Cresce l’uso di riconoscimento tramite dati biometrici. Nuove disposizioni del Garante Privacy

Diritto

Cresce l’uso di riconoscimento tramite dati biometrici. Nuove disposizioni del Garante Privacy

Il Garante dei dati personali ha emanato il 12 novembre scorso un nuovo provvedimento in tema di trattamento dei dati biometrici, in cui, riportandosi alle già pubblicate, "Linee-guida in materia di riconoscimento biometrico e firma grafometrica", parte integrante delle attuali prescrizioni, sottolinea la complessità dell’argomento e la diffusione crescente di tali strumenti di riconoscimento anche nell’ambito dei beni di consumo. In particolare, tali strumenti sono utilizzati per l'accertamento dell'identità personale nell'ambito dell'erogazione di servizi della società dell'informazione e per permettere l'accesso a banche dati informatizzate, per il controllo degli accessi a locali e aree fisiche, per l'attivazione di dispositivi elettromeccanici ed elettronici (quali pc, smartphone o tablet), anche di uso personale o di macchinari, nonché per la sottoscrizione di documenti informatici.

Il trattamento dei dati biometrici e grafometrici rientra nella definizione di trattamento di dati personali (art. 4 lett. b Codice Privacy), si tratta di un trattamento particolarmente delicato per cui nel provvedimento l’Autorità ha stabilito l'obbligo per il titolare del trattamento di comunicare al Garante stesso il verificarsi di violazioni dei dati (data breach) o incidenti informatici (accessi abusivi, azione di malware…) che possano esporre a rischi di violazione, compilando il modello di cui all’allegato B e inviandolo, tramite posta elettronica o posta elettronica certificata, all'indirizzo: databreach.biometria@pec.gpdp.it. La comunicazione deve essere effettuata entro 24 ore dalla conoscenza del fatto.

In considerazione della particolare delicatezza del trattamento, relativa alla tipologia di tali dati biometrici, che presentano specifici rischi per diritti e libertà fondamentali e per la dignità dell’interessato, rientrando tale tipo di trattamento nell’art. 17 del Codice Privacy, il Garante dovrebbe effettuare in merito una verifica preliminare, previa istanza da parte del titolare del trattamento. Tuttavia, nel provvedimento odierno, il Garante ha indicato talune tipologie di trattamento volte a scopi di riconoscimento biometrico (nella forma di identificazione biometrica o di verifica biometrica) o di sottoscrizione di documenti informatici (firma grafometrica) che presentano un livello di rischio ridotto, in considerazione delle specifiche finalità perseguite, della tipologia dei dati trattati e delle misure di sicurezza che possono essere concretamente utilizzate a loro protezione e che, in ragione di questo, possono essere escluse dalla verifica preliminare. Pertanto, per tali specifiche tipologie di trattamento non è necessaria la presentazione della suddetta istanza di verifica ad opera del titolare del trattamento, sempre che vengano adottate e rispettate le misure e gli accorgimenti tecnici richiesti dal Garante per garantire il raggiungimento dei livelli di sicurezza adeguati al trattamento, nel rispetto peraltro dei principi previsti dall’art. 4 delle connesse Linee Guida.

Chi abbia già presentato al Garante un’istanza di verifica ex art. 17 del Codice Privacy e rientri nei casi di cui al presente provvedimento, è esonerato dalla verifica, ma deve presentare al Garante, entro 30 giorni dall’emanazione di questo provvedimento, una comunicazione con cui dichiara di conformarsi alle prescrizioni ivi impartite. Per coloro che non provvedano ad inoltrare per tempo la comunicazione, il Garante effettuerà la valutazione ex art. 17 secondo la procedura ordinaria.

Specifiche prescrizioni da rispettare

Il Garante prosegue indicando le specifiche prescrizioni da rispettare per sottrarsi alla verifica preliminare, in particolare, in merito a:

Trattamenti relativi ad autenticazione informatica (quindi dati biometrici e utilizzo dell’emissione vocale usati come credenziali di autenticazione) per accedere a banche dati o sistemi informatici degli enti di cui al DM 9 Gennaio 2008; è prescritto che il trattamento possa effettuarsi senza il consenso dell’interessato;
accesso fisico ad aree sensibili e uso di macchinari pericolosi mediante riconoscimento della topografia della mano o impronta digitale; è prescritto che il trattamento possa effettuarsi senza il consenso dell’interessato;
sottoscrizione di documenti informatici. L'analisi dei dati biometrici associati all'apposizione a mano libera di una firma autografa potrà essere utilizzata per la firma elettronica avanzata, solo con il consenso degli interessati. Il consenso non è necessario invece in ambito pubblico, per finalità istituzionali. Dovranno essere resi disponibili, in ogni caso, sistemi alternativi (cartacei o digitali) di sottoscrizione, senza l’uso di dati biometrici.
L'impronta digitale e la topografia della mano, solo previo consenso degli interessati, potranno essere utilizzate anche per permettere agli utenti di accedere ad aree fisiche in ambito pubblico e/o privato, garantendo in ogni caso il servizio a chi rifiuta di utilizzare i propri dati biometrici e prevedendo forme alternative di accesso.

Ogni sistema di rilevazione dovrà rispettare il principio di minimizzazione, ovvero dovrà essere configurato in modo da raccogliere un numero limitato di informazioni, permettendo di acquisire solo ed esclusivamente quei dati necessari al compimento dello scopo per cui sono stati raccolti i dati.

E’ necessario cifrare il riferimento biometrico mediante tecniche crittografiche, con una lunghezza delle chiavi adeguata alla dimensione e al ciclo di vita dei dati. I dispositivi mobili dovranno essere trattati con livelli di sicurezza maggiore.

La verifica preliminare continuerà a sussistere nei casi di realizzazione di archivi biometrici centralizzati. Resta in vigore anche l'obbligo di notificazione al Garante per i trattamenti non espressamente esclusi dal provvedimento, come quelli attuati da chi svolge una professione sanitaria e da avvocati.