Con il provvedimento n. 513 del 12 novembre 2014 (pubblicato sulla Gazzetta Ufficiale n. 280 del 2 dicembre 2014), il Garante della privacy ha introdotto varie semplificazioni nelle procedure relative ai trattamenti biometrici.
Più precisamente quattro casi di trattamenti biometrici, indicati di seguito, sono esonerati dalla presentazione al Garante della richiesta di verifica preliminare in quanto, sulla base delle specifiche finalità perseguite, della tipologia dei dati trattati e delle misure di sicurezza che possono essere concretamente adottate a loro protezione, presentano un livello di rischio minore:
1) Autenticazione informatica tramite impronte digitali o emissione vocale;
2) Controllo di accesso fisico ad aree "sensibili" (aree in cui si svolgono attività di particolare segretezza o aree in cui sono conservati oggetti di particolare valore o disponibili per un limitato numero di addetto, o aree dove avvengono processi produttivi pericolosi o dove si impiegano apparati e macchinari pericolosi) dei soggetti addetti e utilizzo di apparati e macchinari pericolosi attraverso impronte digitali o topografia della mano;
3) Scopi facilitativi (ossia utilizzo delle tecniche biometriche per permettere, regolare e semplificare l'accesso fisico di utenti ad aree fisiche in ambito pubblico, quali biblioteche, o privato, quali aree aeroportuali riservate o a servizi) attraverso uso dell'impronta digitale o della topografia della mano.
4) Firma elettronica qualora si utilizzino sistemi di firma grafometrica alla base di una soluzione di firma elettronica avanzata (o FEA, come definita dal Decreto Legislativo 7 marzo 2005, n. 82, recante il "Codice dell'amministrazione digitale") che non prevedono la conservazione centralizzata di dati biometrici.
L’esclusione dall’obbligo di richiesta di verifica preliminare per i casi suddetti permette di evitare un procedimento autorizzativo (del costo di 1.000€ di diritti) e di procedere al trattamento, purché lo stesso rispetti gli standard di sicurezza individuati nel provvedimento e i presupposti di legittimità contenuti nel Codice e richiamati nel capitolo 4 delle linee-guida (in particolare i principi generali di liceità, finalità, necessità e proporzionalità dei trattamenti, e gli adempimenti giuridici quali l'obbligo di informativa agli interessati e di notificazione al Garante).
Di seguito solo alcuni esempi di tali misure di sicurezza stabilite per l’autenticazione informatica, l’accesso fisico ad aree "sensibili” e gli scopi facilitativi:
- Se i riferimenti biometrici sono riportati su smart card o simili, il supporto deve essere unico e restare a disposizione esclusiva dell’interessato e, in caso di termine dei diritti di accesso ai sistemi informatici, il supporto deve essere restituito e distrutto;
- Se il dato biometrico è conservato sul sistema informatico devono essere tracciati gli accessi degli amministratori di sistema ai sistemi informatici e devono essere adottate misure per ridurre i rischi di manomissione e accesso fraudolento.
- I dati devono essere cifrati tramite tecniche crittografiche e cancellati automaticamente in seguito alla conclusione degli scopi.
Inoltre, nei due casi dell’autenticazione informatica e dell’accesso alle aree sensibili non è necessario chiedere il consenso dell’interessato.
Per la biometria utilizzata per gli scopi facilitativi e per la firma di documenti informatici, invece, si richiede il consenso dell’interessato e si deve predisporre sistemi alternativi, rispettivamente di accesso e di sottoscrizione, non basati su dati biometrici.
In particolare, con riferimento alla biometria per la firma di documenti informatici - con la duplice finalità, da un lato, di impedire eventuali tentativi di frode e il fenomeno dei furti di identità e, dall’altro lato, di rafforzare le garanzie di autenticità e integrità dei documenti informatici sottoscritti (anche in vista di eventuale contenzioso legato al disconoscimento della sottoscrizione apposta su atti e documenti di tipo negoziale in sede giudiziaria) - il consenso è espresso dall'interessato all'atto di adesione al servizio di firma grafometrica ed è valido, fino alla sua eventuale revoca, per tutti i documenti da sottoscrivere.
Una prescrizione comune ai quattro casi di impiego delle tecniche biometriche (accesso informatico, accesso a aree sensibili, scopi facilitativi e firma documenti informatici), necessaria ai fini dell’esclusione dall’obbligo di richiesta della verifica preliminare al Garante, è rappresentata dalla predisposizione di una relazione tecnica. Tale relazione descrive gli aspetti tecnici e organizzativi delle misure messe in atto dal titolare, fornendo anche la valutazione della necessità e della proporzionalità del trattamento biometrico rispetto alle finalità, e deve essere conservata aggiornata, con verifica di controllo almeno annuale, per tutto il periodo di esercizio del sistema biometrico e mantenuta a disposizione del Garante.
Tuttavia, sono esentati dall’obbligo di redigere la suddetta relazione i titolari dotati di certificazione del sistema di gestione per la sicurezza delle informazioni o SGSI (secondo la norma tecnica UNI CEI ISO/IEC 27001:2005 e successive modificazioni) che inseriscono il sistema biometrico nel campo di applicazione della certificazione. In tale caso, infatti, tali titolari possono avvalersi della documentazione prodotta nell'ambito della certificazione, integrandola con la valutazione della necessità e della proporzionalità del trattamento biometrico.
Date le particolari caratteristiche dei dati biometrici e visti i rischi per gli interessati (con potenziali ripercussioni gravi sulla loro sfera personale in caso di impropria utilizzazione), coloro che trattano tali dati sono obbligati a comunicare al Garante il verificarsi di violazioni dei dati (data breach) o incidenti informatici (accessi abusivi, azione di malware…) che, sebbene non abbiano un effetto diretto su di essi, possono comunque esporli a rischi di violazione e avere un impatto significativo sui sistemi biometrici o sui dati personali custoditi. Tale comunicazione deve essere effettuata entro ventiquattro ore dalla conoscenza del fatto secondo lo schema riportato nell'allegato "B" al provvedimento tramite posta elettronica o posta elettronica certificata all'indirizzo databreach.biometria@pec.gpdp.it .
Infine, il provvedimento del Garante prescrive un termine entro cui i titolari del trattamento dei dati biometrici devono conformarsi alle prescrizioni:
- Per i titolari di trattamenti che non hanno richiesto la verifica preliminare al Garante: devono adottare entro 180 giorni dalla pubblicazione del provvedimento sulla Gazzetta Ufficiale le relative misure e accorgimenti, qualora i trattamenti siano compresi nei casi di esonero dall'obbligo di verifica preliminare; oppure devono sospendere i trattamenti e sottoporli alla verifica preliminare;
- Per i titolari di trattamenti biometrici inclusi nei casi di esonero dall’obbligo di verifica preliminare che hanno già presentato istanza: entro 30 giorni dalla pubblicazione del provvedimento sulla Gazzetta Ufficiale, devono comunicare al Garante la conformità del trattamento alle prescrizioni o la loro intenzione a uniformarvisi.
Restano esclusi dalle semplificazioni introdotte dal provvedimento del garante e, quindi, rimane l’obbligo della richiesta della verifica preliminare per:
- I trattamenti che prevedono la realizzazione di archivi biometrici centralizzati;
- I trattamenti non estromessi esplicitamente dal provvedimento, come quelli effettuati da professionisti sanitari e avvocati.
14/05/2024 