Garante per la protezione
    dei dati personali


Vedi: Documento sottoposto a consultazione pubblica

Vedi anche

-comunicato stampa del 21 maggio2014

"Lineeguida in tema di riconoscimento biometrico e firma grafometrica"

 

SCHEMA DI PROVVEDIMENTO IN TEMA DI RICONOSCIMENTOBIOMETRICO E FIRMA GRAFOMETRICA

Registrodei provvedimenti
 n.  del

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

VISTO ilCodice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n.196, di seguito "Codice");

RILEVATOl'elevato numero di notificazioni presentate al Garante relative al trattamentodi dati biometrici;

CONSIDERATOche l'evoluzione delle tecnologie biometriche ha generato una significativadiffusione della loro applicazione e ne è prevedibile una ulteriore espansioneper il perseguimento di diverse finalità nei più svariati ambiti della società;

ESAMINATEle richieste di verifica preliminare presentate ai sensi dell'art. 17 delCodice in ordine al trattamento dei dati personali effettuati tramitel'utilizzo di tecniche biometriche;

VISTO che,in tale contesto, emerge la necessità di una maggiore sensibilizzazione eattenzione da parte dei titolari e degli interessati agli aspetti cheriguardano il corretto trattamento dei dati biometrici;

RITENUTAl'opportunità di rendere disponibile un quadro unitario di misure eaccorgimenti di carattere tecnico, organizzativo e procedurale per conformare itrattamenti di dati biometrici alla vigente disciplina sulla protezione deidati personali e per accrescerne i livelli di sicurezza;

RITENUTO,in ragione della specificità dei dati biometrici, di dovere assoggettare illoro trattamento a un regime generale di obbligatoria comunicazione delleviolazioni;

RITENUTAinoltre l'esigenza di individuare, ai sensi dell'art. 17 del Codice, idoneecautele da porre a garanzia degli interessati in relazione ad alcune tipologiedi trattamenti di dati biometrici, anche alla luce delle attuali conoscenzetecniche, che potranno essere effettuati senza richiesta di verificapreliminare  rivolta al Garante;

VISTE leosservazioni dell'Ufficio formulate dal Segretario generale ai sensi dell'art.15 del regolamento del Garante n. 1/2000;

RELATOREla dott.ssa Augusta Iannini;

1 PREMESSA

L'utilizzodi dispositivi e tecnologie per la raccolta e il trattamento di dati biometriciè soggetto a una crescente diffusione, in particolare per l'accertamentodell'identità personale nell'ambito dell'erogazione di servizi della societàdell'informazione e dell'accesso a banche dati informatizzate, per il controllodegli accessi a locali e aree, per l'attivazione di dispositivi elettromeccanicied elettronici, anche di uso personale, o di macchinari, nonché per lasottoscrizione di documenti informatici.

Talediffusione ha suscitato la massima attenzione delle autorità di protezionedati, testimoniata anche dall'elaborazione di pareri da parte del Working PartyArticle 29 (WP29) che costituiscono un significativo punto di riferimento. Idati biometrici sono infatti dati personali, poiché possono sempre essereconsiderati come "informazione concernente una persona fisica identificatao identificabile ()" prendendo in considerazione "l'insieme deimezzi che possono essere ragionevolmente utilizzati dal responsabile deltrattamento o da altri per identificare detta persona". Essi rientranoquindi nell'ambito di applicazione del Codice (art. 4, comma 1, lett. b), e leoperazioni su essi compiute con strumenti elettronici sono a tutti gli effettitrattamenti nel senso delineato dalla disciplina sulla protezione dei datipersonali.

Sonoconsiderati dati biometrici nel presente contesto, coerentemente con i pareridel WP29, i campioni biometrici, i modelli biometrici, i riferimenti biometricie ogni altro dato ricavato con procedimento informatico da caratteristichebiometriche e che possa essere ricondotto, anche tramite interconnessione ad altrebanche dati, a un interessato individuato o individuabile.

