Tra privacy e nuove tecnologie: la biometria
I dati biometrici sono dati personali, poiché possono sempre essere considerati come “informazione concernente una persona fisica identificata o identificabile (…)”, e come tali rientrano quindi nell’ambito di applicazione del vigente Codice in materia di protezione dei dati personali (art. 4, comma 1, lettera b).
Sono considerati dati biometrici i campioni biometrici, i modelli biometrici, i riferimenti biometrici e ogni altro dato ricavato con procedimento informatico da caratteristiche biometriche e che possa essere ricondotto, anche tramite interconnessione ad altre banche dati, a un interessato individuato o individuabile. I dati biometrici sono, per loro natura, direttamente, univocamente e in modo tendenzialmente stabile nel tempo, collegati all’individuo e denotano la profonda relazione tra corpo, comportamento e identità della persona (basti pensare all’immagine facciale o ai dati dattiloscopici).
Le peculiari caratteristiche dei dati biometrici, fanno ritenere necessario assoggettare il loro trattamento, all’ obbligo di comunicare al Garante il verificarsi di violazioni dei dati (data breach) o incidenti informatici (accessi abusivi, azione di malware…) che, pur non avendo un impatto diretto su di essi, possano comunque esporli a rischi di violazione. A questo fine, entro ventiquattro ore dalla conoscenza del fatto i titolari comunicano all’Autorità tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui sistemi biometrici o sui dati personali ivi custoditi.
L’adozione di sistemi biometrici, in ragione della tecnica prescelta, del contesto di utilizzazione, del numero e della tipologia di potenziali interessati, delle modalità e delle finalità del trattamento, può comportare quindi rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato. In ragione di ciò, qualora si intenda provvedere al trattamento di dati biometrici, è necessario presentare al Garante una richiesta di verifica preliminare, ai sensi dell’art. 17 del Codice. Sulla base dell’esperienza maturata, però, il Garante ha ritenuto di individuare, con il Provvedimento generale prescrittivo del 12 novembre 2014, talune tipologie di trattamento che, in considerazione delle specifiche finalità perseguite, della tipologia dei dati trattati e delle misure di sicurezza che possono essere concretamente adottate a loro protezione, presentano un livello di rischio ridotto.
In relazione a tali specifiche tipologie di trattamenti non è quindi necessario per i titolari presentare la predetta istanza, a condizione che vengano adottate tutte le misure e gli accorgimenti tecnici idonei a raggiungere gli obiettivi di sicurezza individuati con il presente provvedimento e siano rispettati i principi generali di liceità, finalità, necessità e proporzionalità dei trattamenti. Il Garante si riserva di prevedere, alla luce dell’esperienza maturata e dell’evoluzione tecnologica, ulteriori ipotesi di esonero ma continua a dedicare particolare attenzione alla messa in sicurezza delle tecnologie mobili (come tablet o pc) che potrebbero più facilmente essere compromesse o smarrite.
Entrando nel vivo del tema, svariati sono gli usi che possono essere fatti della biometria.
Le caratteristiche biometriche possono essere utilizzate come credenziali di autenticazione per l’accesso a banche dati e sistemi informatici, laddove è richiesta maggior certezza nell’identificazione degli utenti per particolari profili di rischio relativi alle informazioni trattate e alla tipologia di risorse informatiche impiegate. L’adozione di sistemi biometrici basati sull’elaborazione dell’impronta digitale o della topografia della mano può poi essere consentita per limitare l’accesso ad aree e locali ritenuti “sensibili” in cui è necessario assicurare elevati e specifici livelli di sicurezza oppure per consentire l’utilizzo di apparati e macchinari pericolosi ai soli soggetti qualificati e specificamente addetti alle attività. Appartengono a tale ambito, per esempio le aree in cui sono conservati oggetti di particolare valore. Le tecniche biometriche possono anche prestarsi a essere utilizzate per consentire, regolare e semplificare l’accesso fisico di utenti ad aree fisiche in ambito pubblico (es. biblioteche) o privato (es. aree aeroportuali riservate) o a servizi. Infine, ma non da ultimo, anche per sottoscrivere documenti informatici. L’utilizzo di tali sistemi, da un lato, si giustifica al fine di contrastare eventuali tentativi di frode e il fenomeno dei furti di identità e, dall’altro, ha lo scopo di rafforzare le garanzie di autenticità e integrità dei documenti informatici sottoscritti, anche in vista di un eventuale contenzioso legato al disconoscimento della sottoscrizione. In tali casi, il presupposto di legittimità del trattamento dei dati biometrici è dato dal consenso, effettivamente libero degli interessati ovvero, in ambito pubblico, dal perseguimento delle finalità istituzionali del titolare. Il consenso è espresso dall’interessato all’atto di adesione al servizio di firma grafometrica e ha validità, fino alla sua eventuale revoca, per tutti i documenti da sottoscrivere.
