Biometria e privacy: la normativa a supporto della tecnologia
Nelle realtà italiane è sempre più sentita l’esigenza di monitorare in modo certo ed inequivocabile l’accesso ad alcune aree aziendali particolarmente delicate, così da assicurare che i soggetti preventivamente autorizzati all’ingresso siano quelli che effettivamente vi entrano. Questa ed altre finalità hanno decretato la fortuna dei sistemi di autenticazione biometrica i quali, a differenza di un mero badge, sono in grado di assicurare la presenza fisica dell’accedente al dispositivo che presidia il locale interessato. Tuttavia, se da un lato si può affermare con certezza che il trattamento in parola (riguardante l’impronta, l’iride, la voce, il riconoscimento facciale etc.) risponde in maniera più esatta alle esigenze della società che lo adotta – ossia il Titolare del trattamento – è altrettanto vero che per i diritti dell’interessato cui il dato biometrico si riferisce l’impatto è notevole. La principale conseguenza del rapido sviluppo tecnologico dei sistemi sovra citati e l’estensione del loro utilizzo in ambiti trasversali è di specifico interesse per il settore privacy, per cui si rende necessaria un’attenta analisi sotto il profilo delle tutela dei dati personali acquisiti tramite questi dispositivi.
Difatti, anche dal punto di vista normativo la proliferazione dei sistemi biometrici non è sfuggita all’attenzione delle autorità di protezione dei dati personali – Working Party Article 29 e Garante Italiano in primis – i quali hanno cercato di disciplinarne l’utilizzo attraverso l’elaborazione di pronunce e pareri. L’Autorità italiana, in particolare, si è espressa in numerosi provvedimenti anche in risposta ad istanze di verifica preliminare, nonché con un recente schema di Provvedimento a carattere generale in tema di riconoscimento biometrico e firma grafometrica e con delle Linee Guida entrambi sottoposti a consultazione pubblica. Sarà utile attendere l’esito per avere dei chiarimenti più precisi in merito e di conseguenza una normativa più organica rispetto al trattamento connesso ai sistemi biometrici. In ogni caso, ad oggi, nella predisposizione del trattamento biometrico – e quindi già dal momento dell’acquisizione del dato, nelle fasi successive di conservazione e di consultazione, fino alla sua cancellazione – dovranno essere osservati tutti i principi sanciti dal Codice in materia di protezione dei dati personali (D.Lgs. 196/2003), circoscrivendone le finalità. A tal fine ne dovrà essere valutata la liceità, contestualizzandolo rispetto agli scopi con esso prefissi e all’attività svolta dal Titolare e analizzato alla luce dei principi di necessità e proporzionalità, considerando al riguardo la tipologia di dati acquisiti, la frequenza della loro rilevazione, attuando altresì policy di data retention. In ultimo dovranno essere allestite anche procedure di cancellazione sicura o di trasformazione in forma anonima dei dati così da non pregiudicare la riservatezza degli interessati.
CONTROLLARE I DIPENDENTI
Il fatto poi che gli interessati cui fanno riferimento i dati biometrici in azienda siano nella maggior parte dei casi lavoratori dipendenti è un aspetto tutt’altro che secondario. A tal proposito, nelle Linee guida in materia di trattamento di dati personali dei lavoratori pubblici e privati per finalità di gestione del rapporto di lavoro, si afferma che “non è consentito utilizzare sistemi di rilevazione automatica delle presenze dei dipendenti mediante la raccolta di dati biometrici, specie se ricavati dalle impronte digitali”. Tale utilizzo può tuttavia essere concesso in casi particolari, tenuto conto delle finalità e del contesto in cui i dati sono trattati e considerata la natura delle attività di lavoro svolte dal lavoratore. A titolo esemplificativo il Garante individua i lavoratori impiegati in processi produttivi pericolosi o sottoposti a segreti di varia natura ed autorizzati all’accesso a particolari locali destinati alla custodia di beni, documenti segreti o riservati o oggetti di valore o zone militari. È addirittura l’Autorità di ambito che, con il provvedimento del 17 gennaio 2008, ha prescritto ai fornitori di servizi di comunicazione elettronica accessibili al pubblico l’obbligo di adottare un doppio sistema di strong authentication di cui uno necessariamente biometrico per accedere ai dati conservati per finalità di accertamento e repressione dei reati. In ordine all’utilizzo del sistema biometrico, il trattamento deve essere conforme allo Statuto dei Lavoratori. In particolare, quando dovuto dovrà essere autorizzato mediante accordo con le rappresentanze sindacali interne o autorizzato dalla Direzione Provinciale del Lavoro (DPL) ai sensi dell’art. 4 dello Statuto dei Lavoratori. Vi è però da rilevare che le richieste preventive volte ad accertare all’Autorità di ambito la liceità del trattamento biometrico rispetto alla specifica finalità di rilevazione della presenza sul luogo di lavoro sono state praticamente tutte respinte in quanto il Garante ha ritenuto il trattamento illecito e sproporzionato rispetto alla medesima finalità. Tra le stesse si evidenzia, tra i tanti, l’ultimo provvedimento di rigetto del Garante titolato “Trattamento di dati biometrici per finalità di rilevazione delle presenze dei dipendenti: verifica preliminare richiesta dal Comune di Boscoreale” del 31 gennaio 2013.
