Provvedimento generale prescrittivo in tema di biometria

Vedi anche:
Comunicato stampa del 26 novembre 2014

Provvedimento generaleprescrittivo in tema di biometria

PROVVEDIMENTO DEL 12 NOVEMBRE 2014

(Pubblicato sulla Gazzetta Ufficiale n. 280 del 2 dicembre 2014)

Registro deiprovvedimenti  n. 513 del 12 novembre 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunioneodierna, in presenza del dott. Antonello Soro, presidente, della dott.ssaAugusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici edella prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia,segretario generale;

VISTO il Codice inmateria di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, diseguito "Codice");

VISTO il Regolamento(UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, inmateria di identificazione elettronica e servizi fiduciari per le transazionielettroniche nel mercato interno e che abroga la direttiva 1999/93/CE,pubblicato in G.U.U.E. 2014 L 257, p. 73 (cd. Regolamento eIDAS);

RILEVATO l'elevatonumero di notificazioni presentate al Garante relative al trattamento di datibiometrici;

CONSIDERATO chel'evoluzione delle tecnologie biometriche ha generato una significativadiffusione della loro applicazione e ne è prevedibile una ulteriore espansioneper il perseguimento di diverse finalità nei più svariati ambiti della società;

VISTE le richieste diverifica preliminare presentate ai sensi dell'art. 17 del Codice in ordine altrattamento dei dati personali effettuati tramite l'utilizzo di tecnichebiometriche;

RITENUTA l'opportunitàdi rendere disponibile un quadro unitario di misure e accorgimenti di caratteretecnico, organizzativo e procedurale per conformare i trattamenti di datibiometrici alla vigente disciplina sulla protezione dei dati personali e peraccrescerne i livelli di sicurezza;

RITENUTO, in ragionedella specificità dei dati biometrici, di dovere assoggettare il lorotrattamento a un regime generale di obbligatoria comunicazione delle eventualiviolazioni;

RITENUTA inoltrel'esigenza di individuare, ai sensi dell'art. 17 del Codice, opportune cauteleda porre a garanzia degli interessati in relazione ad alcune tipologie ditrattamenti di dati biometrici, anche alla luce delle attuali conoscenzetecniche, che potranno essere effettuate senza richiesta di verificapreliminare rivolta al Garante;

VISTE le osservazionidell'Ufficio formulate dal Segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000;

RELATORE la dott.ssaAugusta Iannini;

1. PREMESSA

L'utilizzo didispositivi e tecnologie per la raccolta e il trattamento di dati biometrici èsoggetto a una crescente diffusione, in particolare per l'accertamentodell'identità personale nell'ambito dell'erogazione di servizi della societàdell'informazione e dell'accesso a banche dati informatizzate, per il controllodegli accessi a locali e aree, per l'attivazione di dispositivielettromeccanici ed elettronici, anche di uso personale, o di macchinari,nonché per la sottoscrizione di documenti informatici.

Tale diffusione hasuscitato la massima attenzione delle autorità di protezione dati, testimoniataanche dall'elaborazione di pareri da parte del Working Party Article 29 (WP29)che costituiscono un significativo punto di riferimento per ogni analisi estudio del fenomeno. I dati biometrici sono infatti dati personali, poichépossono sempre essere considerati come "informazione concernente unapersona fisica identificata o identificabile ( ... )" prendendo inconsiderazione "l'insieme dei mezzi che possono essere ragionevolmenteutilizzati dal responsabile del trattamento o da altri per identificare dettapersona". Essi rientrano quindi nell'ambito di applicazione del Codice (art.4, comma 1, lettera b), e le operazioni su essi compiute con strumentielettronici sono a tutti gli effetti trattamenti nel senso delineato dalladisciplina sulla protezione dei dati personali.

Sono considerati datibiometrici nel presente contesto, coerentemente con i pareri del WP29, i campionibiometrici, i modelli biometrici, i riferimenti biometrici e ogni altro datoricavato con procedimento informatico da caratteristiche biometriche e chepossa essere ricondotto, anche tramite interconnessione ad altre banche dati, aun interessato individuato o individuabile.

