Privacy: nuove regole per impronte digitali e firma grafometrica

1180891160r4edU91-216x300Fonte: Garante Privacy – Roma, 26 novembre 2014

Niente più verifica preliminare per alcuni usi, ma introdotto l’obbligo di comunicare al Garante le violazioni ai sistemi biometrici

Il Garante per la privacy ha approvato un quadro unitario di misure e accorgimenti di carattere tecnico, organizzativo e procedurale per mantenere alti livelli di sicurezza nell’utilizzo di particolari tipi di dati biometrici, semplificando tuttavia alcuni adempimenti. L’intervento  dell’Autorità si è reso necessario alla luce della crescente diffusione di dispositivi biometrici, anche incorporati in prodotti di largo consumo.

Sempre più spesso infatti aziende  e  pubbliche amministrazioni si servono di dati biometrici, come le impronte digitali, la topografia della mano o le caratteristiche della firma autografa, per:

  • il controllo degli accessi,
  • l’autenticazione degli utenti (anche su pc e tablet),
  • la sottoscrizione di documenti informatici.

Nel  provvedimento generale [doc. web n. 3556992] – adottato a seguito di una consultazione pubblica e in corso di pubblicazione sulla G.U. con le allegate Linee guida [doc. web n. 3563006] e un modulo [doc. web n. 3563019] per la comunicazione all’Autorità di violazioni dei sistemi biometrici – il Garante ha individuato alcune tipologie di trattamento che, per le specifiche finalità perseguite, presentano un livello ridotto di rischio e non necessitano più della verifica  preliminare da parte dell’Autorità.

La semplificazione riguarderà solo le specifiche tipologie di trattamento che dovranno in ogni caso essere effettuate nel rispetto delle rigorose misure di sicurezza individuate dal Garante, e comunque rispettando i presupposti di legittimità previsti dal Codice privacy, in particolare informando sempre gli interessati sui loro diritti, sugli scopi e le modalità del trattamento:

Autenticazione informatica

Le caratteristiche biometriche dell’impronta digitale o dell’emissione vocale di una persona possono essere utilizzate come credenziali di autenticazione per l’accesso a banche dati e sistemi informatici. Tale trattamento può essere effettuato anche senza il consenso dell’utente.

Controllo di accesso fisico ad aree “sensibili” e utilizzo di apparati e macchinari pericolosi

Le caratteristiche dell’impronta digitale o della topografia della mano potranno essere trattate per consentire l’accesso ad aree e locali ritenuti “sensibili” oppure per consentire l’utilizzo di apparati e macchinari pericolosi ai soli soggetti qualificati. Tale trattamento può essere realizzato anche senza il consenso dell’utente.

Sottoscrizione di documenti informatici

L’analisi dei dati biometrici associati all’apposizione a mano libera di una firma autografa potrà essere utilizzata per la firma elettronica avanzata. Questa modalità è però consentita solo con il consenso degli interessati, consenso non necessario invece in ambito pubblico, se devono essere perseguite  specifiche finalità istituzionali.

Dovranno comunque essere resi disponibili sistemi alternativi (cartacei o digitali) di sottoscrizione, che non comportino l’utilizzo di dati biometrici.

Scopi facilitativi

L’impronta digitale e la topografia della mano potranno essere utilizzate anche per consentire l’accesso fisico di utenti ad aree fisiche in ambito pubblico (es. biblioteche) o privato (es. aree aeroportuali riservate). Anche in questo caso l’utilizzo è consentito solo con il consenso degli interessati.

Dovranno comunque essere previste modalità alternative per l’erogazione del servizio per chi rifiuta di far utilizzare i propri dati biometrici.

Principio di minimizzazione

Ogni sistema di rilevazione dovrà essere configurato in modo tale da raccogliere un numero limitato di informazioni (principio di minimizzazione), escludendo l’acquisizione di dati ulteriori rispetto a quelli necessari per il conseguimento della finalità perseguita.

Ad esempio, in caso di autenticazione informatica, i dati biometrici non dovranno essere trattati in modo da poter desumere anche informazioni di natura sensibile dell’interessato.

