Biometria e privacy: l’accesso ad aree riservate
17 Ottobre 2016
L’utilizzo dello strumento biometrico per regolare l’accesso ad un’area riservata è sempre più alla portata delle varie organizzazioni ma ha dei risvolti sotto il profilo privacy. Immaginiamo il caso di un’organizzazione che vuole agevolare i propri clienti nell’accesso ad aree riservate. Attenzione, in questo esempio non consideriamo l’accesso alle aree da parte dei dipendenti!
La materia di specie è regolata, in via generale, dal Codice in materia di protezione dei dati personali (D.Lgs. 196/2003), che prevede, all’art. 17, una richiesta di verifica preliminare al Garante della Privacy in ordine all’utilizzo di tecniche biometriche.
Successivamente il Garante della Privacy si è espresso sul punto con il “Provvedimento generale prescrittivo in tema di biometria – 12 novembre 2014” (Pubblicato sulla Gazzetta Ufficiale n. 280 del 2 dicembre 2014).
Il Provvedimento, al punto 4, cita: “Sulla base dell’esperienza maturata, però, il Garante ha ritenuto di individuare, con il presente provvedimento, talune tipologie di trattamento volte a scopi di riconoscimento biometrico (nella forma di identificazione biometrica o di verifica biometrica) o di sottoscrizione di documenti informatici (firma grafometrica) che, in considerazione delle specifiche finalità perseguite, della tipologia dei dati trattati e delle misure di sicurezza che possono essere concretamente adottate a loro protezione, presentano un livello di rischio ridotto.”
Ed ancora:
“In relazione a tali specifiche tipologie di trattamenti non è quindi necessario per i titolari presentare la predetta istanza, a condizione che vengano adottate tutte le misure e gli accorgimenti tecnici idonei a raggiungere gli obiettivi di sicurezza individuati con il presente provvedimento e siano rispettati i presupposti di legittimità contenuti nel Codice e richiamati nel capitolo 4 delle linee-guida (con particolare riferimento ai principi generali di liceità, finalità, necessità e proporzionalità dei trattamenti, e agli adempimenti giuridici quali l’obbligo di informativa agli interessati e di notificazione al Garante).”
In particolare, si presta al nostro caso quanto specificato al punto 4.3 del Provvedimento: “Uso dell’impronta digitale o della topografia della mano a scopi facilitativi” che dice:
“Le tecniche biometriche possono anche prestarsi a essere utilizzate per consentire, regolare e semplificare l’accesso fisico di utenti ad aree fisiche in ambito pubblico (es. biblioteche) o privato (es. aree aeroportuali riservate) o a servizi.
In questi casi il presupposto di legittimità del trattamento dei dati biometrici è dato dal consenso effettivamente libero degli interessati e dall’utilizzo di sistemi alternativi di accesso non basati su dati biometrici.”
L’accesso ad aree riservate, quindi, deve poter avvenire anche con altre modalità (biglietto, tessera di fedeltà, …). E’ necessario, quindi, che queste modalità non vengano meno in tempi successivi.
Oltre a questo punto, per evitare l’istanza, il provvedimento identifica una serie di prescrizioni:
“Il titolare è esonerato dall’obbligo di presentare istanza di verifica preliminare se il trattamento è svolto nel rispetto delle seguenti prescrizioni:
a) Le caratteristiche biometriche consistono nell’impronta digitale o nella topografia della mano.”
Tipicamente si usa il riconoscimento dell’impronta digitale.
“b) La cancellazione dei dati biometrici grezzi e dei campioni biometrici ha luogo immediatamente dopo la loro raccolta e trasformazione in modelli biometrici.”
Normalmente si utilizzano programmi che estraggono l’immagine acquisita dal dispositivo biometrico e ne creano un modello matematico, basato sull’immagine acquisita con metodo biometrico.
“c) I dispositivi per l’acquisizione iniziale e quelli per l’acquisizione nel corso dell’ordinario funzionamento sono direttamente connessi o integrati, rispettivamente, nelle postazioni informatiche di enrolment e nelle postazioni di controllo o nei dispositivi di acquisizione.”
La fase di “enrolment” è quella che va dall’acquisizione del campione biometrico alla sua memorizzazione, all’estrazione dei tratti fino alla generazione del riferimento biometrico da archiviare per i confronti successivi. Per essere conformi, che gli scanner sono direttamente connessi al server sul quale gira il software di estrazione per evitare che i dati siano intercettati.
