Privacy. Il provvedimento del Garante dà l’avvio della sottoscrizione elettronica

LA FACILITAZIONE

Il rispetto di alcune condizioni elimina la necessità di presentare l’istanza di verifica preliminare.
Semplificati gli adempimenti privacy per la sottoscrizione di documenti informatici con firma grafometrica: il provvedimento generale prescrittivo in tema di biometria 513 del 12 novembre 2014, adottato dal Garante al termine della fase di consultazione pubblica ed in corso di pubblicazione in Gazzetta Ufficiale, con il rispetto di alcune condizioni permette l’avvio a regime dei sistemi di firma elettronica avanzata senza necessità di presentare istanza di verifica preliminare, dando il via libera anche agli operatori che, nelle more del provvedimento, avevano presentato istanza ed erano ancora in attesa di una risposta. 

Il rispetto delle misure e degli accorgimenti tecnici individuati dal Garante per assicurare la sicurezza dei dati biometrici è la prima condizione di esonero dal particolare adempimento. Devono inoltre essere verificati i presupposti di legittimità dettati dal Codice Privacy, e cioè i principi generali di liceità, finalità, necessità e proporzionalità dei trattamenti. Vanno naturalmente realizzati gli adempimenti giuridici necessari quali l’obbligo di informativa agli interessati e la notificazione al Garante dell’esistenza di un’attività di raccolta e di utilizzazione dei dati personali. Infine i dati non devono essere conservati in archivi biometrici centralizzati, altrimenti la presentazione dell’istanza resta obbligatoria.

Il Garante si è anche preoccupato di disciplinare puntualmente le modalità di esonero dall’obbligo di verifica preliminare o prior checking, modulandole in ragione dell’avvenuta presentazione o meno dell’istanza in carenza del provvedimento. In caso di verifica preliminare già presentata, i titolari devono limitarsi a comunicare all’Autorità, entro 30 giorni dalla pubblicazione del provvedimento, la conformità del trattamento adottato alle prescrizioni ivi contenute ovvero la propria intenzione di adeguarsi alle stesse. La presentazione di tale comunicazione interrompe le attività di valutazione da parte del Garante che, in caso contrario, continuerebbero. All’opposto, i titolari che, in mancanza del provvedimento generale, non avevano presentato l’istanza, devono adottare entro 180 giorni dalla pubblicazione, le misure e gli accorgimenti richiesti se il processo realizzato rientra nei casi di esonero, ovvero sono tenuti a sospendere entro il medesimo termine i trattamenti per sottoporli all’Autorità con il prior checking. 
Naturalmente occorre avere ottenuto il consenso dagli interessati al trattamento che, una volta espresso, vale per tutti i documenti da sottoscrivere sino alla sua eventuale revoca.

I dati biometrici e grafometrici non devono inoltre essere conservati, neanche per periodi limitati, sui dispositivi hardware utilizzati per la raccolta, ma vanno memorizzati all’interno dei documenti informatici in forma cifrata tramite sistemi di crittografia a chiave pubblica. Ai fini di sicurezza e integrità del dato, la corrispondente chiave privata, frazionabile tra più soggetti, deve essere affidata a un soggetto terzo fiduciario e non può essere conservata in modo completo dal soggetto che eroga il servizio di firma grafometrica.

Le modalità di generazione, consegna e conservazione delle chiavi devono inoltre essere dettagliate sia nell’informativa resa agli interessati che nella relazione tecnica. Quest’ultimo documento descrive gli aspetti tecnici e organizzativi e contiene la valutazione della necessità e della proporzionalità del trattamento biometrico. Tale relazione va conservata aggiornata, con verifica di controllo almeno annuale, per tutto il periodo di esercizio del sistema biometrico e mantenuta a disposizione del Garante. Solamente i titolari dotati di certificazione del sistema di gestione per la sicurezza delle informazioni (Sgsi) secondo la norma tecnica Iso/Iec 27001:2005, che inseriscono il sistema biometrico nel campo di applicazione della certificazione, sono esonerati dall’obbligo di redigere la relazione.

Fonte: Il Sole 24 Ore – 03/12/2014 – p. 44 – di A. Mastromatteo, B. Santacroce