fbpx

Dati biometrici: un commento al provvedimento del Garante Privacy

lentepubblica.it • 27 Novembre 2014

Il Garante Privacy ha dato notizia della disponibilità, sul proprio sito, dell’attesissimo “Provvedimento generale prescrittivo in tema di biometria e firma grafometrica”. Un primo schema del provvedimento era stato già posto in consultazione pubblica tra maggio e giugno di quest’anno, e, proprio in tale occasione, sono state fornite al Garante molte interessanti osservazioni (tra le quali quelle di ANORC, in gran parte inserite nel testo finale) che hanno contribuito alla definizione del provvedimento approvato in maniera definitiva lo scorso 12 novembre e ora in attesa di pubblicazione in Gazzetta Ufficiale. Il provvedimento, riporta un quadro unitario di misure e accorgimenti di carattere tecnico, organizzativo e procedurale per mantenere alti livelli di sicurezza nell’utilizzo di particolari tipi di dati biometrici, semplificando tuttavia alcuni adempimenti. Tale provvedimento si è reso necessario in seguito all’aumento esponenziale dell’uso di dispositivi e tecnologie per la raccolta e il trattamento dei dati biometrici con la finalità di accertare l’identità personale di un interessato o utente nei casi in cui egli fruisca dei servizi forniti dalla società dell’informazione. Quando si parla di “dati biometrici” si intende una categoria di dati personali con capacità di identificazione di un soggetto (che ricomprende i campioni biometrici, i modelli biometrici, i riferimenti biometrici e qualunque altro dato ottenuto da caratteristiche biometriche attraverso un procedimento informatico) ricollegabile a un interessato individuato o individuabile.

Poiché una simile attività potrebbe essere lesiva dei diritti fondamentali dell’interessato, la volontà perseguita dall’Autorità Garante è stata quella di precisare, anche tramite la previsione di un documento “Linee guida in materia di riconoscimento biometrico e firma grafometrica” (allegato al provvedimento in esame) quali siano le operazioni alle quali i titolari del trattamento devono ottemperare per agire in conformità ai principi previsti dal Codice in materia di protezione dei dati personali e dagli standard di sicurezza. L’argomento, per nulla nuovo al Garante, è stato inizialmente oggetto di pareri specifici da parte del “Working party Article 29” (che vede quali suoi componenti i vari garanti europei) e successivamente di numerose verifiche preliminari, a seguito delle quali il Garante ha impartito precise istruzioni sul trattamento dei dati biometrici. Proprio partendo da queste iniziali esperienze, il Garante ha inteso individuare delle specifiche tipologie di trattamento per le quali, a condizione di applicare tutte le misure necessarie prescritte, si possa procedere al trattamento senza ulteriormente richiedere alcuna verifica preliminare (come sarebbe normalmente previsto dall’art. 17 del Codice Privacy). Il fulcro del provvedimento è costituito da quanto previsto al suo punto 4, laddove si prevedono quattro specifiche ipotesi di trattamento. Per ognuno dei contesti presi in esame, il Garante elenca le misure di sicurezza e gli accorgimenti affinché il trattamento sia rispettoso della particolare natura di dati raccolti e utilizzati (intrinsecamente connessi agli elementi identificativi dell’individuo, quali la sua fisicità ed il suo comportamento).

Pertanto, nonostante ci si riferisca a dati tutti particolarmente delicati, fra di essi se ne possono distinguere alcuni che, tenendo presenti le finalità, la tipologia e le misure di sicurezza applicabili, non comportano un rischio elevato per i diritti fondamentali dell’interessato. Per questi trattamenti, puntualizza il Garante, il titolare è esonerato dal presentare istanza di verifica preliminare ex art. 17 del Codice in materia di protezione dei dati personali ma è comunque tenuto ad adottare le misure e gli accorgimenti tecnici elencati nel provvedimento e a rispettare i presupposti di legittimità contemplati nel Codice (ai quali si riagganciano le citate Linee Guida).   Viene ribadito con forza il rispetto del principio di necessità (o di minimizzazione), pertinenza e non eccedenza nella raccolta e utilizzo dei dati biometrici (ben definiti, tra l’altro, nell’Allegato A “LINEE-GUIDA IN MATERIA DI RICONOSCIMENTO BIOMETRICO E FIRMA GRAFOMETRICA”), in base ai quali i titolari del trattamento che vogliano utilizzare tali sistemi di rilevazione devono raccogliere un numero limitato di informazioni, escludendo l’acquisizione di dati ultronei e non necessari per il conseguimento della finalità perseguita   I quattro contesti nei quali può essere esclusa la presentazione dell’istanza di verifica preliminare riguardano:

 

– l’autenticazione informatica;

– il controllo di accesso fisico ad aree “sensibili” dei soggetti addetti e all’utilizzo di apparati e macchinari pericolosi;

– l’uso dell’impronta digitale o della topografia della mano a scopi facilitativi;

– la sottoscrizione di documenti informatici.

