Provvedimento e linee guida in materia di biometria – 12.11.2014

biometria

A seguito della pubblicazione in  Gazzetta Ufficiale, il 2 dicembre scorso è entrato in vigore il provvedimento generale del Garante in materia di biometria, unitamente alle relative linee guida e al modulo per la comunicazione all’Autorità di violazioni dei sistemi biometrici.

Il provvedimento di carattere prescrittivo individua alcune tipologie di trattamento che, qualora siano poste in essere nel rispetto delle misure e degli accorgimenti di carattere tecnico, organizzativo e procedurale stabiliti dal Garante, non necessitano più della verifica preliminare da parte dell’Autorità; dovranno comunque essere sempre rispettati i restanti presupposti di legittimità del trattamento previsti dal Codice, tra cui la necessità di fornire sempre un’adeguata informativa agli interessati e di acquisirne il consenso, ove richiesto, nonché di effettuare la notificazione ai sensi degli artt. 37, comma 1, lett. a), e 38, del Codice, se necessaria (al riguardo si vedano il Provvedimento relativo ai casi da sottrarre all’obbligo di notificazione del 31 marzo 2004 [doc. web n. 852561]), il Provvedimento recante “Chiarimenti sui trattamenti da notificare al Garante” del 23 aprile 2004 [doc. web n. 993385] e la Comunicazione recante “Notificazioni in ambito sanitario: precisazioni del Garante” del 26 aprile 2004 [doc. web n. 996680]).

I trattamenti “esentati” dalla verifica preliminare sono quelli in cui i dati biometrici sono utilizzati:

  • nell’ambito di procedure di autenticazione informatica (punto 4.1);
  • per il controllo di accesso fisico ad aree “sensibili” dei soggetti addetti e per l’utilizzo di apparati e macchinari pericolosi (punto 4.2);
  • per scopi “facilitativi”  mediante l’uso dell’impronta digitale o della topografia della mano (punto 4.3);
  • per la sottoscrizione di documenti informatici (punto 4.4).

Inoltre il Garante ha stabilito in quali casi si possono effettuare alcuni dei predetti trattamenti di dati biometrici anche senza il consenso degli interessati, effettuando a tal fine un bilanciamento tra il legittimo interesse del titolare del trattamento ad utilizzare tali dati e quello degli interessati affinché non siano lesi i relativi diritti e libertà fondamentali, la dignità o un legittimo interesse.

Le linee guida, oltre a svolgere una funzione divulgativa, sono strutturate in modo tale da agevolare la comprensione del provvedimento e da contestualizzarne le misure prescrittive, approfondendo anche determinati aspetti che nel provvedimento sono solamente accennati.

Misura di particolare rilevanza è quella relativa all’obbligo generale imposto dal Garante ai titolari di trattamenti di dati biometrici di comunicare all’Autorità, entro 24 ore dal fatto, qualsiasi incidente informatico o violazione di dati che riguardi dati biometrici.

Ultima ma non trascurabile annotazione riguarda la circostanza che il Garante, avendo circoscritto nel provvedimento i casi (e le relative condizioni) nei quali non è richiesta ai titolari del trattamento di dati biometrici l’effettuazione di una verifica preliminare, di converso ha implicitamente stabilito che in tutti gli altri casi in cui un titolare del trattamento intenda effettuare un trattamento di dati biometrici dovrà, prima dell’inizio del trattamento,  richiedere al Garante la verifica preliminare di cui all’art. 17 del Codice.

Resta fermo che non dovranno essere oggetto di ulteriori istanze i trattamenti di dati biometrici che i titolari del trattamento abbiano in passato già sottoposto alla verifica preliminare da parte del Garante e sui quali l’Autorità abbia già espresso le proprie valutazioni con specifici provvedimenti.


A) Tipologie di trattamento autorizzate senza verifica preliminare

1. Autenticazione informatica

Le caratteristiche biometriche dell’impronta digitale o dell’emissione vocale di una persona possono essere utilizzate come credenziali di autenticazione per l’accesso a sistemi informaticiladdove è richiesta maggior certezza nell’identificazione degli utenti per particolari profili di rischio relativi alle informazioni trattate e alla tipologia di risorse informatiche impiegate (ad es. infrastrutture critiche informatiche di cui al D.M. 9 gennaio 2008 del Ministro dell’interno).

