Segnaliamo a tutti i lettori un Provvedimento con il quale il Garante della Privacy ha autorizzato l’utilizzo di lettori biometrici per il controllo accessi della società addetta “all’immagazzinaggio, alla conservazione e alla custodia di beni, merci e oggetti di valore, al servizio di contazione e selezione di banconote e monete metalliche per conto terzi“, del Comune di Napoli.

A leggere, risulta subito evidente la rilevanza di una attività di questo tipo, posto che secondo la richiedente, al caveau possono accedere: “clienti; visitatori occasionali; partecipanti alle aste; addetti alla contazione; consulenti; fornitori; delegati“, cioè una gran moltitudine di persone. In conseguenza, l’Autorità ha autorizzato l’accesso secondo la tipica procedura del “match on device”.

In pratica, per ogni soggetto che, per la prima voilta,  accede al sito viene effettuato l’enrollment dell’impronta digitale il cui template, crittato, viene salvato su di una card. Nessun dato biometrico viene altrimenti conservato. All’accesso, l’interessato avvicina la smart card (munita di RFID) alla device del controllo accessi, così fornendo direttamente (dopo la decrittazione)  il suo template di riferimento. Poi l’interessato fornisce la sua impronta dal quale viene estrapolato sempre un template.

Quello appena rilasciato e quello appena copiato vengono confrontati: se l’esito è positivo (cioè di buona somiglianza, poichè è impossibile avere un esito identico), si ha una verifica positiva secondo un confronto “one to one”. In quel caso l’accesso viene consentito.

Richiamiamo un altro aspetto interessante. La società richiedente “risulta aver regolarmente effettuato valutazioni (sia pur sintetiche) in ordine all’impatto sulla vita privata degli utenti connesso all’utilizzo, nell’ambito del sistema in esame, della tecnologia rfid (in argomento, v. la “Raccomandazione della Commissione europea del 12 maggio 2009 sull’applicazione dei princìpi di protezione della vita privata e dei dati personali nelle applicazioni basate sull’identificazione a radiofrequenza” e il successivo accordo “Quadro per la valutazione dell’impatto delle applicazioni RFID sulla protezione della vita privata e dei dati” del 6 aprile 2011)”, cosa che molti non fanno.

In conclusione, segnaliamo che, come al solito in questi casi, la conservazione degli accessi (non dei dati biometrici, che vengono immediatamente cancellati), resta limitata a una settimana. Decisamente troppo poco per necessità così rilevanti.

Comments are closed.