2. LINEE-GUIDA IN MATERIA DI RICONOSCIMENTO BIOMETRICO E FIRMAGRAFOMETRICA

Il Garante èintervenuto più volte, a seguito di specifiche richieste di verificapreliminare ai sensi dell'art. 17 del Codice, con provvedimenti che hanno inalcuni casi negato e in altri ammesso, nel rispetto di prescrizioni di naturatecnica od organizzativa, i trattamenti sottoposti alla valutazionedell'Autorità.

A fronte dellacomplessità della materia in rapporto alla disciplina sul trattamento dei datipersonali, con l'adozione delle "Linee-guida in materia di riconoscimentobiometrico e firma grafometrica" (allegato"A"), che formano parte integrante del presente provvedimento, ilGarante intende fornire un quadro di riferimento unitario sulla cui base ititolari possano orientare le proprie scelte tecnologiche, conformare itrattamenti ai principi di legittimità stabiliti dal Codice, rispettare elevatistandard di sicurezza.

Le linee-guidaintroducono altresì la terminologia essenziale per la descrizione degli aspettitecnologici, con il ricorso a standard internazionali, e individuano iprincipali profili di rischio associati al trattamento di dati biometrici.

3. COMUNICAZIONE DI VIOLAZIONE DEI DATI BIOMETRICI

Le peculiaricaratteristiche dei dati biometrici, unitamente ai rischi su di essi incombentiillustrati nelle linee-guida, fanno ritenere necessario assoggettare il lorotrattamento, anche in coerenza con le previsioni del Regolamento europeo eIDASin tema di identificazione, autenticazione e firma elettronica, all'obbligo dicomunicare al Garante il verificarsi di violazioni dei dati (data breach) oincidenti informatici (accessi abusivi, azione di malwareä) che, pur non avendoun impatto diretto su di essi, possano comunque esporli a rischi di violazione.

A questo fine, entroventiquattro ore dalla conoscenza del fatto i titolari comunicano all'Autoritàtutte le violazioni dei dati o gli incidenti informatici che possano avere unimpatto significativo sui sistemi biometrici o sui dati personali ivicustoditi. Tali comunicazioni devono essere redatte secondo lo schema riportatonell'allegato"B" al presente provvedimento e quindi inviate tramite postaelettronica o posta elettronica certificata all'indirizzo:databreach.biometria@pec.gpdp.it .

4. ESONERO DALLA VERIFICA PRELIMINARE DI CUI ALL'ART. 17 DEL CODICE

I dati biometricisono, per loro natura, direttamente, univocamente e in modo tendenzialmentestabile nel tempo, collegati all'individuo e denotano la profonda relazione tracorpo, comportamento e identità della persona, richiedendo particolari cautelein caso di loro trattamento. L'adozione di sistemi biometrici, in ragione dellatecnica prescelta, del contesto di utilizzazione, del numero e della tipologiadi potenziali interessati, delle modalità e delle finalità del trattamento, puòcomportare quindi rischi specifici per i diritti e le libertà fondamentali,nonché per la dignità dell'interessato.

In ragione di ciò,qualora si intenda provvedere al trattamento di dati biometrici, è necessariopresentare al Garante una richiesta di verifica preliminare, ai sensi dell'art.17 del Codice.

Sulla basedell'esperienza maturata, però, il Garante ha ritenuto di individuare, con ilpresente provvedimento, talune tipologie di trattamento volte a scopi diriconoscimento biometrico (nella forma di identificazione biometrica o diverifica biometrica) o di sottoscrizione di documenti informatici (firma grafometrica)che, in considerazione delle specifiche finalità perseguite, della tipologiadei dati trattati e delle misure di sicurezza che possono essere concretamenteadottate a loro protezione, presentano un livello di rischio ridotto.

In relazione a talispecifiche tipologie di trattamenti non è quindi necessario per i titolaripresentare la predetta istanza, a condizione che vengano adottate tutte lemisure e gli accorgimenti tecnici idonei a raggiungere gli obiettivi disicurezza individuati con il presente provvedimento e siano rispettati ipresupposti di legittimità contenuti nel Codice e richiamati nel capitolo 4delle linee-guida (con particolare riferimento ai principi generali di liceità,finalità, necessità e proporzionalità dei trattamenti, e agli adempimentigiuridici quali l'obbligo di informativa agli interessati e di notificazione alGarante).

Il Garante si riservadi prevedere, alla luce dell'esperienza maturata e dell'evoluzione tecnologica,ulteriori ipotesi di esonero.