2 LINEE-GUIDA IN MATERIA DI TRATTAMENTI BIOMETRICI

Il Garanteè intervenuto più volte, a seguito di specifiche richieste di verificapreliminare ai sensi dell'art. 17 del Codice, con provvedimenti che hanno inalcuni casi negato e in altri ammesso, nel rispetto di prescrizioni di naturatecnica od organizzativa, i trattamenti sottoposti alla valutazionedell'Autorità.

Il Garantecon il presente provvedimento richiama l'attenzione dei titolari ditrattamento, dei soggetti pubblici e privati sull'esigenza che siano osservate,in generale, le disposizioni del Codice e, in particolare, quelle di cuiall'art. 17 poiché l'adozione di sistemi biometrici, in ragione della tecnicaprescelta, del contesto di utilizzazione, del numero e della tipologia dipotenziali interessati, delle modalità e finalità del trattamento, comportarischi specifici per i diritti e le libertà fondamentali, nonché per la dignitàdell'interessato.

A frontedella complessità della materia in rapporto alla disciplina sul trattamento deidati personali, con l'adozione delle allegate linee-guida, che formano parteintegrante del presente provvedimento, il Garante intende fornire un quadro diriferimento unitario sulla cui base i titolari possano orientare le propriescelte tecnologiche, conformare i trattamenti ai principi di legittimitàstabiliti dal Codice, rispettare elevati standard di sicurezza.

Lelinee-guida introducono altresì la terminologia essenziale per la descrizionedegli  aspetti tecnologici, con il ricorso a standard internazionali, eindividuano i principali profili di rischio associati al trattamento di datibiometrici.

3 COMUNICAZIONE DI VIOLAZIONE DEI DATI BIOMETRICI

Lepeculiari caratteristiche dei dati biometrici, in particolare tenendo conto deirischi illustrati nelle allegate linee-guida, fanno ritenere necessarioassoggettare il loro trattamento all'obbligo di comunicare al Garante leviolazioni verificate o temute.

Sirichiamano pertanto i titolari all'esigenza di provvedere a informaretempestivamente il Garante in caso di violazioni di dati biometrici destinandole comunicazioni ai recapiti seguenti:

PostaElettronica Certificata (Pec): protocollo@pec.gpdp.it

Postaelettronica ordinaria: garante@gpdp.it

4 TRATTAMENTI DI DATI BIOMETRICI PER I QUALI NON E'NECESSARIO PRESENTARE ISTANZA DI VERIFICA PRELIMINARE EX ART. 17 DEL CODICE

I datibiometrici sono, per loro natura, direttamente, univocamente e in modotendenzialmente stabile nel tempo, collegati all'individuo e denotano laprofonda relazione tra corpo, comportamento e identità della persona,richiedendo particolari cautele in caso di loro trattamento. Pertanto, inconsiderazione di tali peculiarità, si ritiene necessario prevedere l'obbligoper i titolari di trattamenti biometrici  di presentare istanza diverifica preliminare affinché il Garante prescriva, ove opportuno, misure edaccorgimenti per consentire il corretto utilizzo di dati così delicati.

Sulla basedell'esperienza maturata, il Garante individua con il presente provvedimentotalune tipologie di trattamento volte a scopi di riconoscimento biometrico,nella forma di identificazione biometrica o di verifica biometrica, o disottoscrizione di documenti informatici (firma grafometrica) che, inconsiderazione delle specifiche finalità perseguite, della tipologia dei datitrattati e delle misure di sicurezza che possono essere concretamente adottate,presentano un livello di rischio ridotto.

Inrelazione a tali specifiche tipologie di trattamenti non è necessario per ititolari, il cui trattamento di dati biometrici rientri nelle tipologie diseguito specificate, presentare istanza di verifica preliminare ai sensi dell'art. 17, a condizione che vengano adottate tutte le misure e gli accorgimentitecnici individuati con il presente provvedimento e rispettati tutti ipresupposti di legittimità contenuti nel Codice e richiamati nelle allegatelinee-guida (con particolare riferimento al capitolo 4 che richiama i principigenerali di liceità, finalità, necessità e proporzionalità dei trattamenti,unitamente agli adempimenti giuridici tra i quali l'obbligo di informativa agliinteressati e di notificazione al Garante).