BILANCIAMENTO D’INTERESSI: tale trattamento può essere effettuato anche senza il consenso dell’utente, poiché in questi casi il presupposto di legittimità, che in ambito pubblico è dato dal perseguimento delle finalità istituzionali del titolare, in ambito privato viene individuato nell’istituto del bilanciamento di interessi (art. 24, comma 1, lettera g), del Codice).

DATI BIOMETRICI AMMESSI: impronta digitale e emissione vocale.

2. Controllo di accesso fisico ad aree “sensibili” e utilizzo di apparati e macchinari pericolosi

L’adozione di sistemi biometrici basati sull’elaborazione dell’impronta digitale o della topografia della mano può essere consentita per limitare l’accesso ad aree e locali ritenuti “sensibili” in cui è necessario assicurare elevati e specifici livelli di sicurezza oppure per consentire l’utilizzo di apparati e macchinari pericolosi ai soli soggetti qualificati e specificamente addetti alle attività.

Appartengono a tale ambito, in particolare:

  • le “aree riservate”, destinate allo svolgimento di attività aventi carattere di particolare segretezza ovvero prestate da personale selezionato e impiegato in specifiche mansioni che comportano la necessità di trattare informazioni riservate e applicazioni critiche;
  • le aree in cui sono conservati oggetti di particolare valore o la cui disponibilità è ristretta a un numero circoscritto di addetti;
  • le aree preposte alla realizzazione o al controllo di processi produttivi pericolosi che richiedono un accesso selezionato da parte di personale particolarmente esperto e qualificato;
  • l’utilizzo di apparati e macchinari pericolosi, laddove sia richiesta una particolare destrezza onde scongiurare infortuni e danni a cose o persone.

BILANCIAMENTO D’INTERESSI: anche tale trattamento può essere effettuato senza il consenso dell’utente.

DATI BIOMETRICI AMMESSI: impronta digitale e topografia della mano.

3. Scopi facilitativi

Le tecniche biometriche possono anche prestarsi a essere utilizzate per consentire, regolare e semplificare l’accesso fisico di utenti ad aree fisiche in ambito pubblico (es. biblioteche) o privato (es. aree aeroportuali riservate) o a servizi.

BILANCIAMENTO D’INTERESSI: NO. In questi casi è sempre necessario il consenso effettivamente libero degli interessati che presuppone la predisposizione di sistemi alternativi di accesso non basati su dati biometrici da utilizzare in caso di diniego del consenso da parte dell’utente.

DATI BIOMETRICI AMMESSI: impronta digitale e topografia della mano.

4. Sottoscrizione di documenti informatici

Il trattamento di dati biometrici costituiti da informazioni dinamiche associate all’apposizione a mano libera di una firma autografa potrà avvenire in assenza di verifica preliminare laddove si utilizzino sistemi di firma grafometrica posti a base di una soluzione di firma elettronica avanzata (art. 1, c. 1, lett. q-bis), del C.A.D.) e sempre che non si preveda la conservazione centralizzata di dati biometrici.

L’utilizzo di tali sistemi consente di contrastare eventuali tentativi di frode e il fenomeno dei furti di identità e di rafforzare le garanzie di autenticità e integrità dei documenti informatici sottoscritti.

BILANCIAMENTO D’INTERESSI: NO. In questi casi è sempre necessario il consenso effettivamente libero degli interessati e a tal fine deve essere sempre possibile l’eventuale sottoscrizione del documento con modalità “tradizionali”. Il consenso viene espresso dall’interessato all’atto dell’adesione al servizio di firma grafometrica e «ha validità, fino alla sua eventuale revoca, per tutti i documenti da sottoscrivere».

In ambito pubblico, invece, come noto non è richiesto il consenso dell’interessato ma è necessario che il titolare utilizzi tali strumenti per perseguire i propri fini istituzionali. Anche se il provvedimento del Garante su tale punto non si esprime, ritengo che, in applicazione dei principi generali e operando una lettura sistematica delle disposizioni contenute nel provvedimento, l’utilizzo di sistemi di firma grafometrica posti a base di una soluzione di firma elettronica avanzata da parte di pubbliche amministrazioni, pur non richiedendo il consenso degli interessati, non possa essere loro “imposto” quale unico mezzo per la sottoscrizione di documenti e che, conseguentemente, anche le pubbliche amministrazioni debbano mettere a disposizione degli utenti sistemi alternativi a beneficio di coloro che non intendano utilizzare la firma grafometrica.