L’evidente e particolare delicatezza della questione ha portato l’Autorità garante per la protezione dei dati personali a pronunciarsi sulla relazione tra privacy ed utilizzo di dati biometrici nell’ambito del rapporto di lavoro, a seguito della richiesta di una pronuncia preliminare in riferimento all’art. 17 del Codice privacy, avanzata da un’azienda italiana. L’azienda ha chiesto di verificare la regolarità di un eventuale trattamento di dati biometrici dei dipendenti, attuabile per registrarne gli accessi alle sedi aziendali e quindi controllarne le presenze sul lavoro anche a fini retributivi e disciplinari.
L’Autorità si è espressa evidenziando, a priori, due aspetti legali:
- la necessità di informare in modo compiuto i dipendenti circa i dati loro richiesti e le modalità di gestione degli stessi;
- la necessità di garantire ai dipendenti la possibilità di registrare la propria presenza sul lavoro attraverso metodi alternativi (per esempio: firma su registro, timbratura con sistemi meccanici o elettronici) rifiutando quindi il conferimento all’azienda di dati biometrici.
Quindi, entrando nel merito della richiesta in esame, sulla base dei principi di necessità e pertinenza stabiliti dal Codice privacy vigente, l’Autorità ha dichiarato illegittimo l’utilizzo di dati biometrici per la registrazione delle presenze dei dipendenti presso la sede di lavoro. Secondo il Garante tale attività, che pure rientra nei diritti del datore di lavoro, può essere svolta in modo efficiente ed affidabile utilizzando strumenti di registrazione tradizionali: per l’Autorità, la richiesta di acquisire dati biometrici appare dunque sproporzionata, per la salvaguardia del diritto alla privacy dell’individuo, rispetto alle finalità gestionali dell’iniziativa. Per il Garante, le tecniche biometriche non possono essere utilizzate se è possibile l’uso di strumenti meno invasivi, anche se più costosi per l’azienda. In deroga a questa regola, e con precise limitazioni, ne è consentito l’uso nei casi in cui il diritto alla pubblica sicurezza prevale sul diritto individuale alla privacy, ad esempio, per finalità di controllo antiterroristico, o per il controllo degli accessi all’interno d’impianti produttivi operanti su materiale altamente pericoloso.
Proprio alla luce di tutte queste considerazioni, si deve leggere la recente approvazione del Garante privacy alla sperimentazione di un progetto pilota di autenticazione basato sul riconoscimento vocale e facciale per la consegna dei cedolini on line. Il Consorzio per il Sistema Informativo (Csi) Piemonte potrà testare in un contesto “reale” e per un periodo di tempo limitato una app installata sugli smartphone di quei dipendenti che accetteranno di utilizzarla per accedere al servizio “cedolini on line”, in alternativa al sistema in uso basato su user ID e password.
Per l’eventuale messa a regime dell’applicazione, il Garante per la Privacy dovrà poi dare una nuova autorizzazione, anche sulla base dei risultati emersi durante la fase di test.
Anna Rovesti nasce a Modena il 31 ottobre 1992.
Conseguita la maturità classica, prosegue i suoi studi presso il Dipartimento di Giurisprudenza dell’Università degli Studi di Modena e Reggio Emilia e consegue la laurea a luglio 2016 con il massimo dei voti.
La passione e l’interesse per Informatica giuridica e il Diritto dell’informazione e delle comunicazioni la portano ad approfondire in particolar modo queste materie grazie a corsi universitari, seminari di approfondimento e la partecipazione a luglio 2015 tramite l’Associazione ELSA (European Law Student Association) di cui è socia alla Summer Law School di Copenhagen in Media Law. Proprio in quest’ambito decide di redigere la tesi di laurea dal titolo: “Disciplina della libertà di stampa alla prova delle nuove comunicazioni telematiche. Libertà di espressione e di informazione tra ordinamento italiano e prospettive sovranazionali”.
Grazie a un tirocinio formativo presso COOPSERVICE S. Coop. p. A. in area legale-privacy, riesce a mettere a frutto l’interesse per questo ambito, affiancando il tutor aziendale e le figure senior dell’ufficio nella gestione della modulistica, di comunicati, lettere, avvisi e convocazioni d’uso comune legati alla normativa sulla protezione dei dati personali.
Attualmente lavora come praticante consulente del lavoro in uno studio di Modena prestando consulenza legale in materia giuslavoristica e nella gestione delle risorse umane (gestione del personale inviato all’estero con assistenza contrattuale fiscale e previdenziale, assistenza giudiziale e stragiudiziale in controversie inerenti il rapporto di lavoro, assistenza nelle procedure concorsuali e di licenziamento individuale e collettivo, trattative sindacali inerenti a contratti integrativi aziendali, gestione di survey aziendali finalizzate all’implementazione di piani di welfare, assistenza nella predisposizione di piani relativi ai premi di produzione e di risultato, ecc).
La sua collaborazione con “Ius in itinere” nasce dal desiderio di mettersi in gioco come giurista, studiosa e giovane lavoratrice alle prese con il mondo del diritto, tanto complesso quanto affascinante.
Una forte determinazione, senso del dovere e capacità di organizzazione la contraddistinguono nella vita e nel lavoro.
Email: anna.rovesti@iusinitinere.it