Misure di sicurezza

Tra le numerose misure di sicurezza individuate dal Garante vi è quella che obbliga a cifrare il riferimento biometrico con tecniche crittografiche, con una lunghezza delle chiavi adeguata alla dimensione e al ciclo di vita dei dati.

Particolare attenzione è inoltre rivolta alla messa in sicurezza dei dispositivi mobili (come tablet o pc) che potrebbero più facilmente essere compromessi o smarriti.

Data breaches

Anche al fine di prevenire eventuali furti di identità biometrica, tutte le violazioni dei dati o gli incidenti informatici (“data breaches”) che possano avere un impatto significativo sui sistemi biometrici o sui dati personali custoditi, dovranno essere comunicati da chi detiene i dati al Garante entro 24 ore dalla scoperta, così da consentire di adottare opportuni interventi a tutela delle persone interessate.

A tal fine è stato predisposto un modulo che consente di semplificare il predetto adempimento.

Esclusioni dalle modalità semplificate e Obbligo di Notificazione

Sono esclusi dalle modalità semplificate individuate nel provvedimento del Garante i trattamenti che prevedono la realizzazione di archivi biometrici centralizzati, per i quali continuerà ad essere obbligatorio richiedere una verifica preliminare.

Rimane in vigore anche l’obbligo di notificazione al Garante per i trattamenti non esplicitamente esclusi dal provvedimento, come quelli effettuati da esercenti le professioni sanitarie e da avvocati.

Annunci

Scuole: no alle impronte digitali per professori e personale amministrativo

fingerprint1No all’uso delle impronte digitali dei professori e del personale amministrativo tecnico e ausiliario (Ata) per rilevare la loro presenza a scuola.

Lo ha stabilito il Garante privacy [doc. web nn. 25785472502951 e 2503101] nel vietare a un istituto tecnico industriale e a due licei scientifici l’ulteriore trattamento dei dati biometrici dei lavoratori effettuato in violazione delle norme in materia di protezione dei dati personali.

Il Garante, intervenuto a seguito di segnalazioni e notizie di stampa, ha detto no all’uso generalizzato delle impronte digitali perché eccedente e sproporzionato rispetto allo scopo perseguito dalle scuole di controllare le presenze sul posto di lavoro e contrario quindi ai principi di liceità, necessità e non eccedenza stabiliti dal Codice.

Come più volte precisato dal Garante, infatti, l’impiego di dati così delicati può essere ritenuto lecito solo in  specifici casi: ad esempio, per accedere ad aree aziendali riservate in cui si svolgono particolari attività o a imprese collocate in zone a rischio.

Per controllare il rispetto dell’orario di lavoro  – ha affermato il Garante – la scuola può disporre di sistemi meno invasivi della sfera personale, della libertà  individuale e della dignità del lavoratore.

L’Autorità, infine, ha dichiarato illecito e ha vietato anche l’uso delle immagini raccolte tramite un impianto di videosorveglianza installato all’interno di uno dei due licei,  all’insaputa di docenti, personale Ata e studenti. Il divieto riguarda il trattamento effettuato nel periodo antecedente alla sua  disattivazione da parte della Direzione territoriale del lavoro per violazione delle norme sul controllo a distanza dei lavoratori.

 

Voli aerei: sì del Garante al “fast boarding” con impronte digitali, ma servono più garanzie per i passeggeri

Il sistema riservato ai clienti “Millemiglia” prevede che il codice criptato dei dati biometrici resti solo nella smart card del cliente.

I passeggeri aerei Alitalia aderenti al programma “Millemiglia” potranno tra non molto usufruire di un sistema di identificazione ai gate di imbarco più veloce, ma per l’avvio del nuovo sistema sono necessari più elevati standard di sicurezza.

Il Garante privacy ha ritenuto conforme alle norme in materia di protezione dei dati personali il nuovo servizio di “fast boarding” realizzato dalla compagnia italiana che prevede l’uso, su base esclusivamente volontaria e sotto forma di codice criptato, delle impronte digitali. L’Autorità ha però prescritto ad Alitalia l’adozione di ulteriori garanzie per una maggiore tutela dei dati dei passeggeri.

