I provvedimenti facilitanti la biometria indicano:
- i casi di esonero dall’obbligo di chiedere la verifica preliminare al Garante per i dati biometrici, nel provvedimento generale;
- l’insieme degli adempimenti obbligatori antecedenti e successivi ai vari tipi di trattamento biometrico, inclusi quelli per i quali rimane l’obbligo della verifica preliminare, nelle Linee Guida.
I casi di trattamento di identificazione o verifica biometrica esonerati dalla verifica preliminare, in quanto ritenuti a rischio ridotto, sono:
- Autenticazione informatica per accedere agli elaboratori tramite impronta digitale (cosiddetto controllo logico degli accessi). L’esenzione dalla verifica preliminare è ottenuta solo se sono rispettate determinate garanzie elencate nel provvedimento del Garante. Ad esempio, se i campioni o i rifermenti biometrici sono conservati su supporti portatili disponibili esclusivamente all’incaricato. Inoltre, gli enti privi di certificazione di qualità Iso/Iec 27001:2006 devono compilare una relazione tecnico-organizzativa sull’uso delle credenziali biometriche;
- Controllo degli accessi fisici (attraverso sistemi biometrici basati sull’elaborazione dell’impronta digitale o della topografia della mano) ad aree “sensibili” - dove è necessario garantire elevati e particolari livelli di sicurezza - o all’uso di macchinari pericolosi da parte dei soli soggetti qualificati e preposti a tale attività. Il trattamento non richiede il consenso degli interessati, ma deve rispettare precise precauzioni.
- Uso delle impronte digitali o della topografia della mano a scopi facilitativi per permettere, regolare e semplificare l’accesso ad aree fisiche pubbliche o private o a servizi (quale l’apertura di cassette di sicurezza). In questi casi è necessario il consenso libero degli interessati o, per gli enti pubblici, il perseguimento di fini istituzionali. Ad ogni modo, devono essere garantiti sistemi alternativi facilitati di accesso non basati su dati biometrici.
- Sottoscrizione di documenti informatici. Sono imposte condizioni tecniche e devono essere disponibili sistemi alternativi di sottoscrizione agevoli per l’interessato senza l’utilizzo di dati biometrici. Non si potranno creare archivi biometrici centralizzati, né adoperare i dati per finalità diverse da quelle specificate.
Alcuni obblighi che il titolare del trattamento deve assolvere e derivanti dal codice della privacy sono:
1. Fornire un’informativa specifica agli interessati prima dell’inizio del trattamento, che deve precisare:
-
Finalità perseguita;
- Modalità di trattamento (tempi di conservazione dei dati, eventuale centralizzazione);
- Possibilità di utilizzare modalità differenti, se previsto un sistema alternativo o gli interessati non vogliono/ possono servirsi del sistema di riconoscimento biometrico;
- Se il dato biometrico è registrato in un dispositivo disponibile esclusivamente all’interessato, l’informativa deve indicare adeguate istruzioni sulla corretta custodia e sugli adempimenti legati a un suo eventuale smarrimento, sottrazione o malfunzionamento;
- Se il trattamento biometrico opera assieme a un altro sistema, quale la sorveglianza, tale circostanza deve essere segnalata in modo chiaro e adeguato nell’informativa;
- L’informativa deve essere resa tramite segnaletica in prossimità della aree / postazioni soggette a rilevamento biometrico o con altri mezzi prima dell’interazione dell’interessato col sistema biometrico.
2. Effettuare la notifica al garante, salvo alcuni casi di esonero previsti per certe categorie di soggetti, date le attività svolte dagli stessi.
Nel caso di violazione dei dati, i titolari del trattamento devono segnalarlo al Garante.
25/07/2025 