ADEMPIMENTI PRIVACY

Dispositivi di lettura del dato biometrico come strumento di facility access aziendale: regole normative

La raccolta e il trattamento dati effettuati mediante dispositivi di lettura del dato biometrico è consentito purché venga predisposta un’informativa idonea su cui vengano esplicitate chiaramente le finalità del trattamento, perseguendo principi di correttezza, liceità e trasparenza. Ecco le regole da seguire

21 Feb 2020
P
Matteo Pompilio

Data Protection & Legal Consultant


Tra i vari sistemi di autenticazione comparsi nell’era moderna e ad alto profilo tecnologico si è assistito, negli ultimi anni, alla diffusione dei dispositivi di lettura del dato biometrico, sia di tipo attivo, che pertanto pretendono l’interazione dell’interessato, sia di tipo passivo, che invece non richiedono alcuna condotta da parte dell’interessato ma assumono in via autonoma il dato necessario.

Questi stessi dispositivi di acquisizione e riconoscimento del dato biometrico, sempre più spesso, vengono utilizzati per agevolare l’accesso degli utenti al perimetro aziendale o a determinate aree interne più o meno riservate.

Dispositivi di lettura del dato biometrico: il contesto

È evidente che l’imprenditore, nel predisporre un adeguato sistema di data protection, deve considerare qualsiasi minaccia potenzialmente idonea a cagionare la perdita d’integrità, disponibilità e riservatezza dei suoi dati.

Pertanto, implementa misure di protezione sia a livello logico, considerando in questo senso qualsiasi infrastruttura digitale, o dispositivo, ove le informazioni transitano e sono archiviate, sia a livello fisico. Intendendosi, con quest’ultima definizione, il dover garantire un livello di sicurezza per ogni area, ove queste infrastrutture digitali sono ubicate ovvero sono conservate informazioni rilevanti, gestendo accessi e autorizzazioni.

La protezione fisica delle aree aziendali è finalizzata dunque a inibire, o al più limitare, intrusioni non autorizzate. Così da gestire il flusso degli accessi in quelle determinate e particolari zone dell’area aziendale. Tale protezione sarà più efficace se estesa anche agli ingressi perimetrali.

L’imprenditore si affida solitamente a sistemi di videosorveglianza, di allarme o anti- intrusione.

I quali, seppur ritenuti efficaci circa il profilo della sicurezza, non risultano altrettanto idonei per la gestione e il controllo del flusso degli accessi necessitando di ulteriori risorse a corredo. Si pensi, ad esempio, alla postazione video per l’impianto di videosorveglianza con relativa guardiania e unità a questa dedicate.

Quando l’imprenditore avverte l’esigenza di garantire l’accesso esclusivo a specifici individui in aree dell’azienda ben determinate, il sistema preposto alla protezione di tali aree dovrà rispondere alla duplice finalità di evitare intrusioni di soggetti malintenzionati, ma nello stesso tempo, riconoscere, e consentire l’accesso, ai soggetti autorizzati.

Tra i sistemi di protezione più frequenti, che garantiscono un sistema di autorizzazione e autenticazione, possono annoverarsi i registri.

Questi documenti vengono di frequente utilizzati per facilità di gestione e costi di tenuta decisamente bassi.

Nei registri sono indicati i soggetti detentori delle chiavi, chiamati a verificare e segnalare gli accessi, oltre all’ora e alla data d’ingresso di ogni utente, che sia stato in precedenza autorizzato.

Con questo meccanismo si responsabilizza il detentore delle chiavi e si limitano gli accessi al solo personale autorizzato.

Il registro, però, presenta non poche criticità tra le quali, la più evidente, è la poca affidabilità, poiché connesso ad una condotta (la redazione manuale) non sempre precisa e veritiera, oltre che modificabile anche in presenza di precisi protocolli o procedure.

Tra gli altri sistemi deve menzionarsi anche il badge di accesso. Trattasi di una scheda magnetica, precedentemente programmata, capace di consentire l’accesso degli autorizzati ad alcune aree piuttosto che altre in base a gruppi di accesso suddivisi per livelli.

