Torniamo ad occuparci di un tema di particolare attualità: l'utilizzo delle tecniche biometriche. Nel presente contesto di rapida evoluzione tecnologica, l'utilizzo di dispositivi e tecnologie per la raccolta e il trattamento di dati biometrici è soggetto, infatti, ad una crescente diffusione. In particolare tali dati vengono, soprattutto, utilizzati per l'accertamento dell'identità personale nell'ambito dell'erogazione di servizi, per il controllo di accessi a locali, per l'attivazione di dispositivi elettromeccanici ed elettronici, anche di uso personale, o di macchinari, nonché utilizzati per la sottoscrizione di documenti informatici. Tuttavia, le caratteristiche biometriche sono, per loro natura, direttamente e univocamente collegati all'individuo e denotano in generale un'intrinseca, universale e irreversibile relazione tra corpo e identità e, pertanto, è necessario garantire particolari cautele in caso di trattamento di tali dati. Su questo aspetto, il Garante della Privacy è intervenuto più volte, a seguito di specifiche richieste di verifica preliminare ai sensi dell'art. 17 del Codice, con provvedimenti che hanno in alcuni casi negato e in altri ammesso, nel rispetto di prescrizioni di natura tecnica od organizzativa, i trattamenti sottoposti alla valutazione dell'Autorità. Del resto, proprio in questa rubrica avevamo già esaminato qualche tempo fa, due provvedimenti adottati dalla predetta Autorità, in merito alla richiesta di due istituiti di credito di poter dotare i propri promotori finanziari di tablet in grado di analizzare i dati biometrici della firma apposta dai clienti per la sottoscrizione di contratti finanziari a distanza. Recentemente, il Garante è intervenuto ancora sulla materia. Con l'intento di definire un quadro unitario di misure e accorgimenti di carattere tecnico, organizzativo e procedurale per accrescere i livelli di sicurezza dei trattamenti biometrici e per conformarli alla vigente disciplina della protezione dei dati personali, la predetta Autorità ha, infatti, predisposto un testo contenente le Linee guida in materia di riconoscimento biometrico e firma grafometrica consultabile in (www.garanteprivacy.it, doc. web n. 3127397), avviando nel maggio scorso un procedimento di consultazione pubblica in vista dell'adozione di un regolamento in materia. A fronte di detto procedimento di consultazione, nel termine di 30 giorni successivi alla pubblicazione sulla Gazzetta Ufficiale del relativo avviso (pubblicazione avvenuta il 23 maggio scorso), tutti i soggetti interessati potranno far pervenire all'Autorità Garante le proprie osservazioni e contributi ; quindi la stessa emetterà il provvedimento definitivo. Nelle Linee guida sottoposte a consultazione vengono passate in rassegna le principali caratteristiche biometriche ed i principi generali e gli adempimenti alla base della raccolta dati ed del loro utilizzo. Tra le varie tipologie di trattamento biometrico, il Garante ha individuato alcuni specifici trattamenti, in relazione ai quali non si riterrà più necessaria la presentazione della istanza di verifica preliminare ai sensi dell'art. 17 del Codice della privacy (quindi potranno essere adottate automaticamente), a condizione che siano adottate tutte le misure e gli accorgimenti tecnici individuati nelle linee guida, nonché rispettati tutti i presupposti di legittimità contenuti nel Codice e richiamati sempre nel predetto provvedimento (con particolare riferimento al capitolo 4, che richiama i principi generali di liceità, finalità, necessità e proporzionalità dei trattamenti, unitamente agli adempimenti giuridici tra i quali l'obbligo di informativa agli interessati e di notificazione al Garante). I trattamenti in questione sono: -L'autenticazione informatica; -il controllo di accesso fisico ad aree "sensibili" dei soggetti addetti e utilizzo di apparati e materiali pericolosi; -l'uso delle impronte digitali o della topografia delle mano (quest'ultima tecnica si basa sulla raccolta di alcune caratteristiche della mano, tra cui la forma, la larghezza e lunghezza delle dita, la