Come già annunciato, il Garante per la privacy ha approvato un provvedimento generale prescrittivo in tema di biometria, in corso di pubblicazione sulla Gazzetta Ufficiale.
Vista la crescente diffusione dell’utilizzo di dispositivi e tecnologie per la raccolta e il trattamento di dati biometrici con finalità principalmente di identificazione personale, di controllo degli accessi e di sottoscrizione di documenti informatici, l’intervento del Garante è volto a fornire un quadro di riferimento unitario sulla cui base orientare le scelte tecnologiche, conformare i trattamenti alle prescrizioni del Codice privacy e verificare il rispetto degli standard di sicurezza.
I dati biometrici sono, per loro natura, collegati all’individuo in modo diretto, univoco e generalmente stabile nel tempo, denotando la profonda relazione tra corpo, comportamento e identità della persona. Per questo motivo l’adozione di sistemi biometrici di raccolta dati e il relativo trattamento possono comportare rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato.
Tuttavia, all’interno del variegato panorama di sistemi tecnologici di rilevazioni biometriche, in un’ottica di semplificazione normativa, il Garante ha individuato alcune tipologie di trattamento dei dati che presentano minori rischi e che, a differenza delle altre tipologie, non necessitano della verifica preliminare da parte dell’Autorità. L’esonero è concesso a condizione che vengano adottate tutte le misure e gli accorgimenti tecnici idonei a raggiungere gli obiettivi di sicurezza individuati dal provvedimento e che vengano rispettati i generali presupposti di legittimità previsti dal Codice privacy.
Non è quindi necessario presentare istanza di verifica preliminare per le seguenti quattro tipologie di trattamenti:
nella sottoscrizione di documenti informatici, l’analisi dei dati biometrici associati all’apposizione a mano libera di una firma autografa potrà essere utilizzata per i sistemi di firma grafometrica posti a base di una soluzione di firma elettronica avanzata. Il trattamento è consentito solo con il consenso espresso dall’interessato all’atto di adesione al servizio di firma grafometrica e ha validità, fino alla sua eventuale revoca, per tutti i documenti da sottoscrivere. Il consenso non è necessario invece in ambito pubblico, se devono essere perseguite specifiche finalità istituzionali. Dovranno comunque essere resi disponibili sistemi alternativi (cartacei o digitali) di sottoscrizione che non comportino l’utilizzo di dati biometrici;
nell’autenticazione informatica, le caratteristiche biometriche dell’impronta digitale o dell’emissione vocale di una persona possono essere utilizzate come credenziali di accesso a banche dati e sistemi informatici anche senza il consenso dell’utente;
nei controlli di accesso fisico, le caratteristiche dell’impronta digitale o della topografia della mano potranno essere trattate per consentire l’accesso ad aree ritenute “sensibili” o ad apparati e macchinari pericolosi ai soli soggetti qualificati. Il trattamento potrà essere realizzato anche senza il consenso dell’utente;
per scopi facilitativi, l’impronta digitale e la topografia della mano potranno essere utilizzate per consentire l’accesso fisico di utenti ad aree fisiche in ambito pubblico (es. biblioteche) o privato (es. aree aeroportuali riservate). Anche in questo caso l’utilizzo è consentito solo con il consenso degli interessati e dovranno comunque essere previste modalità alternative per chi rifiuta di rilasciare i propri dati biometrici nega il consenso al trattamento dei dati biometrici.
In considerazione della complessità della materia in rapporto alla disciplina sul trattamento dei dati personali il Garante ha allegato al provvedimento un documento contenente le “Linee-guida in materia di riconoscimento biometrico e firma grafometrica”, già sottoposte a consultazione pubblica, e uno speciale modulo per la comunicazione all’Autorità in caso di violazioni dei sistemi biometrici. Infatti, allo scopo di prevenire eventuali furti di identità biometrica, tutte le violazioni dei dati o gli incidenti informatici (data breach) che possano avere un impatto significativo sui sistemi biometrici e sui dati raccolti dovranno essere comunicati al Garante entro 24 ore dalla scoperta.
In attesa della pubblicazione del provvedimento in Gazzetta ufficiale, per consultare il provvedimento e i relativi allegati si rimanda al sito web del Garante.
Aggiungi commento