Approvate da parte del Garante per la Privacy le nuove regole per impronte digitali e firma grafometrica, si tratta di un nuovo quadro unitario con semplificazioni sugli adempimenti ed accorgimenti di carattere tecnico, procedurale ed organizzativo per mantenere alti i livelli di sicurezza in cado si utilizzo di determinati tipi di dati biometrici.
=> Firma grafometrica: via libera alla dematerializzazione
L’utilizzo di questi ultimi si sta recentemente diffondendo con l’integrazione dei dispositivi biometrici anche in prodotti di largo consumo, per questo si è reso necessario l’intervento dell’Autorità. Sempre più spesso, ad esempio, PA ed imprese si servono di dati biometrici quali impronte digitali, topografia della mano, caratteristiche della firma autografa, e così via, per il controllo degli accessi, l’autenticazione degli utenti o la sottoscrizione di documenti informatici.
Violazioni: obbligo di comunicazione
Il provvedimento del Garante è stato adottato in seguito ad una consultazione pubblica e presto sarà pubblicato in Gazzetta Ufficiale con le relative Linee guida e il modulo per la comunicazione all’Autorità di eventuali violazioni dei sistemi biometrici. Si tratta di un nuovo obbligo, che deve essere rispettato da chi detiene i dati entro 24 ore dalla scoperta della violazione, così da consentire di adottare opportuni interventi a tutela delle persone interessate. Viene invece eliminata la verifica preliminare da parte dell’Autorità per alcune tipologie di trattamento che si ritiene abbiano un livello ridotto di rischio, ma che dovranno in ogni caso rispettare le rigorose misure di sicurezza individuate dal Garante e i presupposti di legittimità previsti dal Codice privacy.
Autenticazione informatica
L’autenticazione informatica per l’accesso a banche dati e sistemi informatici utilizzando le caratteristiche biometriche dell’impronta digitale o dell’emissione vocale di una persona può essere effettuata anche senza il consenso dell’utente.
=> Documenti informatici ai fini fiscali: conservazione e riproduzione
Controllo accessi
Il controllo di accesso fisico ad aree “sensibili” e utilizzo di apparati e macchinari pericolosi mediante le caratteristiche dell’impronta digitale o della topografia della mano può essere realizzato anche senza il consenso dell’utente.
Documenti informatici
Serve invece il consenso degli interessati nel caso di analisi dei dati biometrici associati all’apposizione a mano libera di una firma autografa con lo scopo di utilizzarla per la firma elettronica avanzata. Fa eccezione il caso in cui debbano essere perseguite specifiche finalità istituzionali, per le quali non è richiesto il consenso. In generale è necessario che vengano resi disponibili sistemi alternativi di sottoscrizione che non utilizzino dati biometrici.
=> Firma digitale certificata dal 25 luglio: quali vantaggi
Scopi facilitativi
Deve essere richiesto il consenso dell’utente anche per l’utilizzo dei dati biometrici per consentire l’accesso fisico ad aree fisiche in ambito pubblico (es. biblioteche) o privato (es. aree aeroportuali riservate). Anche in questo caso l’utilizzo è consentito solo con il consenso degli interessati e dovranno essere previste modalità alternative per l’erogazione del servizio per chi non voglia consentire l’utilizzo dei propri dati biometrici.
Dati sensibili
Tutti i sistemi che utilizzano i dati biometrici devono essere configurati per raccogliere un numero limitato di informazioni, acquisendo solo i dati necessari dai quali non si possa desumere anche informazioni di natura sensibile dell’interessato. Obbligatoria inoltre la cifratura del riferimento biometrico con tecniche crittografiche, con una lunghezza delle chiavi adeguata alla dimensione e al ciclo di vita dei dati. Particolare attenzione viene posta dal Garante sulla sicurezza dei dispositivi mobili, maggiormente soggetti ad essere compromessi o smarriti.
Verifica preliminare
Rimangono soggetti alla verifica preliminare, e quindi esclusi dalle semplificazioni, i trattamenti che prevedono la realizzazione di archivi biometrici centralizzati.