Per questo tipo di meccanismo la criticità più evidente è il rischio smarrimento e il conseguente uso improprio del soggetto non autorizzato che sia venuto illegittimamente in possesso della tessera.

Sovente, anche al fine di garantire livelli di protezione proporzionati al tipo di dati trattati o delle informazioni che si detengono, l’imprenditore può affidarsi a meccanismi più performanti, sicuri e altamente affidabili come, per l’appunto, i dispositivi di acquisizione e riconoscimento del dato biometrico che permettono di identificare un dipendente o collaboratore consentendo al datore di lavoro di poter autorizzare l’accesso ad aree particolarmente sensibili tenendo traccia di eventuali tentativi di accesso non autorizzato.

In questa sede si tenterà dunque di compiere una valutazione sulla liceità d’uso, da parte del datore di lavoro, dei dispositivi di raccolta del dato biometrico per consentire l’accesso di dipendenti o terzi autorizzati ad aree predeterminate. Aree che sono ritenute sensibili e meritevoli di un livello maggiore di protezione.

La trattazione si soffermerà sulla natura facilitativa dello strumento giacché capace di velocizzare e snellire l’accesso degli utenti mantenendo al contempo un elevato livello di sicurezza poiché affidabile in termini di autenticazione e autorizzazione.

Sotto altro profilo, però, l’utilizzo dei dispositivi di lettura del dato biometrico impone al datore di lavoro particolari adempimenti, secondo quanto previsto dalla normativa vigente, in correlazione al trattamento del dato biometrico.

Non si affronterà invece la nota questione relativa alla registrazione degli orari di ingresso e uscita del lavoratore. Tale argomento è stato ampiamente dibattuto e non coinvolgerà la disamina odierna.

Dispositivi di lettura del dato biometrico: la normativa privacy

La disciplina relativa al trattamento del dato biometrico rientrava nella più ampia categoria di trattamento dei dati particolari o sensibili ricevendo, solo nell’ultimo periodo, una specifica attenzione.

Ciò che emerge con chiarezza è il contrasto evidente tra la spinta all’uso della tecnologia biometrica da parte dei colossi del digitale, affascinati dalla molteplicità di declinazioni e usi, e l’Autorità Garante. Questa, infatti, teme per la deriva che tali sistemi possano determinare a causa dell’iper-diffusione dei dati biometrici e genetici con conseguenti rischi per gli individui coinvolti.

WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

L’utilizzo di un meccanismo di controllo degli accessi sul luogo di lavoro (o per talune aree) costituito da un dispositivo di raccolta e trattamento del dato biometrico è consentito, purché tale meccanismo non sia impiegato, come predetto, per la verifica dell’orario d’ingresso e uscita del lavoratore.

L’assetto normativo è stato rimodellato dal Regolamento EU 679/2016, che si presenta più sensibile al fermento tecnologico dell’era moderna e al conseguente sviluppo dei dispositivi disponibili in termini di iper-connessione e incorporazione dei dati personali degli individui che v’interagiscono.

Infatti, la normativa europea volge lo sguardo verso ambienti di lavoro che, nel prossimo futuro, saranno sempre più dipendenti da dispositivi digitali che interagiscono, anche non direttamente, con l’essere umano.

Si pensi all’odierna diffusione dell’Internet of things e di altri sistemi pensati per l’interazione diretta con gli utenti.

Il profilo normativo che qui si analizzerà, anche per comprendere i parametri di liceità relativamente all’uso del dato biometrico per taluni scopi, deve partire dalla menzione degli artt. 4.13 e 4.14 del Regolamento EU 679/2016 i quali definiscono:

13) dati genetici: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione.

Mentre per:

14) dati biometrici: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici.

Orbene, tali definizioni sono in ordine di tempo, l’ultimo tentativo di definire giuridicamente il concetto di dato biometrico quale categoria ricompresa nel più vasto insieme dei dati particolari.

Dispositivi di lettura del dato biometrico: il consenso

Successivamente deve richiamarsi l’art. 9 del Regolamento.

La norma afferma, al par. 1, che il trattamento dei dati biometrici intesi a identificare in modo univoco una persona, già ricompresi nel novero di ulteriori tipologie di dati ritenuti particolari e pertanto meritevoli di autonoma e più elevata protezione, non è consentito.