Il Garantesi riserva di prevedere, alla luce dell'esperienza maturata e dell'evoluzionetecnologica, ulteriori ipotesi di esonero dall'obbligo di verifica preliminare.

Leindicazioni relative al trattamento dei dati biometrici contenute neiprecedenti provvedimenti del Garante (si vedano, ad esempio, le linee-guida inmateria di trattamento di dati personali per finalità di gestione del rapportodi lavoro alle dipendenze di datori di lavoro privati e pubblici) continuano ad applicarsi in quantocompatibili con le previsioni del presente provvedimento.

Restainteso che i provvedimenti specifici di verifica preliminare sui quali ilGarante ha già espresso le proprie valutazioni non dovranno essere oggetto diulteriori istanze.

4.1 Autenticazioneinformatica

La Regolan. 2 del Disciplinare tecnico in materia di misure minime di sicurezza,Allegato B al Codice, stabilisce che le caratteristiche biometriche diincaricati del trattamento possano essere usate come credenziali nell'ambito diuna procedura di autenticazione informatica relativa a uno specifico trattamentoo a un insieme di trattamenti.

In questespecifiche ipotesi, il titolare è sempre chiamato a valutare attentamente cheil trattamento in esame sia proporzionato rispetto alle finalità per le quali idati biometrici sono raccolti e successivamente trattati, in accordo aiprincipi di pertinenza e non eccedenza di cui all'art. 11 del Codice.

Per talemotivo, il ricorso a sistemi biometrici basati sull'elaborazione dell'improntadigitale, in alternativa alle misure individuate dalla citata Regola n. 2(parola d'ordine riservata conosciuta solamente dall'incaricato ovverodispositivo di autenticazione in possesso e uso esclusivo dell'incaricato,eventualmente associata a un codice identificativo o a una parola d'ordine), èconsiderato lecito se commisurato al rischio incombente sui dati trattati, allacui protezione la stessa procedura di autenticazione è destinata.

In talicasi, il titolare è esonerato dall'obbligo di presentare istanza di verificapreliminare purché sia assicurato il rispetto delle seguenti prescrizioni:

a) Il dispositivo diacquisizione deve avere la capacità di rilevare la c.d. vivezza dell'impronta.

b) La cancellazionedei dati biometrici grezzi e dei campioni biometrici deve aver luogoimmediatamente dopo la loro raccolta e trasformazione in modelli biometrici.

c) Il dispositivo perl'acquisizione iniziale e quello per l'acquisizione nel corso dell'ordinariofunzionamento sono direttamente connessi o integrati, rispettivamente, nellepostazioni informatiche di enrolment e nelle postazioni di lavoro o nei sistemiserver impiegati nei trattamenti.

d) Le trasmissioni didati tra i dispositivi di acquisizione e le postazioni di lavoro o i sistemiserver sono rese sicure con l'ausilio di tecniche crittografiche robuste.

e) Nel caso in cui icampioni biometrici o i riferimenti biometrici siano conservati su supportiportatili (smart card o analogo dispositivo sicuro):

i. il supporto deveessere nell'esclusiva disponibilità dell'incaricato;

ii. l'area di memoriain cui sono conservati i dati biometrici è resa accessibile ai soli lettoriautorizzati e  protetta da accessi non autorizzati;

iii. il campionebiometrico o il riferimento biometrico devono essere cifrati con tecnichecrittografiche robuste;

iv. il supporto èrilasciato in un unico esemplare e, in caso di cessazione dei diritti diaccesso ai sistemi informatici, viene restituito e distrutto con una proceduraformalizzata.