Le indicazionirelative al trattamento dei dati biometrici contenute nei precedentiprovvedimenti del Garante (si vedano, ad esempio, le linee guida in materia ditrattamento di dati personali per finalità di gestione del rapporto di lavoroalle dipendenze di datori di lavoro privati e le linee guida in materia ditrattamento di dati personali per finalità di gestione del rapporto di lavoroin ambito pubblico) continuano adapplicarsi in quanto compatibili con le previsioni del presente provvedimento.

I provvedimentispecifici di verifica preliminare sui quali il Garante ha già espresso leproprie valutazioni non dovranno essere oggetto di ulteriori istanze.

I titolari deitrattamenti biometrici in relazione ai quali è previsto l'esonero dallaverifica preliminare, che abbiano già presentato istanza ex art. 17 del Codicealla data di pubblicazione del presente provvedimento sulla Gazzetta Ufficialedella Repubblica Italiana, sono tenuti a comunicare al Garante, entro trentagiorni dalla stessa data, la conformità del trattamento alle prescrizioni ivicontenute ovvero la propria intenzione di conformarvisi. La presentazione dellacomunicazione comporta il non luogo a provvedere sulle relative istanze.

Le istanze di verificapreliminare in relazione alle quali non sia stata presentata la comunicazionedi cui al periodo che precede verranno invece valutate dal Garante secondo leordinarie procedure.

4.1 Autenticazioneinformatica

Le caratteristichebiometriche possono essere utilizzate come credenziali di autenticazione perl'accesso a banche dati e sistemi informatici, laddove è richiesta maggiorcertezza nell'identificazione degli utenti per particolari profili di rischiorelativi alle informazioni trattate e alla tipologia di risorse informaticheimpiegate. Appartengono a tale ambito, ad esempio, le infrastrutture criticheinformatiche di cui al D.M. 9 gennaio 2008 del Ministro dell'interno (G.U. n.101 del 30 aprile 2008).

In questi casi ilpresupposto di legittimità, che in ambito pubblico è dato dal perseguimentodelle finalità istituzionali del titolare, in ambito privato viene individuatonell'istituto del bilanciamento di interessi (art. 24, comma 1, lettera g), delCodice) per cui, in ragione del legittimo interesse perseguito dal titolare,delle prescrizioni imposte dal presente provvedimento, delle finalità connessea specifiche esigenze di sicurezza commisurate ai rischi incombenti sui dati osui sistemi informatici che la procedura di autenticazione è destinata aproteggere, anche tenuto conto delle indicazioni normative in materia di misureminime di sicurezza delle banche dati, il trattamento dei dati biometrici puòavvenire senza il consenso degli interessati.

Quindi i titolari sonoesonerati dall'obbligo di presentare istanza di verifica preliminare se iltrattamento è svolto nel rispetto delle seguenti prescrizioni:

a) Le caratteristiche biometriche consistononell'impronta digitale o nell'emissione vocale.

b) Nel caso di utilizzo dell'impronta digitale, ildispositivo di acquisizione ha la capacità di rilevare la c.d. vivezza.

c) Nel caso di utilizzo dell'emissione vocale, tale caratteristica èutilizzata esclusivamente in combinazione con altri fattori di autenticazione econ accorgimenti che escludano i rischi di utilizzo fraudolento di eventualiregistrazioni della voce (prevedendo, per esempio, la ripetizione da partedell'interessato di parole o frasi proposte nel corso della procedura diriconoscimento).

d) La cancellazione dei dati biometrici grezzi haluogo immediatamente dopo la loro trasformazione in campioni o in modellibiometrici.

e) I dispositivi per l'acquisizione iniziale (enrolment) e quelliper l'acquisizione nel corso dell'ordinario funzionamento sono direttamenteconnessi oppure integrati nei sistemi informatici che li utilizzano, siano essipostazioni di enrolment ovvero postazioni di lavoro o sistemi server protetticon autenticazione biometrica.

f) Le trasmissioni di dati tra i dispositividi acquisizione e i sistemi informatici sono rese sicure con l'ausilio ditecniche crittografiche caratterizzate dall'utilizzo di chiavi di cifratura dilunghezza adeguata alla dimensione e al ciclo di vita dei dati.

