Il 23 maggio la Gazzetta ufficiale ha pubblicato l’avviso pubblico di consultazione promosso dal Garante della Privacy sulla emanazione di un provvedimento generale e delle relative linee guida in tema di riconoscimento biometrico e firma grafometrica.

Conseguentemente, il Garante ha messo a disposizione del pubblico le bozze del provvedimento e delle linee guida, aperte ai commenti di chiunque intenda interloquire sulla materia.

E’ inutile dire che un provvedimento del genere, a carattere generale, era atteso da anni sia dal mercato che dal mondo della sicurezza, in quanto la biometria è considerata uno strumento essenziale in tema di controllo accessi sia fisico che logico.

Va ricordato che, in materia, esistono già tre provvedimenti a carattere generale che disciplinano, parzialmente, la materia in questi ambiti:

–         Le Linee guida per finalità di gestione del rapporto di lavoro di dipendenti del settore privato, limitate al controllo accessi in aree di medio-alta criticità ed esclusivamente con c.d. il match on card;

–         Quelle, analoghe, in tema di lavoro pubblico, che però assoggettano le pubbliche amministrazioni all’obbligo di verifica preliminare;

–         Quelle in materia di rilevazione dell’impronta digitale dei clienti all’ingresso nelle filiali bancarie. Inoltre, in questi anni l’Autorità è già intervenuta in innumerevoli casistiche, a partire dalle casistiche di riconoscimento del volto alla firma grafometrica.

Il termine fissato dal Garante per poter partecipare alla consultazione è drasticamente breve, cioè di 30 giorni. In pratica, entro il 21 giugno bisognerà fare pervenire le osservazioni al garante, all’indirizzo mail consultazione.biometria@gpdp.it.

Ciò premesso, dalla lettura del testo, emergono numerose problematiche o discrasie che dovranno essere affrontate dall’Autorità. Solo per richiamarle rapidamente e senza alcuna pretesa di completezza, segnaliamo che:

–         Il Garante ha anticipato l’obbligo di Data breach già previsto dal redigendo regolamento europeo, cioè il dovere di segnalare tempestivamente all’Autorità eventuali violazioni;

–         A fianco alle tradizionali categorie (tecniche) della verifica e identificazione biometrica automatizzata, l’Autorità ha introdotto quella sottoscrizione dei documenti informatici (la c.d. firma grafometrica), attingendo a un istituto giuridico che non ha riscontro nella tecnologia, aprendo una grave criticità interpretativa con prevedibili conseguenze legali e strascichi giudiziari;

–         In tema di Misure Minime di Sicurezza, il collegio non intende definire la facoltà prevista dalla regola n. 2 del Disciplinare tecnico allegato al Codice della Privacy (all. B del D. Lgs.vo 196/03), di utilizzare strumenti di autenticazione informatica biometrica diversi dall’impronta digitale, così limitando in maniera importante il dettato normativo (e le tecnologie legittimamente adottabili in materia);

–         Le citazioni (di per se auspicabili) in materia di adozione dei sistemi di gestione della sicurezza delle informazioni (SGSI) ISO 27001:2006 non appaiono adeguate e complete.

Inoltre, con riferimento alle bozze di linee guida, sottolineiamo come il testo, sotto il profilo tecnico, richieda alcuni approfondimenti e precisazioni sulle quali, in sede di consultazione,

Adeia Consulting interverrà con ulteriore documentazione. In conclusione l’annuncio: qualora definitivamente adottato, il provvedimento prevederà che i trattamenti non conformi dovranno essere sospesi entro 90 giorni, fermo restando l’obbligo di verifica preliminare nei casi previsti entro sei mesi dalla pubblicazione sulla G.U.

Sempre Adeia Consulting interverrà nelle sedi appropriate e presenterà senza dubbio proprie osservazioni al Garante, restando a disposizione di tutti i clienti per fornire il necessario supporto informativo sulla materia.