di Alessandra Delli Ponti (avvocato ed articolista di NL)
Nell’ultima Newsletter del Garante è presente la comunicazione di un interessante caso sottoposto all’attenzione del Garante privacy. Vediamolo in dettaglio.
Il caso
Una grossa azienda (in qualità di titolare del trattamento e datore di lavoro) ha presentato al Garante una richiesta di verifica preliminare ai sensi dell’art. 17 del Codice, relativa al trattamento di dati personali dei propri dipendenti per consentire loro la gestione e la reimpostazione automatica della parola chiave necessaria ad accedere ai sistemi informativi della società “per riconoscimento vocale tramite telefono”.
Il sistema di rilevamento biometrico si basa, appunto, sull’identificazione dell’utente attraverso l’elaborazione dell’impronta vocale, registrata e memorizzata su un server. Per la trasmissione dei dati, nome, cognome, user-id dell’utente (per la realizzazione della procedura di enrollment) e indirizzo di posta elettronica (per l’invio di una comunicazione automatica dal sistema relativa al corretto completamento della procedura), è previsto l’uso di una rete protetta.
Gli utenti durante la cosiddetta fase di addestramento, “parlano” per telefono con il sistema pronunciando per quattro volte tre coppie di parole per rendere possibile la registrazione della voce. Le informazioni vocali così raccolte vengono trasformate in un modello di riferimento digitale (“template”) che il sistema confronta con le parole pronunciate dall’utente che intende cambiare password. Una volta accertata l’identità dell’utente, il sistema procede automaticamente ad impostare la parola chiave comunicandola al dipendente.
Il sistema di riconoscimento, isolato e non comunicante con altri, non verrebbe utilizzato per ulteriori finalità, né è prevista la comunicazione dei dati a terzi fatta eccezione della società incaricata della gestione informatica del sistema di cambio password vocale.
Il giudizio del Garante
Il Garante ha preliminarmente accertato la liceità del trattamento sottoposto alla sua attenzione.
In particolare il Garante ha ricordato che:
– da una parte, “l’adozione di un sistema di autenticazione informatica (mediante il quale gli incaricati dotati di apposite credenziali possono effettuare specifici trattamenti di dati personali), conforme ai requisiti tecnici indicati dalle regole da 1 a 11 dell’Allegato B) al Codice, costituisce una misura di sicurezza che il titolare, il responsabile (ove designato) e l’incaricato sono tenuti ad utilizzare (art. 34, comma 1, lett. a) del Codice)”
– dall’altra, “non sussistono ostacoli alla predisposizione di un sistema più elevato di sicurezza per le procedure connesse alla gestione delle credenziali di autenticazione, nel caso di specie ricorrendo alle caratteristiche biometriche dell’incaricato (cfr. pure regola 2 dell’allegato B) cit.)”.
Nel caso di specie, poi, il Garante ha ritenuto, sulla base degli accertamenti di natura informatica realizzati, ammissibile la centralizzazione in un database delle informazioni personali (in forma di template dell’impronta vocale) trattate nell’ambito del descritto procedimento di riconoscimento biometrico: “allo stato, infatti, l’impronta vocale della persona, nelle forme in cui essa è acquisita e codificata nella specifica applicazione sottoposta a verifica preliminare, non rappresenterebbe un dato biometrico suscettibile di essere in concreto utilizzato per finalità diverse da quella perseguita dal titolare del trattamento”.
Il Garante ha quindi raccomandato al datore di lavoro di:
– designare quale “responsabile del trattamento” la società esterna che opera per consentire il funzionamento del descritto sistema di riconoscimento biometrico (art. 29 del Codice);
– notificare al Garante del trattamento dei dati biometrici, anteriormente al suo inizio (artt. 37, comma 1, lett. a), e 38 del Codice);
– attuare ogni misura, anche minima, di sicurezza prescritta dal Codice (art. 31 ss. e Allegato B), anche per ciò che riguarda il rilascio dall’installatore del sistema del prescritto attestato di conformità e la relativa conservazione presso la propria struttura (regola n. 25 del Disciplinare tecnico in materia di misure minime di sicurezza-Allegato “B” al Codice);
– mettere a disposizione di ciascun utente, unitamente all’informativa che la società deve fornire ai sensi dell’art. 13 del Codice, anche con modalità informatiche, le istruzioni per gli utilizzatori;
– porre in essere idonee misure organizzative per prevenire ogni rischio di abusivo utilizzo dei dati personali raccolti nella fase di addestramento;
– curare la tempestiva cancellazione dei dati personali necessari al funzionamento del descritto sistema, anche presso il responsabile del trattamento, successivamente alla cessazione del rapporto di lavoro o di collaborazione con l’utente.
Commento
Sono sempre più numerosi i casi in cui il Garante acconsente all’utilizzo del dato biometrico, seppur indicando accorgimenti e misure da adottare.
Circa poi l’utilizzo del dato biometrico per l’attuazione di una misura di sicurezza già in passato il Garante aveva avuto modo di pronunciarsi in senso positivo.
Nella relazione annuale per il 2006, il Garante della privacy ha riportato il caso di una richiesta di un’azienda operante nel settore farmaceutico interessata ad introdurre un sistema di credenziali di autenticazione dei propri dipendenti al sistema informatico basato sull’impiego delle impronte digitali. In tale caso il Garante ha ritenuto non necessaria la valutazione preliminare dell’Autorità, tenuto conto della finalità di autenticazione informatica perseguita e della caratteristica biometrica utilizzata nel caso di specie, che non rendeva necessaria la creazione di archivi centralizzati.
Il Garante, infatti, considera oramai acquisito il principio in base al quale, è lecita l’adozione di un sistema di autenticazione informatica (mediante il quale gli incaricati dotati di apposite credenziali, anche biometriche, possono effettuare specifici trattamenti di dati personali) che sia conforme ai requisiti tecnici indicati dalle regole 1-11 dell’Allegato B. al Codice, il sistema medesimo costituisce una misura minima di sicurezza che il titolare, il responsabile (se designato) e gli incaricati sono tenuti a predisporre e applicare (art. 34, comma 1, lett. a), del Codice).
Peraltro anche in altre circostanze il Garante ha evidenziato la necessità, soprattutto per gli enti locali, di adottare “profili di autorizzazione che comportino l’utilizzo di sistemi di strong authentication … anche basata su caratteristiche biometriche”. Il Garante così si è espresso per l’accesso alle banche dati per gli accertamenti fiscali, per l’accesso al CED delle forze di Polizia e per l’accesso agli archivi delle intercettazioni telefoniche.
Ma l’utilizzo del dato biometrico caldeggiato dal Garante in settori particolarmente delicati, è prima di tutto previsto dal Codice Privacy.
Come ricordato anche dal Garante nel provvedimento sopra indicato, infatti, la regola n. 2 del Disciplinare Tecnico del Codice Privacy (allegato B) prevede che “le credenziali di autenticazione consistono in un codice per l’identificazione dell’incaricato … oppure in un dispositivo di autenticazione … oppure in una caratteristica biometrica dell’incaricato, eventualmente associata a un codice identificativo o a una parola chiave”.
Ma sicuramente la strada dell’unione assoluta tra privacy e utilizzo del dato biometrico è ancora lontana e in settore come i luoghi di lavoro, forse non si raggiungerà mai.