DATI BIOMETRICI AMMESSI: c.d. firma grafometrica (informazioni dinamiche associate all’apposizione a mano libera di una firma autografa avvalendosi di specifici dispositivi hardware utilizzando sistemi di firma grafometrica posti a base di una soluzione di firma elettronica avanzata).


B) Requisiti

Il Garante ha individuato una serie di requisiti di tipo tecnico e organizzativo che i sistemi biometrici devono rispettare affinché siano esonerati dall’obbligo di verifica preliminare.

1. Misure comuni

I requisiti comuni a tutti i trattamenti sono i seguenti:

  1. la necessità che i dati biometrici grezzi e i campioni biometrici siano cancellati immediatamente dopo la loro raccolta e trasformazione in modelli biometrici;
  2. i dispositivi per l’acquisizione iniziale del dato biometrico e quelli per l’acquisizione nel corso dell’ordinario funzionamento sono direttamente connessi o sono integrati nei sistemi informatici che li utilizzano;
  3. tutte le trasmissioni di dati tra i dispositivi di acquisizione e i sistemi informatici sono rese sicure con l’ausilio di tecniche crittografiche caratterizzate dall’utilizzo di chiavi di cifratura di lunghezza adeguata alla dimensione e al ciclo di vita dei dati;
  4. nel caso in cui i riferimenti biometrici siano conservati su supporti portatili (smart card o analogo dispositivo sicuro) conformi a specifici standard:
    1. il supporto è rilasciato in un unico esemplare nell’esclusiva disponibilità dell’interessato;
    2. l’area di memoria in cui sono conservati i dati biometrici è resa accessibile ai soli lettori autorizzati e protetta da accessi non autorizzati;
    3. i campioni o i riferimenti biometrici sono cifrati;
  5. se il campione o il riferimento biometrico viene conservato, devono essere adottate particolari misure di protezione, tra cui:
    1. la raccolta e la registrazione dei log degli accessi effettuati dagli amministratori sui sistemi che conservano i dati biometrici;
    2. l’adozione di idonee misure e accorgimenti tecnici per:
      • contrastare i rischi di installazione di software e di modifiche della configurazione dei sistemi informatici, se non esplicitamente autorizzati;
      • proteggere i sistemi informatici contro l’azione di malware e sono, inoltre, adottati sistemi di firewall per la protezione perimetrale della rete e contro i tentativi di accesso abusivo ai dati;
    3. sono adottate misure e accorgimenti volti a ridurre i rischi di manomissione e accesso fraudolento al dispositivo di acquisizione;
    4. i campioni o i riferimenti biometrici:
      • sono cifrati con tecniche crittografiche con lunghezza delle chiavi adeguata alla dimensione e al ciclo di vita dei dati;
      • sono conservati per il tempo strettamente necessario a realizzare le finalità del sistema biometrico;
      • sono conservati separatamente dai dati identificativi degli interessati;
    5. sono previsti meccanismi di cancellazione automatica dei dati, cessati gli scopi per i quali sono stati raccolti e trattati;
  6. non è consentita la realizzazione di archivi biometrici centralizzati;
  7. è predisposta una relazione che descrive gli aspetti tecnici e organizzativi delle misure messe in atto, fornendo altresì la valutazione della necessità e della proporzionalità del trattamento biometrico. Tale relazione è conservata aggiornata, con aggiornamento almeno annuale, e mantenuta a disposizione del Garante
  8. i titolari dotati di certificazione del sistema di gestione per la sicurezza delle informazioni (SGSI) secondo la norma tecnica ISO/IEC 27001 e successive modificazioni che inseriscono il sistema biometrico nel campo di applicazione della certificazione sono esentati dall’obbligo di redigere la predetta relazione, potendo utilizzare la documentazione prodotta nell’ambito della certificazione, integrandola con la valutazione della necessità e della proporzionalità del trattamento biometrico.

