PRESCRIZIONI DEL GARANTE PRIVACY PER IL TRATTAMENTO DI DATI BIOMETRICI
A cura di Laura Liguori (socio) e Federica De Santis (associato)
In data 12 novembre 2014 il Garante per la protezione dei dati personali (“Garante Privacy”) ha adottato
un provvedimento generale in tema di biometria, che, unitamente alle “Linee-guida in materia di
riconoscimento biometrico e firma grafometrica” ad esso allegate, fissa un quadro unitario di misure e
accorgimenti di carattere tecnico, organizzativo e procedurale per i trattamenti di particolari tipi di dati
biometrici (come le impronte digitali, la topografia della mano o le caratteristiche della firma autografa) (di
seguito, “Provvedimento”).
Il Provvedimento (che è stato oggetto di una consultazione pubblica nel 2014 – si veda sul punto la nostra
Newsletter di giugno 2014) appare di grande interesse anche alla luce della crescente diffusione di tecniche
biometriche per il controllo degli accessi a luoghi, per l’autenticazione di utenti o per la sottoscrizione di
documenti informatici.
Il tema è stato affrontato anche in alcuni pareri del Gruppo di Lavoro europeo per la protezione dei dati
personali istituito ai sensi della Direttiva 95/46/CE (Article 29 Data Protection Working Party – “WP29”), in
particolare nel documento di lavoro sulla biometria (WP80) del 1 agosto 2003, e nel parere n. 3/2012 sugli
sviluppi nelle tecnologie biometriche (WP193).
In ambito nazionale, il Garante Privacy è intervenuto più volte a seguito della presentazione di istanze di
verifica preliminare ai sensi dell’art. 17 del Codice in materia di protezione dei dati personali (D. Lgs. 30
giugno 2003, n. 196, di seguito “Codice Privacy”), con provvedimenti che hanno in alcuni casi vietato e in
altri ammesso, pur nel rispetto di specifiche prescrizioni, i trattamenti prefigurati.
Dati biometrici
Il Codice Privacy non offre una definizione di “dati biometrici”. Ai fini del Provvedimento in esame, il
Garante Privacy richiama la definizione fornita dal WP29 nel parere WP193 sugli sviluppi nelle tecnologie
biometriche sopra citato, che definisce tali dati come “proprietà biologiche, aspetti comportamentali,
caratteristiche fisiologiche, tratti biologici o azioni ripetibili laddove tali caratteristiche e/o azioni sono tanto
1
proprie di un certo individuo quanto misurabili, anche se i metodi usati nella pratica per misurarli
tecnicamente comportano un certo grado di probabilità”.
Sulla scorta di tale definizione, si considerano dati biometrici le impronte digitali, la topografia della mano,
l’impronta vocale, le caratteristiche del volto, ecc.
Il Provvedimento ricorda che i dati biometrici, in quanto dati personali, devono essere trattati in
conformità alle disposizioni del Codice Privacy, e in particolare nel rispetto dei principi di liceità, necessità,
finalità e proporzionalità.
Informativa Privacy
Prima dell’inizio del trattamento, il titolare deve fornire agli interessati un’informativa idonea e specifica
sull’utilizzo dei dati biometrici. Nell’informativa, contenente tutti gli elementi previsti dall’art. 13 del Codice
Privacy, occorre puntualizzare, in particolare, la finalità perseguita e la modalità del trattamento, le cautele
adottate, i tempi di conservazione dei dati, l’eventuale centralizzazione di tali dati.
Nel caso in cui i sistemi utilizzati siano potenzialmente idonei al rilevamento di dati biometrici
dell’interessato senza la sua cooperazione (come può avvenire in alcuni casi di riconoscimento facciale,
vocale o comportamentale), occorre informare gli interessati, anche attraverso apposita segnaletica, dando
loro la possibilità di scelta relativamente all’accesso a una zona soggetta a tale tipo di controlli biometrici.
Qualora il dato biometrico sia registrato in un dispositivo posto nell’esclusiva disponibilità dell’interessato
(ad esempio, uno smartphone), l’informativa dovrà fornire adeguate istruzioni sulla sua corretta custodia e
sugli adempimenti connessi ad un eventuale suo smarrimento, sottrazione, malfunzionamento.
Notifica al Garante Privacy
Il trattamento dei dati biometrici deve essere notificato al Garante Privacy ai sensi dell’articolo 37, comma
1, lett. a), del Codice Privacy.
Verifica preliminare
I dati biometrici sono, per loro natura, direttamente e univocamente collegati all’individuo e denotano
un’intrinseca, universale e irreversibile relazione tra corpo e identità. L’utilizzo di sistemi biometrici rientra,
pertanto, tra i trattamenti che presentano ‘rischi specifici’ per i diritti, le libertà fondamentali e la dignità
dell’interessato, e dovrà essere svolto previa richiesta di verifica preliminare (cd. prior checking) al Garante
Privacy ai sensi dell’art. 17 del Codice Privacy.