g) Nel caso in cui i riferimenti biometrici sianoconservati in modalità sicura su supporti portatili (smart card o analogodispositivo sicuro) dotati di adeguate capacità crittografiche e certificatiper le funzionalità richieste in conformità alla norma tecnica UNI CEI ISO/IEC15408 o FIPS 140-2 almeno level 3:

i. il supporto è rilasciato in un unico esemplare, è nell'esclusivadisponibilità dell'interessato e, in caso di cessazione dei diritti di accessoai sistemi informatici, è restituito e distrutto con procedura formalizzata;

ii. l'area di memoria in cui sono conservati i dati biometrici èresa accessibile ai soli lettori autorizzati e protetta da accessi nonautorizzati;

iii. i campioni o i riferimenti biometrici sono cifrati con tecnichecrittografiche con lunghezza delle chiavi adeguata alla dimensione e al ciclodi vita dei dati.

h) Nel caso di conservazione del campione o del riferimentobiometrico sul sistema informatico protetto con autenticazione biometrica:

i. è assicurata, tramite idonei sistemi di raccolta dei log, laregistrazione degli accessi da parte degli amministratori di sistema ai sistemiinformatici;

ii. sono adottate idonee misure e accorgimenti tecnici percontrastare i rischi di installazione di software e di modifiche dellaconfigurazione dei sistemi informatici, se non esplicitamente autorizzati;

iii. i sistemi informatici sono protetti contro l'azione di malware;

iv. sono adottate misure e accorgimenti volti a ridurre i rischi dimanomissione e accesso fraudolento al dispositivo di acquisizione;

v. i campioni o i riferimenti biometrici sono cifrati con tecnichecrittografiche con lunghezza delle chiavi adeguata alla dimensione e al ciclodi vita dei dati;

vi. i campioni o i riferimenti biometrici sono conservati per iltempo strettamente necessario a realizzare le finalità del sistema biometrico;

vii. i campioni o i riferimenti biometrici sono conservatiseparatamente dai dati identificativi degli interessati;

viii. sono previsti meccanismi di cancellazione automatica dei dati,cessati gli scopi per i quali sono stati raccolti e trattati.

i) E' esclusa la realizzazione di archivibiometrici centralizzati.

j) E' predisposta una relazione che descrivegli aspetti tecnici e organizzativi delle misure messe in atto dal titolare,fornendo altresì la valutazione della necessità e della proporzionalità deltrattamento biometrico. Tale relazione è conservata aggiornata, con verifica dicontrollo almeno annuale, per tutto il periodo di esercizio del sistemabiometrico e mantenuta a disposizione del Garante.

I titolaridotati di certificazione del sistema di gestione per la sicurezza delleinformazioni (SGSI) secondo la norma tecnica UNI CEI ISO/IEC 27001:2005 esuccessive modificazioni che inseriscono il sistema biometrico nel campo diapplicazione della certificazione sono esentati dall'obbligo di redigere larelazione di cui al precedente periodo, potendo utilizzare la documentazioneprodotta nell'ambito della certificazione, integrandola con la valutazionedella necessità e della proporzionalità del trattamento biometrico.

4.2 Controllo diaccesso fisico ad aree "sensibili" dei soggetti addetti e utilizzo diapparati e macchinari pericolosi

L'adozione di sistemibiometrici basati sull'elaborazione dell'impronta digitale o della topografiadella mano può essere consentita per limitare l'accesso ad aree e localiritenuti "sensibili" in cui è necessario assicurare elevati especifici livelli di sicurezza oppure per consentire l'utilizzo di apparati emacchinari pericolosi ai soli soggetti qualificati e specificamente addettialle attività.

Appartengono a taleambito, in particolare:

Ä le aree destinate allo svolgimento di attività aventi carattere diparticolare segretezza, ovvero prestate da personale selezionato e impiegato inspecifiche mansioni che comportano la necessità di trattare informazioniriservate e applicazioni critiche;

Ä le aree in cui sono conservati oggetti di particolare valoreo la cui disponibilità è ristretta a un numero circoscritto di addetti;

Ä le aree preposte alla realizzazione o al controllo di processiproduttivi pericolosi che richiedono un accesso selezionato da parte dipersonale particolarmente esperto e qualificato;

Ä l'utilizzo di apparati e macchinari pericolosi, laddove siarichiesta una particolare destrezza onde scongiurare infortuni e danni a cose opersone.

