Google Art e i dati raccolti

Google ha creato una nuova app basata sull’idea che troverà corrispondenze esatte dei selfie degli utenti con opere d’arte famose facendo condividere i risultati sui social network.
I ritratti provengono da oltre 1.200 musei situati in oltre 70 paesi diversi che venivano abbinati ai selfie degli utenti o alle foto della più disparati natura che gli stessi decidevano di provare. In pochi giorni l’app Google Arts & Culture ha scalato le classifiche di iTunes ma sono contestualmente iniziate le preoccupazioni per quanto riguarda il requisito dei selfie degli utenti perché richiedeva la fornitura di informazioni riguardo il riconoscimento facciale a Google.
L’app infatti simula la stessa tecnologia alla base del riconoscimento facciale dell’iPhone X e, infatti, gli esperti di sicurezza hanno ipotizzato che Google stesse utilizzando questi selfie per addestrare i programmi di apprendimento automatico creando un database di facce, nonostante Google abbia negato le contestazioni sulla base che l’app specifica “memorizzerà la tua foto solo per il tempo necessario per cercare le corrispondenze. Google non utilizzerà i dati della tua foto per nessun altro scopo ma solo per trovare opere simili a te.”

Nonostante le preoccupazioni relative alla privacy, l’app Google Selfie non dovrebbe, quindi, essere in grado di gestire le informazioni di riconoscimento facciale.

Ciò nonostante, app come Arts & Culture ci mostrano come le aziende tecnologiche stanno cercando di integrare la tecnologia di riconoscimento facciale in tutte le nuove uscite. Quindi, è giunto il momento di iniziare a considerare l’aspetto della sicurezza della fornitura di dati di riconoscimento facciale a un livello così ampio.

Il Garante della Privacy Italiano lo ha già fatto, vediamo come:

La Regola n. 2 del Disciplinare tecnico in materia di misure minime di sicurezza, Allegato B al Codice, stabilisce che le caratteristiche biometriche di incaricati del trattamento possano essere usate come credenziali nell’ambito di una procedura di autenticazione informatica relativa a uno specifico trattamento o a un insieme di trattamenti.

In queste specifiche ipotesi, il titolare è sempre chiamato a valutare attentamente che il trattamento in esame sia proporzionato rispetto alle finalità per le quali i dati biometrici sono raccolti e successivamente trattati, in accordo ai principi di pertinenza e non eccedenza di cui all’art. 11 del Codice.

Per tale motivo, il ricorso a sistemi biometrici basati sull’elaborazione dell’impronta digitale, in alternativa alle misure individuate dalla citata Regola n. 2 (parola d’ordine riservata conosciuta solamente dall’incaricato ovvero dispositivo di autenticazione in possesso e uso esclusivo dell’incaricato, eventualmente associata a un codice identificativo o a una parola d’ordine), è considerato lecito se commisurato al rischio incombente sui dati trattati, alla cui protezione la stessa procedura di autenticazione è destinata.

In tali casi, il titolare è esonerato dall’obbligo di presentare istanza di verifica preliminare purché sia assicurato il rispetto delle seguenti prescrizioni:

a) Il dispositivo di acquisizione deve avere la capacità di rilevare la c.d. vivezza dell’impronta.

b) La cancellazione dei dati biometrici grezzi e dei campioni biometrici deve aver luogo immediatamente dopo la loro raccolta e trasformazione in modelli biometrici.

c) Il dispositivo per l’acquisizione iniziale e quello per l’acquisizione nel corso dell’ordinario funzionamento sono direttamente connessi o integrati, rispettivamente, nelle postazioni informatiche di enrolment e nelle postazioni di lavoro o nei sistemi server impiegati nei trattamenti.

d) Le trasmissioni di dati tra i dispositivi di acquisizione e le postazioni di lavoro o i sistemi server sono rese sicure con l’ausilio di tecniche crittografiche robuste.

e) Nel caso in cui i campioni biometrici o i riferimenti biometrici siano conservati su supporti portatili (smart card o analogo dispositivo sicuro):

i. il supporto deve essere nell’esclusiva disponibilità dell’incaricato;

ii. l’area di memoria in cui sono conservati i dati biometrici è resa accessibile ai soli lettori autorizzati e  protetta da accessi non autorizzati;

iii. il campione biometrico o il riferimento biometrico devono essere cifrati con tecniche crittografiche robuste;

iv. il supporto è rilasciato in un unico esemplare e, in caso di cessazione dei diritti di accesso ai sistemi informatici, viene restituito e distrutto con una procedura formalizzata.