Salvo poi, al secondo paragrafo, acconsentire al trattamento dei dati particolari allorquando sussistenti predeterminate circostanze.

Nel caso che qui interessa devono richiamarsi, quali eventi in deroga al divieto imposto dall’art.9 del Regolamento, tra gli altri, il punto a) ovvero il consenso prestato dall’interessato al trattamento del proprio dato biometrico per una o più finalità specifiche e il punto b) inerente all’assolvimento degli obblighi in materia di diritto del lavoro e della sicurezza sociale.

Infatti, la norma comunitaria prevede che: “Il paragrafo 1 non si applica se si verifica uno dei seguenti casi: a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1(…)”.

A parere dello scrivente non appare verosimile, in via generale, ricondurre la fattispecie qui trattata, concernente un sistema di facility access, al punto b) del par. 2 secondo cui : “b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”.

Poiché appare evidente che la circostanza in argomento non è assimilabile esclusivamente ad alcun obbligo in materia di diritto del lavoro. Infatti, l’imprenditore, nel predisporre un sistema di protezione basato su dispositivi di raccolta e riconoscimento del dato biometrico, potrebbe dover autorizzare diverse categorie di utenze, tra cui anche i lavoratori dipendenti, ma non di rado soggetti terzi come i collaboratori, siano essi occasionali o abituali.

Pertanto, l’uso del dato biometrico per gestire gli accessi è consentito dal regolamento EU 679/2016 previo consenso, salvo che per talune categorie di utenti laddove, dovendosi assolvere un obbligo di legge in materia di diritto del lavoro ovvero per la particolarità, o la pericolosità, dell’attività svolta, il datore può agire anche senza il consenso dell’interessato.

In tal senso potrà anche richiamarsi il legittimo interesse del datore di lavoro ex art. 6 comma 1, lett. f) del Regolamento. Infatti può rilevarsi che, in quest’ultima circostanza, un sistema che permetta all’utente di entrare e uscire mediante un dispositivo che conosca, e riconosca, il suo dato biometrico al sol fine di ricavarne un meccanismo che faciliti l’ingresso e che, al contempo, legittimi l’accesso, è una prerogativa che può ragionevolmente costituire, tra le altre, un interesse legittimo del datore di lavoro nonché espressione del suo potere datoriale, come disciplinato dagli artt. 2086 c.c. e 2087 c.c.

Si pensi in tal senso a contesti di lavoro altamente pericolosi o all’uso di particolari macchinari da parte di tecnici specializzati. Solo in queste circostanze può ammettersi l’applicazione del punto b) del par. 2 dell’art 9 del Regolamento. Ma chi scrive effettua tale interpretazione con riserva poiché in attesa delle c.d. misure di garanzia previste dall’art. 2- septies del D.lgs. 101/2018.

La previsione del Regolamento comunitario deve pertanto applicarsi con l’assetto normativo nazionale.

Dispositivi di lettura del dato biometrico: la disciplina interna

Per quel che riguarda la disciplina interna, con riguardo al trattamento dei dati biometrici, deve attualmente richiamarsi il Provvedimento Generale dell’Autorità Garante n. 513 del 12 novembre 2014 e il nuovo art. 2-quater e 2-septies del Codice della Privacy come integrato dal D.Lgs. 101/2018.

A questi riferimenti principali devono aggiungersi, in via ulteriore e trasversale, oltre che sulla scorta delle finalità di volta in volta perseguite, una serie di provvedimenti che il Garante ha emanato nel corso del tempo anche in riferimento a specifiche questio per i quali è stato interpellato e a cui ha fornito puntuale risposta.

Fermo restando l’art. 2-septies, il quale nulla aggiunge alla previsione dell’art. 9 del Regolamento EU 679/2016 anche in attesa delle c.d. “misure di garanzia” da predisporsi ad opera del Garante, ciò che senza dubbio deve richiamarsi è il Provvedimento Generale denominato “Linee guida in materia di riconoscimento biometrico e firma grafometrica”.

Il Provvedimento offre un’ampia panoramica circa le modalità d’impiego e trattamento dei dati biometrici corredandovi, altresì, una descrizione delle varie caratteristiche e tipologie.

