Biometrica e privacy: il punto di vista del Garante | Ingegneri.info

Biometrica e privacy: il punto di vista del Garante

Potendo riconoscere la morfologia facciale, le tecnologie biometriche pongono importanti questioni di tutela dati personali e privacy. L’approfondimento

image_pdf

Le tecnologie biometriche, consentono, mediante l’uso di specifici software e apparecchiature informatiche, il riconoscimento di un individuo attraverso dati fisici ricavati dall’analisi delle impronte digitali, della morfologia facciale e dal riconoscimento palmare.
Si tratta della ricerca più avanzata in tema di sicurezza degli accessi informatici. Alcune caratteristiche fisiche dell’utente autorizzato all’accesso, vengono memorizzate dal computer e confrontate con quelle della persona che accede.
Tra i sistemi biometrici si ricordano:
1. le impronte digitali e le impronte palmari;
2. il riconoscimento della voce (difettoso in caso di malattie da raffreddamento);
3. il reticolo venoso della retina dell’occhio;
4. il controllo dinamico della firma (con riferimento anche alla sua velocità di esecuzione).
Di fronte alla rapida ascesa di tali metodologie il Garante ha assunto storicamente, sin dall’inizio, un atteggiamento particolarmente rigido in quanto spesso le finalità di identificazione, sorveglianza, sicurezza delle transazioni non possono giustificare qualsiasi utilizzazione del corpo umano resa possibile dall’innovazione tecnologica.
Vanno garantiti sempre il rispetto della dignità della persona, il rispetto dell’identità personale, il rispetto dei principi di finalità e di proporzionalità ed infine la necessaria attenzione per gli effetti cosiddetti imprevisti o indesiderati e che, invece, spesso sono conseguenze determinate da analisi incomplete o troppo interessate delle tecnologie alle quali si intende ricorrere.
Ma ciò che più preoccupa è che il problema della protezione dell’identità dai suoi possibili “furti”, già imponente nel settore del commercio elettronico, rischia di assumere aspetti preoccupanti con l’utilizzo della biometria.
Avuto, poi riferimento al mondo del lavoro, l’Autorità Garante già nelle proprie “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati” aveva sottolineato che l’uso generalizzato e incontrollato di dati biometrici, specie se ricavati dalle impronte digitali, non è lecito. Tali dati, per la loro peculiare natura, richiedono l’adozione di elevate cautele per prevenire possibili pregiudizi a danno degli interessati, con particolare riguardo a condotte illecite che determinino l’abusiva “ricostruzione” dell’impronta, partendo dal modello di riferimento, e la sua ulteriore “utilizzazione” a loro insaputa.

L’utilizzo di dati biometrici doveva, quindi, essere giustificato solo in casi particolari, tenuto conto delle finalità e del contesto in cui essi venivano trattati e, in relazione ai luoghi di lavoro, per presidiare accessi ad “aree sensibili”, considerata la natura delle attività ivi svolte: si pensi, ad esempio, a processi produttivi pericolosi o sottoposti a segreti di varia natura o al fatto che particolari locali siano destinati alla custodia di beni, documenti segreti o riservati o oggetti di valore.
Inoltre, nei casi in cui l’uso dei dati biometrici era consentito, la centralizzazione in una banca dati delle informazioni personali (nella forma del predetto modello) trattate nell’ambito del descritto procedimento di riconoscimento biometrico risultava di regola sproporzionata e non necessaria. Si richiedeva, quindi, che i sistemi informativi fossero configurati in modo da ridurre al minimo l’utilizzazione di dati personali e da escluderne il trattamento, quando le finalità perseguite potevano essere realizzate con modalità tali da permettere di identificare l’interessato solo in caso di necessità (artt. 3 e 11 del Codice).
In luogo, quindi, di modalità centralizzate di trattamento dei dati biometrici, nell’ottica delle linee guida doveva ritenersi adeguato e sufficiente avvalersi di sistemi efficaci di verifica e di identificazione biometrica basati sulla lettura delle impronte digitali memorizzate, tramite il predetto modello cifrato, su un supporto posto nell’esclusiva disponibilità dell’interessato (una smart card o un dispositivo analogo) e privo di indicazioni nominative riferibili a quest’ultimo (essendo sufficiente attribuire a ciascun dipendente un codice individuale).
Ovviamente come sottolineato dall’Autorità nelle proprie “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico” anche nell’ambito del pubblico impiego, non era consentito utilizzare in modo generalizzato sistemi di rilevazione automatica delle presenze dei dipendenti mediante la raccolta di dati biometrici, specie se ricavati dalle impronte digitali.
L’Autorità Garante è intervenuta, con un provvedimento del 28 settembre 2001, anche con riferimento alla realtà bancaria, per stabilire le prime rigorose regole in base alle quali, all’ingresso degli istituti bancari, può essere consentita l’installazione di sistemi di rilevazione cifrata che, in caso di necessità, permettano la lettura delle impronte digitali.
In considerazione della particolare natura delle informazioni biometriche e dell’assenza di norme specifiche, l’Autorità ha valutato entro quali limiti possa considerarsi lecita, nell’ambito della realtà bancaria, l’installazione di sistemi di acquisizione criptata delle impronte digitali e quali debbano essere le imprescindibili garanzie da assicurare per il rispetto dei diritti fondamentali delle persone.
Al di là, quindi, dei principi generali stabiliti dal codice in materia di protezione dei dati personali, l’Autorità Garante con i suoi interventi ha previsto una serie di prescrizioni che devono essere attuate nello specifico settore delle nuove tecnologie con particolare riferimento sia alle RFID ed ai sistemi biometrici.
In realtà l’approccio dell’Autorità Garante alla problematica è cambiato con l’emanazione del provvedimento generale in tema di biometria del 12 novembre 2014 di cui fanno parte integrante “Le linee guida in materia di riconoscimento biometrico e firma grafometrica“ con le quali il Garante ha inteso fornire un quadro di riferimento unitario sulla cui base i titolari possano orientare le proprie scelte tecnologiche, conformare i trattamenti ai principi di legittimità stabiliti dal Codice, rispettare elevati standard di sicurezza.
Tale provvedimento si sovrappone quindi a quello del 2005 dove il Garante si era occupato anche di RFID, ma ne riprende sicuramente alcuni principi generali.

