Privacy: nuove regole per impronte digitali e firma grafometrica

(AGI) - Roma, 26 nov. - Il Garante per la privacy ha approvatoun quadro unitario di misure e accorgimenti di caratteretecnico, organizzativo e procedurale per mantenere alti livellidi sicurezza nell'utilizzo di particolari tipi di datibiometrici, semplificando tuttavia alcuni adempimenti.L'intervento dell'Autorita' si e' reso necessario alla lucedella crescente diffusione di dispositivi biometrici, ancheincorporati in prodotti di largo consumo. Sempre piu' spessoinfatti aziende e pubbliche amministrazioni si servono di datibiometrici, come le impronte digitali, la topografia della manoo le caratteristiche della firma autografa, per il controllodegli accessi, per l'autenticazione degli utenti

(AGI) - Roma, 26 nov. - Il Garante per la privacy ha approvatoun quadro unitario di misure e accorgimenti di caratteretecnico, organizzativo e procedurale per mantenere alti livellidi sicurezza nell'utilizzo di particolari tipi di datibiometrici, semplificando tuttavia alcuni adempimenti.L'intervento dell'Autorita' si e' reso necessario alla lucedella crescente diffusione di dispositivi biometrici, ancheincorporati in prodotti di largo consumo. Sempre piu' spessoinfatti aziende e pubbliche amministrazioni si servono di datibiometrici, come le impronte digitali, la topografia della manoo le caratteristiche della firma autografa, per il controllodegli accessi, per l'autenticazione degli utenti (anche su pc etablet) o per la sottoscrizione di documenti informatici. Nel provvedimento generale - adottato a seguito di unaconsultazione pubblica e in corso di pubblicazione sulla G.U.con le allegate Linee guida e un modulo per la comunicazioneall'Autorita' di violazioni dei sistemi biometrici - il Garanteha individuato alcune tipologie di trattamento che, per lespecifiche finalita' perseguite, presentano un livello ridottodi rischio e non necessitano piu' della verifica preliminare daparte dell'Autorita'. La semplificazione riguardera' solo lespecifiche tipologie di trattamento che dovranno in ogni casoessere effettuate nel rispetto delle rigorose misure disicurezza individuate dal Garante, e comunque rispettando ipresupposti di legittimita' previsti dal Codice privacy, inparticolare informando sempre gli interessati sui loro diritti,sugli scopi e le modalita' del trattamento: Autenticazioneinformatica - Le caratteristiche biometriche dell'improntadigitale o dell'emissione vocale di una persona possono essereutilizzate come credenziali di autenticazione per l'accesso abanche dati e sistemi informatici. Tale trattamento puo' essereeffettuato anche senza il consenso dell'utente. Controllo di accesso fisico ad aree "sensibili" e utilizzo diapparati e macchinari pericolosi - Le caratteristichedell'impronta digitale o della topografia della mano potrannoessere trattate per consentire l'accesso ad aree e localiritenuti "sensibili" oppure per consentire l'utilizzo diapparati e macchinari pericolosi ai soli soggetti qualificati.Tale trattamento puo' essere realizzato anche senza il consensodell'utente. Sottoscrizione di documenti informatici -L'analisi dei dati biometrici associati all'apposizione a manolibera di una firma autografa potra' essere utilizzata per lafirma elettronica avanzata. Questa modalita' e' pero'consentita solo con il consenso degli interessati, consenso nonnecessario invece in ambito pubblico, se devono essereperseguite specifiche finalita' istituzionali. Dovrannocomunque essere resi disponibili sistemi alternativi (cartaceio digitali) di sottoscrizione, che non comportino l'utilizzo didati biometrici. Scopi facilitativi - L'impronta digitale e latopografia della mano potranno essere utilizzate anche perconsentire l'accesso fisico di utenti ad aree fisiche in ambitopubblico (es. biblioteche) o privato (es. aree aeroportualiriservate). Anche in questo caso l'utilizzo e' consentito solocon il consenso degli interessati. Dovranno comunque esserepreviste modalita' alternative per l'erogazione del servizioper chi rifiuta di far utilizzare i propri dati biometrici.Ogni sistema di rilevazione dovra' essere configurato in modotale da raccogliere un numero limitato di informazioni(principio di minimizzazione), escludendo l'acquisizione didati ulteriori rispetto a quelli necessari per il conseguimentodella finalita' perseguita. Ad esempio, in caso diautenticazione informatica, i dati biometrici non dovrannoessere trattati in modo da poter desumere anche informazioni dinatura sensibile dell'interessato. Tra le numerose misure di sicurezza individuate dal Garante vie' quella che obbliga a cifrare il riferimento biometrico contecniche crittografiche, con una lunghezza delle chiaviadeguata alla dimensione e al ciclo di vita dei dati.Particolare attenzione e' inoltre rivolta alla messa insicurezza dei dispositivi mobili (come tablet o pc) chepotrebbero piu' facilmente essere compromessi o smarriti. Ancheal fine di prevenire eventuali furti di identita' biometrica,tutte le violazioni dei dati o gli incidenti informatici ("databreaches") che possano avere un impatto significativo suisistemi biometrici o sui dati personali custoditi, dovrannoessere comunicati da chi detiene i dati al Garante entro 24 oredalla scoperta, cosi' da consentire di adottare opportuniinterventi a tutela delle persone interessate. A tal fine e'stato predisposto un modulo che consente di semplificare ilpredetto adempimento. Sono esclusi dalle modalita' semplificateindividuate nel provvedimento del Garante i trattamenti cheprevedono la realizzazione di archivi biometrici centralizzati,per i quali continuera' a essere obbligatorio richiedere unaverifica preliminare. Rimane in vigore anche l'obbligo dinotificazione al Garante per i trattamenti non esplicitamenteesclusi dal provvedimento, come quelli effettuati da esercentile professioni sanitarie e da avvocati. Per le verifichepreliminari in corso sono state previste specifichedisposizioni transitorie. (AGI).