EntiOnLine
Categorie
indietro
31/12/2014 Il provvedimento generale sul trattamento dei dati biometrici
Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

I dati biometrici

A seguito delle plurime decisioni assunte dall’Autorita' nel corso degli anni (e delle quali si è dato conto nelle precedenti relazioni annuali), il Garante ha adottato, tenuto conto degli esiti della consultazione pubblica svoltasi tra il 23 maggio e il 22 giugno 2014, il provvedimento generale in tema di biometria 12 novembre 2014, n. 513 (doc. web n. 3556992). Grazie ad esso si intende consentire ai titolari di trattamento di evitare l’interpello del Garante per la verifica preliminare ai sensi dell’art. 17 del Codice, purchè i trattamenti di dati biometrici risultino compresi entro il perimetro di semplificazione individuato dal provvedimento medesimo, tenuto conto delle finalita' del trattamento (in particolare in relazione a forme di autenticazione informatica, per il controllo di accesso fisico ad aree “sensibili” e utilizzo di apparati e macchinari pericolosi, per la sottoscrizione di documenti informatici nonchè per scopi cd. facilitativi) e del tipo di caratteristica biometrica prescelta, e vengano adottate le misure di sicurezza previste a protezione dei dati personali biometrici nonchè garantite, ove richiesto dal Garante, modalita' alternative di perseguimento delle finalita' del trattamento che non implichino il ricorso a dati biometrici. Le finalita' ammesse e le caratteristiche biometriche previste per usufruire dell’esonero sono sintetizzate nella seguente tabella.

FINALITA'

CARATTERISTICHE BIOMETRICHE AMMESSE

Autenticazione informatica

Impronte digitali, voce

Controllo di accesso fisico ad aree "sensibili" e utilizzo di apparati e macchinari pericolosi

Impronte digitali, topografia della mano

Scopi facilitativi

Impronte digitali, topografia della mano, firma autografa

Con il provvedimento il Garante ha inoltre adottato le Linee guida (che ne fanno parte integrante) in materia di riconoscimento biometrico e firma grafometrica (doc. web n. 3563006), con cui vengono fornite informazioni ai titolari del trattamento, ai produttori di tecnologie biometriche, ai fornitori di servizi e agli interessati sui diversi aspetti connessi alla protezione dei dati personali, ivi compresi quelli relativi alla sicurezza nonchè sui presupposti di legittimita' dei trattamenti dei dati biometrici. Si è così stabilito che, con particolare riguardo ai casi di:

  • autenticazione informatica, le caratteristiche biometriche dell’impronta digitale o dell’emissione vocale di una persona possono essere utilizzate come credenziali di autenticazione per l’accesso a banche dati e sistemi informatici. Tale trattamento può essere effettuato anche senza il consenso dell’utente;

  • controllo di accesso fisico ad aree “sensibili” e utilizzo di apparati e macchinari pericolosi, le caratteristiche dell’impronta digitale o della topografia della mano potranno essere trattate per consentire l’accesso ad aree e locali ritenuti “sensibili” oppure per consentire l’utilizzo di apparati e macchinari pericolosi ai soli soggetti qualificati. Tale trattamento può essere realizzato anche senza il consenso dell’utente;

  • sottoscrizione di documenti informatici, l’analisi dei dati biometrici associati all’apposizione a mano libera di una firma autografa potra' essere utilizzata per la firma elettronica avanzata. Questa modalita' è però consentita solo con il consenso degli interessati, consenso non necessario invece in ambito pubblico, se devono essere perseguite specifiche finalita' istituzionali. Dovranno comunque essere resi disponibili sistemi alternativi (cartacei o digitali) di sottoscrizione, che non comportino l’utilizzo di dati biometrici;

  • utilizzo per scopi cd. facilitativi, l’impronta digitale e la topografia della mano potranno essere utilizzate anche per consentire l’accesso fisico di utenti ad aree fisiche in ambito pubblico (es. biblioteche) o privato (es. aree aeroportuali riservate). Anche in questo caso l’utilizzo è consentito solo con il consenso degli interessati. Dovranno comunque essere previste modalita' alternative per l’erogazione del servizio per chi rifiuta di far utilizzare i propri dati biometrici.

Ogni sistema di rilevazione dovra' essere configurato in modo tale da raccogliere un numero limitato di informazioni (principio di minimizzazione) e previa adozione delle numerose misure di sicurezza individuate dal Garante (ad es., quella che obbliga a cifrare il riferimento biometrico con tecniche crittografiche, con una lunghezza delle chiavi adeguata alla dimensione e al ciclo di vita dei dati). Anche al fine di prevenire eventuali furti di identita' biometrica, tutte le violazioni dei dati o gli incidenti informatici (data breach) che possano avere un impatto significativo sui sistemi biometrici o sui dati personali custoditi, dovranno essere comunicati da chi detiene i dati al Garante entro 24 ore dalla scoperta, così da consentire di adottare opportuni interventi a tutela delle persone interessate. A tal fine è stato predisposto un modulo che consente di semplificare il predetto adempimento. Sono esclusi dalle modalita' semplificate individuate nel provvedimento del Garante i trattamenti che prevedono la realizzazione di archivi biometrici centralizzati, per i quali continuera' ad essere obbligatorio richiedere una verifica preliminare. Rimane in vigore anche l’obbligo di notificazione al Garante per i trattamenti non esplicitamente esclusi dal provvedimento, come quelli effettuati da esercenti le professioni sanitarie e da avvocati.

Fonte: Garante per la protezione dei dati personali - Relazione 2014

Banca dati