Con un provvedimento generale di carattere prescrittivo del 12 novembre 2014, il Garante per la protezione dei dati personali ha fornito un quadro unitario di misure di carattere tecnico, organizzativo e procedurale per consentire ai titolari di conformare i trattamenti di dati biometrici alla disciplina vigente in materia di dati personali e per accrescerne i livelli di sicurezza.

In ragione dei particolari rischi connessi al trattamento di dati biometrici, per tale tipologia di trattamento è necessario sottoporre al Garante una richiesta di verifica preliminare ai sensi dell’art 17 del Codice Privacy.

Con il provvedimento in questione il Garante ha individuato alcune tipologie di trattamenti che presenterebbero minori rischi e che, pertanto, qualora posti in essere nel rispetto delle regole dettate, non necessiterebbero della verifica preliminare da parte dell’Autorità.

Questi i casi di esonero previsti dal provvedimento:

1. a) Nell’autenticazione informatica, il trattamento di caratteristiche biometriche utilizzate come credenziali per l’accesso a banche dati e sistemi informatici (impronta digitale o emissione vocale), può avvenire, anche senza il consenso dell’interessato, purché sia svolto nel rispetto delle prescrizioni dettate per la raccolta, la cancellazione e la conservazione dei dati.
2. b) Nel controllo dell’accesso fisico a luoghi “sensibili”, il trattamento di caratteristiche biometriche (impronta digitale o topografia della mano) può avvenire, anche senza il consenso dell’interessato, purché sia posto in essere nel rispetto delle prescrizione dettate dal provvedimento per l’acquisizione, la trasmissione tra dispositivi di acquisizione e postazioni di controllo e per la conservazione del riferimento biometrico.
3. c) Al fine di regolare e semplificare l’accesso fisico di utenti ad aree fisiche pubbliche (es. biblioteche) o private o a servizi, possono utilizzarsi caratteristiche biometriche (impronta digitale o topografia della mano). In tal caso il trattamento dovrà avvenire, oltre che nel rispetto delle prescrizioni dettate, solo previa acquisizione del consenso dell’interessato. Devono comunque essere previste modalità alternative per chi rifiuta di rilasciare i propri dati biometrici.
4. d) Per la sottoscrizione di documenti informatici, è ammesso il trattamento di dati biometrici costituiti da informazioni dinamiche associate all’apposizione a mano libera di una firma autografa avvalendosi di specifici dispositivi hardware, laddove si utilizzino sistemi di firma grafometrica posti a base di una soluzione di firma elettronica avanzata, così come definita dal D. Lgs. 82/2005, che non prevedono la conservazione centralizzata di dati.

In ambito pubblico non è necessario il consenso dell’interessato se il trattamento di dati biometrici è necessario per il perseguimento di finalità istituzionali; al contrario, in ambito privato il presupposto di legittimità di tale trattamento è dato dal consenso libero degli interessati, che ha validità, fino alla sua revoca, per tutti i documenti da sottoscrivere. Deve sempre rendersi disponibile un sistema alternativo di sottoscrizione (cartaceo o digitale) che non comporti l’utilizzo di dati biometrici.

I dati biometrici e grafometrici non possono essere conservati, neanche temporaneamente, su dispositivi hardware utilizzati per la raccolta, ma devono essere memorizzati all’interno dei documenti informatici sottoscritti in forma cifrata tramite sistemi di crittografia a chiave pubblica con dimensione della chiave adeguata al ciclo di vita del documento e certificato digitale emesso da un certificatore accreditato.

L’accesso al modello grafometrico cifrato può avvenire esclusivamente tramite l’utilizzo della chiave privata e solo in caso di insorgenza di un contenzioso sull’autenticità della firma, a seguito di richiesta dell’autorità giudiziaria.

Al fine di informare i titolari del trattamento, i produttori di tecnologie biometriche e i fornitori di servizi, il Garante ha adottato delle Linee guida in materia di riconoscimento biometrico e firma grafometrica, che costituiscono parte integrante del provvedimento.

Per i titolari di trattamenti biometrici che rientrano nei casi di esonero e che abbiano già richiesto la verifica preliminare ai sensi dell’art. 17, il provvedimento dispone di comunicare la conformità del trattamento alle regole prescritte e che tale comunicazione comporterà il non luogo a provvedere sulle relative istanze.

Il Garante per la protezione dei dati personali ha reso noto di aver approvato, al termine della verifica preliminare ex art. 17 del Codice Privacy, due sistemi per la raccolta della firma grafometrica dei cliente da parte dei promotori finanziari, tramite l’utilizzo di tablet.

Le due richieste sono state avanzate da Telecom Italia Trust Technologies s.r.l. e Banca Generali S.p.A da un lato, e Fineco Bank S.p.A. dall’altro, per servizi che avrebbero come beneficio anche quella di ridurre il rischio di frodi e diminuire i casi di contenzioso conseguente al disconoscimento di firma.

In estrema sintesi, Telecom Italia Trust Technologies s.r.l. e Banca Generali S.p.A  vorrebbero dotarsi di un sistema di raccolta dei dati biometrici delle sottoscrizioni dei clienti che consterebbe di due fasi distinte: in un primo momento Telecom Italia Trust Technologies S.r.l., nella sua qualità di società di certificazione, acquisirebbe, mediante l’apposizione della firma su un tablet, le “caratteristiche” biometriche della sottoscrizione, da associare ai dati anagrafici del cliente.

Raccolti in un data base,  questi “esemplari” sarebbero comunicati a Banca Generali S.p.A. in modo da servire come raffronto per autenticare, sempre mediante firma su tablet, i clienti nel momento in cui decidono di sottoscrivere un contratto.

Con il provvedimento n. 2938921 il Garante, dopo aver precisato che il trattamento dei dati risulta essere lecito, prescrive l’adozione di alcuni accorgimenti soprattutto volti a garantire un adeguato livello di sicurezza.  Precisa, a differenza di quanto richiesto dalle parti, che i soggetti coinvolti devono essere considerati come co-titolari del trattamento dei dati personali in quanto unica è la finalità.

Il secondo provvedimento segnalato dal Garante, il n. 2683533, riguarda una richiesta avanzata da parte di Fineco Bank S.p.A. la quale utilizzerebbe il servizio di firma grafometrica non come autenticazione del cliente, bensì come vera e propria sottoscrizione valida per la conclusione di contratti, i quali verrebbero conservati in modalità cifrata. L’adesione al servizio sarebbe comunque su base volontaria e facoltativa.

Anche in questo caso il Garante, dopo aver validato la modalità di trattamento dei dati, sottolinea però l’importanza di salvaguardare la sicurezza dei dispositivi mobile e di predisporre adeguate policy in ipotesi di incidenti.