Il sistema che Alitalia intende installare ha come obiettivo lo snellimento delle procedure di imbarco e di verifica dell’identità dei passeggeri, sulla scia di quanto si sta già sperimentando da parte di altre compagnie europee.

Gli iscritti al programma “Millemiglia”, interessati all’accesso agevolato, riceveranno una smart card a radiofrequenza (Rfid) nel cui microchip verranno inseriti, oltre ai dati identificativi del cliente già in possesso di Alitalia, anche i template delle impronte digitali.

Al momento dell’accesso al gate di imbarco, i passeggeri verranno identificati attraverso un sistema che confronta le loro impronte digitali con i template memorizzati sulle carte elettroniche. Non sarà creata alcuna banca dati perché il codice criptato dei dati biometrici rimarrà solo sulla smart card e quindi nell’esclusiva disponibilità dei clienti.

I dati nella carta verranno protetti con specifiche misure di sicurezza per minimizzare i rischi di accesso abusivo a queste informazioni particolarmente delicate. Il sistema sarà alternativo e non sostitutivo rispetto a quello di identificazione tradizionale e i passeggeri potranno usufruirne solo dopo aver dato il proprio consenso scritto.

Le misure di sicurezza ulteriori

Il Garante ha comunque prescritto, come condizione per l’avvio del sistema, una serie di misure ulteriori a protezione dei dati dei passeggeri:

  • sulla smart card non dovrà essere riportata alcuna indicazione che renda immediatamente identificabile il passeggero
  • l’informativa resa ai clienti dovrà esser integrata indicando chiaramente le finalità che si intendono perseguire con il nuovo sistema
  • Alitalia dovrà utilizzare i dati biometrici solo nella fase del loro “caricamento” nella carta
  • la compagnia dovrà, infine, adottare idonee misure per inibire immediatamente tutte le funzioni della carta elettronica in caso di furto o smarrimento e dovrà fornire adeguate istruzioni ai passeggeri sulla corretta custodia della carta e sugli adempimenti in caso di perdita.

Banche: cassette di sicurezza “self service” con le impronte digitali

Sì del Garante, ma il dato biometrico criptato deve essere solo nella smart card del cliente

Il Garante privacy ha autorizzato una banca ad installare un sistema automatizzato per la gestione delle cassette di sicurezza che consente ai clienti, attraverso l’uso delle impronte digitali, l’accesso tutti i giorni dell’anno, 24 ore su 24,  senza l’intervento del personale dell’istituto di credito.

Il sistema, sottoposto a verifica preliminare dell’Autorità,  non comporta la creazione di un archivio centralizzato di dati biometrici, poiché l’impronta digitale, o meglio il codice numerico (template) da essa ricavato alla prima rilevazione, è conservato esclusivamente nella smart card in possesso del cliente.

Per accedere alle cassette di sicurezza  il cliente deve procedere alla propria “autenticazione”mediante un codice PIN e al confronto tra la propria impronta digitale e il template  memorizzato sulla smart card. A quanti, invece, non vogliono o non possono avvalersi del sistema di riconoscimento biometrico sarà comunque garantita una modalità di accesso alternativo alle cassette di sicurezza, in tal caso però fruibile solo durante l’orario di sportello e previa identificazione personale.

Liceità del trattamento

Nel dare il via libera al progetto, l’Autorità ha ritenuto lecito e proporzionato il trattamento di dati biometrici dei clienti, ai quali va richiesto un consenso scritto.

In particolare è lecita – secondo il Garante – la finalità perseguita dalla banca di voler innalzare il livello di sicurezza e poter così coniugare la tutela dei beni  conservati nelle cassette con l’utilità di garantire alla clientela un servizio continuativo.

Proporzionalità del trattamento

Il trattamento inoltre – sempre a parere del Garante –  è risultato proporzionato, poiché non è prevista la conservazione dei dati biometrici in archivi centralizzati ma il dato criptato dell’impronta è memorizzato esclusivamente nella smart card. 

Previsione di una procedura alternativa

All’istituto di credito è stato inoltre prescritto di informare chiaramente i clienti  della possibilità di un accesso alternativo alle cassette di sicurezza  senza rilevazione delle impronte e  di notificare all’Autorità il trattamento dei dati biometrici prima dell’inizio delle operazioni.