In relazione a talifinalità, il titolare è esonerato dall'obbligo di presentare istanza diverifica preliminare se il trattamento è svolto nel rispetto delle seguentiprescrizioni:

a) Le caratteristiche biometriche consistono nell'impronta digitaleo nella topografia della mano.

b) Nel caso di utilizzo dell'impronta digitale, il dispositivo diacquisizione ha la capacità di rilevare la c.d. vivezza.

c) La cancellazione dei dati biometrici grezzi e dei campioni biometriciha luogo immediatamente dopo la loro trasformazione in modelli biometrici.

d) I dispositivi per l'acquisizione iniziale e quelli per l'acquisizionenel corso dell'ordinario funzionamento sono direttamente connessi o integrati,rispettivamente, nelle postazioni informatiche di enrolment e nelle postazionidi controllo ai varchi di accesso.

e) Le trasmissioni di dati tra i dispositivi di acquisizione e lepostazioni di lavoro o le postazioni di controllo sono rese sicure conl'ausilio di tecniche crittografiche caratterizzate dall'utilizzo di chiavi dicifratura con lunghezza adeguata alla dimensione e al ciclo di vita dei dati.

f) Nel caso di esclusiva conservazionedel riferimento biometrico in modalità sicura su supporti portatili (smart cardo analogo dispositivo sicuro) dotati di adeguate capacità crittografiche ecertificati per le funzionalità richieste in conformità alla norma tecnica UNICEI ISO/IEC 15408 o FIPS 140-2 almeno level 3:

i. il supporto è rilasciato in un unico esemplare, è nell'esclusivadisponibilità dell'interessato e, in caso di cessazione dei diritti di accessoalle aree sensibili, è restituito e distrutto con procedura formalizzata;

ii. l'area di memoria in cui sono conservati i dati biometrici èaccessibile ai soli lettori autorizzati ed è protetta da accessi nonautorizzati;

iii. il riferimento biometrico è cifrato con tecniche crittografichecon lunghezza delle chiavi adeguata alla dimensione e al ciclo di vita deidati.

g) Nel caso di conservazione del riferimentobiometrico su un dispositivo-lettore o una postazione informatica dedicata(controller di varco) dotata di misure di sicurezza di cui alla precedentelettera e):

i. è assicurata la registrazione degliaccessi alla postazione da parte degli amministratori di sistema, tramiteidonei sistemi di raccolta dei log;

ii. sono adottate idonee misure eaccorgimenti tecnici per contrastare i rischi di installazione di software e dimodifica della configurazione della postazione informatica, se nonesplicitamente autorizzati;

iii. i sistemi informatici sono protetti control'azione di malware e sono, inoltre, adottati sistemi di firewall per laprotezione perimetrale della rete e contro i tentativi di accesso abusivo aidati;

iv. sono adottate misure e accorgimenti volti aridurre i rischi di manomissione e accesso fraudolento al dispositivo diacquisizione;

v. il riferimento biometrico è cifrato contecniche crittografiche con lunghezza delle chiavi adeguata alla dimensione eal ciclo di vita dei dati;

vi. i riferimenti biometrici sono conservati peril tempo strettamente necessario a realizzare le finalità del sistema biometrico;

vii. i riferimenti biometrici sono conservatiseparatamente dai dati identificativi degli interessati;

viii. sono previsti meccanismi di cancellazione automatica dei dati,cessati gli scopi per i quali sono stati raccolti e trattati.

h) E' esclusa la realizzazione di archivibiometrici centralizzati.

i) E' predisposta una relazione chedescrive gli aspetti tecnici e organizzativi delle misure messe in atto daltitolare, fornendo altresì la valutazione della necessità e dellaproporzionalità del trattamento biometrico. Tale relazione tecnica è conservataaggiornata, con verifica di controllo almeno annuale, per tutto il periodo diesercizio del sistema biometrico e mantenuta a disposizione del Garante.

4.3 Uso dell'improntadigitale o della topografia della mano a scopi facilitativi

Le tecnichebiometriche possono anche prestarsi a essere utilizzate per consentire, regolaree semplificare l'accesso fisico di utenti ad aree fisiche in ambito pubblico(es. biblioteche) o privato (es. aree aeroportuali riservate) o a servizi.