f) Nel caso di conservazione del campione o del riferimento biometrico sulla postazione informatica (personal computer) o sul sistema server da proteggere con autenticazione biometrica:

i. è assicurata, tramite idonei sistemi di raccolta dei log, la registrazione degli accessi da parte degli amministratori di sistema alla postazione o al server;

ii. sono adottate idonee misure e accorgimenti tecnici per contrastare i rischi di installazione di software e di modifiche della configurazione delle postazioni informatiche, se non esplicitamente autorizzati;

iii. le postazioni sono protette contro l’azione di malware;

iv. sono adottate misure e accorgimenti volti a ridurre i rischi di manomissione e accesso fraudolento al dispositivo di acquisizione;

v. i riferimenti biometrici sono cifrati con tecniche crittografiche robuste;

vi. i riferimenti biometrici sono conservati per il tempo strettamente necessario a realizzare le finalità del sistema biometrico;

vii. i riferimenti biometrici sono conservati separatamente dai dati identificativi degli interessati;

viii. sono previsti meccanismi di cancellazione automatica dei dati, cessati gli scopi per i quali sono stati raccolti e trattati.

g) E’ esclusa la realizzazione di archivi biometrici centralizzati.

h) Le organizzazioni dotate di certificazione del sistema di gestione della sicurezza delle informazioni (SGSI) secondo lo standard internazionale ISO/IEC 27001:2006 inseriscono il sistema biometrico nel dominio di certificazione del SGSI e pianificano, verificano e aggiornano le relative misure di sicurezza, dandone evidenza nella documentazione prevista unitamente alla valutazione della necessità e della proporzionalità del trattamento biometrico.

i) Le organizzazioni non dotate di certificazione ISO/IEC 27001:2006 redigono e mantengono aggiornata una relazione che descrive gli aspetti tecnici e organizzativi delle misure messe in atto dal titolare per conformare il trattamento alle prescrizioni sopra elencate, fornendo una valutazione della necessità e della proporzionalità del trattamento biometrico. Tale relazione tecnica è conservata per tutto il periodo di esercizio del sistema biometrico e mantenuta a disposizione del Garante. Le misure adottate devono essere periodicamente verificate dando luogo alle eventuali azioni correttive e migliorative.

4.2  Controllo di accesso fisico ad aree “sensibili” dei soggetti addetti e utilizzo di apparati e macchinari pericolosi

L’adozione di sistemi biometrici basati sull’elaborazione dell’impronta digitale o della topografia della mano può essere consentita per limitare l’accesso ad aree e locali “sensibili” in cui si renda necessario assicurare elevati e specifici livelli di sicurezza oppure per consentire l’utilizzo di apparati e macchinari pericolosi ai soli soggetti qualificati e specificamente addetti alle attività.

In tale contesto rilevano, in particolare:

• le aree destinate allo svolgimento di attività aventi carattere di particolare segretezza, ovvero prestate da personale selezionato e impiegato in specifiche attività che comportano la necessità di trattare informazioni riservate e applicazioni critiche;

•  le aree in cui sono conservati oggetti di particolare valore o la cui disponibilità deve essere ristretta a un numero circoscritto di addetti, in quanto un loro utilizzo improprio può determinare una grave e concreta situazione di rischio per la salute e l’incolumità degli stessi o di terzi;

•  le aree preposte alla realizzazione o al controllo di processi produttivi pericolosi che richiedono un accesso selezionato da parte di personale particolarmente esperto e qualificato;

• l’utilizzo di apparati e macchinari pericolosi, laddove sia richiesta una particolare destrezza onde scongiurare infortuni e danni a cose o persone.

In questi casi il presupposto di legittimità, che in ambito pubblico è dato dal perseguimento delle finalità istituzionali del titolare, in ambito privato viene individuato nell’istituto del bilanciamento di interessi (art. 24, comma 1, lett. g), del Codice) per cui, in ragione del legittimo interesse perseguito dal titolare, delle prescrizioni imposte dal presente provvedimento e delle finalità connesse a specifiche esigenze di sicurezza, il trattamento può avvenire senza il consenso degli interessati.

In relazione a tali finalità, il titolare è esonerato dall’obbligo di presentare istanza di verifica preliminare purché sia assicurato il rispetto delle seguenti prescrizioni:

a) Nel caso di utilizzo delle impronte digitali quale caratteristica biometrica, il dispositivo di acquisizione deve avere la capacità di rilevare la vivezza dell’impronta presentata.

b) Il trattamento deve essere applicato nei confronti del solo personale specificatamente selezionato e abilitato  ad accedere alle aree e ai locali in questione o ad utilizzare gli apparati e i macchinari pericolosi.

c)   La cancellazione dei dati biometrici grezzi e dei campioni biometrici deve aver luogo immediatamente dopo la loro raccolta e trasformazione in modelli biometrici.

d) Il dispositivo per l’acquisizione iniziale e quello per l’acquisizione nel corso dell’ordinario funzionamento sono direttamente connessi o integrati, rispettivamente, nelle postazioni informatiche di enrolment e nelle postazioni di controllo ai varchi di accesso.

e) Le trasmissioni di dati tra i dispositivi di acquisizione e le postazioni di lavoro o le postazioni di controllo sono rese sicure con l’ausilio di tecniche crittografiche robuste.