La banca dovrà infine designare per iscritto il personale incaricato del trattamento dei dati e fornire loro adeguate istruzioni alle quali attenersi.

 

No all’uso delle impronte digitali per controllare le presenze dei lavoratori

Le imprese che intendono adottare sistemi di lettura delle impronte digitali per verificare la presenza in servizio dei dipendenti devono prima dimostrare che le finalità di controllo non possano essere realizzate con sistemi meno invasivi.

Questa la decisione Garante (Verifica Preliminare ex Art. 17 DLgs 196/2003, 17 novembre 2010) che ha respinto le richieste di verifica preliminare con le quali due società (un’impresa di autotrasporti e la sua capogruppo) chiedevano di poter usare un meccanismo di autenticazione biometrico.

La sopra citata decisione conferma il principio generale delineato nel Comunicato Stampa del Garante 25 luglio 2005 secondo il quale è vietato l’uso generalizzato delle impronte digitali dei dipendenti per controllare le presenze sul luogo di lavoro. Tale sistema è troppo invasivo della sfera personale e della libertà individuale.

Per raggiungere lo stesso scopo si possono adottare altre tecniche più proporzionate ed ugualmente efficaci.

Con questa motivazione il Garante privacy con un proprio Provvedimento (relatore Mauro Paissan) ha vietato il trattamento dei dati biometrici ad una industria del settore costruzioni con circa trecento dipendenti, che intendeva utilizzare le impronte per controllare gli orari di ingresso e uscita dei propri dipendenti dai luoghi di lavoro. L’impresa intendeva con questo metodo prevenire alcune condotte abusive (scambio dei badge) e ovviare allo smarrimento delle tessere magnetiche in uso.

“Il provvedimento del Garante (commenta il relatore Mauro Paissan) chiarisce ancora una volta che non è lecito l’uso generalizzato e incontrollato dei dati biometrici. Nel caso specifico, esistono molti altri sistemi altrettanto rigorosi per controllare gli ingressi nei luoghi di lavoro, senza mettere a rischio la dignità stessa dei lavoratori interessati“.

L’azienda, secondo quanto previsto dal Codice sulla privacy per questo delicato tipo di trattamento di dati, aveva presentato all’Autorità una richiesta di verifica preliminare di conformità alle norme della tecnologia proposta. Il sistema prevedeva la raccolta dell’impronta di ciascun dipendente e la sua trasformazione in un codice numerico poi memorizzato, senza cifratura, nella banca dati aziendale. A ciascun ingresso in azienda i lettori elettronici avrebbero rilevato l’impronta e “letto” il codice da questa ricavato.

Nel corso dell’istruttoria svolta dal Garante non sono emersi elementi che potessero giustificare la richiesta di introdurre la rilevazione di dati biometrici, come ad esempio accessi ad aree dell’azienda che richiedono standard di sicurezza particolarmente elevati in ragione di specifiche circostanze o attività svolte.

Il trattamento è risultato, in altri termini, sproporzionato e non necessario rispetto agli scopi perseguiti.

Forti perplessità sono state sollevate dal Garante anche per quanto riguarda lo stesso funzionamento del sistema che non assicurava:

  • una rigorosa garanzia di affidabilità ed integrità dei dati,
  • adeguate misure di sicurezza a protezione della rete di comunicazione elettronica sulla quale i dati sono trasmessi, non criptati, dai singoli lettori al sistema centrale.

Trattamento sproporzionato anche per quanto riguarda le modalità tecniche prefigurate.

Alla centralizzazione nella banca dati dei codici identificativi generati dall’esame dell’impronta, si sarebbe potuto ovviare, infatti, con la memorizzazione su un supporto digitale da assegnare al lavoratore e tale da rimanere nella sua esclusiva disponibilità. Ciò per evitare gravi ripercussioni per i diritti individuali in caso di violazione delle misure di sicurezza, di accessi di persone non autorizzate o comunque di abuso delle informazioni memorizzate.

Inoltre, contrariamente a quanto dichiarato dalla società i lavoratori non sarebbero stati liberi di aderire o meno a tale sistema di rilevazione delle presenze.