2. Dettaglio dei requisiti

La seguente tabella riporta in dettaglio i requisiti prescritti dal Garante ai fini dell’esonero dalla verifica preliminare:

Autenticazione informatica
[1.]
Controllo accesso aree “sensibili” e utilizzo macchinari pericolosi
[2.]
Scopi facilitativi
[3.]
Sottoscrizione documenti informatici
[4.]
Le caratteristiche biometriche consistono nell’impronta digitale… Il procedimento di firma è abilitato previa identificazione del firmatario
… o nell’emissione vocale … o nella topografia della mano
Nel caso di utilizzo dell’impronta digitale, il dispositivo di acquisizione ha la capacità di rilevare la c.d. vivezza. //
Nel caso di utilizzo dell’emissione vocale, tale caratteristica è utilizzata esclusivamente in combinazione con altri fattori di autenticazione e con accorgimenti che escludano i rischi di utilizzo fraudolento di eventuali registrazioni della voce (prevedendo, per esempio, la ripetizione da parte dell’interessato di parole o frasi proposte nel corso della procedura di riconoscimento) // Sono resi disponibili sistemi alternativi (cartacei o digitali) di sottoscrizione, che non comportino l’utilizzo di dati biometrici
La cancellazione dei dati biometrici grezzi e dei campioni biometrici ha luogo immediatamente dopo…
… la loro raccolta e trasformazione in modelli biometrici … il completamento della procedura di sottoscrizione, e nessun dato biometrico persiste all’esterno del documento informatico sottoscritto
I dispositivi per l’acquisizione iniziale (enrolment) e quelli per l’acquisizione nel corso dell’ordinario funzionamento sono direttamente connessi oppure integrati nei sistemi informatici che li utilizzano, siano essi postazioni di enrolment ovvero… //
… postazioni di lavoro o sistemi server protetti con autenticazione biometrica … postazioni di controllo ai varchi di accesso … postazioni di controllo o dispositivi di acquisizione
Le trasmissioni di dati tra i dispositivi di acquisizione e i sistemi informatici sono rese sicure con l’ausilio di tecniche crittografiche caratterizzate dall’utilizzo di chiavi di cifratura di lunghezza adeguata alla dimensione e al ciclo di vita dei dati
Nel caso in cui i riferimenti biometrici siano conservati in modalità sicura su supporti portatili (smart card o analogo dispositivo sicuro) dotati di adeguate capacità crittografiche e certificati per le funzionalità richieste in conformità alla norma tecnica ISO/IEC 15408 o FIPS 140-2 almeno level 3:

