In materia di impronte digitali e firma grafometrica il garante della Privacy ha previsto con il provvedimento n. 513/2014 le Regole di protezione del dato biometrico.
Come definisce il GDPR i “dati biometrici”
Ai sensi dell’art. 4, n. 14 del Regolamento (UE) 2017/679 (GDPR), si definiscono “dati biometrici” i «dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici».
Le caratteristiche dinamiche della firma autografa rientrano nelle caratteristiche biometriche comportamentali, e vengono acquisite tramite speciali tavolette , o anche su tablet aventi particolari sensori e specifici programmi software.
I dispositivi di acquisizione possono elaborare, oltre al tratto grafico, anche i parametri dinamici della firma ad esempio la velocità di tracciamento, l’ accelerazione, la pressione, l’inclinazione, il sollevamento della mano in aria.
Tale acquisizione delle caratteristiche dinamiche di firma hanno il loro uso più frequente nella firma grafometrica.
Il Garante per la privacy ha previsto una serie di misure e accorgimenti tecnico- organizzativi e procedurale per mantenere alti livelli di sicurezza nell’utilizzo di particolari tipi di dati biometrici.
Alcune tipologie di trattamento, hanno adempimenti semplificati anche se il trattamento dovrà essere effettuato nel rispetto delle rigorose misure di sicurezza individuate dal Garante, e comunque rispettando i presupposti di legittimità previsti dal Codice privacy, in particolare informando sempre gli interessati sui loro diritti, sugli scopi e le modalità del trattamento.
Nel provvedimento del Garante sono individuate le tipologie di trattamento :
- che possono essere effettuate senza il consenso dell’utente :
- Autenticazione informatica: le caratteristiche biometriche dell’impronta digitale o dell’emissione vocale possono essere utilizzate come credenziali di autenticazione per l’ accesso a banche dati e sistemi informatici
- Controllo di accesso fisico ad aree “sensibili” e utilizzo di apparati e macchinari pericolosi :le caratteristiche dell´impronta digitale o della topografia della mano sono trattate per consentire l´accesso ad aree e locali ritenuti “sensibili” oppure per consentire l´utilizzo di apparati e macchinari pericolosi ai soli soggetti qualificati.
2. Che possono essere effettuate solo con il consenso dell’interessato
- Sottoscrizione di documenti informatici
L´analisi dei dati biometrici associati all´apposizione a mano libera di una firma autografa potrà essere utilizzata per la firma elettronica avanzata. Il consenso non è necessario invece in ambito pubblico, se devono essere perseguite specifiche finalità istituzionali. Dovranno comunque essere resi disponibili sistemi alternativi (cartacei o digitali) di sottoscrizione, che non comportino l´utilizzo di dati biometrici. - Scopi facilitativi
L´impronta digitale e la topografia della mano potranno essere utilizzate anche per consentire l´accesso fisico di utenti ad aree fisiche in ambito pubblico (es. biblioteche) o privato (es. aree aeroportuali riservate). Dovranno comunque essere previste modalità alternative per l´erogazione del servizio per chi rifiuta di far utilizzare i propri dati biometrici.
Principio di minimizzazione
Il garante ha previsto che ogni sistema di rilevazione dovrà essere configurato in modo tale da raccogliere un numero limitato di informazioni , escludendo l’acquisizione di dati ulteriori rispetto a quelli necessari per il conseguimento della finalità perseguita. Ad esempio, in caso di autenticazione informatica, i dati biometrici non dovranno essere trattati in modo da poter desumere anche informazioni di natura sensibile dell´interessato.
Misure di sicurezza
Tra le numerose misure di sicurezza individuate dal Garante vi è quella che obbliga a cifrare il riferimento biometrico con tecniche crittografiche, con una lunghezza delle chiavi adeguata alla dimensione e al ciclo di vita dei dati. Particolare attenzione è inoltre rivolta alla messa in sicurezza dei dispositivi mobili (come tablet o pc) che potrebbero più facilmente essere compromessi o smarriti.
Comunicazione al Garante delle violazioni e incidenti informatici
Al fine di prevenire eventuali furti di identità biometrica, tutte le violazioni dei dati o gli incidenti informatici (“data breaches”) che possano avere un impatto significativo sui sistemi biometrici o sui dati personali custoditi, dovranno essere comunicati da chi detiene i dati al Garante entro 24 ore dalla scoperta, così da consentire di adottare opportuni interventi a tutela delle persone interessate.
LEGGI ANCHE: Tutela della privacy: attenzione ai controlli del Garante
Esclusioni dalle modalità semplificate
Sono esclusi dalle modalità semplificate individuate nel provvedimento del Garante i trattamenti che prevedono la realizzazione di archivi biometrici centralizzati, per i quali continuerà ad essere obbligatorio richiedere una verifica preliminare.
Rimane in vigore anche l’obbligo di notificazione al Garante per i trattamenti non esplicitamente esclusi dal provvedimento, come quelli effettuati da esercenti le professioni sanitarie e da avvocati.
