Biometria, sicurezza, business, imprese. Ecco cosa sapere, gli errori da evitare e le regole da studiare per cogliere al volo un’opportunità strategica per sviluppare margini e valore sul territorio.

Dopo aver scardinato, o almeno in gran parte superato, gli ostacoli e le perplessità che in passato ne avevano frenato lo sviluppo, il mercato biometrico ha vissuto negli ultimi anni una crescita esponenziale, rivestendo un ruolo centrale nella gestione delle informazioni critiche o sensibili di milioni di aziende e professionisti.

A decretarne il successo non solo la maggiore esigenza di security (fisica e digitale), ma anche il drastico calo dei costi dei dispositivi, unito alla crescente presa di consapevolezza dei cittadini sulla materia e ad una normativa sempre più efficace e mirata, tesa a garantire la sicurezza dei dispositivi e dei trattamenti dei dati ad essi connessi. Proprio quest’ultimo aspetto rappresenta l’obiettivo principale della recente azione del Garante per la protezione dei dati personali, finalizzata a rispondere in maniera efficace e rapida alla sempre maggiore necessità di interazione tra rispetto delle misure di sicurezza finalizzate a tutelare i dati e strumenti tecnologici atti a consentirne un massimo trattamento.

L’ultima tappa di un processo lungo ed articolato, scandito da pareri specifici emessi dal Working Party articolo 29, da numerose verifiche preliminari e dalla consultazione pubblica conclusasi la scorsa estate in materia di biometria, porta infatti la data dello scorso 26 Novembre, giorno in cui Antonello Soro, neoeletto Vice-Presidente dei Garanti Europei, ha annunciato – nell’ambito di un comunicato stampa pubblicato sul sito dell’Autorità – il Provvedimento generale prescrittivo in tema di biometria e firma grafometrica, datato 12 Novembre 2014.

Negli anni l’Autorità Garante non è mai apparsa particolarmente favorevole all’adozione di soluzioni di tipo biometrico in ambito lavorativo; anzi, al contrario, l’impressione di chi scrive è che sostanzialmente la biometria sia sempre stata in qualche modo “scoraggiata” riducendone l’ammissibilità di adozione ad un assai ristretto alveo di categorie aziendali (come è successo ad esempio per le banche).

Nonostante questi “scoraggiamenti” provocati dalla combinazione tra i limiti imposti dalla normativa privacy e quelli posti a tutela del lavoratore, la biometria ha trovato comunque consolidamento come soluzione che risponde a variegate necessità nell’ambito dei più svariati settori.

Non poteva pertanto mancare dall’Autorità Garante una presa di posizione ufficiale manifestata, per l’appunto, tramite l’emanazione di un provvedimento ad hoc che potesse rispondere ai dubbi delle aziende e degli utenti, scaturita certamente a seguito dell’aumento dell’adozione degli strumenti biometrici nel quotidiano dei cittadini, come conferma la premessa del documento, dove l’Autorità prende atto di come “L’utilizzo di dispositivi e tecnologie per la raccolta e il trattamento di dati biometrici è soggetto a una crescente diffusione, in particolare per l’accertamento dell’identità personale nell’ambito dell’erogazione di servizi della società dell’informazione e dell’accesso a banche dati informatizzate, per il controllo degli accessi a locali e aree, per l’attivazione di dispositivi elettromeccanici ed elettronici, anche di uso personale, o di macchinari, nonché per la sottoscrizione di documenti informatici”.

