Con provvedimento generale prescrittivo in tema di biometria – adottato a seguito di una consultazione pubblica e in corso di pubblicazione sulla Gazzetta Ufficiale, con le Linee Guida allegate e un modulo per la comunicazione all’Autorità di violazioni dei sistemi biometrici – il Garante per la privacy ha approvato un quadro unitario di misure e accorgimenti di carattere tecnico, organizzativo e procedurale per mantenere alti livelli di sicurezza nell’utilizzo di particolari tipi di dati biometrici, semplificando altresì alcuni adempimenti.

Il Garante in particolare ha individuato alcune tipologie di trattamento che, per le specifiche finalità perseguite, presentano un livello ridotto di rischio e non necessitano più della verifica  preliminare da parte dell’Autorità.

La semplificazione riguarderà solo specifiche tipologie di trattamento, che non necessiteranno appunto del consenso dell’utente, quali:  

  • Autenticazione informatica
  • Controllo di accesso fisico ad aree “sensibili” e utilizzo di apparati e macchinari pericolosi
  • Sottoscrizione di documenti informatici
  • Scopi facilitativi di accesso fisico di utenti ad aree fisiche in ambito pubblico (es. biblioteche) o privato (es. aree aeroportuali riservate).

Le Linee guida allegate al provvedimento hanno lo scopo di informare i titolari di trattamento, i produttori di tecnologie biometriche, i fornitori di servizi e gli interessati sui diversi aspetti connessi alla protezione dei dati personali, ivi compresi quelli relativi alla sicurezza, e sui presupposti di legittimità dei trattamenti dei dati biometrici.

Si ricorda che tutte le violazioni dei dati o gli incidenti informatici (“data breaches”) che possano avere un impatto significativo sui sistemi biometrici o sui dati personali custoditi, dovranno essere comunicati da chi detiene i dati al Garante entro 24 ore dalla scoperta, così da consentire di adottare opportuni interventi a tutela delle persone interessate. A tal fine è stato predisposto un modulo che consente di semplificare il predetto adempimento.

Il provvedimento prescrive altresi’ ai titolari di trattamenti biometrici che non abbiano richiesto la verifica preliminare al Garante: a) di adottare – entro centottanta giorni dalla pubblicazione del provvedimento sulla Gazzetta Ufficiale della Repubblica Italiana – le misure e gli accorgimenti di cui al paragrafo 4, qualora i trattamenti siano compresi nei casi di esonero dall’obbligo di verifica preliminare; ovvero b) di sospendere – entro il medesimo termine – i trattamenti e di sottoporre gli stessi a verifica preliminare, con interpello al Garante ai sensi dell’art. 17 del Codice;

Inoltre, il provvedimento invita i titolari dei trattamenti biometrici compresi nei casi di esonero dall’obbligo di verifica preliminare, i quali abbiano già presentato istanza, tuttora pendente, ex art. 17 del Codice, a comunicare al Garante – entro trenta giorni dalla pubblicazione del presente provvedimento sulla Gazzetta Ufficiale della Repubblica Italiana – la conformità del trattamento alle prescrizioni ivi contenute ovvero la propria intenzione di conformarvisi. La presentazione della comunicazione comporta il non luogo a provvedere sulle relative istanze. Le istanze di verifica preliminare in relazione alle quali non sia stata presentata la comunicazione di cui al periodo che precede verranno valutate dal Garante secondo le ordinarie procedure.