A seguito della pubblicazione in Gazzetta Ufficiale, il 2 dicembre scorso è entrato in vigore il provvedimento generale del Garante in materia di biometria, unitamente alle relative linee guida e al modulo per la comunicazione all’Autorità di violazioni dei sistemi biometrici.
Il provvedimento di carattere prescrittivo individua alcune tipologie di trattamento che, qualora siano poste in essere nel rispetto delle misure e degli accorgimenti di carattere tecnico, organizzativo e procedurale stabiliti dal Garante, non necessitano più della verifica preliminare da parte dell’Autorità; dovranno comunque essere sempre rispettati i restanti presupposti di legittimità del trattamento previsti dal Codice, tra cui la necessità di fornire sempre un’adeguata informativa agli interessati e di acquisirne il consenso, ove richiesto, nonché di effettuare la notificazione ai sensi degli artt. 37, comma 1, lett. a), e 38, del Codice, se necessaria (al riguardo si vedano il Provvedimento relativo ai casi da sottrarre all’obbligo di notificazione del 31 marzo 2004 [doc. web n. 852561]), il Provvedimento recante “Chiarimenti sui trattamenti da notificare al Garante” del 23 aprile 2004 [doc. web n. 993385] e la Comunicazione recante “Notificazioni in ambito sanitario: precisazioni del Garante” del 26 aprile 2004 [doc. web n. 996680]).
I trattamenti “esentati” dalla verifica preliminare sono quelli in cui i dati biometrici sono utilizzati:
- nell’ambito di procedure di autenticazione informatica (punto 4.1);
- per il controllo di accesso fisico ad aree “sensibili” dei soggetti addetti e per l’utilizzo di apparati e macchinari pericolosi (punto 4.2);
- per scopi “facilitativi” mediante l’uso dell’impronta digitale o della topografia della mano (punto 4.3);
- per la sottoscrizione di documenti informatici (punto 4.4).
Inoltre il Garante ha stabilito in quali casi si possono effettuare alcuni dei predetti trattamenti di dati biometrici anche senza il consenso degli interessati, effettuando a tal fine un bilanciamento tra il legittimo interesse del titolare del trattamento ad utilizzare tali dati e quello degli interessati affinché non siano lesi i relativi diritti e libertà fondamentali, la dignità o un legittimo interesse.
Le linee guida, oltre a svolgere una funzione divulgativa, sono strutturate in modo tale da agevolare la comprensione del provvedimento e da contestualizzarne le misure prescrittive, approfondendo anche determinati aspetti che nel provvedimento sono solamente accennati.
Misura di particolare rilevanza è quella relativa all’obbligo generale imposto dal Garante ai titolari di trattamenti di dati biometrici di comunicare all’Autorità, entro 24 ore dal fatto, qualsiasi incidente informatico o violazione di dati che riguardi dati biometrici.
Ultima ma non trascurabile annotazione riguarda la circostanza che il Garante, avendo circoscritto nel provvedimento i casi (e le relative condizioni) nei quali non è richiesta ai titolari del trattamento di dati biometrici l’effettuazione di una verifica preliminare, di converso ha implicitamente stabilito che in tutti gli altri casi in cui un titolare del trattamento intenda effettuare un trattamento di dati biometrici dovrà, prima dell’inizio del trattamento, richiedere al Garante la verifica preliminare di cui all’art. 17 del Codice.
Resta fermo che non dovranno essere oggetto di ulteriori istanze i trattamenti di dati biometrici che i titolari del trattamento abbiano in passato già sottoposto alla verifica preliminare da parte del Garante e sui quali l’Autorità abbia già espresso le proprie valutazioni con specifici provvedimenti.
Continua a leggere →