La rivoluzione digitale passa dalla firma grafometrica

Home > Punto Di Vista > La rivoluzione digitale passa dalla firma grafometrica

Il contesto di rapida evoluzione tecnologica ha dato un forte impulso al processo di digitalizzazione delle aziende, favorendo l’introduzione di strumenti innovativi e tecnologicamente avanzati progettati per gestire in maniera efficace e sicura dati e flusso di informazioni. 

 

La crescente esigenza di sicurezza sia sul fronte digitale che su quello fisico accompagnata da un progresso tecnologico e da un’attività legislativa intensa e mirata, si sono tradotti in un consolidamento del settore biometrico, frutto dell’interazione tra universo IT, fisica e scienze “biologiche”, sempre più percepito come una risposta a necessità trasversali e diversificate. La flessibilità di utilizzo ed una maggiore presa di coscienza sui vantaggi in termini di riduzione di costi e di ottimizzazione delle risorse hanno favorito lo sviluppo esponenziale e la diffusione sempre più capillare del mercato biometrico, facendo crescere la necessità di regole di utilizzo degli strumenti più stringenti a tutela dei fruitori. 

 

Sul fronte normativo la presa di posizione dell’Autorità Garante sull’argomento in questione, dopo una prima fase di scarsa accettazione delle soluzioni biometriche, si è manifestata con l’emanazione del Provvedimento generale prescrittivo in tema di biometria e firma grafometrica, lo scorso 12 Novembre 2014, ultima tappa di un processo ben più articolato.  

Dopo aver preso atto di come “L’utilizzo di dispositivi e tecnologie per la raccolta e il trattamento di dati biometrici è soggetto a una crescente diffusione, in particolare per l’accertamento dell’identità personale nell’ambito dell’erogazione di servizi della società dell’informazione e dell’accesso a banche dati informatizzate, per il controllo degli accessi a locali e aree, per l’attivazione di dispositivi elettromeccanici ed elettronici, anche di uso personale, o di macchinari, nonché per la sottoscrizione di documenti informatici” l’Autorità, attraverso il documento, ha gettato le basi per una corretta gestione dei nuovi dispositivi tecnologici dal punto di vista normativo, a beneficio di una integrazione a 360 gradi degli strumenti rispetto al quadro normativo di riferimento.  

 

Accanto all’urgenza di regolamentare il comparto biometrico il Garante ha tuttavia riscontrato anche la necessità di semplificazione, con particolare riferimento ad alcuni adempimenti relativi al trattamento di specifici dati biometrici, riconoscendo che “per le specifiche finalità perseguite, presentino un livello ridotto di rischio” e che pertanto il tale utilizzo possa non essere soggetto ad una verifica preliminare da parte dell’Autorità. Le quattro categorie identificate interessano:

 

  • l’autenticazione informatica;
  • l’accesso ad aree “sensibili”;
  • la sottoscrizione dei documenti informatici;
  • l’utilizzo di alcuni tipi di dati biometrici a scopi facilitativi. 

 

Il Provvedimento, analizzando singolarmente le ipotesi sovra elencate, stabilisce nel primo caso la possibilità di utilizzare come credenziali di accesso a banche dati e sistemi informatici – senza consenso dell’utente né verifica preliminare – le “caratteristiche biometriche dell’impronta digitale o dell’emissione vocale”. Stesse condizioni per l’accesso ad aree sensibili, per cui si potranno impiegare le peculiarità della topografia della mano per controllare processi produttivi, azionare macchinari ritenuti pericolosi da parte di risorse designate e qualificate, accedere ad aree particolari o svolgere attività “aventi carattere di particolare segretezza”.

 

Per quanto riguarda la circostanza di utilizzare l’analisi dei dati biometrici derivanti dall’apposizione (a mano libera) di una firma autografa per la firma elettronica avanzata è necessario fare una distinzione. Mentre in ambito pubblico infatti – nel caso in cui siano contemplate specifiche finalità istituzionali – il consenso non è necessario, sul fronte privato è obbligatorio, nonostante in entrambi i casi non sia necessario la verifica preliminare.  

 

Come si legge nel documento: “Il trattamento di dati biometrici costituiti da informazioni dinamiche associate all’apposizione a mano libera di una firma autografa avvalendosi di specifici dispositivi hardware è ammesso in assenza di verifica preliminare laddove si utilizzino sistemi di firma grafometrica posti a base di una soluzione di firma elettronica avanzata, così come definita dal Decreto Legislativo 7 marzo 2005, n. 82, recante il “Codice dell’amministrazione digitale” che non prevedono la conservazione centralizzata di dati biometrici”.

Il consenso dell’interessato – libero ed espresso – resta comunque il principale presupposto di legittimità del trattamento dei dati biometrici. La sua validità vige – come precisa l’Autorità – fino ad una eventuale revoca - per tutti i documenti da sottoscrivere.  

 

Il Provvedimento individua successivamente una serie di prescrizioni precise e dettagliate. Di particolare rilievo ed interesse quella riferita all’ipotesi di utilizzo di sistemi di raccolta di firma grafometrica nel contesto mobile, meglio definito del Bring Your Own Device (BYOD). L’utilizzo di strumenti di Mobile Device Management (MDM) e Mobile Application Management (MAM) o altri simili diviene dunque essenziale nel management delle applicazioni o dei dispositivi sia per circoscrivere l’area di memoria destinata all’applicazione biometrica che per tutelarsi da eventuali installazioni non autorizzate di software.

 

Per concludere, nell’ultimo caso preso in esame – utilizzo dell’impronta digitale e della topografia della mano per l’accesso fisico degli utenti ad aree pubbliche o private – non è necessaria la verifica preliminare, mentre sono rese obbligatorie, oltre al consenso esplicito dell’interessato -  anche modalità alternative all’impiego dei dati biometrici.  

 

Sul fronte delle prescrizioni a cui i titolari dei trattamenti biometrici devono far fronte si rammenta in primis l’obbligo di comunicazione di eventuali violazioni dei dati entro 24 ore dalla conoscenza dell’evento al Garante (data breaches).  

 

Un decisivo passo in avanti a favore di processi informativi aziendali più veloci e sicuri è in atto. La firma grafometrica rappresenta solo una delle tappe della rivoluzione digitale e sebbene il suo utilizzo apra innumerevoli orizzonti di business è necessario adottare  un approccio consapevole. 

Comprendere la portata e la potenzialità di questo strumento significa diventare parte attiva nei processi chiave di business e presentarsi sul mercato con una veste competitiva e tecnologicamente allineata con lo scenario di riferimento. Al tempo stesso non bisogna dimenticare che la loro adozione implica un know-how e competenze specifiche, indispensabili per innescare processi di innovazione “responsabili”, rispettosi della confidenzialità e dell’integrità delle informazioni trattate e del diritto alla riservatezza degli utenti.  

 

Avv. Valentina Frediani www.consulentelegaleinformatico.it



Designed by Nuovi S.O.C.I. Team
P. IVA 01284450192