Testata iscritta al tribunale di Roma n. 129/2012 del 3/5/2012. ISSN: 2280-4188

Il Documento Digitale

CONSULTAZIONE DEL GARANTE DELLA PRIVACY SULLE TECNOLOGIE BIOMETRICHE

di Graziano Garrisi

[toggle Title=”Garante della Privacy – Avvio della consultazione su Provvedimento e Linee guida in tema di riconoscimento biometrico e firma grafometrica (G.U. del 23 maggio 2014)”]Il Garante per la protezione dei dati personali ha ritenuto opportuno avviare una procedura di consultazione pubblica sullo schema di provvedimento in tema di riconoscimento biometrico e firma grafometrica nonché sul documento ad esso annesso. L’obiettivo della consultazione è quello di acquisire contributi, in particolare da parte di studiosi e ricercatori, produttori e sviluppatori di sistemi biometrici e di sistemi di firma grafometrica, unitamente a commenti e osservazioni di associazioni rappresentative di aziende e consumatori.[/toggle]

Con il recente schema di provvedimento (in consultazione pubblica dal 21 maggio 2014) attinente al riconoscimento biometrico e alla firma grafometrica, l’Autorità Garante per la protezione dei dati personali intende fare luce su alcuni trattamenti che implicano “rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato”, così come è disposto dall’art. 17 del Codice in materia di protezione dei dati personali. Il provvedimento muove dalla constatazione dell’aumento esponenziale dell’uso di dispositivi e tecnologie con la finalità di accertare l’identità personale di un interessato o utente nei casi in cui egli fruisca dei servizi forniti dalla società dell’informazione(1).

Quando si parla di “dati biometrici” si intende una categoria di dati personali con capacità di identificazione di un soggetto: i campioni biometrici, i modelli biometrici, i riferimenti biometrici e qualunque altro dato ottenuto da caratteristiche biometriche attraverso un procedimento informatico che sia ricollegabile a un interessato individuato o individuabile. Vista la peculiare natura di questi dati e la diffusione di dispositivi elettronici atti a ricavarli(2), nasce l’esigenza di proteggere i dati biometrici sottoposti a una serie di operazioni che, anche se con differenti livelli di rischio per la riservatezza, appaiono tutte configurabili come attività di trattamento ai sensi dell’art. 4, comma 1, lett. b) del Codice in materia di protezione dei dati personali. Poiché una simile attività potrebbe essere lesiva dei diritti fondamentali dell’interessato, la volontà perseguita dall’Autorità Garante è quella di precisare, anche tramite la previsione di un documento “Linee guida in materia di riconoscimento biometrico e firma grafometrica” (allegato allo schema di provvedimento in esame) quali siano le operazioni alle quali i titolari del trattamento devono ottemperare affinché possano agire in conformità con i principi previsti dal Codice privacy e dagli standard di sicurezza.

Ciò che denota sin da subito un forte impatto sull’organizzazione dei titolari è l’adempimento previsto al punto 3, in quanto viene prescritto l’obbligo, da parte dei titolari del trattamento, di comunicare al Garante, in maniera tempestiva, le violazioni dei dati biometrici avvenute o probabili. Tale misura, infatti, costituisce una misura di sicurezza c.d. “necessaria” (emanata ai sensi dell’art. 154, comma 1, lettera c del Codice) e come tale sanzionabile ai sensi dell’art. 162, comma 2-ter del d.lgs. 196/2003 (da 30.000 a 180.000 euro).

Il fulcro del provvedimento, però, è costituito da quanto previsto al punto 4, ovvero quattro specifiche ipotesi in cui i titolari che trattano dati biometrici possono evitare di presentare istanza di verifica preliminare al Garante, a condizione che venga rispettata tutta una serie di prescrizioni e livelli di sicurezza specificamente indicati. Per ogni diverso contesto di trattamento dei dati biometrici, infatti, vengono elencate le misure di sicurezza e gli accorgimenti affinché tale trattamento sia rispettoso della particolare natura di questi dati (intrinsecamente connessi agli elementi identificativi dell’individuo quali la sua fisicità e il suo comportamento). Pertanto, nonostante ci si riferisca a dati in genere delicati, fra di essi se ne distinguono alcuni che – tenendo presenti le finalità, la tipologia e le misure di sicurezza applicabili – non comportano un rischio elevato per i diritti fondamentali dell’interessato. Per questi trattamenti, puntualizza il Garante, il titolare è esonerato dal presentare istanza di verifica preliminare ex art. 17 del Codice privacy, ma è comunque tenuto ad adottare le misure e gli accorgimenti tecnici elencati nel provvedimento e a rispettare i presupposti di legittimità contemplati nel Codice e ai quali si riagganciano le citate Linee Guida(3).

I quattro contesti nei quali può essere esclusa la presentazione dell’istanza di verifica preliminare riguardano:

  1. l’autenticazione informatica – è consentito utilizzare i sistemi biometrici relativi all’elaborazione dell’impronta digitale come credenziale per l’autenticazione informatica accanto all’utilizzo di una parola chiave riservata di esclusiva conoscenza dell’incaricato oppure di un dispositivo di autenticazione che solo lui possiede e usa, eventualmente associato a un codice identificativo o a una parola chiave (Regola n. 2 Allegato B al Codice in materia di protezione dei dati personali), se proporzionati al rischio al quale sono esposti i dati oggetto di trattamento.

… continua su EDICOLeA


Altri articoli di Graziano Garrisi

Translate »