Privacy: Firme e impronte semplificate
Due provvedimenti dell’Authority riducono gli adempimenti per le imprese. Non è necessario chiedere l’ok preventivo al garante
Non necessario chiedere l’ok preventivo al garante se i dati biometrici sono utilizzati per accedere ad elaboratori, per la firma elettronica, per il controllo degli ingressi ad aree sensibili o macchinari pericolosi o per entrare in biblioteche e banche. L’esenzione scatta solo se vengono rispettate le misure di sicurezza a tutela dell’interessato. E se i dati biometrici sono violati, bisogna denunciarlo. Il garante della privacy ha scelto la linea della semplificazione con un provvedimento generale e con articolate Linee guida su riconoscimento biometrico e firma grafometrica.
Sia il provvedimento sia le Linee guida sono in consultazione pubblica prima dell’approvazione finale. Vediamo i contenuti dei due documenti, che tracciano un minuzioso vademecum per tutti i tipi di trattamenti biometrici.
DATA BREACH
In caso di violazione, temute o già verificate, il titolare del trattamento dovrà segnalarlo al garante.
NIENTE AUTORIZZAZIONE PRELIMINARE
Per il dati biometrici la regola è l’obbligo di presentare istanza di verifica preliminare al garante, che può prescrivere misure e accorgimenti.
Il Garante ha individuato, ora, alcuni tipi di trattamento, nella forma di identificazione biometrica o di verifica biometrica, o di sottoscrizione di documenti informatici (firma grafometrica), a rischio ridotto. Per queste ipotesi non è necessario chiedere la verifica preliminare al garante.
Si tratta, innanzi tutto del ricorso a sistemi biometrici basati sull’elaborazione dell’impronta digitale per accedere agli elaboratori: è un’alternativa ad altre credenziali di autenticazione (parola d’ordine riservata conosciuta solamente dall’incaricato o dispositivo di autenticazione in possesso e uso esclusivo dell’incaricato, eventualmente associata a un codice identificativo o a una parola d’ordine).
Per ottenere l’esenzione è necessario rispettare precise garanzie elencate nel provvedimento del garante: ad esempio nel caso in cui i campioni biometrici o i riferimenti biometrici siano conservati su supporti portatili (smart card o analogo dispositivo sicuro) il supporto deve essere nell’esclusiva disponibilità dell’incaricato.
Inoltre gli enti non dotati di certificazione di qualità ISO/IEC 27001:2006 devono compilare una relazione tecnica-organizzativa sull’uso delle credenziali biometriche.
La seconda esenzione riguarda i trattamenti di controllo di accesso fisico ad aree «sensibili», in cui si rende necessario assicurare elevati e specifici livelli di sicurezza oppure per consentire l’utilizzo di apparati e macchinari pericolosi ai soli soggetti qualificati e specificamente addetti alle attività. L’esenzione riguarda l’adozione di sistemi biometrici basati sull’elaborazione dell’impronta digitale o della topografia della mano. In questi casi il trattamento può avvenire senza il consenso degli interessati e deve rispettare precauzioni specifiche. La terza esenzione riguarda l’uso dell’impronta digitale o della topografia della mano a scopi facilitativi, ad esempio per consentire, regolare e semplificare l’accesso fisico di utenti ad aree fisiche in ambito pubblico (biblioteche, ecc.) o privato (palestre o aree aeroportuali riservate ecc.) o a servizi (apertura di cassette di sicurezza o accesso a caveau bancari ecc).
In questi casi ci vuole il consenso effettivamente libero degli interessati o, per gli enti pubblici, il perseguimento delle finalità istituzionali; in ogni caso dovranno essere assicurati agevoli sistemi alternativi di accesso non basati su dati biometrici.
La quarta esenzione è prevista per la sottoscrizione di documenti informatici.
Può essere il caso della apposizione di una firma autografa, a mano libera, su tavolette grafometriche o tablet, nei limiti in cui il dlgs n. 82/2005 (Codice dell’amministrazione digitale) ammette la firma elettronica avanzata. Anche per questa ipotesi il provvedimento generale detta condizioni tecniche e precisa che devono essere resi disponibili sistemi alternativi di sottoscrizione di semplice utilizzo per l’interessato che non comportino l’utilizzo di dati biometrici. In generale non si potranno, invece, realizzare archivi biometrici centralizzati o utilizzare i dati per finalità diverse da quelle specificate.
LINEE GUIDA
Il garante ha messo a punto linee guida nelle quali vengono analizzati i vari tipi di trattamento biometrico esistenti, inclusi quelli per i quali permane l’obbligo delle verifica preliminare (lettura dell’iride o del tracciato venoso, riconoscimento facciale ecc.): per ciascun tipo di biometria il garante dettaglia le modalità con cui possono essere trattati i dati e le specifiche misure di sicurezza, oltre a quelle già previste dal Codice della privacy, che occorre adottare caso per caso.
Particolare attenzione viene rivolta dal garante alla messa in sicurezza delle tecnologie mobili (come tablet o pc) che potrebbero più facilmente essere compromesse o smarrite.
Nelle linee guida il garante ripete che ogni eventuale violazione o perdita di dati biometrici dovrà, tra l’altro, essere tempestivamente comunicata al garante per gli opportuni interventi a tutela delle persone.
CONSULTAZIONE PUBBLICA
Prima del varo definitivo del provvedimento e delle linee guida, il garante ha deciso di sottoporre i testi a una consultazione pubblica. Soggetti interessati, associazioni di categoria degli imprenditori e dei consumatori, università, centri di ricerca, possono far pervenire contributi e osservazioni al garante per posta o attraverso la casella di posta elettronica consultazione.biometria@gpdp.it.
Fonte: Articolo di Antonio Ciccia per Italia Oggi