Nel provvedimento viene peraltro sottolineato come le Linee Guida debbano tener conto del recente Regolamento eIDAS (on eIectronic identification and trust services for electronic transactions in the internal market); si legge difatti: “Le peculiari caratteristiche dei dati biometrici, unitamente ai rischi su di essi incombenti illustrati nelle linee-guida, fanno ritenere necessario assoggettare il loro trattamento, anche in coerenza con le previsioni del Regolamento europeo eIDAS in tema di identificazione, autenticazione e firma elettronica, all’obbligo di comunicare al Garante il verificarsi di violazioni dei dati (data breach) o incidenti informatici (accessi abusivi, azione di malware, ecc.) che, pur non avendo un impatto diretto su di essi, possano comunque esporli a rischi di violazione”. Ricordiamo che il Regolamento eIDAS è stato pubblicato lo scorso 28 agosto sulla Gazzetta Ufficiale dell’Unione Europea ed ha ad oggetto la disciplina inerente l’Identificazione elettronica e sui servizi fiduciari. Il regolamento sostituisce la direttiva 1999/93/EC, andando a costituire una importante base comune per tutti i paesi membri al fine di uniformare la regolamentazione inerente i servizi fiduciari, ovvero quei servizi come la firma elettronica.

Da qui l’urgenza di regolamentarne l’utilizzo e di mantenerne alto il livello di sicurezza.

Pur riconoscendo l’impellenza di disciplinare questo ambito in continua evoluzione, l’Autorità ha tuttavia voluto semplificare alcuni adempimenti riferiti all’utilizzo di specifici dati biometrici, ritenendo che “per le specifiche finalità perseguite, presentino un livello ridotto di rischio” e che per tale ragione il loro impiego possa prescindere da una verifica preliminare da parte della stessa Autorità.

Il cuore pulsante del provvedimento è rappresentato proprio dall’analisi delle specifiche ipotesi di trattamento dalle quali il titolare è esonerato dal presentare istanza di verifica preliminare, pur essendo tenuto allo stesso tempo ad adottare le misure e gli accorgimenti tecnici indicati nel documento e al rispetto dei presupposti di legittimità previsti dal Codice.

Le quattro categorie individuate dal Garante riguardano:

l’autenticazione informatica;
l’accesso ad aree “sensibili”;
la sottoscrizione dei documenti informatici;
l’utilizzo di alcuni tipi di dati biometrici a scopi facilitativi.
Nel primo caso le peculiarità biometriche relative all’impronta digitale o all’emissione vocale di un soggetto possono fungere da credenziali di accesso a banche dati e sistemi informatici senza previo consenso da parte dell’utente e senza verifica preliminare.

Stesse condizioni per quanto riguarda l’accesso ad aree sensibili, per cui potranno essere utilizzate a tale scopo impronte digitali e caratteristiche della topografia della mano. Gli stessi dati biometrici potranno essere trattati per autorizzare la realizzazione o il controllo di processi produttivi o l’impiego di macchinari ritenuti pericolosi a soggetti specifici e qualificati, oppure l’accesso ad aree dove vengono conservati oggetti di valore o ancora lo svolgimento di attività “aventi carattere di particolare segretezza”. In questa categoria c’è da chiedersi se possano rientrare i CED delle aziende, dove la concentrazione del patrimonio informativo aziendale rappresenta certamente un’area da preservare in merito ai rischi di accesso e sulla quale operare un monitoraggio opportunamente proporzionato all’esigenza di ricostruire accessi e responsabilità.

Altra ipotesi presa in esame è quella relativa alla possibilità di utilizzare l’analisi dei dati biometrici derivanti dall’apposizione (a mano libera) di una firma autografa per la firma elettronica avanzata. Se in ambito pubblico – nel caso in cui siano contemplate specifiche finalità istituzionali – il consenso non è necessario, nel panorama privato suddetta modalità lo prevede obbligatoriamente, pur non essendo necessaria, in entrambi i casi, la verifica preliminare.

Dispone il provvedimento: “Il trattamento di dati biometrici costituiti da informazioni dinamiche associate all’apposizione a mano libera di una firma autografa avvalendosi di specifici dispositivi hardware è ammesso in assenza di verifica preliminare laddove si utilizzino sistemi di firma grafometrica posti a base di una soluzione di firma elettronica avanzata, così come definita dal Decreto Legislativo 7 marzo 2005, n. 82, recante il “Codice dell’amministrazione digitale” che non prevedono la conservazione centralizzata di dati biometrici”.

