Privacy: nuove regole per impronte digitali e firma grafometrica

“Sempre più spesso aziende e pubbliche amministrazioni si servono di dati biometrici, come le impronte digitali, la topografia della mano o le caratteristiche della firma autografa, per il controllo degli accessi, per l’autenticazione degli utenti, anche su pc e tablet, o per la sottoscrizione di documenti informatici”. È con questa chiosa che il Garante per la protezione dei dati personali annuncia l’approvazione di un quadro unitario di misure e accorgimenti di carattere tecnico, organizzativo e procedurale per “mantenere alti livelli di sicurezza nell’utilizzo di particolari tipi di dati biometrici, semplificando tuttavia alcuni adempimenti. L’intervento  dell’Autorità si è reso necessario alla luce della crescente diffusione di dispositivi biometrici, anche incorporati in prodotti di largo consumo”. Con il provvedimento generale, adottato a seguito di una consultazione pubblica e con allegate le Linee guida, il Garante ha individuato alcune tipologie di trattamento che, per le specifiche finalità perseguite, presentano un livello ridotto di rischio e non necessitano più della verifica preliminare da parte dell’Autorità. “La semplificazione – si legge in una nota – riguarderà solo le specifiche tipologie di trattamento che dovranno in ogni caso essere effettuate nel rispetto delle rigorose misure di sicurezza individuate dal Garante, e comunque rispettando i presupposti di legittimità previsti dal Codice privacy, in particolare informando sempre gli interessati sui loro diritti, sugli scopi e le modalità del trattamento” Per quanto attiene l’autenticazione informatica e i casi in cui le caratteristiche biometriche dell’impronta digitale o dell’emissione vocale di una persona vengono utilizzate come credenziali di autenticazione per l’accesso a banche dati e sistemi informatici, l’Autorità precisa che questo tipo di trattamento può essere effettuato anche senza il consenso dell’utente. L’analisi dei dati biometrici associati all’apposizione a mano libera di una firma autografa potrà inoltre essere utilizzata per la firma elettronica avanzata. Questa modalità è però consentita solo con il consenso degli interessati, consenso non necessario invece in ambito pubblico, se devono essere perseguite specifiche finalità istituzionali. Dovranno comunque essere resi disponibili sistemi alternativi (cartacei o digitali) di sottoscrizione, che non comportino l’utilizzo di dati biometrici. È questo un tema sul quale si è più volte posta l’attenzione del Garante, che nel marzo scorso ha autorizzato due banche a dotare i propri promotori finanziari di tablet in grado di analizzare i dati biometrici della firma apposta dai clienti che desiderano sottoscrivere contratti finanziari a distanza. L’impronta digitale e la topografia della mano potranno essere utilizzate anche per consentire l’accesso fisico di utenti ad aree fisiche in ambito pubblico o privato. Anche in questo caso l’utilizzo è consentito solo con il consenso degli interessati. Dovranno comunque essere previste modalità alternative per l’erogazione del servizio per chi rifiuta di far utilizzare i propri dati biometrici. “Ogni sistema di rilevazione – sottolinea il Garante – dovrà essere configurato in modo tale da raccogliere un numero limitato di informazioni, nel rispetto del principio di minimizzazione, escludendo l’acquisizione di dati ulteriori rispetto a quelli necessari per il conseguimento della finalità perseguita. Ad esempio, in caso di autenticazione informatica, i dati biometrici non dovranno essere trattati in modo da poter desumere anche informazioni di natura sensibile dell’interessato”. Tra le misure di sicurezza individuate dal Garante vi è quella che obbliga a cifrare il riferimento biometrico con tecniche crittografiche, con una lunghezza delle chiavi adeguata alla dimensione e al ciclo di vita dei dati. Particolare attenzione è inoltre rivolta alla messa in sicurezza dei dispositivi mobili che potrebbero più facilmente essere compromessi o smarriti. Anche al fine di prevenire eventuali furti di identità biometrica, tutte le violazioni dei dati o gli incidenti informatici, i cosiddetti data breaches, che possano avere un impatto significativo sui sistemi biometrici o sui dati personali custoditi, dovranno essere comunicati da chi detiene i dati al Garante entro 24 ore dalla scoperta tramite il modulo allegato al provvedimento, così da consentire di adottare opportuni interventi a tutela delle persone interessate. Sono esclusi dalle modalità semplificate individuate nel provvedimento del Garante i trattamenti che prevedono la realizzazione di archivi biometrici centralizzati, per i quali continuerà ad essere obbligatorio richiedere una verifica preliminare. Rimane in vigore anche l’obbligo di notificazione al Garante per i trattamenti non esplicitamente esclusi dal provvedimento, come quelli effettuati da esercenti le professioni sanitarie e da avvocati. 27 novembre 2014