Nell’ottica della semplificazione degli adempimenti, è importante sottolineare come sia stato precisato che, oltre all’esonero dall’obbligo di verifica preliminare, alcuni trattamenti possono essere effettuati anche senza il consenso dell’interessato (ciò, ad esempio, vale per l’autenticazione informatica, per il controllo degli accessi fisici ad aree sensibili o per la sottoscrizione di documenti informatici in ambito pubblico). Il Garante, inoltre, anche al fine di prevenire eventuali furti di identità biometrica, obbliga tutti i detentori di dati biometrici a segnalare, entro 24 ore dalla scoperta, tutte le violazioni dei dati o gli incidenti informatici (“data breaches”) che possano avere un impatto significativo sui sistemi biometrici o sui dati personali custoditi, così da consentire di adottare opportuni interventi a tutela delle persone interessate. Tale adempimento, prescritto ai sensi dell’art. 154, comma 1, lettera c) del Codice privacy, rientra tra le c.d. misure di sicurezza necessarie e, in caso di omessa comunicazione, comporta l’applicazione dell’art. 162, comma 2-ter del Codice (sanzione amministrativa che può variare tra 30mila a 180mila euro).

È evidente, quindi, che l’intento dell’Autorità Garante sia quello di estendere gli effetti di parte delle prescrizioni di cui all’art. 32-bis del Codice privacy anche ai nuovi rischi che possono correre gli interessati che abbiano affidato i loro dati biometrici a terzi, introducendo però pesanti sanzioni in caso di omessa comunicazione. Da segnalare, infine, nell’ambito della sottoscrizione di documenti informatici, l’introduzione di una specifica figura soggettiva nell’organigramma privacy del titolare che è quella del “terzo fiduciario”, custode della chiave privata che consente l’accesso al modello grafometrico cifrato in caso di contenzioso sull’autenticità della firma o a seguito di richiesta dell’autorità giudiziaria. Aggiunto inoltre anche l’obbligo di mantenere una relazione che descriva gli aspetti tecnici e organizzativi delle misure messe in atto dal titolare (compresa la valutazione della necessità e della proporzionalità del trattamento biometrico) e che introduce un obbligo di rendicontazione specifico in capo al titolare del trattamento per poter dimostrare (in caso di eventuali controlli o ispezioni) di aver adottato tutte le nuove prescrizioni e i vincoli imposti dalla normativa, nel pieno rispetto del principio dall’accountability. Sono esclusi dalle modalità semplificate individuate nel provvedimento del Garante i trattamenti che prevedono la realizzazione di archivi biometrici centralizzati, per i quali continuerà a essere obbligatorio richiedere una verifica preliminare.

Rimane in vigore anche l’obbligo di notificazione al Garante in tutti i casi che non sono stati esplicitamente esclusi dal provvedimento. Il Garante, inoltre, invita tutti coloro i quali abbiano presentato istanza di verifica preliminare ai sensi dell’art. 17 del Codice Privacy a comunicare al Garante – entro trenta giorni dalla pubblicazione del Provvedimento in Gazzetta Ufficiale – la conformità del trattamento alle prescrizioni ivi contenute, ovvero la propria intenzione di conformarvisi: in tal caso il Garante non si pronuncerà sulle relative istanze. Nei casi in cui, invece, non verrà presentata tale comunicazione, il Garante valuterà secondo le procedure ordinarie. Infine, per tutti i Titolari che stanno già procedendo al trattamento dei dati biometrici senza verifica preliminare, il Garante prescrive l’adozione – entro centottanta giorni dalla pubblicazione in GU del Provvedimento – delle misure e degli accorgimenti prescritti o, in alternativa, qualora i trattamenti non rientrino (o comunque non possano rientrare) in quelli previsti dal provvedimento, la sospensione degli stessi – entro il medesimo termine – e l’inoltro di una richiesta di verifica preliminare ai sensi dell’art. 17 del Codice Privacy.

 

 

FONTE: ANORC – Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale

AUTORI: Luigi Foglia e Graziano Garrisi

 

 

passaporto-biometrico

 

 

 

Fonte:
avatar
  Subscribe  
Notificami