Come utilizzare l'autenticazione biometrica nel rispetto della protezione dei dati?

LA PAROLA AL LEGALE: COME UTILIZZARE L’AUTENTICAZIONE BIOMETRICA NEL RISPETTO DELLA PROTEZIONE DEI DATI?

“L’uomo primordiale stava meglio, poiché ignorava qualsiasi restrizione. In compenso la sua sicurezza di godere a lungo di tale felicità era molto esigua.

L’uomo civile ha barattato una parte della sua possibile felicità per un po’ di sicurezza”, “poiché quando a rimetterci è la sicurezza, la libertà perde molto del suo primitivo splendore”

^[1] FREUD S., Il disagio della civiltà, in Opere di Sigmund Freud, a cura di C.L. MUSATTI, vol. 10, Torino, 1997. 

^[2] GOMARASCA P., La ragione negli affetti: radice comune di logos e pathos, in Vita e pensiero, 2007, p. 23. 

1. L’accesso all’applicazione e-Connect mediante l’uso dei dati biometrici

EL.MO. S.p.a., oramai da oltre un lustro, vanta tra i propri servizi commercializzati la tecnologia cloud denominata e-Connect, consistente in un'infrastruttura di

centralizzazione e supervisione degli impianti antintrusione, antincendio e TVCC basati su centrali, marchiate EL.MO., facenti parte della Serie PREGIO, ETR,

VILLEGGIO, HERCOLA, NET e TACÓRA; tecnologia che ne consente anche l’utilizzo da remoto attraverso l’apposita applicazione installata nel proprio

smartphone, rivolta tanto all'installatore, tanto all'utente finale.

Nell’ambito dello sviluppo di tale servizio, rientrante nella categoria del cd. cloud computing, EL.MO. ha scelto di aumentare ulteriormente il grado di sicurezza

degli account riferibili agli utenti allo stesso connessi, introducendo la possibilità di accedervi anche mediante l’impiego dei cd. dati biometrici.

Si tratta di un’operazione molto semplice dal punto di vista operativo, essendo sufficiente che l’utente e-Connect, in occasione del primo accesso al servizio,

acconsenta all’autenticazione biometrica attraverso il menu dedicato alla configurazione delle impostazioni all’interno del proprio smartphone, selezionando

il tipo di dato che si desidera venga a tal fine utilizzato (a seconda di quelli previsti dal proprio device, quali l’impronta digitale, il riconoscimento facciale et similia)

e a condizione che tale modalità di accesso sia presente e attiva nel proprio dispositivo mobile.

Con riguardo alla sicurezza del proprio account, il vantaggio per l’utente è evidente: impiegando quale chiave d’accesso i dati relativi alle proprie

caratteristiche fisiche e fisiologiche che ne consentono l’identificazione univoca (a differenza delle comuni password e/o dei codici alfanumerici che

possono essere dimenticati e/o sottratti ad opera di terzi), tale modalità permette di proteggere in modo più efficace il proprio spazio virtuale da intrusioni

indesiderate, rendendolo accessibile solo ed esclusivamente dal titolare del dato biometrico.

Per converso, la natura dei dati utilizzati, definiti “particolari” ai sensi dell’art. 9 GDPR, impone, a chi decida di avvalersi di un simile sistema di

riconoscimento, di agire con prudenza e adottare ogni opportuna cautela nell’ambito del relativo trattamento.

EL.MO., come verrà ampiamente argomentato nel prosieguo, ha messo a punto un meccanismo di autenticazione biometrica in grado di

permettere all’utente di utilizzare tali propri dati per accedere all’ account e-Connect, al contempo assicurando l’assoluto rispetto della riservatezza

nell’ambito del trattamento, l’osservanza delle tutele apprestate dalla legge ed evitando l’utilizzazione non autorizzata dei dati al di fuori degli scopi previsti.

2. la soluzione a prova di privacy proposta da EL.MO.

Preliminarmente, occorre fornire una nozione di “dato biometrico”.

Il termine “biometria”, di derivazione greca, fa riferimento allo studio delle caratteristiche biofisiche di un individuo, le quali tradizionalmente lo connotano in modo

univoco: un individuo non potrà infatti mai essere confuso con un altro sulla base dei propri dati biometrici.

Nell’ambito della vigente normativa a protezione dei dati personali, il Legislatore europeo, all’art. 4, par. 1, n. 14 del Regolamento per la tutela dei dati personali

(cd. GDPR), ha classificato quali dati biometrici i “dati personali ottenuti da un trattamento tecnico specifico, relativi alle caratteristiche fisiche, fisiologiche o

comportamentali di una persona fisica e che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.