posizione e la forma delle nocche e del palmo); -la sottoscrizione di documenti informatici. Così, l'adozione di sistemi biometrici basati sull'elaborazione dell'impronta digitale o della topografia della mano potrà, a titolo esemplificativo, essere consentita in modo diffuso per limitare l'accesso ad aree e locali "sensibili", per l'utilizzo di apparati e macchinari pericolosi ai soli soggetti qualificati o, più semplicemente, per consentire, regolare e semplificare l'accesso agli utenti in aree pubbliche (es. biblioteche) o private (come palestre, accesso a caveau bancari). Tra gli ulteriori trattamenti biometrici che vengono presi in considerazione nelle Linee guida, ma ancora poco diffusi rispetto ai primi, vi sono anche: la struttura venosa delle dita o della mano, la struttura vascolare della retina, la forma dell'iride, le caratteristiche dell'emissione vocale ed il riconoscimento del volto. Il Garante, inoltre, dedica particolare attenzione (nel documento sottoposta a consultazione pubblica) anche all'accuratezza del riconoscimento biometrico ed al conseguente problema dei falsi rigetti e dei falsi positivi; ponendo, pertanto, evidenza sul fatto che le prestazioni del sistema adottato andranno attentamente valutate in funzione della finalità e dell'uso (ad es. un alto tasso di falsi positivi, abilita, erroneamente, l'accesso a utenti non autorizzati creando situazioni di pericolo per persone, cose o informazioni). Nel documento, infine, è affrontato il problema della falsificazione biometrica (cd. spoofing) e dei conseguenti rischi. Tuttavia, il Garante confida che tali possibili pericoli siano mitigati da accorgimenti di sicurezza largamente utilizzati nei sistemi ed in continua evoluzione, ad es. la funzione di liveness detection - vivezza dell'impronta - che è in grado di stabilire se si tratta, nel caso di impronte digitali, di una riproduzione). L'Autorità si riserva comunque di prevedere, alla luce dell'esperienza maturata e dell'evoluzione tecnologica, ulteriori ipotesi di esonero dall'obbligo di verifica preliminare. E' certo, dunque, che vi sarà una progressiva ulteriore diffusione dell'utilizzo dei dati biometrici e relativi sistemi di rilevamento, da adottarsi in ogni caso nel rispetto delle norme regolamentari anche a tutela della privacy. Tuttavia, le caratteristiche biometriche sono, per loro natura, direttamente e univocamente collegati all'individuo e denotano in generale un'intrinseca, universale e irreversibile relazione tra corpo e identità e, pertanto, è necessario garantire particolari cautele in caso di trattamento di tali dati. Su questo aspetto, il Garante della Privacy è intervenuto più volte, a seguito di specifiche richieste di verifica preliminare ai sensi dell'art. 17 del Codice, con provvedimenti che hanno in alcuni casi negato e in altri ammesso, nel rispetto di prescrizioni di natura tecnica od organizzativa, i trattamenti sottoposti alla valutazione dell'Autorità. Del resto, proprio in questa rubrica avevamo già esaminato qualche tempo fa, due provvedimenti adottati dalla predetta Autorità, in merito alla richiesta di due istituiti di credito di poter dotare i propri promotori finanziari di tablet in grado di analizzare i dati biometrici della firma apposta dai clienti per la sottoscrizione di contratti finanziari a distanza. Recentemente, il Garante è intervenuto ancora sulla materia. Con l'intento di definire un quadro unitario di misure e accorgimenti di carattere tecnico, organizzativo e procedurale per accrescere i livelli di sicurezza dei trattamenti biometrici e per conformarli alla vigente disciplina della protezione dei dati personali, la predetta Autorità ha, infatti, predisposto un testo contenente le Linee guida in materia di riconoscimento biometrico e firma grafometrica consultabile in (www.garanteprivacy.it, doc. web n. 3127397), avviando nel maggio scorso un procedimento di consultazione pubblica in vista dell'adozione di un regolamento in materia. A fronte di detto procedimento di consultazione, nel termine di 30 giorni successivi alla pubblicazione