Al par. 5.3 il Provvedimento menziona l’uso del dato biometrico per il controllo dell’accesso fisico in aree predeterminate prescrivendo che: “Controllo dell’accesso fisico – Le diverse tecniche biometriche si prestano, con maggiore o minore efficacia a seconda del tipo di procedimento adottato, a utilizzazione in contesti differenti da quello informatico anche se comunque caratterizzati da una qualche interazione con sistemi tecnologici. In particolare, è rilevante l’uso di sistemi biometrici per il controllo dell’accesso fisico ad aree ristrette o riservate, per l’apertura di varchi o di serrature a protezione di locali o per l’uso di determinati apparati e macchinari. Le finalità del trattamento biometrico sono principalmente di sicurezza, per la protezione patrimoniale o la tutela dell’incolumità di persone, ma le stesse tecniche biometriche possono anche prestarsi a scopi “facilitativi”, in scenari che variano dall’accesso a biblioteche, all’apertura di armadietti in palestre o di cassette di sicurezza. In ogni caso, le procedure biometriche per queste applicazioni ricadono nelle categorie dell’identificazione biometrica o della verifica biometrica”.

Dunque, il provvedimento estende l’applicazione delle linee guida a quei trattamenti che prevedono l’uso del dato biometrico per finalità legate alla tutela e alla sicurezza del patrimonio ma anche a scopi di facilitazione degli accessi in aree ad accesso limitato.

Aprendo così a procedure più snelle ma rispondenti alle finalità di sicurezza e protezione che un sistema di riconoscimento biometrico garantisce.

Il provvedimento pertanto, seppur emanato prima dell’entrata in vigore del Regolamento, prevede una procedura da osservare per il titolare che procede al trattamento di dati biometrici ritenendo essenziale la predisposizione di un’informativa, infatti prescrive che: “Prima dell’inizio del trattamento (cioè antecedentemente alla fase di enrolment, ndr. enrolment: iscrizione in un sistema, nel caso in oggetto, in un sistema biometrico.

La fase di enrolment va dall’acquisizione del campione biometrico alla sua memorizzazione, all’estrazione dei tratti fino alla generazione del riferimento biometrico da archiviare per i confronti successivi- laddove prevista), il titolare deve fornire agli interessati un’informativa idonea e specifica relativa all’utilizzo dei dati biometrici. Nell’informativa, contenente tutti gli elementi previsti dall’art. 13 del Codice, occorre puntualizzare, in particolare, la finalità perseguita e la modalità del trattamento (anche enunciando, sia pure sinteticamente, le cautele adottate, i tempi di conservazione dei dati, l’eventuale loro centralizzazione). L’informativa deve dare adeguata rilevanza alla natura obbligatoria o facoltativa del conferimento dei dati rispetto al perseguimento delle finalità del trattamento”.

Pertanto, il punto 4.5 offre un altro aspetto da tenere in considerazione ai fini della nostra disamina e concerne l’uso facoltativo del dispositivo biometrico.

Il dispositivo biometrico deve essere offerto, dal titolare del trattamento all’interessato, come una scelta ulteriore e facoltativa anche in ragione di problematiche fisiche o giuridiche che possano eventualmente sorgere.

Infatti, il Garante aggiunge che: “Laddove sia previsto un sistema alternativo ovvero gli interessati non vogliano o non possano, anche in ragione di proprie caratteristiche fisiche, servirsi del sistema di riconoscimento biometrico, oppure successivamente decidano di non usufruirne più, nell’informativa deve essere precisata anche la facoltà di utilizzare modalità diverse per avvalersi comunque del servizio nel cui ambito è prevista una procedura biometrica”.

Inoltre, il Provvedimento prevedeva la preliminare notifica al Garante del trattamento biometrico. Tale obbligo non è più in vigore per gli effetti del successivo provvedimento del 26 novembre 2014 denominato “Privacy: nuove regole per impronte digitali e firma grafometrica – Niente più verifica preliminare per alcuni usi, ma introdotto l’obbligo di comunicare al Garante le violazioni ai sistemi biometrici” ove il Garante non rilevava più come obbligatoria la notifica preliminare del trattamento sancendo esclusivamente l’obbligo di comunicazione in caso di data breach.