In questi casi ilpresupposto di legittimità del trattamento dei dati biometrici è dato dalconsenso effettivamente libero degli interessati e dall'utilizzo di sistemialternativi di accesso non basati su dati biometrici.

Il titolare èesonerato dall'obbligo di presentare istanza di verifica preliminare se iltrattamento è svolto nel rispetto delle seguenti prescrizioni:

a) Le caratteristiche biometriche consistononell'impronta digitale o nella topografia della mano.

b) La cancellazione dei dati biometrici grezzi edei campioni biometrici ha luogo immediatamente dopo la loro raccolta etrasformazione in modelli biometrici.

c) I dispositivi per l'acquisizione iniziale e quelli perl'acquisizione nel corso dell'ordinario funzionamento sono direttamenteconnessi o integrati, rispettivamente, nelle postazioni informatiche di enrolmente nelle postazioni di controllo o nei dispositivi di acquisizione.

d) Le trasmissioni di dati tra i dispositivi diacquisizione e le altre componenti del sistema biometrico sono rese sicure conl'ausilio di tecniche crittografiche con lunghezza delle chiavi adeguata alladimensione e al ciclo di vita dei dati.

e) Nel caso di esclusiva conservazione delriferimento biometrico in modalità sicura su supporti portatili (smart card oanalogo dispositivo sicuro) dotati di adeguate capacità crittografiche ecertificati per le funzionalità richieste in conformità alla norma tecnica UNICEI ISO/IEC 15408 o FIPS 140-2 almeno level 3:

i. il supporto è rilasciato in un unico esemplare, è nell'esclusivadisponibilità dell'interessato e, in caso di cessazione dei diritti di accesso,è restituito e distrutto con procedura formalizzata;

ii. l'area di memoria in cui sono conservati i riferimentibiometrici è accessibile ai soli lettori autorizzati ed è protetta da accessinon autorizzati;

iii. il riferimento biometrico è cifrato con tecniche crittografichecon lunghezza delle chiavi adeguata alla dimensione e al ciclo di vita deidati.

f) Nel caso di conservazione del riferimentobiometrico su un dispositivo-lettore o su postazioni informatiche:

i. è assicurata la registrazione degli accessi allapostazione da parte degli amministratori di sistema, tramite idonei sistemi diraccolta dei log;

ii. sono adottate idonee misure e accorgimenti tecnici percontrastare i rischi di installazione di software e di modifica dellaconfigurazione dei dispositivi o delle postazioni informatiche, se nonesplicitamente autorizzati;

iii. sono adottate misure e accorgimenti volti a ridurre i rischi dimanomissione e accesso fraudolento al dispositivo di acquisizione;

iv. il riferimento biometrico è cifrato con tecniche crittografichecon lunghezza delle chiavi adeguata alla dimensione e al ciclo di vita deidati;

v. i riferimenti biometrici sono conservati per il tempostrettamente necessario a realizzare le finalità del sistema biometrico;

vi. i riferimenti biometrici sono conservati separatamente dai datiidentificativi degli interessati.

g) E' esclusa la realizzazione di archivibiometrici centralizzati.

h) E' predisposta una relazione che descrive gli aspettitecnici e organizzativi delle misure messe in atto dal titolare, fornendoaltresì la valutazione della necessità e della proporzionalità del trattamentobiometrico rispetto ai suoi fini facilitativi. Tale relazione tecnica è conservataaggiornata, con verifica di controllo almeno annuale, per tutto il periodo diesercizio del sistema biometrico e mantenuta a disposizione del Garante.

4.4 Sottoscrizione didocumenti informatici

Il trattamento di datibiometrici costituiti da informazioni dinamiche associate all'apposizione amano libera di una firma autografa avvalendosi di specifici dispositivihardware è ammesso in assenza di verifica preliminare laddove si utilizzinosistemi di firma grafometrica posti a base di una soluzione di firmaelettronica avanzata, così come definita dal Decreto Legislativo 7 marzo 2005,n. 82, recante il "Codice dell'amministrazione digitale" che nonprevedono la conservazione centralizzata di dati biometrici.

