Credenziali di autenticazione

0
12

Per poter procedere correttamente al trattamento di dati biometrici come le impronte digitali, è necessaria, prima di tutto, «l’adozione di elevate cautele al fine di prevenire possibili pregiudizi ai danni degli interessati, con particolare riguardo a condotte illecite che determinino l’abusiva “ricostruzione” dell’impronta partendo dal template e la sua ulteriore “utilizzazione” all’insaputa degli stessi».

In pratica, questo significa che, mentre è da escludersi la possibilità di adottare un database centralizzato in cui siano memorizzati i dati biometrici, altrettanto non si può dire se l’autenticazione avviene leggendo le impronte digitali, memorizzate sotto forma di codice cifrato (template), da un supporto posto nell’esclusiva disponibilità dell’interessato (cioè una smart card o un dispositivo analogo) e privo di qualsiasi indicazione nominativa ad esso riferibile ( come un codice individuale). Tuttavia, questo non esaurisce le condizioni poste dal Garante per la privacy, che ormai ripete ad ogni occasione che l’uso generalizzato di dati biometrici, specialmente se ricavati dalle impronte digitali, non è in linea di principio lecito (vedi da ultimo il paragrafo 4 della deliberazione n.53 del 23 novembre 2006, contenente le linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati).

L’utilizzo di dati biometrici può essere giustificato solo in casi particolari, per valutare i quali si deve tener conto delle finalità e del contesto in cui essi sono trattati e, in relazione ai luoghi di lavoro, per presidiare accessi ad «aree sensibili», considerata la natura delle attività ivi svolte (ad esempio nel caso di processi produttivi pericolosi o sottoposti a segreti), o in ragione della documentazione o dei beni ivi custoditi (documenti segreti o riservati, oggetti di particolare valore, ecc.). Il riferimento ai «documenti segreti o riservati» custoditi nell’area «sensibile», potrebbe essere interpretato anche in maniera molto estesa, dal momento che qualunque documento relativo alla propria attività lavorativa potrebbe essere considerato segreto e riservato. Inoltre, in linea di principio, la necessità di impedire l’accesso improprio a un computer non è diversa dall’interdizione di un locale a un visitatore non autorizzato all’accesso.

Occorre però essere molto prudenti nella valutazione della legittimità dell’uso di dati biometrici, considerando che il Garante finora ha espresso pareri favorevoli al trattamento delle impronte digitali solo in circostanze effettivamente particolari, che vanno ben oltre la richiesta di evitare di dover cambiare le password dei computer. Ad esempio, è stato espresso parere favorevole nel caso di banche che vogliono proteggere l’accesso a locali in cui custodiscono opere d’arte, piuttosto che di società operanti nell’avionica che necessitano di essere in linea con gli elevati livelli di sicurezza e riservatezza richiesti in ambiente NATO.

Nei casi, invece, in cui il Garante è stato chiamato, ad esempio, ad esprimersi sull’uso del dato biometrico a fini di accertamento della presenza sul luogo di lavoro e commisurare, così, la retribuzione ordinaria e straordinaria da corrispondere ai dipendenti, ha espresso parere contrario.
Indicazioni di carattere generale sull’uso del corpo (nel quale rientra anche l’impiego delle impronte digitali), sono state dettate dal Garante in un provvedimento del 9 maggio 2006, con il quale ha emanato un «decalogo», che è una guida operativa per chi progetta e costruisce sistemi per la rilevazione di dati corporei e per ogni cittadino che deve segnalare ogni abuso all’Autorità. L’opinione del Garante è che «il corpo non è una password e va rispettato inderogabilmente».

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here