“d) Le trasmissioni di dati tra i dispositivi di acquisizione e le altre componenti del sistema biometrico sono rese sicure con l’ausilio di tecniche crittografiche con lunghezza delle chiavi adeguata alla dimensione e al ciclo di vita dei dati.”
Si deve utilizzare un sistema di crittografia (tipo AES-256). La crittografia deve essere applicata sul server dell’estrazione, prima di inviare il file criptato al server di storage.
“e) Nel caso di esclusiva conservazione del riferimento biometrico in modalità sicura su supporti portatili (smart card o analogo dispositivo sicuro) dotati di adeguate capacità crittografiche e certificati per le funzionalità richieste in conformità alla norma tecnica ISO/IEC 15408 o FIPS 140-2 almeno level 3:
i. il supporto è rilasciato in un unico esemplare, è nell’esclusiva disponibilità dell’interessato e, in caso di cessazione dei diritti di accesso, è restituito e distrutto con procedura formalizzata;
ii. l’area di memoria in cui sono conservati i riferimenti biometrici è accessibile ai soli lettori autorizzati ed è protetta da accessi non autorizzati;
iii. il riferimento biometrico è cifrato con tecniche crittografiche con lunghezza delle chiavi adeguata alla dimensione e al ciclo di vita dei dati.”
Questo punto va applicato nel caso si previsto il supporto portatile.
“f) Nel caso di conservazione del riferimento biometrico su un dispositivo-lettore o su postazioni informatiche:
– è assicurata la registrazione degli accessi alla postazione da parte degli amministratori di sistema, tramite idonei sistemi di raccolta dei log;”
Certificazione 27.001: certifica la sicurezza dei tuoi dati
È necessario predisporre un sistema di access log al server che contiene i dati delle scansioni biometriche.
– sono adottate idonee misure e accorgimenti tecnici per contrastare i rischi di installazione di software e di modifica della configurazione dei dispositivi o delle postazioni informatiche, se non esplicitamente autorizzati;
È necessario predisporre le misure adeguate di sicurezza.
– sono adottate misure e accorgimenti volti a ridurre i rischi di manomissione e accesso fraudolento al dispositivo di acquisizione;
È necessario predisporre le misure adeguate di sicurezza.
iv. il riferimento biometrico è cifrato con tecniche crittografiche con lunghezza delle chiavi adeguata alla dimensione e al ciclo di vita dei dati;
Si invita ad utilizzare sistemi di crittografia adeguati (tipo AES-256) applicandola sul server di estrazione. Diffidare da crittografie deboli.
v. i riferimenti biometrici sono conservati per il tempo strettamente necessario a realizzare le finalità del sistema biometrico;
Su questo punto è necessario che l’organizzazione si doti di Policy inerenti il tempo di conservazione del dato. Tale policy deve essere impostata nei sistemi di acquisizione.
vi. i riferimenti biometrici sono conservati separatamente dai dati identificativi degli interessati.
Si deve assicurare che dati biometrici e dati identificativi degli interessati siano conservati in server diversi. Questo punto è in linea con quanto previsto dal Regolamento Europeo sulla Pseodonimizzazione.
g) E’ esclusa la realizzazione di archivi biometrici centralizzati.
Non si può utilizzare il sistema per creare archivi centralizzati volti al trattamento del dato biometrico.
h) E’ predisposta una relazione che descrive gli aspetti tecnici e organizzativi delle misure messe in atto dal titolare, fornendo altresì la valutazione della necessità e della proporzionalità del trattamento biometrico rispetto ai suoi fini facilitativi. Tale relazione tecnica è conservata aggiornata, con verifica di controllo almeno annuale, per tutto il periodo di esercizio del sistema biometrico e mantenuta a disposizione del Garante.
E’ necessario che l’organizzazione predisponga e mantenga aggiornata questa relazione. In alternativa è possibile pensare alla certificazione ISO 27001 poiché il provvedimento cita:
I titolari dotati di certificazione del sistema di gestione per la sicurezza delle informazioni (SGSI) secondo la norma tecnica ISO/IEC 27001 che inseriscono il sistema biometrico nel campo di applicazione della certificazione sono esentati dall’obbligo di redigere la relazione di cui al precedente periodo, potendo utilizzare la documentazione prodotta nell’ambito della certificazione, integrandola con la valutazione della necessità e della proporzionalità del trattamento biometrico.