L'utilizzo di talisistemi, da un lato, si giustifica al fine di contrastare eventuali tentatividi frode e il fenomeno dei furti di identità e, dall'altro, ha lo scopo dirafforzare le garanzie di autenticità e integrità dei documenti informaticisottoscritti, anche in vista di eventuale contenzioso legato al disconoscimentodella sottoscrizione apposta su atti e documenti di tipo negoziale in sedegiudiziaria.

In tali casi, ilpresupposto di legittimità del trattamento dei dati biometrici è dato dalconsenso, effettivamente libero degli interessati ovvero, in ambito pubblico,dal perseguimento delle finalità istituzionali del titolare. Il consenso èespresso dall'interessato all'atto di adesione al servizio di firma grafometricae ha validità, fino alla sua eventuale revoca, per tutti i documenti dasottoscrivere.

Il titolare èesonerato dall'obbligo di presentare istanza di verifica preliminare se iltrattamento è svolto nel rispetto delle seguenti prescrizioni e limitazioni:

a) Il procedimento di firma è abilitato previaidentificazione del firmatario.

b) Sono resi disponibili sistemi alternativi(cartacei o digitali) di sottoscrizione, che non comportino l'utilizzo di datibiometrici.

c) La cancellazione dei dati biometrici grezzi edei campioni biometrici ha luogo immediatamente dopo il completamento dellaprocedura di sottoscrizione, e nessun dato biometrico persiste all'esterno deldocumento informatico sottoscritto.

d) I dati biometrici e grafometrici non sonoconservati, neanche per periodi limitati, sui dispositivi hardware utilizzatiper la raccolta, venendo memorizzati all'interno dei documenti informaticisottoscritti in forma cifrata tramite sistemi di crittografia a chiave pubblicacon dimensione della chiave adeguata alla dimensione e al ciclo di vita deidati e certificato digitale emesso da un certificatore accreditato ai sensidell'art. 29 del Codice dell'amministrazione digitale. La corrispondente chiaveprivata è nella esclusiva disponibilità di un soggetto terzo fiduciario che forniscaidonee garanzie di indipendenza e sicurezza nella conservazione della medesimachiave. La chiave può essere frazionata tra più soggetti ai fini di sicurezza eintegrità del dato. In nessun caso il soggetto che eroga il servizio di firma grafometricapuò conservare in modo completo tale chiave privata. Le modalità digenerazione, consegna e conservazione delle chiavi sono dettagliatenell'informativa resa agli interessati e nella relazione di cui alla lettera k)del presente paragrafo, in conformità con quanto previsto all'art. 57, comma 1lettere e) ed f) del d.P.C.M. 22 febbraio 2013.

e) La trasmissione dei dati biometrici tra sistemihardware di acquisizione, postazioni informatiche e server avvieneesclusivamente tramite canali di comunicazione resi sicuri con l'ausilio ditecniche crittografiche con lunghezza delle chiavi adeguata alla dimensione eal ciclo di vita dei dati.

f) Sono adottate idonee misure e accorgimenti tecnici percontrastare i rischi di installazione di software e di modifica dellaconfigurazione delle postazioni informatiche e dei dispositivi, se nonesplicitamente autorizzati.

g) I sistemi informatici sono protetti control'azione di malware e sono, inoltre, adottati sistemi di firewall per laprotezione perimetrale della rete e contro i tentativi di accesso abusivo aidati.

h) Nel caso di utilizzo di sistemi di firma grafometricanello scenario mobile o BYOD (Bring Your Own Device), sono adottati idoneisistemi di gestione delle applicazioni o dei dispositivi mobili, con il ricorsoa strumenti MDM (Mobile Device Management) o MAM (Mobile ApplicationManagement) o altri equivalenti al fine di isolare l'area di memoria dedicataall'applicazione biometrica, ridurre i rischi di installazione abusiva disoftware anche nel caso di modifica della configurazione dei dispositivi econtrastare l'azione di eventuali agenti malevoli (malware).

i) I sistemi di gestione impiegati neitrattamenti grafometrici adottano certificazioni digitali e policy di sicurezzache disciplinino, sulla base di criteri predeterminati, le condizioni di loroutilizzo sicuro (in particolare, rendendo disponibili funzionalità di remote wipingapplicabili nei casi di smarrimento o sottrazione dei dispositivi).

