >
    > basta una leggina per passare sopra la testa
    > della gente.

    Quale leggina è in grado di indovinare la chiave di miliomi di persone?

  • - Scritto da: logitech

    > Stai scherzando, vero? =:|
    > Chiunque poteva prendere quegli incartamenti
    > e leggerli!

    Chiunque significa forse un migliaio di persone che sono passati di li e hanno visto che si trattava di carte mediche, probabilmente non c'erano interessati, se invece c'è un DB con tutti gli italiani gli interessati pullulano e tra questi il nostro stato che non vede l'ora di massimizzare il controllo sui suoi cittadini.

    > No, la chiave te la tieni tu, e la usi solo
    > quando chi hai davanti è affidabile.

    E credi faranno un sistema alla GNUpg/PGP? Farei quasi quasi una scommessa sulla tua credulità...ma io non scommetto per principio.

    > Le tecnologie per implementare una cosa del
    > genere esistono già.

    > Quale leggina è in grado di
    > indovinare la chiave di miliomi di persone?

    se usano un DES basta un supercomputer...

  • - Scritto da: Sandro kensan
    > > Quale leggina è in grado di
    > > indovinare la chiave di miliomi di
    > persone?
    >
    > se usano un DES basta un supercomputer...

    Bisogna essere dei deficienti completi per usare il DES, o anche solo per ipotizzare il suo utilizzo, visto che è stato dichiarato insicuro da anni e che ci sono almeno dieci algoritmi liberi migliori.
    non+autenticato

  • - Scritto da: Anonimo

    > Bisogna essere dei deficienti completi per
    > usare il DES, o anche solo per ipotizzare il
    > suo utilizzo, visto che è stato
    > dichiarato insicuro da anni e che ci sono
    > almeno dieci algoritmi liberi migliori.

    Eppure tu dimentichi che la chiave a 56 bit è stata scelta proprio perché non troppo lunga per i sistemi della NSA e abbastanza lunga per i pc privati: chi ti dice che il nostro governo non sia furbo come la NSA?

  • - Scritto da: Sandro kensan
    >
    > - Scritto da: Anonimo
    >
    > > Bisogna essere dei deficienti completi
    > per
    > > usare il DES, o anche solo per
    > ipotizzare il
    > > suo utilizzo, visto che è stato
    > > dichiarato insicuro da anni e che ci
    > sono
    > > almeno dieci algoritmi liberi migliori.
    >
    > Eppure tu dimentichi che la chiave a 56 bit
    > è stata scelta proprio perché
    > non troppo lunga per i sistemi della NSA e
    > abbastanza lunga per i pc privati: chi ti
    > dice che il nostro governo non sia furbo
    > come la NSA?

    I dettagli sulle card che girano finora non parlano di quali sistemi di crittografia saranno usati, visto che è ancora prematro scendere in questi dettagli.
    Il processo alle intenzioni è tipico di chi non vuole il cambiamento...
    non+autenticato

  • - Scritto da: Anonimo

    > I dettagli sulle card che girano finora non
    > parlano di quali sistemi di crittografia
    > saranno usati, visto che è ancora
    > prematro scendere in questi dettagli.
    > Il processo alle intenzioni è tipico
    > di chi non vuole il cambiamento...

    Delle questioni tecniche non mi interesso, invece trovo utile esaminare quelle umane che portano i governi a diminuire progressivamente e inarrestabilmente i miei spazi di libertà.

    Nascondersi dietro dettagli tecnici non farebbe omaggio alla mia intelligenza e quindi ti cito la situazione da Grande Fratello che si va pian piano attuando portando (in alcuni casi) la situazione dei paesi democratici a coincidere con quella di paesi come la Cina. Credere che un trend di questo tipo, in una epoca in cui il terrorismo è una scusa formidabile, si arresti improvvisamente è da illusi (IMHO).

    I dettagli tecnici li fanno le intenzioni dei nostri governanti che non hanno intenzione di aumentare i miei spazi di pricacy ma di diminuirli il più possibile e questo non è un processo alle intenzioni... ma un dato di realtà sotto gli occhi di tutti soprattutto di te e me che leggiamo PI.
  • Mi auguro che non vengano mai inseriti i dati sulla salute...
    quando cerchi lavoro è difficile dire di no ad un datore che chiede la copia della tua carta d'identità (e la copia sicuramente).

    Scarlight
    non+autenticato
  • mi è capitato spesso di dover spiegare l'ovvio a più impiegati che non proprio erano addentro al loro lavoro. ma se per uno di questi gonzi si perde la mia "chiave" che fine fa la mia identità? prima di tutto SECOLI di formazione.
    non+autenticato

  • - Scritto da: Anonimo
    > mi è capitato spesso di dover
    > spiegare l'ovvio a più impiegati che
    > non proprio erano addentro al loro lavoro.
    > ma se per uno di questi gonzi si perde la
    > mia "chiave" che fine fa la mia
    > identità? prima di tutto SECOLI di
    > formazione.

    è un problema culturale che io temo (è solo un'opinione) non si risolva prima di una o due generazioni...

    è lo stesso problema che fa si che l'industriale dia la sua smart per la firma elettronica alla segretaria...non sapendo o non volendo capire che con quella ci si vende la casa...

    purtroppo corsi e informazioni servono a poco, temo che sia appunto un problema generazionale
    non+autenticato