Il Regime Giuridico dei Sistemi di Riconoscimento Biometrico (parte 2)

Pubblicato il 11 aprile 2011 da admin

biometricaCome ogni sistema di autenticazione informatica, anche un dispositivo basato su credenziali biometriche dovrà, comunque, essere conforme alle Regole 1-11 del Disciplinare tecnico, ove compatibili. In particolare:
- nelle istruzioni impartite ad ogni incaricato dovrà essere prescritta l’adozione delle cautele necessarie ad assicurare la diligente custodia dei dispositivi in possesso ed uso esclusivi (Regola 4);
- le credenziali di autenticazione dovranno essere disattivate se non utilizzate da almeno sei mesi (Regola 7) ovvero nel caso di perdita della qualità che consente all’incaricato l’accesso ai dati personali (Regola 8).

In via prudenziale, inoltre, sempre in quanto compatibili, andranno osservate anche le prescrizioni di cui al Decalogo del Garante del 09.05.2006 che, seppure più propriamente dettate con riferimento a sistemi di “identificazione” per l’accesso a determinati locali o aree aziendali, sono precetti ispirati a criteri generali in materia di trattamento di dati personali, il cui rispetto, pertanto, si impone ogni qualvolta vi sia un’operazione qualificabile come tale.

Alla luce di quanto precede, pare potersi affermare che, ferma l’ammissibilità dell’autenticazione biometrica per fini di sicurezza, l’identificazione biometrica è giustificata solo in casi particolari, tenuto conto delle finalità e del contesto in cui i dati biometrici sono trattati; in relazione ai luoghi di lavoro per presidiare accessi ad “aree sensibili”, considerata la natura delle attività ivi svolte: si pensi, per esempio, a processi produttivi pericolosi (cfr. Provv. 15.06.2006) o sottoposti a segreti di varia natura (cfr. Provv. 23.11.2005) o al fatto che particolari locali siano destinati alla custodia di beni, documenti segreti o riservati o oggetti di valore (cfr. Provv. 15.06.2006), oppure per tutelare la sicurezza di terzi (cfr. Provv. 26.07.2006).
In ogni caso, a prescindere dal sistema adottato e dal processo cui detto è preordinato (autenticazione ovvero identificazione) va tenuto conto che la raccolta e la registrazione dei dati biometrici per l’autenticazione o per l’identificazione degli interessati sono, a tutti gli effetti, operazioni di trattamento di dati personali, rispetto alle quali trovano applicazione la normativa di cui al Codice e le indicazioni dell’Autorità Garante (specie se rese ai sensi dell’art. 154, 1 comma, lett.c) del Codice).

E, dunque, oltre a quanto sin qui esposto:
- l’art. 2, il quale garantisce che il trattamento si svolga nel rispetto della dignità dell’interessato (detto principio, in particolare, fa emergere la necessità di rispettare l’autonomia delle persone di fronte a particolari raccolte di dati);
- l’art. 3, che introduce, e disciplina, il principio di necessità; principio che impone di accertare se la finalità perseguita non possa essere raggiunta con l’impiego di dati che non coinvolgano il corpo;
- l’art. 11, secondo cui i dati devono essere trattati secondo liceità e correttezza; raccolti e registrati per scopi determinati, espliciti e legittimi; esatti e, se necessario, aggiornati; pertinenti e non eccedenti rispetto alle finalità della raccolta e del successivo trattamento; conservati in una forma che consenta l’identificazione dell’interessato per un tempo non superiore a quello necessario agli scopi del trattamento;
- l’art. 13, che prevede l’obbligo di informativa, da rendere, chiaramente e senza formule ambigue, a tutti gli interessati; precisa, a tal fine, l’Autorità Garante che nella predetta il Titolare del trattamento dovrà aver cura di indicare, altresì, l’esistenza di pratiche alternative di autenticazione ovvero di identificazione “in relazione all’eventualità che taluno non possa o non intenda aderire alla rilevazione biometrica ”;
- l’art. 17, che, per fattispecie particolari o non considerate dal Garante, introduce l’onere di sottoporre il sistema biometrico a verifica preliminare dell’Autorità. Giova precisare, a riguardo, che non può desumersi alcuna approvazione implicita dal semplice inoltro al Garante di note relative a progetti cui non segua un esplicito riscontro dell’Autorità, in quanto il principio del silenzio-assenso non trova applicazione;
- l’art. 23, che prescrive al Titolare di acquisire, precedentemente all’inizio delle operazioni di trattamento, il consenso degli interessati; con la conseguenza che, qualora un soggetto non possa o non voglia sottoporsi alla rilevazione biometrica, deve essere predisposto un sistema alternativo di autenticazione ovvero di identificazione;
- artt. 29 e 30, che disciplinano l’obbligo di designazione per iscritto del personale preposto alla raccolta dei dati biometrici, cui impartire idonee istruzioni operative cui attenersi in veste di incaricato o di responsabile del trattamento;
- gli artt. 31 e 33, unitamente al Disciplinare tecnico di cui all’Allegato B; trattasi di precetti che impongono l’adozione di misure minime ed idonee a presidio della sicurezza del sistema . Tra le predette si segnala come idonea la predisposizione di un programma di formazione degli incaricati, cui segua la consegna agli stessi di apposite istruzioni scritte alle quali attenersi, con particolare riguardo all’ipotesi di smarrimento o sottrazione del dispositivo loro affidato;
- l’art. 37, che onera il Titolare della notificazione preventiva del trattamento biometrico che intende porre in essere;
- le prescrizioni dell’Autorità Garante di cui al Provvedimento del 27.11.2008 , atteso che, secondo la nozione di amministratore di sistema ivi fornita, anche coloro che presidiano un sistema di rilevazione biometrica rientrano nella predetta categoria.

Resta ferma, peraltro, la necessità che, ove il caso concreto lo richieda, l’installazione di un sistema di riconoscimento biometrico avvenga nel rispetto delle garanzie procedurali previste dall’art.4, 2 comma, della L.20.05.1970 n.300 (Statuto dei lavoratori), richiamata dall’art. 114 del Codice.
Atteso quanto si è detto, appare di tutta evidenza che, a monte di ogni progetto di rilevazione di dati biometrici, la regola tecnica deve essere posta al vaglio del precetto giuridico. Ed invero molti processi sottoposti a verifica preliminare, ancorché aderenti alle prescrizioni tecniche indicate dall’Autorità Garante, non hanno ottenuto il placet della medesima, in quanto non conformi alle indicazioni di legge in tema di privacy, per contrasto, anzitutto, con i principi di necessità e di proporzionalità tra lo strumento impiegato e le finalità prospettate.

Avv. Luca Giacopuzzi
STUDIO LEGALE GIACOPUZZI
D I R I T T O d’ I M P R E S A
http://www.studiogiacopuzzi.it/

Questa voce è stata pubblicata in Privacy. Contrassegna il permalink.

Una risposta a Il Regime Giuridico dei Sistemi di Riconoscimento Biometrico (parte 2)

  1. Pingback: Il Regime Giuridico dei Sistemi di Riconoscimento Biometrico | Legisnet

Lascia un Commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

*

È possibile utilizzare questi tag ed attributi XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>