Con il Provvedimento, il Garante Privacy ha individuato alcune tipologie di trattamento di dati biometrici
che, per le specifiche finalità perseguite, la tipologia di dati trattati e le misure di sicurezza che possono
essere concretamente adottate a loro protezione, presentano un livello di rischio ridotto e non
necessitano della verifica preliminare da parte del Garante. Il Provvedimento individua le seguenti tipologie
di trattamento:
2




autenticazione informatica: le caratteristiche biometriche dell’impronta digitale o dell’emissione
vocale di una persona potranno essere utilizzate come credenziali di autenticazione per l’accesso a
banche dati e sistemi informatici, laddove sia richiesta maggior certezza nell’identificazione degli
utenti per particolari profili di rischio relativi ai dati trattati e alla tipologia di risorse informatiche
impiegate. Tale trattamento può essere effettuato senza il consenso dell’interessato in
applicazione dell’istituto del c.d. bilanciamento di interessi di cui all’articolo 24, comma 1, lett. g),
del Codice Privacy;
controllo di accesso fisico ad aree “sensibili” dei soggetti addetti e utilizzo di apparati e macchinari
pericolosi: le caratteristiche dell’impronta digitale o della topografia della mano potranno essere
trattate per consentire l’accesso ad aree e locali ritenuti “sensibili” (ad esempio, aree destinate allo
svolgimento di attività aventi carattere di particolare segretezza o in cui sono conservati oggetti di
particolare valore) oppure per consentire l’utilizzo di apparati e macchinari pericolosi ai soli
soggetti qualificati. Anche tale trattamento può essere svolto senza il consenso dell’interessato in
applicazione dell’istituto del c.d. bilanciamento di interessi, sopra richiamato;
sottoscrizione di documenti informatici con tecniche biometriche basate sul rilevamento della
dinamica di apposizione della firma autografa (cd. firma grafometrica): l’analisi dei dati biometrici
associati all’apposizione a mano libera di una firma autografa tramite specifici dispositivi hardware
(ad esempio, tablet) è ammesso in assenza di verifica preliminare laddove si utilizzino sistemi di
firma grafometrica posti a base di una soluzione di firma elettronica avanzata. L’utilizzo di tali
sistemi, da un lato, si giustifica al fine di contrastare eventuali tentativi di frode e furti di identità e,
dall’altro, ha lo scopo di rafforzare le garanzie di autenticità e integrità dei documenti informatici
sottoscritti. Il trattamento in questione è consentito solo con il consenso degli interessati. I titolari
del trattamento dovranno rendere disponibili sistemi alternativi (cartacei o digitali) di
sottoscrizione, che non comportino l’utilizzo di dati biometrici;
uso delle impronte digitali o della topografia della mano a scopi “facilitativi”: l’impronta digitale e
la topografia della mano potranno essere utilizzate per consentire, regolare e semplificare
l’accesso di utenti ad aree pubbliche (ad esempio, biblioteche) o private (ad esempio, aree
aeroportuali riservate), o a servizi. Il trattamento in questione è consentito solo con il consenso
degli interessati. I titolari del trattamento dovranno consentire l’uso di sistemi alternativi di accesso
che non siano basati su dati biometrici.
I trattamenti sopra citati sono esonerati dalla verifica preliminare del Garante Privacy a condizione che
siano adottate le specifiche misure e gli accorgimenti tecnici individuati dal Provvedimento per ciascuna
delle tipologie sopra considerate (tra cui, ad esempio, l’obbligo di cifrare il riferimento biometrico con
tecniche crittografiche), ferma restando la necessità di assicurare che il trattamento si svolga in conformità
al Codice Privacy. Per i trattamenti di dati che prevedono la realizzazione di archivi biometrici centralizzati è
in ogni caso necessaria la verifica preliminare del Garante Privacy.
Comunicazione della violazione dei dati biometrici (data breach)
Il Provvedimento introduce l’obbligo, per tutti i titolari di dati biometrici, di comunicare al Garante Privacy il
verificarsi di violazioni dei dati (data breach) o incidenti informatici (ad esempio, accessi abusivi, azione di
malware) che possano avere un impatto significativo sui sistemi biometrici o sui dati personali ivi custoditi.
La comunicazione dovrà essere trasmessa via posta elettronica o PEC (all’indirizzo
3
[email protected]) entro ventiquattro ore dalla conoscenza del fatto, utilizzando il
modello di cui all’allegato B al Provvedimento.
Si ricorda che un obbligo di comunicazione di data breaches è previsto dal Codice Privacy (art. 32-bis) per i
fornitori di servizi di comunicazione elettronica accessibili al pubblico.
4