In altre parole, la raccolta dei dati ricompresi in questa particolare categoria è possibile solo ricorrendo all’impiego di sistemi informatici automatizzati di

riconoscimento biometrico, con ciò intendendosi quegli apparati in grado di identificare le persone sulla base delle caratteristiche fisiche irripetibili dell’individuo mediante:

• una componente hardware, la quale mediante lettore (videocamera, lettore di impronta digitale) si occupa dell’acquisizione di tale dato (ad esempio le rappresentazioni matematiche del volto e/o l’impronta digitale);

• un software che, in un momento successivo e attraverso l’impiego di algoritmi di analisi, associ i dati derivanti dall’esterno e rilevati dall’hardware a quelli acquisiti in precedenza e conservati nel database del sistema quale parametro (una sorta di archivio informatico), al fine di verificare che tale dato sia attribuibile con certezza ad un determinato soggetto, identificandolo.

Tanto premesso, EL.MO., nel rispetto del principio di minimizzazione dei dati, a mente del quale il titolare del trattamento debba trattare solo i dati indispensabili

al raggiungimento delle finalità prefissate, ha ideato un sistema che non implica un utilizzo diretto dei dati biometrici.

L’autenticazione biometrica che consente all’utente l’accesso al proprio account, infatti, non consente in alcun modo a EL.MO. di raccogliere e trattare direttamente

i dati particolari, i quali vengono gestiti esclusivamente dal produttore del dispositivo mobile e/o del sistema operativo dello stesso secondo le proprie politiche di privacy,

quest’ultimo rimanendo l’unico in grado di prendere visione del dato biometrico.

I dati biometrici, infatti, possono essere utilizzati da EL.MO. soltanto indirettamente, collegandosi alle funzioni di autenticazione rese disponibili dal sistema

operativo dello smartphone dell’utente qualora dallo stesso abilitate; in quest’ambito, EL.MO. riceve dal meccanismo di riconoscimento, predisposto e gestito

esclusivamente dal produttore del dispositivo mobile e/o dal responsabile del sistema operativo, unicamente una conferma (sottoforma di input) della

corrispondenza tra il dato biometrico da quest’ultimo raccolto al momento dell’accesso e quello già memorizzato dal sistema stesso.

In buona sostanza, EL.MO. utilizza, sia nella componente hardware sia in quella software, il sistema informatico automatizzato di riconoscimento biometrico

predisposto dal titolare del sistema operativo dello smartphone dell’utente, senza averne mai il controllo o possibilità di ingerenza alcuna, limitandosi a

ricevere da quest’ultimo un mero “nulla osta” all’accesso del richiedente al profilo utente e-Connect a quest’ultimo riferibile.

Da ultimo, EL.MO. ha altresì previsto che nello specifico caso l’utente attivi la funzione di “Accesso alla centrale con dati biometrici”, i dati di accesso alla centrale stessa

(consistenti nel numero utente e nel relativo codice) vengano salvati, in forma criptata, unicamente nella memoria nel dispositivo mobile

dell’utente, ed utilizzati esclusivamente per le operazioni di accesso alla centrale, mai potendo essere conservati da EL.MO. stessa nei propri server.

In questo modo, al momento dell’attivazione dell’applicazione e-Connect e dell’accesso al relativo account, gli utilizzatori potranno autenticarsi mediante l’utilizzo

dei propri dati biometrici (quali, a titolo esemplificativo, le immagini facciali e le connesse rappresentazioni matematiche del proprio volto), senza

che EL.MO. possa mai trattare direttamente tali dati identificativi.

3. Gli obblighi di informazione

La scelta di EL.MO. di non raccogliere e trattare direttamente i dati particolari, i quali vengono gestiti esclusivamente dal produttore del dispositivo mobile e/o

del sistema operativo dello stesso secondo le proprie politiche di privacy, deriva da uno studio approfondito della normativa in materia di protezione

dei dati personali, nell’ottica di massimizzare la tutela dei propri utenti.

Vale infatti la pena precisare che i dati biometrici, ai sensi dell’art. 9, par. 1 del GDPR, rientrano nella categoria dei dati particolari

(già sensibili nell’ambito della previgente normativa) e, a mente dell’articolo in parola, il Legislatore europeo ne ha vietato il

trattamento, a meno che l’interessato non abbia prestato il suo esplicito consenso all’utilizzo (il quale non deve essere a

propria volta vietato dalla legge) e salvo alcuni casi particolari.

Hai trovato la notizia interessante?

Contattaci