  1. il supporto è rilasciato in un unico esemplare, è nell’esclusiva disponibilità dell’interessato e, in caso di cessazione dei diritti di accesso ai sistemi informatici, è restituito e distrutto con procedura formalizzata;
  2. l’area di memoria in cui sono conservati i dati biometrici è resa accessibile ai soli lettori autorizzati e protetta da accessi non autorizzati;
  3. i campioni o i riferimenti biometrici sono cifrati con tecniche crittografiche con lunghezza delle chiavi adeguata alla dimensione e al ciclo di vita dei dati.
Nel caso di utilizzo di sistemi di firma grafometrica nello scenario mobile o BYOD (Bring Your Own Device), sono adottati idonei sistemi di gestione delle applicazioni o dei dispositivi mobili, con il ricorso a strumenti MDM (Mobile Device Management) o MAM (Mobile Application Management) o altri equivalenti al fine di isolare l’area di memoria dedicata all’applicazione biometrica, ridurre i rischi di installazione abusiva di software anche nel caso di modifica della configurazione dei dispositivi e contrastare l’azione di eventuali agenti malevoli (malware)
Nel caso di conservazione del campione o del riferimento biometrico… I sistemi di gestione impiegati nei trattamenti grafometrici adottano certificazioni digitali e policy di sicurezza che disciplinino, sulla base di criteri predeterminati, le condizioni di loro utilizzo sicuro (in particolare, rendendo disponibili funzionalità di remote wiping applicabili nei casi di smarrimento o sottrazione dei dispositivi)
…sul sistema informatico protetto con autenticazione biometrica: …su un dispositivo-lettore….
….o su una postazione informatica dedicata (controller di varco) resa sicura con l’ausilio di tecniche crittografiche caratterizzate dall’utilizzo di chiavi di cifratura con lunghezza adeguata alla dimensione e al ciclo di vita dei dati: …o su postazioni informatiche:
  1. è assicurata, tramite idonei sistemi di raccolta dei log, la registrazione degli accessi da parte degli amministratori di sistema ai sistemi informatici;
//
  1. sono adottate idonee misure e accorgimenti tecnici per contrastare i rischi di installazione di software e di modifiche della configurazione dei sistemi informatici, se non esplicitamente autorizzati;
  1. i sistemi informatici sono protetti contro l’azione di malware;
  1. i sistemi informatici sono protetti contro l’azione di malware e sono, inoltre, adottati sistemi di firewall per la protezione perimetrale della rete e contro i tentativi di accesso abusivo ai dati;
// I sistemi informatici sono protetti contro l’azione di malware e sono, inoltre, adottati sistemi di firewall per la protezione perimetrale della rete e contro i tentativi di accesso abusivo ai dati
  1. sono adottate misure e accorgimenti volti a ridurre i rischi di manomissione e accesso fraudolento al dispositivo di acquisizione;
  2. i campioni o i riferimenti biometrici sono cifrati con tecniche crittografiche con lunghezza delle chiavi adeguata alla dimensione e al ciclo di vita dei dati;
  3. i campioni o i riferimenti biometrici sono conservati per il tempo strettamente necessario a realizzare le finalità del sistema biometrico;
  4. i campioni o i riferimenti biometrici sono conservati separatamente dai dati identificativi degli interessati;
I dati biometrici e grafometrici non sono conservati, neanche per periodi limitati, sui dispositivi hardware utilizzati per la raccolta, venendo memorizzati all’interno dei documenti informatici sottoscritti in forma cifrata tramite sistemi di crittografia a chiave pubblica con dimensione della chiave adeguata alla dimensione e al ciclo di vita dei dati e certificato digitale emesso da un certificatore accreditato ai sensi dell’art. 29 del Codice dell’amministrazione digitale. La corrispondente chiave privata è nella esclusiva disponibilità di un soggetto terzo fiduciario che fornisca idonee garanzie di indipendenza e sicurezza nella conservazione della medesima chiave. La chiave può essere frazionata tra più soggetti ai fini di sicurezza e integrità del dato. In nessun caso il soggetto che eroga il servizio di firma grafometrica può conservare in modo completo tale chiave privata. Le modalità di generazione, consegna e conservazione delle chiavi sono dettagliate nell’informativa resa agli interessati e nella relazione [sotto indicata (*)], in conformità con quanto previsto all’art. 57, comma 1 lettere e) ed f) del d.P.C.M. 22 febbraio 2013.
  1. sono previsti meccanismi di cancellazione automatica dei dati, cessati gli scopi per i quali sono stati raccolti e trattati.
//
E’ esclusa la realizzazione di archivi biometrici centralizzati L’accesso al modello grafometrico cifrato avviene esclusivamente tramite l’utilizzo della chiave privata detenuta dal soggetto terzo fiduciario, o da più soggetti, in caso di frazionamento della chiave stessa, e nei soli casi in cui si renda indispensabile per l’insorgenza di un contenzioso sull’autenticità della firma e a seguito di richiesta dell’autorità giudiziaria. Le condizioni e le modalità di accesso alla firma grafometrica da parte del soggetto terzo di fiducia o da parte di tecnici qualificati sono dettagliate nell’informativa resa agli interessati e nella relazione [sotto indicata (*)], in conformità con quanto previsto all’art. 57, comma 1, lettere e) ed f) del d.P.C.M. 22 febbraio 2013.
E’ predisposta una relazione (*) che descrive gli aspetti tecnici e organizzativi delle misure messe in atto dal titolare, fornendo altresì la valutazione della necessità e della proporzionalità del trattamento biometrico. Tale relazione è conservata aggiornata, con verifica di controllo almeno annuale, per tutto il periodo di esercizio del sistema biometrico e mantenuta a disposizione del Garante
I titolari dotati di certificazione del sistema di gestione per la sicurezza delle informazioni (SGSI) secondo la norma tecnica ISO/IEC 27001 e successive modificazioni che inseriscono il sistema biometrico nel campo di applicazione della certificazione sono esentati dall’obbligo di redigere la relazione di cui al precedente periodo, potendo utilizzare la documentazione prodotta nell’ambito della certificazione, integrandola con la valutazione della necessità e della proporzionalità del trattamento biometrico

 


C) Comunicazione di violazione dei dati biometrici (data breach)

In considerazione delle peculiarità dei trattamenti di dati biometrici, ben illustrate nelle linee guida unitamente ai rischi su di essi incombenti, il Garante ha ritenuto di dover assoggettare tali trattamenti «all’obbligo di comunicare al Garante il verificarsi di violazioni dei dati (data breach) o incidenti informatici (accessi abusivi, azione di malware…) che, pur non avendo un impatto diretto su di essi, possano comunque esporli a rischi di violazione».