Il presupposto di legittimità del trattamento dei dati biometrici è dato comunque dal consenso, che deve essere, ovviamente, libero ed espresso dall’interessato all’atto di adesione al servizio di firma grafometrica; un consenso che peraltro – precisa il Garante – ha validità, fino alla sua eventuale revoca, per tutti i documenti da sottoscrivere.

Le prescrizioni imposte sono dettagliate: anzitutto il procedimento di firma può essere abilitato solo previa identificazione del firmatario; secondariamente devono essere resi disponibili sistemi alternativi (cartacei o digitali) di sottoscrizione, che non comportino l’utilizzo di dati biometrici (al fine di poter permettere all’interessato di non prestare il proprio consenso e raggiungere comunque la finalità);

deve essere organizzata la cancellazione dei dati biometrici immediatamente dopo il completamento della procedura di sottoscrizione e nessun dato biometrico deve persistere all’esterno del documento informatico sottoscritto; i canali di trasmissione devono essere protetti con “l’ausilio” di tecniche crittografiche (oltre dunque alle altre misure ritenute opportune).

Oltre ad un ulteriore elenco di prescrizioni, si evidenzia quella relativa all’ipotesi di utilizzo di sistemi di firma grafometrica nello scenario mobile o BYOD (Bring Your Own Device): in tali casi devono essere adottati idonei sistemi di gestione delle applicazioni o dei dispositivi mobili, con il ricorso a strumenti MDM (Mobile Device Management) o MAM (Mobile Application Management) o altri equivalenti al fine di isolare l’area di memoria dedicata all’applicazione biometrica, ridurre i rischi di installazione abusiva di software anche nel caso di modifica della configurazione dei dispositivi e contrastare l’azione di eventuali agenti malevoli (malware).

Gli scopi facilitativi contemplati dal Garante riguardano, infine, l’utilizzo dell’impronta digitale e della topografia della mano per l’accesso fisico degli utenti ad aree pubbliche o private. Sebbene siano necessarie – oltre al consenso degli interessati – anche modalità alternative all’impiego di dati biometrici, anche in questo caso non è necessaria la verifica preliminare.

Dopo aver illustrato le semplificazioni, il provvedimento approfondisce le prescrizioni che i titolari dei trattamenti biometrici devono rispettare, primo tra tutti l’obbligo di comunicazione al Garante di eventuali violazioni dei dati entro ventiquattro ore dalla conoscenza del fatto (“data breaches”). I titolari che non hanno ancora richiesto la verifica preliminare all’Autorità dovranno “adottare – entro centottanta giorni dalla pubblicazione del presente provvedimento sulla Gazzetta Ufficiale della Repubblica Italiana – le misure e gli accorgimenti contemplati all’interno del paragrafo 4, ovvero di sospendere – entro il medesimo termine – i trattamenti e di sottoporre gli stessi a verifica preliminare”. Questo passaggio non può che riportare alla mente il passaggio analogamente previsto nella bozza di Regolamento Europeo in materia di trattamento dati, dove uno degli oneri che presumibilmente verranno introdotti a carico delle aziende sarà proprio quello di monitorare il perimetro della sicurezza dei dati e, in caso di violazione, darne conoscenza entro 24 ore (in una versione della bozza aumentate a 72).

Il provvedimento prende anche in analisi le situazioni pendenti. Difatti l’Autorità sollecita coloro che abbiano presentato istanza di verifica preliminare ai sensi dell’art. 17 del Codice, a comunicare “entro trenta giorni dalla pubblicazione del presente provvedimento sulla Gazzetta Ufficiale della Repubblica Italiana – la conformità del trattamento alle prescrizioni ivi contenute ovvero la propria intenzione di conformarvisi”.

 

 

 

FONTE: ICT4Executive (www.ict4executive.it)

AUTORE: Valentina Frediani

 

 

 

 

firma