Produttori di dispositivi biometrici, aziende, banche e pubbliche amministrazioni, che si servono di tali dati per l’autenticazione degli utenti o per la sottoscrizione di documenti, saranno sempre più incentivati a farlo.
Grazie alle nuove regole del Garante per la protezione dei dati personali sarà possibile infatti mantenere alti livelli di sicurezza nell’utilizzo di particolari tipi di dati biometrici, dalle impronte digitali alla firma grafometrica, semplificando tuttavia alcuni obblighi in vigore fino a questo momento.
IL PROVVEDIMENTO
La crescente diffusione di dispositivi biometrici, anche incorporati in prodotti di largo consumo come pc e tablet, ha portato il Garante ad individuare alcune tipologie di trattamento che, per il loro livello ridotto di rischio, non necessitano più della verifica preliminare da parte dell’Autorità. Il risultato? Costi e tempi ridotti per entrambe le parti in causa.
Adottato a seguito di una consultazione pubblica, il provvedimento è in corso di pubblicazione sulla Gazzetta Ufficiale.
ALCUNE PRECISAZIONI
“La semplificazione – specificano dall’Autorità – riguarderà solo le specifiche tipologie di trattamento che dovranno in ogni caso essere effettuate nel rispetto delle rigorose misure di sicurezza individuate dal Garante, e comunque rispettando i presupposti di legittimità previsti dal Codice privacy, in particolare informando sempre gli interessati sui loro diritti, sugli scopi e le modalità del trattamento”.
I CASI
In due casi specifici, il trattamento dei dati biometrici, oltre a non essere più soggetto alla verifica preliminare potrà avvenire anche senza il consenso dell’utente.
Nel primo caso, l’autenticazione informatica, “le caratteristiche biometriche dell’impronta digitale o dell’emissione vocale di una persona possono essere utilizzate come credenziali di autenticazione per l’accesso a banche dati e sistemi informatici”.
Nel secondo caso (“Controllo di accesso fisico ad aree sensibili e utilizzo di apparati e macchinari pericolosi”), le caratteristiche dell’impronta digitale o della topografia della mano potranno essere trattate per consentire l’accesso ad aree e locali ritenuti “sensibili” oppure per consentire l’utilizzo di “apparati e macchinari pericolosi ai soli soggetti qualificati”.
Consentita solo con il consenso degli intervistati sarà l’analisi dei dati biometrici associati alla firma elettronica avanzata. Il consenso non sarà necessario invece in ambito pubblico, se devono essere perseguite specifiche finalità istituzionali. Dovranno comunque essere resi disponibili sistemi alternativi (cartacei o digitali) di sottoscrizione, che non comportino l’utilizzo di dati biometrici.
Previo consenso degli interessati sarà possibile utilizzare l’impronta digitale e la topografia della mano per consentire l’accesso fisico di utenti ad aree fisiche in ambito pubblico (es. biblioteche) o privato (es. aree aeroportuali riservate). Fermo restando che dovranno comunque essere previste modalità alternative per l’erogazione del servizio per chi rifiuta di far utilizzare i propri dati biometrici.
NUOVE MISURE DI SICUREZZA
Una delle numerose misure di sicurezza individuate dal Garante obbliga invece a cifrare il riferimento biometrico con tecniche crittografiche, con una lunghezza delle chiavi adeguata alla dimensione e al ciclo di vita dei dati. Attenzione è inoltre rivolta alla messa in sicurezza dei dispositivi mobili (come tablet o pc) che potrebbero più facilmente essere compromessi o smarriti.
L’OBBLIGO DI COMUNICARE LE VIOLAZIONI
Per prevenire eventuali furti di identità biometrica il provvedimento introduce per i detentori dei dati l’obbligo di comunicare al Garante, entro 24 ore dalla scoperta, tutte le violazioni dei dati o gli incidenti informatici (“data breaches”) che possano avere un impatto significativo sui sistemi biometrici o sui dati personali custoditi.
ESCLUSIONI
La verifica preliminare continuerà ad essere obbligatoria per i trattamenti che prevedono la realizzazione di archivi biometrici centralizzati. Rimane in vigore anche l’obbligo di notificazione al Garante per i trattamenti non esplicitamente esclusi dal provvedimento, come quelli effettuati da esercenti le professioni sanitarie e da avvocati.