f) Nel caso diconservazione del campione o del riferimento biometrico sulla postazione informatica(personal computer) o sul sistema server da proteggere con autenticazionebiometrica:

i. è assicurata,tramite idonei sistemi di raccolta dei log, la registrazione degli accessi daparte degli amministratori di sistema alla postazione o al server;

ii. sono adottateidonee misure e accorgimenti tecnici per contrastare i rischi di installazionedi software e di modifiche della configurazione delle postazioni informatiche,se non esplicitamente autorizzati;

iii. le postazionisono protette contro l'azione di malware;

iv. sono adottatemisure e accorgimenti volti a ridurre i rischi di manomissione e accessofraudolento al dispositivo di acquisizione;

v. i riferimentibiometrici sono cifrati con tecniche crittografiche robuste;

vi. i riferimentibiometrici sono conservati per il tempo strettamente necessario a realizzare lefinalità del sistema biometrico;

vii. i riferimentibiometrici sono conservati separatamente dai dati identificativi degliinteressati;

viii. sono previstimeccanismi di cancellazione automatica dei dati, cessati gli scopi per i qualisono stati raccolti e trattati.

g) E' esclusa larealizzazione di archivi biometrici centralizzati.

h) Le organizzazionidotate di certificazione del sistema di gestione della sicurezza delleinformazioni (SGSI) secondo lo standard internazionale ISO/IEC 27001:2006inseriscono il sistema biometrico nel dominio di certificazione del SGSI epianificano, verificano e aggiornano le relative misure di sicurezza, dandoneevidenza nella documentazione prevista unitamente alla valutazione dellanecessità e della proporzionalità del trattamento biometrico.

i) Le organizzazioninon dotate di certificazione ISO/IEC 27001:2006 redigono e mantengonoaggiornata una relazione che descrive gli aspetti tecnici e organizzativi dellemisure messe in atto dal titolare per conformare il trattamento alleprescrizioni sopra elencate, fornendo una valutazione della necessità e dellaproporzionalità del trattamento biometrico. Tale relazione tecnica è conservataper tutto il periodo di esercizio del sistema biometrico e mantenuta adisposizione del Garante. Le misure adottate devono essere periodicamenteverificate dando luogo alle eventuali azioni correttive e migliorative.

4.2  Controllo diaccesso fisico ad aree "sensibili" dei soggetti addetti e utilizzo diapparati e macchinari pericolosi

L'adozionedi sistemi biometrici basati sull'elaborazione dell'impronta digitale o dellatopografia della mano può essere consentita per limitare l'accesso ad aree elocali "sensibili" in cui si renda necessario assicurare elevati especifici livelli di sicurezza oppure per consentire l'utilizzo di apparati emacchinari pericolosi ai soli soggetti qualificati e specificamente addettialle attività.

In talecontesto rilevano, in particolare:

le aree destinateallo svolgimento di attività aventi carattere di particolare segretezza, ovveroprestate da personale selezionato e impiegato in specifiche attività checomportano la necessità di trattare informazioni riservate e applicazionicritiche;

  le aree in cuisono conservati oggetti di particolare valore o la cui disponibilità deveessere ristretta a un numero circoscritto di addetti, in quanto un loroutilizzo improprio può determinare una grave e concreta situazione di rischioper la salute e l'incolumità degli stessi o di terzi;

  le areepreposte alla realizzazione o al controllo di processi produttivi pericolosiche richiedono un accesso selezionato da parte di personale particolarmenteesperto e qualificato;

l'utilizzo diapparati e macchinari pericolosi, laddove sia richiesta una particolaredestrezza onde scongiurare infortuni e danni a cose o persone.

In questicasi il presupposto di legittimità, che in ambito pubblico è dato dalperseguimento delle finalità istituzionali del titolare, in ambito privatoviene individuato nell'istituto del bilanciamento di interessi (art. 24, comma1, lett. g), del Codice) per cui, in ragione del legittimo interesse perseguitodal titolare, delle prescrizioni imposte dal presente provvedimento e dellefinalità connesse a specifiche esigenze di sicurezza, il trattamento puòavvenire senza il consenso degli interessati.

