Biometria: il Garante detta le nuove regole e apre una consultazione

downloadSarà più semplice utilizzare tecnologie biometriche, come quelle per la lettura delle impronte o l’analisi della firma, per controllare accessi, per autenticarsi o per sottoscrivere documenti informatici. I soggetti pubblici e privati che si atterranno ai limiti e alle rigorose misure di sicurezza individuati dal Garante Privacy potranno infatti procedere direttamente nell’adozione di questi nuovi strumenti senza presentare, caso per caso, richiesta di verifica preliminare.

Con il nuovo provvedimento a carattere generale, l’Autorità ha individuato specifici casi in cui non sarà più necessario effettuare un interpello preventivo per l’adozione di tecnologie biometriche, definendo però un quadro di regole a tutela delle  libertà personali.

Sarà quindi consentito il rilevamento delle impronte digitali:

  • per l’accesso fisico ad aree riservate, oppure
  • per l’attivazione di dispositivi elettromeccanici ed elettronici.

Le impronte e la topografia della mano potranno essere usate anche per “usi facilitativi” (come, ad esempio, accesso banche e biblioteche), ma solo con il consenso degli interessati e purché siano garantite modalità alternative per chi non vorrà usare strumenti biometrici.

Potrà essere adottata senza interpello anche la firma grafometrica per la sottoscrizione di documenti informatici. Non si potranno, invece, realizzare archivi biometrici centralizzati o utilizzare i dati per finalità diverse da quelle specificate.

Logo-Garante-PrivacyL’Autorità ha inoltre messo a punto delle Linee-guida in materia di riconoscimento biometrico e firma grafometrica nelle quali vengono:

  • analizzati i vari tipi di trattamento biometrico esistenti, inclusi quelli per i quali permane l’obbligo delle verifica preliminare (lettura dell’iride o del tracciato venoso, riconoscimento facciale etc.) e
  • individuate, per ciascuna di queste tipologie, le modalità con cui possono essere trattati i dati e le specifiche misure di sicurezza, oltre a quelle già previste dal Codice della Privacy, che occorre adottare caso per caso.

Particolare attenzione viene rivolta dal Garante alla messa in sicurezza delle tecnologie mobili (come tablet o pc) che potrebbero più facilmente essere compromesse o smarrite.

Ogni eventuale violazione o perdita di dati biometrici dovrà, tra l’altro, essere tempestivamente comunicata al Garante per gli opportuni interventi a tutela delle persone.

yourvoice_defData la particolare delicatezza del tema, prima del varo definitivo del provvedimento e delle linee guida, l’Autorità ha deciso di sottoporre i testi a una consultazione pubblica.

Soggetti interessati, associazioni di categoria degli imprenditori e dei consumatori, università, centri di ricerca, potranno far pervenire contributi e osservazioni al Garante per posta o attraverso la casella di posta elettronica appositamente attivata: consultazione.biometria@gpdp.it

Annunci

Scuole: no alle impronte digitali per professori e personale amministrativo

fingerprint1No all’uso delle impronte digitali dei professori e del personale amministrativo tecnico e ausiliario (Ata) per rilevare la loro presenza a scuola.

Lo ha stabilito il Garante privacy [doc. web nn. 25785472502951 e 2503101] nel vietare a un istituto tecnico industriale e a due licei scientifici l’ulteriore trattamento dei dati biometrici dei lavoratori effettuato in violazione delle norme in materia di protezione dei dati personali.

Il Garante, intervenuto a seguito di segnalazioni e notizie di stampa, ha detto no all’uso generalizzato delle impronte digitali perché eccedente e sproporzionato rispetto allo scopo perseguito dalle scuole di controllare le presenze sul posto di lavoro e contrario quindi ai principi di liceità, necessità e non eccedenza stabiliti dal Codice.

Come più volte precisato dal Garante, infatti, l’impiego di dati così delicati può essere ritenuto lecito solo in  specifici casi: ad esempio, per accedere ad aree aziendali riservate in cui si svolgono particolari attività o a imprese collocate in zone a rischio.

Per controllare il rispetto dell’orario di lavoro  – ha affermato il Garante – la scuola può disporre di sistemi meno invasivi della sfera personale, della libertà  individuale e della dignità del lavoratore.