Il Garante ha, pertanto, prescritto che i titolari di trattamenti biometrici, entro ventiquattro ore dalla conoscenza del fatto, comunichino all’Autorità «tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui sistemi biometrici o sui dati personali ivi custoditi. Tali comunicazioni devono essere redatte secondo lo schema riportato nell’allegato B al provvedimento e quindi inviate tramite posta elettronica o posta elettronica certificata all’indirizzo: databreach.biometria@pec.gpdp.it».

In considerazione della finalità perseguita dalla prescrizione in questione, volta a contrastare tempestivamente e su più fronti il pregiudizio causato agli interessati da eventuali violazioni di dati biometrici e ad attenuarne le conseguenze, il Garante ha inteso assoggettare all’obbligo di notifica in questione qualsiasi data breach che riguardi sistemi che trattano dati biometrici, anche al di fuori dei casi di esenzione dalla verifica preliminare individuati nel provvedimento.

Quindi, entro 24 ore dal fatto deve essere comunicato al Garante qualsiasi incidente informatico o violazione di dati che riguardi dati biometrici, utilizzando il suddetto modello di comunicazione.


D) Disposizioni transitorie

Il provvedimento prescrive ai titolari di trattamenti biometrici che non abbiano richiesto la verifica preliminare al Garante:

  1. di adottare – entro il 1° giugno 2015 (pari a centottanta giorni dalla pubblicazione del provvedimento sulla Gazzetta Ufficiale n. 280 del 2 dicembre 2014) – le misure e gli accorgimenti indicati nel paragrafo B) Requisti (paragrafo 4 del provvedimento), qualora i trattamenti siano compresi nei casi di esonero dall’obbligo di verifica preliminare, ovvero
  2. di sospendere – entro il medesimo termine – i trattamenti e di sottoporre gli stessi a verifica preliminare, con interpello al Garante ai sensi dell’art. 17 del Codice.

Invece, i titolari dei trattamenti biometrici compresi nei casi di esonero dall’obbligo di verifica preliminare, i quali abbiano già presentato istanza, tuttora pendente, ex art. 17 del Codice, sono invitati a comunicare al Garante – entro il 2 gennaio 2015 (pari a trenta giorni dalla pubblicazione del provvedimento in G.U.):

  1. la conformità del trattamento alle prescrizioni contenute nel provvedimento, ovvero
  2. la propria intenzione di conformarvisi (entro il medesimo termine sub a., ossia entro il 1° giugno 2015).

La presentazione della comunicazione comporta il non luogo a provvedere sulle relative istanze.

Le istanze di verifica preliminare in relazione alle quali non sia stata presentata la comunicazione di cui al periodo che precede verranno valutate dal Garante secondo le ordinarie procedure.


E) Sanzioni applicabili

1. Omessa richiesta di verifica preliminare (fuori dai casi di esenzione)

Come accennato in apertura, col provvedimento in questione il Garante ha stabilito in quali casi e a quali condizioni non è richiesto ai titolari di trattamenti biometrici l’invio all’Autorità di una richiesta di verifica preliminare. In conseguenza di ciò, al di fuori dei casi specificati nel provvedimento, il trattamento di dati biometrici comporta l’obbligo di richiedere al Garante la verifica preliminare di cui all’art. 17 del Codice.

Tale omissione comporta l’applicazione della sanzione amministrativa di cui all’art. 162, comma 2-bis, per violazione dell’art. 167, comma 1, in cui è richiamato l’art. 17 del Codice (sanzione amministrativa da € 10.000 a € 120.000).

