Condividi su

Normative: Privacy

10/03/2015
PRIVACY - Nuove regole per impronte digitali e firma grafometrica in azienda

A cura del Dott. Juri Torreggiani - Consulente privacy

L’Autorità garante per la protezione dei dati personali ha recentemente approvato un insieme organico di misure e accorgimenti di carattere tecnico, organizzativo e procedurale, finalizzate a mantenere elevati i livelli di sicurezza nell’utilizzo di particolari tipi di dati biometrici (es. impronte digitali, firme grafometriche, ecc.) all’interno delle aziende, semplificando però al contempo alcuni adempimenti di natura puramente burocratica. L’intervento del legislatore si è reso necessario alla luce della crescente diffusione di dispositivi in grado di rilevare e memorizzare i dati biometrici delle persone (relativi ad esempio a dipendenti, visitatori, clienti, fornitori, ecc.) e spesso incorporati anche in prodotti di largo consumo. Come infatti si può notare sempre più frequentemente, le aziende si servono di dati biometrici, quali appunto le impronte digitali o la topografia della mano o le caratteristiche della firma autografa, per il controllo degli accessi a stabilimenti ed uffici, per l’autenticazione degli utenti su pc/tablet o per la sottoscrizione elettronica di documenti informatici.

Si riportano quindi di seguito alcune indicazioni sintetiche fornite dal legislatore in riferimento a singole tipologie di trattamenti/attività che possono comportare l’utilizzo di dati biometrici.

 

Verifica preliminare: casi di esonero

Nel corposo e complesso “Provvedimento generale” emanato dall’Autorità garante in data 12 novembre 2014 e adottato a seguito di una consultazione pubblica, il legislatore ha individuato alcune tipologie di trattamenti che, per le specifiche finalità perseguite, presentano un livello ridotto di rischio e non necessitano più della “verifica preliminare” da parte dell’Autorità. La suddetta semplificazione riguarda però solo tipologie ben definite di trattamenti che dovranno in ogni caso essere effettuati applicando rigorose misure di sicurezza e comunque rispettando i presupposti di legittimità previsti dalla “Legge Privacy”.

 

Esclusioni

Si specifica che sono esclusi dalle modalità semplificate sopra citate, i trattamenti che prevedono la realizzazione di “archivi centralizzati” di dati biometrici, per i quali continuerà a essere obbligatorio richiedere una verifica preliminare.

 

Autenticazione informatica

In merito all’autenticazione informatica, si evidenzia che le caratteristiche biometriche dell’impronta digitale o dell’emissione vocale di una persona possono essere utilizzate come credenziali di accesso a banche dati e sistemi informatici quali pc e server. Tale trattamento può essere effettuato anche senza il consenso dell’utente.



Controllo degli accessi fisici ad “aree sensibili” e per l’utilizzo di macchinari pericolosi

Le caratteristiche dell’impronta digitale o della topografia della mano possono essere trattate per consentire l’accesso ad aree e locali ritenuti “sensibili” oppure per consentire l’utilizzo di apparati e macchinari pericolosi ai soli soggetti qualificati.  Tale trattamento può essere realizzato anche senza il consenso dell’utente.

 

Sottoscrizione di documenti informatici

L’analisi dei dati biometrici associati all’apposizione a mano libera di una firma autografa può essere utilizzata per la firma elettronica avanzata. Questa modalità è però consentita nelle aziende private solo con il consenso degli interessati, consenso invece non necessario in ambito pubblico, se devono essere perseguite specifiche finalità istituzionali. Dovranno comunque essere resi disponibili sistemi alternativi di sottoscrizione (cartacei o digitali), che non comportino l’utilizzo di dati biometrici.

 

Scopi facilitativi

L’impronta digitale e la topografia della mano possono essere utilizzate anche per consentire l’accesso fisico di utenti a specifici locali in ambito pubblico (es. biblioteche) o privato (es. aree aeroportuali riservate). Anche in questo caso l’utilizzo è consentito solo con il consenso degli interessati. Dovranno inoltre essere previste modalità alternative per l’erogazione del servizio per chi rifiuta di fornire i propri dati biometrici.

 

Quantità di dati/informazioni raccolti/e

Ogni dispositivo/sistema di rilevazione dovrà essere configurato in modo tale da raccogliere un numero limitato di informazioni, escludendo l’acquisizione di dati ulteriori rispetto a quelli necessari per il conseguimento della finalità perseguita. Ad esempio, in caso di autenticazione informatica, i dati biometrici non dovranno essere trattati in modo da poter desumere anche informazioni di natura sensibile dell’interessato.

 

Misure di sicurezza per la protezione dei dati biometrici raccolti

Tra le svariate misure di sicurezza individuate dal legislatore, si ricorda che vi è anche quella che obbliga a cifrare i dati biometrici con tecniche crittografiche, con una lunghezza delle chiavi adeguata alla dimensione e al ciclo di vita dei dati. Nel provvedimento poi, particolare attenzione è rivolta alla messa in sicurezza dei dispositivi informatici mobili (quali tablet, pc portatili e similari), che ovviamente potrebbero più facilmente essere compromessi o smarriti.

 

Obbligo di denuncia delle violazioni

Al fine di prevenire eventuali furti di identità biometrica, tutte le violazioni dei dati o gli incidenti informatici (“data breaches”) che possano avere un impatto significativo sui sistemi biometrici o sui dati personali custoditi dall’azienda, dovranno essere comunicati all’Autorità garante entro 24 ore dalla scoperta, così da consentire di adottare opportuni interventi a tutela delle persone interessate. A tal fine è stato predisposto un modulo che consente di semplificare il predetto adempimento.

 

Notifica telematica al Garante

Da ultimo è fondamentale sottolineare che rimane in vigore l’obbligo di notifica telematica al Garante per i trattamenti non esplicitamente esclusi dal provvedimento, come quelli effettuati da esercenti le professioni sanitarie e da avvocati. 

Torna alle normative