Inrelazione a tali finalità, il titolare è esonerato dall'obbligo di presentareistanza di verifica preliminare purché sia assicurato il rispetto delleseguenti prescrizioni:

a) Nel caso diutilizzo delle impronte digitali quale caratteristica biometrica, ildispositivo di acquisizione deve avere la capacità di rilevare la vivezzadell'impronta presentata.

b) Il trattamento deveessere applicato nei confronti del solo personale specificatamente selezionatoe abilitato  ad accedere alle aree e ai locali in questione o adutilizzare gli apparati e i macchinari pericolosi.

c)   Lacancellazione dei dati biometrici grezzi e dei campioni biometrici deve averluogo immediatamente dopo la loro raccolta e trasformazione in modellibiometrici.

d) Il dispositivo perl'acquisizione iniziale e quello per l'acquisizione nel corso dell'ordinariofunzionamento sono direttamente connessi o integrati, rispettivamente, nellepostazioni informatiche di enrolment e nelle postazioni di controllo ai varchidi accesso.

e) Le trasmissioni didati tra i dispositivi di acquisizione e le postazioni di lavoro o lepostazioni di controllo sono rese sicure con l'ausilio di tecnichecrittografiche robuste.

f) Nel caso diesclusiva conservazione del campione o del riferimento biometrico su supportoportatile (smart card o analogo dispositivo sicuro):

i. il supporto deveessere nella esclusiva disponibilità dell'interessato;

ii. l'area di memoriain cui sono conservati i dati biometrici è accessibile ai soli lettoriautorizzati ed è protetta da accessi non autorizzati;

iii. il riferimentobiometrico deve essere cifrato con tecniche crittografiche  robuste;

iv. il supporto èrilasciato in un unico esemplare e, in caso di cessazione dei diritti diaccesso alle aree o di utilizzo dei macchinari, viene restituito e distruttocon una procedura formalizzata.

g) Nel caso diconservazione del campione o del riferimento biometrico su undispositivo-lettore o una postazione informatica dedicata (controller di varco)dotata di misure di sicurezza di cui alla precedente lettera f):

i. è assicurata laregistrazione degli accessi alla postazione da parte degli amministratori disistema, tramite idonei sistemi di raccolta dei log;

ii. sono adottateidonee misure e accorgimenti tecnici per contrastare i rischi di installazionedi software e di modifica della configurazione delle postazioni informatiche,se non esplicitamente autorizzati;

iii. i sistemiinformatici sono protetti contro l'azione di malware e sono, inoltre, adottatisistemi di firewall per la protezione perimetrale della rete e contro itentativi di accesso abusivo ai dati;

iv. sono adottatemisure e accorgimenti volti a ridurre i rischi di manomissione e accessofraudolento al dispositivo di acquisizione;

v. il riferimentobiometrico deve essere cifrato con tecniche crittografiche  robuste;

vi. i riferimentibiometrici sono conservati per il tempo strettamente necessario a realizzare lefinalità del sistema biometrico;

vii. i riferimentibiometrici sono conservati separatamente dai dati identificativi degliinteressati;

viii. sono previstimeccanismi di cancellazione automatica dei dati, cessati gli scopi per i qualisono stati raccolti e trattati.

h) E' esclusa larealizzazione di archivi biometrici centralizzati.

i) Le organizzazionidotate di certificazione del sistema di gestione della sicurezza delleinformazioni (SGSI) secondo lo standard internazionale ISO/IEC 27001:2006inseriscono il sistema biometrico nel dominio di certificazione del SGSI epianificano, verificano e aggiornano le relative misure di sicurezza, dandoneevidenza nella documentazione prevista unitamente a una valutazione dellanecessità e della proporzionalità del trattamento biometrico.

j) Le organizzazioninon dotate di certificazione ISO/IEC 27001:2006 redigono e mantengonoaggiornata una relazione che descrive gli aspetti tecnici e organizzativi dellemisure messe in atto dal titolare per conformare il trattamento alleprescrizioni sopra elencate, fornendo una valutazione della necessità e dellaproporzionalità del trattamento biometrico. Tale relazione tecnica è conservataper tutto il periodo di esercizio del sistema biometrico e mantenuta adisposizione del Garante. Le misure adottate devono essere periodicamenteverificate dando luogo alle eventuali azioni correttive e migliorative.