2. Omessa comunicazione di una violazione di dati biometrici

Il Garante ha prescritto ai sensi dell’art. 154, comma 1, lettera c), del Codice, che i titolari di trattamenti biometrici comunichino all’Autorità, entro ventiquattro ore dalla conoscenza del fatto, tutte le violazioni dei dati o gli incidenti informatici (data breach) che riguardino sistemi biometrici o i dati personali ivi custoditi.

In caso di omissione o di ritardo di tale comunicazione, il titolare risponderà della violazione di cui all’art. 162, comma 2-ter, del Codice (sanzione amministrativa da € 30.000 a € 180.000).

3. Omessa, incompleta o ritardata notificazione

Nel caso in cui si effettuino trattamenti di dati biometrici è generalmente richiesta la notificazione di cui agli artt. 37, comma 1, lett. a),  e 38 del Codice, notificazione che deve essere effettuata prima dell’inizio del trattamento, successivamente in caso di modifiche rilevanti delle modalità del trattamento e, infine, all’atto della sua cessazione.

In caso di omessa, incompleta o ritardata notificazione trova applicazione la sanzione amministrativa di cui all’art. 163 del Codice (sanzione amministrativa da € 20.000 a € 120.000).

4. Omessa o inidonea informativa

Nel caso in cui non vengano fornite – in tutto o in parte – le informazioni agli interessati indicate nell’art. 13 del Codice insieme a quelle specificamente previste dal provvedimento in esame per gli specifici trattamenti ivi disciplinati, il titolare risponderà della violazione di cui all’art. 161 del Codice (sanzione amministrativa da € 6.000 a € 36.000).

5. Violazioni relative al consenso

Fuori dai casi in cui il consenso non è richiesto o dai casi in cui il Garante ha effettuato il bilanciamento d’interessi, qualora vengano effettuati trattamenti di dati biometrici in assenza del consenso libero ed informato degli interessati troverà applicazione la sanzione amministrativa di cui all’art. 162, comma 2-bis, per violazione dell’art. 167, comma 1, in cui è richiamato l’art. 23 del Codice (sanzione amministrativa da € 10.000 a € 120.000).

 


F) Conclusioni

Il provvedimento e le linee guida rappresentano l’apprezzabile sforzo prodotto dal Garante per mettere ordine in un settore in forte espansione, riuscendo a contemperare le esigenze degli operatori economici interessati allo sviluppo e all’adozione di tecnologie biometriche con la tutela dei singoli rispetto ai rischi insiti in tale particolare tipologia di trattamenti di dati personali.

Tra le misure prescritte si evidenziano:

  • la necessità che ogni sistema di rilevazione debba essere configurato in modo tale da raccogliere un numero limitato di informazioni (principio di minimizzazione), escludendo l’acquisizione di dati ulteriori rispetto a quelli necessari per il conseguimento della finalità perseguita. Ad esempio, in caso di autenticazione informatica, i dati biometrici non dovranno essere trattati in modo da poter desumere anche informazioni di natura sensibile dell’interessato;
  • l’obbligo di cifrare il riferimento biometrico con tecniche crittografiche, con una lunghezza delle chiavi adeguata alla dimensione e al ciclo di vita dei dati, e la necessità di “mettere in sicurezzai dispositivi mobili (come tablet o pc) che potrebbero più facilmente essere compromessi o smarriti;
  • il dovere di comunicare al Garante, entro 24 ore dalla scoperta, tutte le violazioni dei dati o gli incidenti informatici (data breach) che riguardino sistemi biometrici o i dati personali ivi custoditi, così da consentire di adottare opportuni interventi a tutela delle persone interessate anche al fine di prevenire eventuali furti d’identità biometrica.

Sono esclusi dall’esenzione della verifica preliminare i trattamenti che prevedono la realizzazione di archivi biometrici centralizzati e resta comunque obbligatoria la notificazione, di cui agli artt. 37, comma 1, lett. a),  e 38 del Codice, sulla quale il provvedimento in questione non interviene (restano, comunque, fatti salvi i casi già sottratti alla notificazione da precedenti specifici provvedimenti: Provvedimento relativo ai casi da sottrarre all’obbligo di notificazione del 31 marzo 2004 [doc. web n. 852561]), Provvedimento recante “Chiarimenti sui trattamenti da notificare al Garante” del 23 aprile 2004 [doc. web n. 993385] e Comunicazione recante “Notificazioni in ambito sanitario: precisazioni del Garante” del 26 aprile 2004 [doc. web n. 996680]).