Ribadiva altresì che: “La semplificazione riguarderà solo le specifiche tipologie di trattamento che dovranno in ogni caso essere effettuate nel rispetto delle rigorose misure di sicurezza individuate dal Garante, e comunque rispettando i presupposti di legittimità previsti dal Codice privacy, in particolare informando sempre gli interessati sui loro diritti, sugli scopi e le modalità del trattamento: (…) scopi facilitativi. L’impronta digitale e la topografia della mano potranno essere utilizzate anche per consentire l’accesso fisico di utenti ad aree fisiche in ambito pubblico (es. biblioteche) o privato (es. aree aeroportuali riservate). Anche in questo caso l’utilizzo è consentito solo con il consenso degli interessati. Dovranno comunque essere previste modalità alternative per l ́erogazione del servizio per chi rifiuta di far utilizzare i propri dati biometrici”.

Inoltre, il Provvedimento pone particolare attenzione alle modalità di raccolta e trattamento del dato biometrico (ciclo di vita del dato biometrico al punto 6.1 del documento) prescrivendo taluni accorgimenti essenziali in merito alla conservazione del dato utili ad evitare impatti malevoli sugli interessati.

Infatti, sancisce che: “Conservazione dei dati biometrici. Il dato biometrico (usualmente in forma di modello biometrico, ma in alcuni casi anche di campione biometrico) può trovarsi nella disponibilità del titolare del trattamento ed essere conservato in un’unica banca dati centralizzata, anche in forma di Hardware Security Module (HSM), nelle postazioni di lavoro informatiche oppure sugli stessi dispositivi di acquisizione biometrica. In alternativa, è possibile memorizzare il dato biometrico in dispositivi sicuri (es. token, smart card) affidati alla diretta ed esclusiva disponibilità degli interessati, in modo che il titolare non debba conservare il dato biometrico (template on card). Tuttavia, in caso di furto, smarrimento o distruzione del dispositivo, l’interessato potrebbe essere temporaneamente impossibilitato all’utilizzo del sistema biometrico. I filesystem di smart card e token biometrici devono essere leggibili dai soli lettori autorizzati, quantomeno nella porzione contenente i dati biometrici, che vanno resi inintelligibili al di fuori del contesto in cui se ne prevede l’uso tramite l’adozione di accorgimenti crittografici”.

Conclusioni

Possiamo dunque affermare che la raccolta e il trattamento del dato biometrico, al fine di ottenere uno strumento di facility access per l’ingresso nelle aree aziendali, è consentito purché venga predisposta un’informativa idonea su cui vengano esplicitate chiaramente le finalità del trattamento.

Trattamento che deve compiersi perseguendo principi di correttezza, liceità e trasparenza.

Inoltre, salvo che non involga il punto b) dell’art. 9 del Regolamento, lo strumento dev’essere offerto come modalità facoltativa di accesso e adottato previo consenso dell’interessato. Dovrà compiersi, prima dell’inizio del trattamento e regolarmente, un’idonea analisi dei rischi di perdita, anche accidentale del dato biometrico.

Infatti, il titolare deve verificare che il trattamento non esponga a rischi i dati raccolti compiendo pertanto un contemperamento tra l’uso dello strumento e la pericolosità che il medesimo possa comportare per le libertà e i diritti degli interessati.

Inoltre, deve prestarsi particolare attenzione ai modi di conservazione e cancellazione del dato biometrico fermo restando che appare opportuno sviluppare procedure ad hoc che siano periodicamente verificate anche per lo stato dell’arte dei dispositivi utilizzati.

FORUM PA 6 - 11 LUGLIO
Costruire la fiducia digitale: cybersecurity e privacy
Network Security
Privacy

Si resta in attesa delle c.d. misure di garanzia da parte del Garante ai sensi dell’art. 2-septies le quali certamente incideranno sulle valutazioni su esposte e offriranno nuovi spunti di riflessione in materia. Mentre si osserva con attenzione l’evoluzione dei servizi di Identity and Access Management (IAM) attraverso l’uso degli smartphone poiché rappresenterebbero il prossimo passo in materia con notevoli implicazioni di natura giuridica.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5