4.3 Uso dell'improntadigitale o della topografia della mano a scopi facilitativi

Letecniche biometriche possono anche prestarsi a essere utilizzate perconsentire,  regolare e semplificare l'accesso fisico di utenti ad areefisiche in ambito pubblico (es. biblioteche) o privato (es. palestre o areeaeroportuali riservate) o a servizi (es. apertura di cassette di sicurezza oaccesso a caveau bancari).

In questicasi il presupposto di legittimità del trattamento dei dati biometrici è datodal consenso effettivamente libero degli interessati ovvero, in ambitopubblico, dal perseguimento delle finalità istituzionali del titolare e dalfatto che dovranno essere assicurati agevoli sistemi alternativi di accesso nonbasati su dati biometrici.

Iltitolare è esonerato dall'obbligo di presentare istanza di verifica preliminarepurché sia assicurato il rispetto delle seguenti prescrizioni:

a) La cancellazionedei dati biometrici grezzi e dei campioni biometrici deve aver luogoimmediatamente dopo la loro raccolta e trasformazione in modelli biometrici.

b) Il dispositivo perl'acquisizione iniziale e quello per l'acquisizione nel corso dell'ordinariofunzionamento sono direttamente connessi o integrati, rispettivamente, nellepostazioni informatiche di enrolment e nelle postazioni di controllo o neidispositivi di acquisizione.

c) Le trasmissioni didati tra i dispositivi di acquisizione e le altre componenti del sistemabiometrico sono rese sicure con l'ausilio di tecniche crittografiche robuste.

d) Nel caso diesclusiva conservazione del riferimento biometrico su supporto portatile (smartcard o analogo dispositivo sicuro):

a.  il supportodeve essere nella esclusiva disponibilità dell'interessato;

b. l'area di memoriain cui sono conservati i riferimenti biometrici è accessibile ai soli lettoriautorizzati ed è protetta da accessi non autorizzati;

c. il riferimentobiometrico deve essere cifrato con tecniche crittografiche robuste;

d. il supporto èrilasciato in un unico esemplare e, in caso di cessazione dei diritti diaccesso ai sistemi informatici, viene restituito e distrutto con una proceduraformalizzata.

e) Nel caso diconservazione del riferimento biometrico su un dispositivo-lettore o su postazioniinformatiche:

a. è assicurata laregistrazione degli accessi alla postazione da parte degli amministratori disistema, tramite idonei sistemi di raccolta dei log;

b. sono adottateidonee misure e accorgimenti tecnici per contrastare i rischi di installazionedi software e di modifica della configurazione dei dispositivi o dellepostazioni informatiche, se non esplicitamente autorizzati;

c. sono adottatemisure e accorgimenti volti a ridurre i rischi di manomissione e accessofraudolento al dispositivo di acquisizione;

d. il riferimentobiometrico deve essere cifrato con tecniche crittografiche robuste;

e. i riferimentibiometrici sono conservati per il tempo strettamente necessario a realizzare lefinalità del sistema biometrici;

f. i riferimenti biometricisono conservati separatamente dai dati identificativi degli interessati.

f) E' esclusa larealizzazione di archivi biometrici centralizzati.

g) Le organizzazionidotate di certificazione del sistema di gestione della sicurezza delleinformazioni (SGSI) secondo lo standard internazionale ISO/IEC 27001:2006inseriscono il sistema biometrico nel dominio di certificazione del SGSI epianificano, verificano e aggiornano le relative misure di sicurezza, dandoneevidenza nella documentazione prevista.

h) Le organizzazioninon dotate di certificazione ISO/IEC 27001:2006 redigono e mantengonoaggiornata una relazione che descrive gli aspetti tecnici e organizzativi dellemisure messe in atto dal titolare per conformare il trattamento alleprescrizioni sopra elencate. Tale relazione tecnica è conservata per tutto ilperiodo di esercizio del sistema biometrico e mantenuta a disposizione delGarante. Le misure adottate devono essere periodicamente verificate dando luogoalle eventuali azioni correttive e migliorative.

