ISO 27001 per sistemi biometrici

20/01/2015

I dati biometrici sono, per loro natura, direttamente, univocamente e in modo tendenzialmente stabile nel tempo, collegati all'individuo e denotano la profonda relazione tra corpo, comportamento e identità della persona, richiedendo particolari cautele in caso di loro trattamento.

L'adozione di sistemi biometrici, in ragione della tecnica prescelta, del contesto di utilizzazione, del numero e della tipologia di potenziali interessati, delle modalità e delle finalità del trattamento, può comportare quindi rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato. In ragione di ciò, qualora si intenda provvedere al trattamento di dati biometrici, è necessario presentare al Garante una richiesta di verifica preliminare, ai sensi dell'art. 17 del Codice [Codice in materia di protezione dei dati personali D.lgs. 30 giugno 2003, n. 196 (NdR)]

Sulla base dell'esperienza maturata, però, il Garante ha ritenuto di individuare, con il presente provvedimento, talune tipologie di trattamento volte a scopi di riconoscimento biometrico (nella forma di identificazione biometrica o di verifica biometrica) o di sottoscrizione di documenti informatici (firma grafometrica) che, in considerazione delle specifiche finalità perseguite, della tipologia dei dati trattati e delle misure di sicurezza che possono essere concretamente adottate a loro protezione, presentano un livello di rischio ridotto.

In relazione a tali specifiche tipologie di trattamenti non è quindi necessario per i titolari presentare la predetta istanza, a condizione che vengano adottate tutte le misure e gli accorgimenti tecnici idonei a raggiungere gli obiettivi di sicurezza individuati con il presente provvedimento e siano rispettati i presupposti di legittimità contenuti nel Codice e richiamati nel capitolo 4 delle linee-guida (con particolare riferimento ai principi generali di liceità, finalità, necessità e proporzionalità dei trattamenti, e agli adempimenti giuridici quali l'obbligo di informativa agli interessati e di notificazione al Garante).

I titolari dotati di certificazione del sistema di gestione per la sicurezza delle informazioni (SGSI) secondo la norma tecnica ISO/IEC 27001 e successive modificazioni che inseriscono il sistema biometrico nel campo di applicazione della certificazione sono esentati dall'obbligo di redigere la relazione di cui al precedente periodo, potendo utilizzare la documentazione prodotta nell'ambito della certificazione, integrandola con la valutazione della necessità e della proporzionalità del trattamento biometrico.

(Fonte: Provvedimento generale prescrittivo in tema di biometria - 12 novembre 2014 (Pubblicato sulla Gazzetta Ufficiale n. 280 del 2 dicembre 2014)