L’Autorità, infine, ha dichiarato illecito e ha vietato anche l’uso delle immagini raccolte tramite un impianto di videosorveglianza installato all’interno di uno dei due licei,  all’insaputa di docenti, personale Ata e studenti. Il divieto riguarda il trattamento effettuato nel periodo antecedente alla sua  disattivazione da parte della Direzione territoriale del lavoro per violazione delle norme sul controllo a distanza dei lavoratori.

 

Rilevazione impronte digitali e videosorveglianza in un liceo di Roma. Il Garante apre un’istruttoria

Il Garante per la protezione dei dati personali ha aperto un’istruttoria a seguito di una segnalazione nella quale si lamenta che presso un liceo di Roma sarebbe stata effettuata una raccolta di dati biometrici di alcuni docenti finalizzata all’installazione di un sistema di rilevazione delle presenze del personale.

Nella segnalazione si lamenta inoltre la presenza di telecamere di sorveglianza posizionate senza alcuna comunicazione al personale.

L’Autorità ha quindi chiesto al Dirigente dell’istituto scolastico di comunicare notizie utili alla valutazione del caso, al fine di verificare

  • il rispetto delle procedure previste per legge riguardo all’installazione dei dispositivi biometrici e
  • la liceità del trattamento dei dati dei dipendenti alla luce dei principi di necessità, proporzionalità e pertinenza.

L’Istruttoria del Garante

Per quanto riguarda la rilevazione delle impronte digitali l’Autorità intende verificare, in particolare, se il trattamento dei dati biometrici sia stato effettivamente svolto, l’eventuale data di inizio e i soggetti nei confronti dei quali sarebbe stato effettuato, le caratteristiche tecniche e le ragioni che ne hanno determinato l’adozione.

Con riferimento invece al sistema di videosorveglianza l’Autorità vuole accertare il rispetto del provvedimento generale del 2010 e della normativa posta a tutela dei lavoratori.

Per approfondimenti:

 

Banche: cassette di sicurezza “self service” con le impronte digitali

Sì del Garante, ma il dato biometrico criptato deve essere solo nella smart card del cliente

Il Garante privacy ha autorizzato una banca ad installare un sistema automatizzato per la gestione delle cassette di sicurezza che consente ai clienti, attraverso l’uso delle impronte digitali, l’accesso tutti i giorni dell’anno, 24 ore su 24,  senza l’intervento del personale dell’istituto di credito.

Il sistema, sottoposto a verifica preliminare dell’Autorità,  non comporta la creazione di un archivio centralizzato di dati biometrici, poiché l’impronta digitale, o meglio il codice numerico (template) da essa ricavato alla prima rilevazione, è conservato esclusivamente nella smart card in possesso del cliente.

Per accedere alle cassette di sicurezza  il cliente deve procedere alla propria “autenticazione”mediante un codice PIN e al confronto tra la propria impronta digitale e il template  memorizzato sulla smart card. A quanti, invece, non vogliono o non possono avvalersi del sistema di riconoscimento biometrico sarà comunque garantita una modalità di accesso alternativo alle cassette di sicurezza, in tal caso però fruibile solo durante l’orario di sportello e previa identificazione personale.

Liceità del trattamento

Nel dare il via libera al progetto, l’Autorità ha ritenuto lecito e proporzionato il trattamento di dati biometrici dei clienti, ai quali va richiesto un consenso scritto.

In particolare è lecita – secondo il Garante – la finalità perseguita dalla banca di voler innalzare il livello di sicurezza e poter così coniugare la tutela dei beni  conservati nelle cassette con l’utilità di garantire alla clientela un servizio continuativo.

Proporzionalità del trattamento

Il trattamento inoltre – sempre a parere del Garante –  è risultato proporzionato, poiché non è prevista la conservazione dei dati biometrici in archivi centralizzati ma il dato criptato dell’impronta è memorizzato esclusivamente nella smart card. 

Previsione di una procedura alternativa

All’istituto di credito è stato inoltre prescritto di informare chiaramente i clienti  della possibilità di un accesso alternativo alle cassette di sicurezza  senza rilevazione delle impronte e  di notificare all’Autorità il trattamento dei dati biometrici prima dell’inizio delle operazioni.

La banca dovrà infine designare per iscritto il personale incaricato del trattamento dei dati e fornire loro adeguate istruzioni alle quali attenersi.