4.4 Sottoscrizione didocumenti informatici

Iltrattamento di dati biometrici costituiti da informazioni dinamiche associateall'apposizione di una firma autografa, a mano libera, su appositi dispositividi acquisizione (c.d. tavolette grafometriche o dispositivi tablet di usogenerale) è ammesso laddove si utilizzino sistemi di firma grafometrica posti abase di una soluzione di firma elettronica avanzata, così come definita dalD.lgs. n. 82/2005 (Codice dell'amministrazione digitale), che non prevedano laconservazione centralizzata di dati biometrici.

L'utilizzodi tali sistemi, da un lato, si giustifica al fine di contrastare eventualitentativi di frode e il fenomeno dei furti di identità e, dall'altro, alloscopo di rafforzare le garanzie di autenticità, non ripudio e integrità deidocumenti informatici sottoscritti, anche in vista di eventuale contenziosolegato al disconoscimento della sottoscrizione apposta su atti e documenti ditipo negoziale in sede giudiziaria.

In talicasi, il titolare può procedere al trattamento senza presentare istanza diverifica preliminare ai sensi dell'art. 17 del Codice, purché sia assicurato ilrispetto delle seguenti prescrizioni e limitazioni:

a) Il procedimento difirma deve essere abilitato previa identificazione del firmatario.

b) Devono essere residisponibili sistemi alternativi di sottoscrizione di semplice utilizzo perl'interessato che non comportino l'utilizzo di dati biometrici.

c) La soluzione difirma elettronica avanzata deve essere certificata secondo la norma ISO/IEC15408, livello EAL 1 o superiore.

d) La cancellazionedei dati biometrici grezzi e dei campioni biometrici deve aver luogoimmediatamente dopo la loro raccolta e trasformazione in modelli biometrici.

e) I modelligrafometrici non sono conservati, neanche per periodi limitati, sui dispositivihardware utilizzati per la raccolta, venendo memorizzati in forma cifrata,all'interno dei documenti informatici sottoscritti, tramite sistemi dicrittografia a chiave pubblica con dimensione della chiave adeguata ecertificato digitale emesso da un certificatore accreditato ai sensi dell'art.29 del Codice dell'amministrazione digitale. La corrispondente chiave privata ènella esclusiva disponibilità di un soggetto terzo fiduciario che forniscaidonee garanzie di indipendenza e sicurezza nella conservazione della medesimachiave.

f) La trasmissione deidati biometrici tra sensore e dispositivi, postazioni informatiche e sistemiserver avviene esclusivamente tramite canali di comunicazione resi sicuri conl'ausilio di tecniche crittografiche.

g) Sono adottateidonee misure e accorgimenti tecnici per contrastare i rischi di installazionedi software e di modifica della configurazione delle postazioni informatiche edei dispositivi, se non esplicitamente autorizzati.

h) I sistemiinformatici sono protetti contro l'azione di malware e sono, inoltre, adottatisistemi di firewall per la protezione perimetrale della rete e contro itentativi di accesso abusivo ai dati.

i) Nel caso diutilizzo di sistemi di firma grafometrica nello scenario mobile o BYOD (BringYour Own Device), devono essere realizzati idonei sistemi di gestione deidispositivi mobili (sistemi MDM – Mobile Device Management) per isolarel'area di memoria dedicata all'applicazione biometrica, ridurre i rischi diinstallazione abusiva di software anche nel caso di modifica dellaconfigurazione dei dispositivi e contrastare l'azione di eventuali agentimalevoli (malware).

j) I sistemi digestione impiegati nei trattamenti grafometrici adottano certificazionidigitali e policy di sicurezza che disciplinino, sulla base di criteripredeterminati, le condizioni di loro utilizzo sicuro (in particolare, rendendodisponibili funzionalità di remote wiping applicabili nei casi di smarrimento osottrazione dei dispositivi).

k) L'accesso almodello grafometrico cifrato avviene esclusivamente tramite l'utilizzo dellachiave privata detenuta dal soggetto terzo fiduciario, e nei soli casi in cuisi renda indispensabile per l'insorgenza di un contenzioso sull'autenticitàdella firma e a seguito di richiesta dell'autorità giudiziaria. Le condizioni ele modalità di accesso alla firma grafometrica da parte del soggetto terzo difiducia o da parte di tecnici qualificati sono dettagliate nell'informativaresa agli interessati e nei documenti di cui alle lettere l) e m) del presenteparagrafo.