sulla Gazzetta Ufficiale del relativo avviso (pubblicazione avvenuta il 23 maggio scorso), tutti i soggetti interessati potranno far pervenire all'Autorità Garante le proprie osservazioni e contributi ; quindi la stessa emetterà il provvedimento definitivo. Nelle Linee guida sottoposte a consultazione vengono passate in rassegna le principali caratteristiche biometriche ed i principi generali e gli adempimenti alla base della raccolta dati ed del loro utilizzo. Tra le varie tipologie di trattamento biometrico, il Garante ha individuato alcuni specifici trattamenti, in relazione ai quali non si riterrà più necessaria la presentazione della istanza di verifica preliminare ai sensi dell'art. 17 del Codice della privacy (quindi potranno essere adottate automaticamente), a condizione che siano adottate tutte le misure e gli accorgimenti tecnici individuati nelle linee guida, nonché rispettati tutti i presupposti di legittimità contenuti nel Codice e richiamati sempre nel predetto provvedimento (con particolare riferimento al capitolo 4, che richiama i principi generali di liceità, finalità, necessità e proporzionalità dei trattamenti, unitamente agli adempimenti giuridici tra i quali l'obbligo di informativa agli interessati e di notificazione al Garante). I trattamenti in questione sono: -L'autenticazione informatica; -il controllo di accesso fisico ad aree "sensibili" dei soggetti addetti e utilizzo di apparati e materiali pericolosi; -l'uso delle impronte digitali o della topografia delle mano (quest'ultima tecnica si basa sulla raccolta di alcune caratteristiche della mano, tra cui la forma, la larghezza e lunghezza delle dita, la posizione e la forma delle nocche e del palmo); -la sottoscrizione di documenti informatici. Così, l'adozione di sistemi biometrici basati sull'elaborazione dell'impronta digitale o della topografia della mano potrà, a titolo esemplificativo, essere consentita in modo diffuso per limitare l'accesso ad aree e locali "sensibili", per l'utilizzo di apparati e macchinari pericolosi ai soli soggetti qualificati o, più semplicemente, per consentire, regolare e semplificare l'accesso agli utenti in aree pubbliche (es. biblioteche) o private (come palestre, accesso a caveau bancari). Tra gli ulteriori trattamenti biometrici che vengono presi in considerazione nelle Linee guida, ma ancora poco diffusi rispetto ai primi, vi sono anche: la struttura venosa delle dita o della mano, la struttura vascolare della retina, la forma dell'iride, le caratteristiche dell'emissione vocale ed il riconoscimento del volto. Il Garante, inoltre, dedica particolare attenzione (nel documento sottoposta a consultazione pubblica) anche all'accuratezza del riconoscimento biometrico ed al conseguente problema dei falsi rigetti e dei falsi positivi; ponendo, pertanto, evidenza sul fatto che le prestazioni del sistema adottato andranno attentamente valutate in funzione della finalità e dell'uso (ad es. un alto tasso di falsi positivi, abilita, erroneamente, l'accesso a utenti non autorizzati creando situazioni di pericolo per persone, cose o informazioni). Nel documento, infine, è affrontato il problema della falsificazione biometrica (cd. spoofing) e dei conseguenti rischi. Tuttavia, il Garante confida che tali possibili pericoli siano mitigati da accorgimenti di sicurezza largamente utilizzati nei sistemi ed in continua evoluzione, ad es. la funzione di liveness detection - vivezza dell'impronta - che è in grado di stabilire se si tratta, nel caso di impronte digitali, di una riproduzione). L'Autorità si riserva comunque di prevedere, alla luce dell'esperienza maturata e dell'evoluzione tecnologica, ulteriori ipotesi di esonero dall'obbligo di verifica preliminare. E' certo, dunque, che vi sarà una progressiva ulteriore diffusione dell'utilizzo dei dati biometrici e relativi sistemi di rilevamento, da adottarsi in ogni caso nel rispetto delle norme regolamentari anche a tutela della privacy. http://www.diritto24.ilsole24ore.com/art/avvocatoAffari/mercatiImpresa/2014-06-30/sviluppo-tecnologico-privacy-novita-091638.php