Privacy, semplificato l’uso della biometria

di Rossella Schiavone

05 Dicembre 2014

L'utilizzo della biometria è diventata sempre più diffusa, soprattutto per l'accertamento dell'identità personale nell'ambito dell'erogazione di servizi della società dell'informazione e dell'accesso a banche dati informatizzate, per il controllo degli accessi a locali e aree, per l'attivazione di dispositivi elettromeccanici ed elettronici, anche di uso personale, o di macchinari, nonché per la sottoscrizione di documenti informatici.
A seguito di consultazione pubblica, il Garante per la Protezione dei dati Personali ha adottato il 12 novembre scorso il “Provvedimento generale prescrittivo in materia di biometria”, pubblicato sulla Gazzetta Ufficiale n. 280 del 2 dicembre 2014, cui sono allegate le “Linee Guida in materia di riconoscimento biometrico e firma grafometrica”.
Ne emerge un quadro semplificato per alcune specifiche tipologie di trattamento per le quali non sarà più necessaria la verifica preliminare del Garante, ex art. 17, D.Lgs. n. 196/2003.
Tuttavia il trattamento dovrà comunque essere effettuato nel rispetto delle misure di sicurezza individuate dal Garante e rispettando i presupposti di legittimità previsti dal Codice privacy, informando sempre gli interessati sui loro diritti, sugli scopi nonché sulle modalità del trattamento.
Le tipologie in questione sono:
1. l'autenticazione tramite impronta digitale o emissione vocale per l'accesso a banche dati e sistemi informatici, in relazione alla quale il trattamento dei dati può, adesso, essere effettuato anche senza il consenso dell'utente;
2. il trattamento delle caratteristiche dell'impronta digitale o della topografia della mano per consentire l'accesso ad aree e locali ritenuti “sensibili” oppure per consentire l'utilizzo di apparati e macchinari pericolosi ai soli soggetti qualificati. Anche tale trattamento può essere realizzato senza il consenso dell'utente;
3. l'utilizzo dell'analisi dei dati biometrici associati all'apposizione a mano libera di una firma autografa per la firma elettronica avanzata – modalità però consentita solo con il consenso degli interessati (il consenso non è necessario invece in ambito pubblico, se devono essere perseguite specifiche finalità istituzionali). Nel caso di specie, dovranno comunque essere resi disponibili sistemi alternativi (cartacei o digitali) di sottoscrizione, che non comportino l'utilizzo di dati biometrici;
4.l'utilizzo dell'impronta digitale e della topografia della mano per consentire l'accesso fisico di utenti ad aree fisiche in ambito pubblico (es. biblioteche) o privato (es. aree aeroportuali riservate). In questo caso l'utilizzo è consentito solo con il consenso degli interessati e vanno comunque previste modalità alternative per l'erogazione del servizio per chi rifiuta di far utilizzare i propri dati biometrici.
In ambito lavorativo viene in rilievo, soprattutto l'utilizzo della biometria per l'accesso ad aree sensibili, casistica per la quale il Garante per la Privacy è già intervenuto diverse volte in passato.
A titolo esemplificativo si ricordano i provvedimenti:
- del 23.11.2005 per l'accesso del personale in un luogo in cui sono trattate informazioni classificate al massimo livello di segretezza;
- del 15.6.2006 per l'acceso ad aree riservate in impianti classificati a rischio di incendio ed esplosione;
- del 15.2.2008 per l'accesso a impianti di potabilizzazione appartenenti alla rete di distribuzione idrica;
- dell'8.4.2009 per l'accesso al solo personale dipendente autorizzato ad aree riservate che ospitano strumentazioni informatiche e data base strategici in azienda che gestisce servizi relativi alle entrate ed al recupero dell'evasione fiscale e tributaria.
Tuttavia interessante è:
- l'uso dell'impronta digitale o della topografia della mano per l'utilizzo di apparati e macchinari pericolosi ai soli soggetti qualificati;
- l'autenticazione tramite impronta digitale o emissione vocale per l'accesso a banche dati e sistemi informatici;
per la verità sistemi fino ad ora probabilmente poco utilizzati dai datori di lavoro pubblici e privati (non risultano in materia, almeno recentemente, verifiche preliminari) ma che adesso potranno avere una maggiore diffusione grazie proprio alla semplificazione del loro utilizzo.
Ad ogni modo, anche al fine di prevenire eventuali furti di identità biometrica, tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui sistemi biometrici o sui dati personali custoditi, dovranno essere comunicati – con un apposito modulo - al Garante entro 24 ore dalla scoperta.