Tra le prescrizioni di maggiore rilevanza si annoverano:
– Oltre al principio di necessità deve essere rispettato il principio di liceità (art. 11, comma 1, lett. a), del Codice). Il trattamento mediante questi nuovi sistemi è lecito solo se si fonda su uno dei presupposti che il Codice prevede, rispettivamente, per i soggetti pubblici da un lato (svolgimento di funzioni istituzionali: artt. 18-22) e, dall’altro, per soggetti privati ed enti pubblici economici (ad es., adempimento ad un obbligo di legge, o consenso libero ed espresso: artt. 23-27).
– Il titolare (art. 4, comma 1, lett. f)) può trattare dati personali esclusivamente per scopi determinati, espliciti e legittimi (art. 11, comma 1, lett. b)). I dati possono essere inoltre utilizzati soltanto in termini compatibili con la finalità per la quale sono stati originariamente raccolti; devono essere conservati per il tempo strettamente necessario a perseguire tale finalità, decorso il quale devono essere cancellati o resi anonimi (art. 11, comma 1, lett. b) e e) del Codice).
– Il titolare deve verificare il rispetto del principio di proporzionalità in tutte le diverse fasi del trattamento. I dati trattati e le modalità del loro trattamento, anche con riferimento alla tipologia delle infrastrutture di rete adoperate, non devono risultare sproporzionati rispetto agli scopi da prefissare.
– Il titolare del trattamento, nel fornire agli interessati la prescritta informativa precisando anche le modalità del trattamento (art. 13 del Codice), deve indicare la presenza di etichette RFID o sistemi biometrici e specificare che, attraverso gli stessi strumenti è possibile raccogliere dati personali senza che gli interessati si attivino al riguardo.
– Il titolare del trattamento deve agevolare l’esercizio, da parte dell’interessato, dei diritti di cui all’art. 7 del Codice, semplificando le modalità e riducendo i tempi per il riscontro al richiedente (art. 10, comma 1 del Codice).
– Il titolare del trattamento dei dati biometrici è tenuto ad effettuare la notificazione al Garante ai sensi degli artt. 37, comma 1, lett. a), e 38, del Codice (non prevista più dal Regolamento europeo n. 2016/679 o GDPR). In tale ambito, vanno considerati i casi di esonero dall’obbligo di notificazione riguardanti talune categorie di soggetti in ragione delle attività da essi svolte come ad esempio i trattamenti di dati genetici o biometrici effettuati nell’esercizio della professione di avvocato, in relazione alle operazioni e ai dati necessari per svolgere le investigazioni difensive di cui alla legge n. 397/2000.
L’utilizzo di sistemi biometrici rientra tra i trattamenti che presentano rischi specifici per i diritti e le libertà fondamentali e dovrà essere svolto previa richiesta di verifica preliminare al Garante ai sensi dell’art. 17 del Codice (anch’essa non più prevista dal GDPR). Attraverso la verifica preliminare, che deve essere presentata dal titolare prima dell’inizio del trattamento, il Garante ha il compito di prescrivere, ove necessario, misure e accorgimenti specifici per consentire il corretto utilizzo di dati così delicati nel contesto del trattamento prospettato.
Si ricorda, però, che il Garante, con menzionato provvedimento generale del 12 novembre 2014 ha individuato alcune specifiche tipologie di trattamenti in relazione alle quali non ritiene necessaria la presentazione della predetta richiesta di verifica preliminare, a condizione che vengano rispettati i presupposti di legittimità contenuti nel Codice e nelle linee-guida e che vengano adottate tutte le misure e gli accorgimenti tecnici descritti nel medesimo provvedimento.
I trattamenti in questione sono:
• autenticazione informatica;
• controllo di accesso fisico ad aree “sensibili” dei soggetti addetti e utilizzo di apparati e macchinari pericolosi;
• uso delle impronte digitali o della topografia della mano a scopi facilitativi;
• sottoscrizione di documenti informatici.
Naturalmente l’uso generalizzato della biometria, in virtù della delicatezza dei dati oggetto di trattamento, può presentare rischi per gli interessati, con potenziali gravi ripercussioni sulla loro sfera personale, in caso di impropria utilizzazione. E’ necessario pertanto prevedere sempre un’accurata analisi dei rischi.
