Privacy: nuove regole per impronte digitali e firma grafometrica

(AGI) - Roma, 26 nov. - Il Garante per la privacy ha approvatoun quadro unitario di misure e accorgimenti di caratteretecnico, organizzativo e procedurale per mantenere alti livellidi sicurezza nell'utilizzo di particolari tipi di datibiometrici, semplificando tuttavia alcuni adempimenti.L'intervento dell'Autorita' si e' reso necessario alla lucedella crescente diffusione di dispositivi biometrici, ancheincorporati in prodotti di largo consumo. Sempre piu' spessoinfatti aziende e pubbliche amministrazioni si servono di datibiometrici, come le impronte digitali, la topografia della manoo le caratteristiche della firma autografa, per il controllodegli accessi, per l'autenticazione degli utenti (anche su pc etablet) o per la sottoscrizione di documenti informatici. Nelprovvedimento generale - adottato a seguito di unaconsultazione pubblica e in corso di pubblicazione sulla G.U.con le allegate Linee guida e un modulo per la comunicazioneall'Autorita' di violazioni dei sistemi biometrici - il Garanteha individuato alcune tipologie di trattamento che, per lespecifiche finalita' perseguite, presentano un livello ridottodi rischio e non necessitano piu' della verifica preliminareda parte dell'Autorita'. La semplificazione riguardera' solo lespecifiche tipologie di trattamento che dovranno in ogni casoessere effettuate nel rispetto delle rigorose misure disicurezza individuate dal Garante, e comunque rispettando ipresupposti di legittimita' previsti dal Codice privacy, inparticolare informando sempre gli interessati sui loro diritti,sugli scopi e le modalita' del trattamento: Autenticazioneinformatica - Le caratteristiche biometriche dell'improntadigitale o dell'emissione vocale di una persona possono essereutilizzate come credenziali di autenticazione per l'accesso abanche dati e sistemi informatici. Tale trattamento puo' essereeffettuato anche senza il consenso dell'utente. Controllo diaccesso fisico ad aree "sensibili" e utilizzo di apparati emacchinari pericolosi - Le caratteristiche dell'improntadigitale o della topografia della mano potranno essere trattateper consentire l'accesso ad aree e locali ritenuti "sensibili"oppure per consentire l'utilizzo di apparati e macchinaripericolosi ai soli soggetti qualificati. Tale trattamento puo'essere realizzato anche senza il consenso dell'utente.Sottoscrizione di documenti informatici - L'analisi dei datibiometrici associati all'apposizione a mano libera di una firmaautografa potra' essere utilizzata per la firma elettronicaavanzata. Questa modalita' e' pero' consentita solo con ilconsenso degli interessati, consenso non necessario invece inambito pubblico, se devono essere perseguite specifichefinalita' istituzionali. Dovranno comunque essere residisponibili sistemi alternativi (cartacei o digitali) disottoscrizione, che non comportino l'utilizzo di datibiometrici. Scopi facilitativi - L'impronta digitale e latopografia della mano potranno essere utilizzate anche perconsentire l'accesso fisico di utenti ad aree fisiche in ambitopubblico (es. biblioteche) o privato (es. aree aeroportualiriservate). Anche in questo caso l'utilizzo e' consentito solocon il consenso degli interessati. Dovranno comunque esserepreviste modalita' alternative per l'erogazione del servizioper chi rifiuta di far utilizzare i propri dati biometrici.Ogni sistema di rilevazione dovra' essere configurato in modotale da raccogliere un numero limitato di informazioni(principio di minimizzazione), escludendo l'acquisizione didati ulteriori rispetto a quelli necessari per il conseguimentodella finalita' perseguita. Ad esempio, in caso diautenticazione informatica, i dati biometrici non dovrannoessere trattati in modo da poter desumere anche informazioni dinatura sensibile dell'interessato. Tra le numerose misure disicurezza individuate dal Garante vi e' quella che obbliga acifrare il riferimento biometrico con tecniche crittografiche,con una lunghezza delle chiavi adeguata alla dimensione e alciclo di vita dei dati. Particolare attenzione e' inoltrerivolta alla messa in sicurezza dei dispositivi mobili (cometablet o pc) che potrebbero piu' facilmente essere compromessio smarriti. Anche al fine di prevenire eventuali furti diidentita' biometrica, tutte le violazioni dei dati o gliincidenti informatici ("data breaches") che possano avere unimpatto significativo sui sistemi biometrici o sui datipersonali custoditi, dovranno essere comunicati da chi detienei dati al Garante entro 24 ore dalla scoperta, cosi' daconsentire di adottare opportuni interventi a tutela dellepersone interessate. A tal fine e' stato predisposto un moduloche consente di semplificare il predetto adempimento. Sonoesclusi dalle modalita' semplificate individuate nelprovvedimento del Garante i trattamenti che prevedono larealizzazione di archivi biometrici centralizzati, per i qualicontinuera' a essere obbligatorio richiedere una verificapreliminare. Rimane in vigore anche l'obbligo di notificazioneal Garante per i trattamenti non esplicitamente esclusi dalprovvedimento, come quelli effettuati da esercenti leprofessioni sanitarie e da avvocati. Per le verifichepreliminari in corso sono state previste specifichedisposizioni transitorie. .