Per evitare responsabilità civili e penali, i titolari del trattamento devono adottare misure minime di sicurezza in base alla tipologia del dato biometrico, della finalità perseguita, dell’ambiente, della modalità di raccolta e conservazione del dato
Negli ultimi tempi si assiste nel mercato ad un’enorme crescita di determinate tecnologie biometriche, quali ad esempio le impronte digitali, utilizzate come credenziali di autenticazione per l’accesso fisico (identificazione di entra e chi esce) e logico (identificazione di chi utilizza pc, banche dati riservate, posta elettronica e simili) ad aree aziendali, private e pubbliche.
Ciò per le caratteristiche proprie del dato biometrico quali:
1) l’universalità, giacchè presente in ognuno di noi;
2) l’esclusività, essendo esso unico per ogni persona;
3) la permanenza, restando il dato biometrico tendenzialmente inalterato nel tempo, o quantomeno soggetto a modificazioni nel lunghissimo periodo.
In linea generale, il trattamento dei dati biometrici per definirsi lecito deve rispettare determinate condizioni, e cioè:
1) il grado di invasività nei confronti degli interessati non deve essere sproporzionato e immotivato;
2) occorre rispettare tutte le disposizioni di legge in materia. Il Garante della Privacy con il provvedimento del 12 novembre 2014 ha adottato le Linee Guida in materia, fornendo ai titolari del trattamento, ai produttori di tali tecnologie, ai fornitori di servizi e in generale a tutti gli interessati, precise informazioni sui presupposti di legittimità del trattamento dei dati biometrici e sulla relativa sicurezza. In particolare, si richiede l’osservanza di precisi adempimenti.
In primis l’informativa di cui all’art. 13 Codice Privacy, cioè l’interessato deve essere informato sul trattamento che verrà fatto dei propri dati personali e ciò prima che egli manifesti il proprio consenso.
Nello specifico, il Garante ha stabilito che è indispensabile:
a) indicare le cautele adottate, i tempi di conservazione dei dati e l’eventuale loro centralizzazione;
b) la natura obbligatoria o facoltativa del conferimento dei dati rispetto al perseguimento della finalità del trattamento. Se, inoltre, è previsto un sistema alternativo o gli interessati non possano o vogliano ricorrere al riconoscimento biometrico, o non ne vogliano più fare uso, deve essere loro indicata una modalità diversa con la quale accedere al servizio di cui si tratta. Ove, infine, il dato biometrico sia registrato in un dispositivo del quale l’utente abbia esclusiva disponibilità, l’informativa dovrà contenere precise indicazioni sulla corretta custodia e sulle operazioni da effettuare in caso di smarrimento, sottrazione o malfunzionamento;
c) le conseguenze di un eventuale rifiuto a rispondere;
d) i soggetti ai quali i dati possono essere comunicati, quelli che ne possono venire a conoscenza giacchè incaricati o responsabili, l’ambito di diffusione;
e) i diritti dell’interessato ex art. 7 Codice Privacy (modifica, rettifica, oscuramento etc. dei dati);
f) gli estremi identificativi del titolare e del responsabile. Va precisato che nel caso in cui il riconoscimento biometrico agisca unitamente ad altro sistema, come ad esempio la videosorveglianza, ciò deve essere indicato in maniera chiara e adeguata.
Ulteriore adempimento che il titolare del trattamento dei dati biometrici deve effettuare è la notificazione al Garante Privacy, la quale non è dovuta qualora il trattamento sia effettuato da esercenti le professioni sanitarie e dagli avvocati, i primi rispetto ai dati non organizzati in una banca dati accessibile a terzi per via telematica, i secondi rispetto alle indagini difensive di cui alla legge 397/2000 o per tutelare o esercitare un diritto in sede giudiziaria, anche da parte di terzo.
Atteso che l’utilizzo dei dati biometrici, per loro natura, presenta rischi specifichi per i diritti e la dignità dell’interessato, il relativo trattamento deve essere sottoposto altresì alla cosiddetta Verifica preliminare da parte del Garante ex art. 17 Codice Privacy, la cui obbligatorietà, peraltro, è stata esclusa dalle Linee Guida per i casi di:
1) autenticazione informatica;
2) controllo di accesso fisico ad aree “sensibili” di soggetti addetti e utilizzo di macchinari e apparati pericolosi;
3) uso delle impronte digitali o della topografia della mano a scopi facilitativi;
4) sottoscrizione di documenti informatici. La mancata istanza di verifica preliminare, ove obbligatoria, rappresenta un illecito amministrativo e comporta una sanzione pecuniaria dai 10.000 ai 120.000 euro.
Per evitare responsabilità civili e penali, i titolari del trattamento devono adottare inoltre misure minime di sicurezza in base alla tipologia del dato biometrico, della finalità perseguita, dell’ambiente, della modalità di raccolta e conservazione del dato, come meglio specificato agli artt. 33 e 34 e all’Allegato B del Codice Privacy. L’Autorità Garante distingue tra misure minime di sicurezza, che garantiscono una soglia minima di protezione, e misure idonee di sicurezza, che vanno valutate in base al progresso tecnologico. Al di là dei danni patrimoniali e di immagine in caso di accessi non autorizzati per mancata adozione delle misure di sicurezza, minime e idonee, l’omissione delle misure di sicurezza minime è punita sia a livello penale (reclusione dai 6 fino ai 24 mesi) che amministrativo (la sanzione pecuniaria da 10.000 euro a 50.000 euro), laddove per le ipotesi di mancata adozione delle misure idonee di sicurezza è prevista una responsabilità civile ex art. 2050 c.c., alla quale il titolare del trattamento può sottrarsi solo se fornisce la prova di aver comunque adottato tutte le cautele possibili per evitare il danno, laddove il danneggiato deve dimostrare solo l’esistenza del danno medesimo. Al verificarsi di episodi di violazione di dati o di incidenti informatici, come ad esempio accessi abusivi, questi ultimi devono infine essere comunicati all’Autorità Garante entro 24 ore dalla conoscenza del fatto. Modulistica, provvedimenti e ulteriori informazioni in materia di dati biometrici sono reperibili sul sito Istituzionale del Garante della Privacy.