Il Garante per la protezione dei dati personali ha autorizzato una multinazionale ad utilizzare un sistema di riconoscimento biometrico basato sul rilevamento delle impronte vocali dei propri dipendenti. Un scenario solo parzialmente distante da quello delle Pmi, poichèsi tratta di un primo passo verso il consolidamento di un nuovo strumento di gestione della sicurezza in azienda (nel rispetto legale della privacy) che si rende potenzialmente disponibile.
In base alle indicazioni del Garante, come già illustrato, la società in questione dovrà comunque informare i propri collaboratori sul trattamento dei dati biometrici raccolti e acquisirne il loro consenso, garantendo sistemi alternativi per la sostituzione delle chiavi di autenticazione.
Il sistema di rilevamento biometrico, sottoposto alla verifica preliminare del Garante, si basa sull’identificazione dell’utente attraverso la comparizione dell’impronta vocale precedentemente registrata e memorizzata su un server.
Gli utenti, durante la fase di addestramento, “parlano” per telefono con il sistema pronunciando per quattro volte tre coppie di parole per rendere possibile la registrazione della voce.
Le informazioni vocali raccolte vengono trasformate in un modello di riferimento digitale che il sistema confronta con le parole pronunciate dall’utente che intende cambiare password.
Una volta accertata l’identità dell’utente, il sistema procede automaticamente ad impostare la parola chiave comunicandola al dipendente.
Nell’ambito della verifica preliminare il Garante ha ritenuto che il sistema sia in grado di garantire, per il rinnovo delle password d’accesso dei dipendenti ai servizi informatici, un elevato livello tecnologico di sicurezza, tenuto anche conto che l’impronta vocale, acquisita e codificata secondo il processo descritto, sarebbe impossibile da riprodurre e, quindi, inutilizzabile per altri scopi.
L’Autorità ha comunque prescritto alla società l’adozione di misure organizzative per prevenire eventuali rischi di utilizzo abusivo dei dati personali raccolti nella fase di addestramento. In caso di cessazione del rapporto di lavoro devono essere tempestivamente cancellati tutti i dati del dipendente.