Page 27 - TEME_2013_9-10
P. 27
firma elettronica della disciplina di protezione dei dati in particolare, dovranno risultare dispo- personali (cfr. provv. 14 luglio 2011, nibili funzionalità di remote wiping nei doc. web n.1836335; provv. 26 maggio casi di smarrimento o sottrazione dei 2011, doc. web n. 1832558; provv. 2 dispositivi. La banca dovrà altresì pre- dicembre 2010, doc. web n. 1779678). vedere adeguate policy per la gestione degli incidenti di sicurezza nell’ambito Proprio in tema di sicurezza del proces- delle diverse fasi del processo biometri- so, il Garante considera adeguato che la co/grafometrico. società deputata all’emissione dei certi- ficati di firma e di cifratura sia un ente Infine, il Garante ricorda che in base certificatore accreditato presso AgID ex alla regola n. 25 del disciplinare tec- art. 29 CAD e che la chiave privata e nico in materia di misure minime di il relativo codice di sblocco associati al sicurezza, la Banca dovrà farsi rilascia- certificato di sicurezza Fineco, utilizzato re dall’installatore il previsto attestato per la cifratura dei dati biometrici, siano di conformità, da conservarsi a cura del sempre tenuti separati, scongiuran- titolare medesimo. do così la possibilità di procedere alla decifratura del dato biometrico se non Il commentato provvedimento del nei casi in cui si renda necessaria una Garante dà, quindi, il via libera a una perizia disposta dall’Autorità giudiziaria. specifica soluzione di FEA basata su dati biometrici, lasciando ben sperare quanti Accanto alle misure già implementate stanno implementando soluzioni simi- il Garante richiede, però, che sia pre- li e sono ancora in attesa di richiedere stata sempre la massima attenzione al la verifica al Garante. In ragione, poi, corretto utilizzo, da parte dei soli utenti del fatto che molte richieste di verifica abilitati, dei dispositivi per la raccolta di procedimenti simili sono già giun- dei dati biometrici. A tale proposito, il te e che probabilmente, dopo il prov- Garante prescrive l’adozione, ove non vedimento del 12 settembre, saranno siano ancora previste, di idonee misure seguite da numerose altre, il Garante volte a ridurre i rischi di installazione ha manifestato, almeno informalmen- abusiva di software o di modificazio- te, l’intenzione di produrre un provve- ne della configurazione dei dispositivi dimento generale in materia. In attesa, in dotazione ai promotori, adottando però, di tale provvedimento generale e altresì ogni accorgimento utile a con- secondo quanto disposto dal Codice Pri- trastare l’azione di eventuali agenti vacy (soprattutto alla luce delle consi- malevoli (malware). derazione del gruppo di lavoro europeo sopra riportate), tutti coloro che hanno Inoltre il Garante ritiene necessaria l’a- intenzione di utilizzare un processo di dozione di un sistema di gestione dei FEA basato su dati biometrici dovranno dispositivi impiegati nei trattamenti predisporre una specifica richiesta di grafometrici basato su certificazioni verifica in quanto i provvedimenti con- digitali e policy di sicurezza che disci- seguenti alla verifica sono immediata- plinino, sulla base di criteri predetermi- mente applicabili solo alla particolare nati, le condizioni di loro utilizzo sicuro: situazione in oggetto. TEME 9/10.13 25