j) L'accesso al modello grafometrico cifratoavviene esclusivamente tramite l'utilizzo della chiave privata detenuta dalsoggetto terzo fiduciario, o da più soggetti, in caso di frazionamento dellachiave stessa, e nei soli casi in cui si renda indispensabile per l'insorgenzadi un contenzioso sull'autenticità della firma e a seguito di richiestadell'autorità giudiziaria. Le condizioni e le modalità di accesso alla firma grafometricada parte del soggetto terzo di fiducia o da parte di tecnici qualificati sonodettagliate nell'informativa resa agli interessati e nella relazione di cuialla lettera k) del presente paragrafo, in conformità con quanto previstoall'art. 57, comma 1, lettere e) ed f) del d.P.C.M. 22 febbraio 2013.

k) E' predisposta una relazione che descrive gliaspetti tecnici e organizzativi delle misure messe in atto dal titolare,fornendo altresì la valutazione della necessità e della proporzionalità deltrattamento biometrico rispetto alle finalità. Tale relazione tecnica è conservataaggiornata, con verifica di controllo almeno annuale, per tutto il periodo diesercizio del sistema biometrico e mantenuta a disposizione del Garante.

TUTTO CIO' PREMESSO IL GARANTE

1. adotta ai sensi dell'art. 154, comma 1, lettera h) del Codice l'allegato"A", recante le "Linee-guida in materia di riconoscimentobiometrico e firma grafometrica", che forma parte integrante dellapresente deliberazione, al fine di informare i titolari di trattamento, iproduttori di tecnologie biometriche, i fornitori di servizi e gli interessatisui diversi aspetti connessi alla protezione dei dati personali, ivi compresiquelli relativi alla sicurezza, e sui presupposti di legittimità deitrattamenti dei dati biometrici;

2. prescrive, ai sensi dell'art. 154, comma 1, lettera c) delCodice, che i titolari di trattamenti biometrici comunichino al Garante, entroventiquattro ore dalla conoscenza del fatto, le violazioni dei dati biometricisecondo le modalità di cui al paragrafo 3;

3. individua, nei termini di cui al paragrafo 4, i casi di esonerodalla presentazione di istanza di verifica preliminare, e prescrive aisoggetti che intendano procedere in qualità di titolari a tali trattamenti, aisensi dell'art. 17 del Codice, di adottare le misure e gli accorgimentitecnici, organizzativi e procedurali descritti nel medesimo paragrafo, nonchédi rispettare i presupposti di legittimità e le indicazioni contenute nelleallegate linee-guida con particolare riferimento al capitolo 4 "Principigenerali e adempimenti giuridici";

4. prescrive ai titolari di trattamenti biometrici che non abbianorichiesto la verifica preliminare al Garante:

a. di adottare – entro centottanta giorni dallapubblicazione del presente provvedimento sulla Gazzetta Ufficiale dellaRepubblica Italiana – le misure e gli accorgimenti di cui al paragrafo 4,qualora i trattamenti siano compresi nei casi di esonero dall'obbligo diverifica preliminare;

ovvero

b. di sospendere – entro il medesimo termine – itrattamenti e di sottoporre gli stessi a verifica preliminare, con interpelloal Garante ai sensi dell'art. 17 del Codice;

5. invita i titolari dei trattamenti biometrici compresi nei casi diesonero dall'obbligo di verifica preliminare, i quali abbiano già presentatoistanza, tuttora pendente, ex art. 17 del Codice, a comunicare al Garante– entro trenta giorni dalla pubblicazione del presente provvedimentosulla Gazzetta Ufficiale della Repubblica Italiana – la conformità deltrattamento alle prescrizioni ivi contenute ovvero la propria intenzione di conformarvisi.La presentazione della comunicazione comporta il non luogo a provvedere sullerelative istanze. Le istanze di verifica preliminare in relazione alle qualinon sia stata presentata la comunicazione di cui al periodo che precedeverranno valutate dal Garante secondo le ordinarie procedure;

6. dispone, ai sensi dell'art. 143, comma 2, del Codice, che copiadel presente provvedimento sia trasmessa al Ministero della giustizia –Ufficio pubblicazione leggi e decreti – per la sua pubblicazione sullaGazzetta Ufficiale della Repubblica Italiana.

Roma, 12 novembre 2014

Il presidente
Soro

Il relatore
Iannini

Il segretario generale
Busia