fdp


FONTI:

Provvedimento generale prescrittivo in tema di biometria – n. 513 del 12 novembre 2014 [doc. web n. 3556992] – in Gazzetta Ufficiale n. 280 del 2 dicembre 2014

Linee guida – All. A al Provvedimento generale prescrittivo in tema di biometria – n. 513 del 12 novembre 2014

Modulo per la comunicazione di violazioni di dati biometrici – All. B al Provvedimento generale prescrittivo in tema di biometria – n. 513 del 12 novembre 2014

Provvedimento relativo ai casi da sottrarre all’obbligo di notificazione del 31 marzo 2004 [doc. web n. 852561]),

Provvedimento recante “Chiarimenti sui trattamenti da notificare al Garante” del 23 aprile 2004 [doc. web n. 993385] e

Comunicazione recante “Notificazioni in ambito sanitario: precisazioni del Garante” del 26 aprile 2004 [doc. web n. 996680]).

Art. 1, c. 1, lett. q-bis), del Decreto legislativo 7 marzo 2005, n. 82 – Codice dell’amministrazione digitale (firma elettronica avanzata)


Se questo articolo è stato di vostro interesse, ci farebbe piacere ricevere vostri like, reblog e condivisioni. Grazie. Seguiteci anche su:

@lamiaprivacy su twitter

lamiaprivacy su facebook

lamiaprivacy su Google+

lamiaprivacy su Tumblr

lamiaprivacy su Pinterest

Annunci

2 pensieri su “Provvedimento e linee guida in materia di biometria – 12.11.2014

  1. Non sono d’accordo su questo punto:
    “deve essere sempre possibile l’eventuale sottoscrizione del documento con modalità “tradizionali”.”

    Il provvedimento parla di modalità alternative, non necessariamente tradizionali.

    Mi piace

    • In effetti il provvedimento parla di modalità alternative, siano esse cartacee o digitali.
      Escludendo la sottoscrizione “tradizionale” (intesa come firma apposta su documento cartaceo) e la firma elettronica avanzata (basata su un sistema di firma grafometrica), rimangono solo due strumenti per la sottoscrizione di un documento con efficacia probatoria: 1) la firma elettronica qualificata e 2) la firma digitale.
      Entrambi questi ultimi sistemi di firma sono meno “maneggevoli” della firma grafometrica o della firma cartacea in quanto per la loro apposizione richiedono l’utilizzo di un dispositivo (smart-card, token, ecc.) nell’esclusiva disponibilità del titolare, circostanza questa che ne ha frenato la diffusione nelle attività comuni e nell’utilizzo “di massa”.
      La firma grafometrica, invece, non richiede all’utente nessun impegno ulteriore rispetto a quello necessario per la sottoscrizione tradizionale e di questa – in effetti – rappresenta la versione aggiornata all’era del digitale.
      Dopo questa premessa torniamo al discorso sul consenso. Affinché sia legittimo l’utilizzo della firma grafometrica, è necessario che l’interessato dia “liberamente” il proprio consenso. Nel caso in questione ritengo che il consenso possa considerarsi effettivamente libero solo in presenza di alternative che richiedano all’interessato un “impegno” pari o inferiore a quello necessario per la firma grafometrica.
      Nello specifico, se in alternativa alla firma grafometrica viene indicata ad esempio solo la possibilità di utilizzare la firma digitale o la firma elettronica qualificata (che, come detto, richiedono il possesso di un dispositivo quale smart-card o token), tale circostanza potrebbe essere idonea di per sé a rendere “condizionata” la scelta della firma grafometrica e, pertanto, il consenso potrebbe non essere pienamente libero.
      Solo in presenza dell’alternativa cartacea, a mio avviso, l’utilizzo della firma grafometrica potrà essere considerato effettivamente libero.
      Ciò non vuol dire che non si possano realizzare sistemi di firma grafometrica che prevedano solo alternative digitali: tuttavia in questo caso, secondo me, sarebbe opportuno sottoporre tale sistema alla verifica preliminare del Garante che potrà valutare se le alternative alla firma grafometrica sono tali da poter considerare la scelta effettivamente libera e non condizionata.

      Liked by 1 persona

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...