Il titolare del trattamento svolto con sistemi elettronici è tenuto ad adoperarsi, utilizzando i mezzi tecnici che lo stato dell’arte nel settore informatico rende disponibili, per proteggere i dati personali trattati con le misure di sicurezza previste dal Codice. Tali misure comprendono, oltre alle misure minime di cui agli artt. 33-34 del Codice e all’allegato B, anche le misure idonee e preventive rispetto al trattamento di cui all’art. 31.
Il dato biometrico (usualmente in forma di modello biometrico, ma in alcuni casi anche di campione biometrico) può trovarsi nella disponibilità del titolare del trattamento ed essere conservato in un’unica banca dati centralizzata.
In alternativa, è possibile memorizzare il dato biometrico in dispositivi sicuri (es. token, smart card) affidati alla diretta ed esclusiva disponibilità degli interessati, in modo che il titolare non debba conservare il dato biometrico (template on card).
Con l’avvento del GDPR dobbiamo adesso capire quale sarà la sorte di molti provvedimenti del Garante tra cui appunto quello sulla biometria considerato che, a prescindere da ciò che accadrà al nostro Codice in materia di protezione dei dati personali, cambia completamente il riferimento normativo di carattere generale e sono sempre maggiori gli utilizzi di sistemi biometrici avanzati come il riconoscimento facciale dei più moderni cellulari.
Indubbiamente il Garante dovrà considerare che:
– La notificazione ex art. 37 del Codice non è più prevista;
– La verifica preliminare ex art. 17 del Codice non esiste più;
– Il dato biometrico diventa un dato sensibile a tutti gli effetti;
– Cambia completamente l’approccio alla materia della sicurezza informatica.
Difatti, per mantenere la sicurezza e prevenire trattamenti in violazione al GDPR, il titolare del trattamento o il responsabile del trattamento deve valutare anche il rischio informatico che può essere definito come il rischio di danni economici (rischi diretti) e di reputazione (rischi indiretti) derivanti dall’uso della tecnologia, intendendosi con ciò sia i rischi impliciti nella tecnologia (i cosiddetti rischi di natura endogena) che i rischi derivanti dall’automazione, attraverso l’uso della tecnologia, di processi operativi aziendali (i cosiddetti rischi di natura esogena).
In particolare questi ultimi possono essere:
– danneggiamento di hardware e software;
– errori nell’esecuzione delle operazioni nei sistemi;
– malfunzionamento dei sistemi;
– programmi indesiderati.
Vanno ovviamente predisposte specifiche misure per limitare tali rischi, quali la cifratura. Tali misure devono assicurare un adeguato livello di sicurezza, inclusa la riservatezza, tenuto conto dello stato dell’arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere. Nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale.
Nel GDPR un chiaro riferimento alle misure di sicurezza già si trova nell’art. 22 quando si chiarisce che il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali è effettuato conformemente al Regolamento (principio di accountability).
Mentre, più nello specifico, l’art. 32 del Regolamento ne parla a proposito della sicurezza del trattamento.
Tenuto conto, quindi, dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono tra l’altro, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
d) una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
In particolare, quindi, si pone l’accento sulla pseudonimizzazione intesa come un particolare trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.
Inoltre per la prima volta si parla di resilienza dei sistemi informatici intesa come la capacità di un sistema di adattarsi alle condizioni d’uso e di resistere all’usura in modo da garantire la disponibilità dei servizi erogati.

Leggi anche: Videosorveglianza sui luoghi di lavoro: installare le telecamere secondo normativa

Copyright © - Riproduzione riservata
L'autore
Biometrica e privacy: il punto di vista del Garante Ingegneri.info