LE BANCHE: UN MONDO A PARTE
Discorso a parte per gli istituti di credito per quanto riguarda l’accesso alla filiale da parte dell’utenza. Si ricordano a tal proposito alcuni provvedimenti del Garante: quello titolato “Trattamento di dati biometrici in banca (Monte dei Paschi di Siena)” del 23 gennaio 2008 col quale il Garante ha accertato l’impianto biometrico utilizzato dall’istituto per rilevare l’accesso alla struttura da parte dei propri clienti ed il provvedimento “Sistema per l´accesso della clientela in modalità c.d. self service, 24 ore su 24 alle cassette di sicurezza che può prevedere il trattamento di dati biometrici. Verifica preliminare richiesta da Banca di credito cooperativo di Vigevano” del 14 febbraio 2013 che ha autorizzato la banca ad installare un sistema automatizzato per la gestione delle cassette di sicurezza. Non bisogna poi dimenticare che molto spesso per accedere ai locali di una banca, il cliente non solo è tenuto ad appoggiare il dito sulla bussola biometrica, ma viene anche ripreso dalle telecamere installate. Lo stesso Garante chiarisce la separazione di tali banche dati costituisce una misura tecnica necessaria, così da rendere possibile solo in casi eccezionali ed urgenti l’associazione tra l’impronta biometrica e l’immagine dell’interessato.
AEROPORTI
Un ulteriore sguardo sull’uso dei dati biometrici lo si individua nel provvedimento titolato “Sistema di rilevazione di dati biometrici dei passeggeri. Verifica preliminare richiesta da Alitalia–Compagnia Aerea Italiana S.p.A.” del 4 ottobre 2012. Con tale provvedimento, il Garante ha autorizzato Alitalia ad utilizzare i dati biometrici dei passeggeri. Si precisa che il sistema è stato permesso perché basato sul fatto che la società rilascia ai propri clienti una smart card sulla quale è salvato il template della loro impronta digitale. In seguito, al momento dell’imbarco, il sistema confronta il template precedentemente memorizzato con l’impronta digitale del passeggero, accertando l’effettiva identità del viaggiatore senza effettuare una nuova acquisizione del dato.
INFORMATIVA E VERIFICA PRELIMINARE
Naturalmente, rispetto a tutti i casi considerati, il titolare del trattamento dovrà porre in essere gli adempimenti imposti dal Codice in materia di protezione dei dati personali. In particolare, a norma dell’art. 13 D. Lgs. 196/2003, è compito del titolare consegnare agli interessati prima dell’inizio del trattamento un’informativa privacy comprensiva di tutti i requisiti dettati dalla legge, all’interno della quale deve essere anche precisata la facoltà di utilizzare modalità alternative a quella biometrica. A mente degli artt. 37 e 38 del Codice, il trattamento biometrico deve essere notificato all’Autorità Garante, fatti salvi i casi di esonero decisi in capo a taluni soggetti. È l’art. 17 che impone in capo ai titolari l’obbligo di verifica preliminare del trattamento, atteso che lo stesso presenta rischi specifici per i diritti e per le libertà fondamentali dell’individuo. Verifica preliminare che può non essere richiesta laddove il trattamento in divenire sia speculare ad uno sul quale il Garante si è già espresso, e nei casi di esclusione – se verranno confermati o modificati – sanciti dal Provvedimento sottoposto a consultazione pubblica e sopra menzionato.
ALTRI ADEMPIMENTI
È compito del titolare predisporre gli atti di nomina ad incaricato ed a responsabile per i soggetti abilitati a trattare i dati biometrici di cui trattasi. Una nomina ad hoc, dovrà essere destinata al fornitore qualora questo possa accedere a tali dati. Resta inteso che anche i dati biometrici dovranno essere tutelati dal rischio di distruzione, perdita o accessi non autorizzati, e quindi protetti con le misure di sicurezza, minime ed idonee, imposte dal D.Lgs. 196/2003, dal suo allegato tecnico, nonché rispetto a quanto imposto dal Provvedimento 27 novembre 2008 in materia di amministratore di sistema. In ragione di quest’ultimo provvedimento è fatto obbligo al titolare registrare in modo inalterabile ed incancellabile gli accessi degli amministratori di sistema interni ed esterni – altresì formalizzando il loro ruolo – conservando il log così caratterizzato per almeno sei mesi.
OCCHIO ALL’EUROPA
In ultimo, merita menzionare la bozza di Regolamento Europeo in discussione a livello comunitario che riformerà totalmente la materia della privacy. Rispetto al trattamento considerato, il Regolamento imporrà l’obbligo al titolare di una valutazione di impatto preventivo (c.d. PIA Privacy Impact Assessment) per alcuni trattamenti, nei quali è ricompresa anche la biometria. Una vera e propria valutazione del rischio che dovrà risultare da un documento deputato a dettare anche le misure volte ad ovviare alle criticità rilevate. Tale documento potrà, nel caso, essere trasmesso all’autorità di controllo competente per ottenere un’autorizzazione preventiva o comunque una consultazione.
Articolo pubblicato su A&S Italy – Giugno 2014 – Anno V 27