l) Le organizzazionidotate di certificazione del sistema di gestione della sicurezza delleinformazioni (SGSI) secondo lo standard internazionale ISO/IEC 27001:2006inseriscono il sistema biometrico nel dominio di certificazione del SGSI epianificano, verificano e aggiornano le relative misure di sicurezza, dandoneevidenza nella documentazione prevista unitamente a una valutazione dellanecessità e della proporzionalità del trattamento biometrico.

m) Le organizzazioninon dotate di certificazione ISO/IEC 27001:2006 redigono e mantengonoaggiornata una relazione che descrive dettagliatamente gli aspetti tecnici eorganizzativi delle misure messe in atto dal titolare per conformare iltrattamento alle prescrizioni sopra elencate, fornendo una valutazione dellanecessità e della proporzionalità del trattamento biometrico. Tale relazionetecnica è conservata per tutto il periodo di esercizio del sistema biometrico emantenuta a disposizione del Garante. Le misure adottate devono essereperiodicamente verificate dando luogo alle eventuali azioni correttive emigliorative.

TUTTO CIO' PREMESSO IL GARANTE

1. adotta ai sensidell'art. 154, comma 1, lettera h) del Codice l'unito documento, recante le"Linee-guida in materia di trattamento di dati biometrici per scopi diautenticazione informatica, di controllo degli accessi e di sottoscrizione didocumenti informatici", che forma parte integrante della presentedeliberazione, al fine di informare i titolari di trattamento, i produttori ditecnologie biometriche, i fornitori di servizi e gli interessati sui diversiaspetti connessi alla protezione dei dati personali, ivi compresi quellirelativi alla sicurezza, e sui presupposti di legittimità dei trattamenti deidati biometrici;

2. stabilisce, aisensi dell'art. 154, comma 1, lettera c) del Codice, che i titolari ditrattamenti biometrici sono tenuti a comunicare tempestivamente al Garante leviolazioni dei dati biometrici accertate o temute secondo le modalità di cui alparagrafo 3;

3. individua, neitermini di cui al paragrafo 4, i casi nei quali per i trattamenti dei datibiometrici non è necessario presentare istanza di verifica preliminare, eprescrive ai soggetti che intendano procedere in qualità di titolari a talitrattamenti, ai sensi dell'art. 17 del Codice, di adottare le misure e gliaccorgimenti tecnici, organizzativi e procedurali descritti nel medesimoparagrafo, nonché di rispettare i presupposti di legittimità e le indicazionicontenute nelle allegate linee-guida con particolare riferimento al capitolo 4"Principi generali e adempimenti giuridici";

4. prescrive aititolari di trattamenti biometrici che non abbiano richiesto la verificapreliminare al Garante:

a. di adottare al piùpresto e, comunque, entro e non oltre centottanta giorni decorrenti dalla datadi pubblicazione del presente provvedimento sulla Gazzetta Ufficiale dellaRepubblica Italiana, le misure e gli accorgimenti di cui al paragrafo 4,qualora essi ritengano che i trattamenti siano compresi tra quelli iviindividuati;

b. di sospendere,entro e non oltre novanta giorni decorrenti dalla data di pubblicazione delpresente provvedimento sulla Gazzetta Ufficiale della Repubblica Italiana, itrattamenti qualora non siano compresi nei casi individuati, né siano a essiriconducibili previo adempimento alle predette prescrizioni;

c. di sottoporre averifica preliminare, con interpello al Garante ai sensi dell'art. 17 delCodice, i trattamenti sospesi, qualora sia intendimento dei titolaririprenderli successivamente;

5. dispone, ai sensidell'art. 143, comma 2, del Codice, che copia del presente provvedimento siatrasmessa al Ministero della giustizia – Ufficio pubblicazione leggi edecreti – per la sua pubblicazione sulla Gazzetta Ufficiale dellaRepubblica italiana.

Roma,

Il presidente
Soro

Il relatore
Iannini

Il segretario generale
Busia