Vista la crescente diffusione di dispositivi il cui funzionamento è legato all’utilizzo di dati biometrici – anche incorporati all’interno di prodotti di largo consumo – il Garante per la Protezione dei dati personali ha deciso di emanare un Provvedimento generale prescrittivo, contenente misure di carattere tecnico ed organizzativo per il corretto utilizzo di tali dati.
Lo scopo delle linee guida è, principalmente, quello di garantire un elevato livello di sicurezza nell’utilizzo dei dati biometrici, consentendo al tempo stesso agli operatori una semplificazione negli adempimenti necessari a trattare tali informazioni, ove il livello di rischio sia considerato ridotto.
Il provvedimento riguarda, in particolare, i dati acquisiti in occasione di:
(1) autenticazione informatica
(2) controllo di accesso fisico ad aree sensibili e/o utilizzo di apparati e macchinari pericolosi
per tali utilizzi il trattamento dei dati potrà essere effettuato anche senza il consenso dell’utente;
(3) sottoscrizione di documenti informatici (in particolare mediante firma grafometrica)
(4) accesso di utenti ad aree fisiche in ambito pubblico o privato (ad esempio mediante impronta digitale e topografia della mano)
tali modalità di utilizzo dei dati biometrici sono consentite, previo consenso degli interessati: in ogni caso, dovranno altresì essere resi disponibili sistemi alternativi di sottoscrizione e di accesso che non prevedano l’utilizzo di dati biometrici.
Come anticipato, la semplificazione riguarda solo alcune specifiche tipologie di trattamento che, tuttavia, dovranno sempre essere effettuate nel pieno rispetto del Codice della Privacy (D. Lgs. n. 196/2003) e dei suoi principi ispiratori, in particolare quanto al costante obbligo di informazione, verso agli interessati, sui diritti, sugli scopi e le modalità associate al trattamento dei loro dati personali.
L’acquisizione di dati biometrici, inoltre, dovrà essere realizzata in modo tale da non prevedere la raccolta di informazioni ulteriori rispetto a quelle necessarie, in accordo con il principio di minimizzazione dei dati sensibili.
Su indicazione del Garante, il riferimento biometrico andrà poi – tra l’altro – protetto con idonee tecniche crittografiche, con lunghezza delle chiavi variabile a seconda del ciclo di vita previsto per i suddetti dati.
Restano in ogni caso esclusi dal recente provvedimento di semplificazione i trattamenti che prevedono la realizzazione di archivi biometrici, obbligatoriamente subordinati ad una verifica preliminare da parte dell’Autorità.
Il testo integrale del provvedimento è disponibile qui.