Il Garante della Privacy ha definitivamente varato il “Provvedimento generale prescrittivo in tema di biometria”, ancora in attesa di pubblicazione sulla Gazzetta Ufficiale.

Con questo Provvedimento il Garante colma il vuoto del passato, soprattutto in ambito privato.

La sua genesi è stata piuttosto complessa, sia perché era stato già preannunciato negli anni scorsi, ma poi non emesso, sia perché nella fase di consultazione pubblica sono emerse diverse obiezioni, tanto che il testo è stato ampiamente rimaneggiato.

Peraltro, l’approvazione del Regolamento europeo 910/2014 (c.d. eIDAS) in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche ha reso più complesso il quadro generale sulla materia dell’autenticazione e identificazione elettronica, che l’Autorità garante ha ritenuto di estendere a tutti i trattamenti biometrici.

Al Provvedimento sono allegate le “Linee guida in materia di riconoscimento biometrico e firma grafometrica”, anch’esse in parte rimaneggiate rispetto alla prima versione originale, nonché il modello di Comunicazione al Garante per violazione dei dati biometrici. Quest’ultimo è la vera novità di questo provvedimento, il c.d. “Data breach” cioè l’obbligo di segnalare all’Autorità il verificarsi di violazioni dei dati o di incidenti informatici.

Per quanto riguarda la biometria, il Provvedimento generale prevede l’obbligo di comunicazione al Garante entro 24 ore da quando si ha notizia dei fatti. E’ una norma molto stringente e le conseguenze potrebbero esere veramente rilevanti, anche tenuto conto di precorse esperienze.

Se, però, il documento, nei titoli e negli enunciati generali, sembra diretto a tutti i sistemi di riconoscimento biometrico, in realtà circoscrive la sua applicabilità a un ambito relativamente limitato di tecnologie e di usi, che possono essere rissunti in:

– Sistemi di autenticazione informatica, sono con l’impronta digitale o l’emissione vocale;
– Controlla accessi fisico in aree a medio-alta sensibilità o rischio, solo per topografia della mano e impronta digitale;
– Controllo accessi fisico a scopi facilitativi, solo per topografia della mano e impronta digitale;
– Firma grafometrica per i documenti.

Il controllo accessi a scopi facilitativi è un’altra novità del Provvedimento, che apre all’impiego di questi sistemi, anche con la possibilità di conservare il riferimento biometrico su di un dispositivo-lettore o su postazioni informatiche. In pratica si apre a device che contengano DB locali con i template biometrici.

Per il resto, vi sono due aspetti interessanti ma sorprendenti:
– l’eccessivo dettaglio nel descrivere le misure tecniche da adottare, tanto da moltiplicare i dubbi, più che restringerli;
– il riferimento a standard tecnici che potrebbero essere superati a breve (anzi, nel caso della UNI ISO 27001, siamo già al superamento, poiché è già uscita la nuova versione).

Cosa bisogna fare fin da subito?

Vi sono obblighi e adempimenti, sanzionabili da ora (tutti quelli non differentemente indicati), ovvero nei termini che seguono:
– si possono attivare nuovi sistemi biometrici se nell’ambito del Provvedimento generale e degli allegati, ovvero va attivata una procedura di Verifica preliminare;
– se era in corso una istanza di verifica preliminare, comunicare al Garante, entro trenta giorni, la conformità del trattamento alle prescrizioni impartite, ovvero aspettare il decorso della procedura in corso;
– se sono già stati attivati altri sistemi biometrici adottare, entro 180 gg dalla pubblicazione sulla Gazzetta Ufficiale, le misure e gli accorgimenti previsti, ovvero attivare la procedura di Verifica preliminare, nel contempo sospendendo quello in corso.

Infine, si apre un vero e proprio buco per tutte le casistiche già autorizzate finora, poiché l’Autorità, correttamente, precisa che non sarà più necessario presentare ulteriori istanze per chi fosse già stato esaminato ma, al contempo, non ha precisato cosa si dovrà fare per adeguare gli aspetti fino ad oggi non considerati. Il Provvedimento generale, peraltro, contiene numerosi altri adempimenti.

Ci riserviamo di tornare sull’argomento in futuro.

I consulenti e i tecnici di Adeia Consulting restano a disposizione per ogni chiarimento.