Si parte dal Codice privacy, passando per lo specifico Provvedimento (e le allegate Linee guida) risalente al 2014, per finire con alcuni provvedimenti da quest'ultimo richiamati o più recenti. Gli articoli del Codice privacy, di particolare rilevanza in questo caso, sono i seguenti: 13, 17, 37, comma 1, lett. a), e 38.
Chi utilizza tecnologie con impatto sulla protezione dei dati e, più in generale, chi tratta dati personali, è avvezzo alla predisposizione dell'informativa per gli interessati (art. 13 del Codice privacy). Tuttavia in questo caso parliamo di alcuni dettagli di non secondaria importanza:
- L'informativa andrà resa prima dell'inizio del trattamento e il titolare dovrà fare esplicito riferimento all'utilizzo dei dati biometrici.
- Tra le modalità del trattamento enumerate nell'informativa occorrerà fare riferimento alle cautele adottate, ai tempi di conservazione dei dati e alla loro centralizzazione oppure alla loro esclusiva presenza su un dispositivo nell'esclusiva disponibilità dell'interessato.
- Occorrerà poi prevedere un sistema alternativo a quello biometrico laddove gli interessati non vogliano o non possano, anche in ragione di proprie caratteristiche fisiche, servirsi del sistema di riconoscimento biometrico.
- Nel caso in cui il dato biometrico sia registrato in un dispositivo posto nell'esclusiva disponibilità dell'interessato, l'informativa dovrà essere corredata di istruzioni per la corretta custodia e sul "da farsi" in caso di smarrimento, sottrazione, malfunzionamento del dispositivo.
Inoltre, l'utilizzo di sistemi biometrici rientra tra i trattamenti che presentano rischi specifici di cui all'articolo 17 del Codice privacy e richiederà la c.d. "verifica preliminare" (che deve essere richiesta anteriormente all'inizio del trattamento) del Garante per la protezione dei dati personali.
Con la verifica preliminare l'Autorità potrà prescrivere, se necessario, misure e accorgimenti specifici per consentire il corretto utilizzo di dati così delicati nel contesto del trattamento prospettato.
Nell'istanza di verifica preliminare il titolare dovrà fornire diverse informazioni riguardanti l'analisi dei rischi condotta e le modalità con cui intende garantire il rispetto degli adempimenti giuridici e delle misure previste dallo specifico Provvedimento del Garante.
L'articolo 37, comma 1, lettera a), indica la necessità, nel caso in cui il trattamento riguardi dati biometrici, di procedere alla notificazione del trattamento secondo le modalità di cui all'articolo 38.
L'esenzione dalla notificazione
Dall'entrata in vigore del Codice privacy, il Garante ha adottato alcuni provvedimenti che hanno esentato dalla notificazione alcune categorie ovvero i titolari che perseguano determinate finalità.
Questi pronunciamenti del Garante sono:
- il provvedimento relativo ai casi da sottrarre all'obbligo di notificazione, 31 marzo 2004 (in G.U. n. 81 del 6 aprile 2004, doc. web n. 85261);
- il provvedimento recante "Chiarimenti sui trattamenti da notificare al Garante" 23 aprile 2004 (doc. web n. 993385) ed
- il provvedimento riguardante le "Notificazioni in ambito sanitario: precisazioni del Garante" 26 aprile 2004 (doc. web n. 996680).
Il provvedimento generale prescrittivo in tema di biometria del 12 novembre 2014 (qui definito anche "Provvedimento") è importante perché prevede indicazioni che riguardano la notificazione del trattamento e la verifica preliminare, nonchè misure specifiche e l'introduzione della misura della data breach notification (corredata di apposita scheda per la segnalazione al Garante da parte del titolare del trattamento).
Come purtroppo avviene molto spesso, la parte meno intellegibile del Provvedimento è quella che riguarda l'esonero da questo o da quell'adempimento.
Nel caso di specie, l'esonero riguarda la verifica preliminare. Nel merito, le indicazioni sia per la superficialità con cui sono state lette dagli operatori del settore, sia, forse, per la genericità con cui sono state scritte, sono spesso state oggetto di fraintendimento da parte dei titolari del trattamento.
In sostanza, dalla lettura del Provvedimento e dei provvedimenti successivi a quello di cui stiamo trattando, se ne desume che le "aree sensibili" non siano mai "il luogo di lavoro" nella sua interezza, ma solamente i luoghi ove sia richiesto un livello "ulteriore" di sicurezza oppure luoghi all'interno dei quali si registri la presenza di apparati e macchinari pericolosi.