f) Nel caso di esclusiva conservazione del campione o del riferimento biometrico su supporto portatile (smart card o analogo dispositivo sicuro):

i. il supporto deve essere nella esclusiva disponibilità dell’interessato;

ii. l’area di memoria in cui sono conservati i dati biometrici è accessibile ai soli lettori autorizzati ed è protetta da accessi non autorizzati;

iii. il riferimento biometrico deve essere cifrato con tecniche crittografiche  robuste;

iv. il supporto è rilasciato in un unico esemplare e, in caso di cessazione dei diritti di accesso alle aree o di utilizzo dei macchinari, viene restituito e distrutto con una procedura formalizzata.

g) Nel caso di conservazione del campione o del riferimento biometrico su un dispositivo-lettore o una postazione informatica dedicata (controller di varco) dotata di misure di sicurezza di cui alla precedente lettera f):

i. è assicurata la registrazione degli accessi alla postazione da parte degli amministratori di sistema, tramite idonei sistemi di raccolta dei log;

ii. sono adottate idonee misure e accorgimenti tecnici per contrastare i rischi di installazione di software e di modifica della configurazione delle postazioni informatiche, se non esplicitamente autorizzati;

iii. i sistemi informatici sono protetti contro l’azione di malware e sono, inoltre, adottati sistemi di firewall per la protezione perimetrale della rete e contro i tentativi di accesso abusivo ai dati;

iv. sono adottate misure e accorgimenti volti a ridurre i rischi di manomissione e accesso fraudolento al dispositivo di acquisizione;

v. il riferimento biometrico deve essere cifrato con tecniche crittografiche  robuste;

vi. i riferimenti biometrici sono conservati per il tempo strettamente necessario a realizzare le finalità del sistema biometrico;

vii. i riferimenti biometrici sono conservati separatamente dai dati identificativi degli interessati;

viii. sono previsti meccanismi di cancellazione automatica dei dati, cessati gli scopi per i quali sono stati raccolti e trattati.

h) E’ esclusa la realizzazione di archivi biometrici centralizzati.

i) Le organizzazioni dotate di certificazione del sistema di gestione della sicurezza delle informazioni (SGSI) secondo lo standard internazionale ISO/IEC 27001:2006 inseriscono il sistema biometrico nel dominio di certificazione del SGSI e pianificano, verificano e aggiornano le relative misure di sicurezza, dandone evidenza nella documentazione prevista unitamente a una valutazione della necessità e della proporzionalità del trattamento biometrico.

j) Le organizzazioni non dotate di certificazione ISO/IEC 27001:2006 redigono e mantengono aggiornata una relazione che descrive gli aspetti tecnici e organizzativi delle misure messe in atto dal titolare per conformare il trattamento alle prescrizioni sopra elencate, fornendo una valutazione della necessità e della proporzionalità del trattamento biometrico. Tale relazione tecnica è conservata per tutto il periodo di esercizio del sistema biometrico e mantenuta a disposizione del Garante. Le misure adottate devono essere periodicamente verificate dando luogo alle eventuali azioni correttive e migliorative.

4.3 Uso dell’impronta digitale o della topografia della mano a scopi facilitativi

Le tecniche biometriche possono anche prestarsi a essere utilizzate per consentire,  regolare e semplificare l’accesso fisico di utenti ad aree fisiche in ambito pubblico (es. biblioteche) o privato (es. palestre o aree aeroportuali riservate) o a servizi (es. apertura di cassette di sicurezza o accesso a caveau bancari).

In questi casi il presupposto di legittimità del trattamento dei dati biometrici è dato dal consenso effettivamente libero degli interessati ovvero, in ambito pubblico, dal perseguimento delle finalità istituzionali del titolare e dal fatto che dovranno essere assicurati agevoli sistemi alternativi di accesso non basati su dati biometrici.

Il titolare è esonerato dall’obbligo di presentare istanza di verifica preliminare purché sia assicurato il rispetto delle seguenti prescrizioni:

a) La cancellazione dei dati biometrici grezzi e dei campioni biometrici deve aver luogo immediatamente dopo la loro raccolta e trasformazione in modelli biometrici.

b) Il dispositivo per l’acquisizione iniziale e quello per l’acquisizione nel corso dell’ordinario funzionamento sono direttamente connessi o integrati, rispettivamente, nelle postazioni informatiche di enrolment e nelle postazioni di controllo o nei dispositivi di acquisizione.

c) Le trasmissioni di dati tra i dispositivi di acquisizione e le altre componenti del sistema biometrico sono rese sicure con l’ausilio di tecniche crittografiche robuste.

d) Nel caso di esclusiva conservazione del riferimento biometrico su supporto portatile (smart card o analogo dispositivo sicuro):

a.  il supporto deve essere nella esclusiva disponibilità dell’interessato;

b. l’area di memoria in cui sono conservati i riferimenti biometrici è accessibile ai soli lettori autorizzati ed è protetta da accessi non autorizzati;

c. il riferimento biometrico deve essere cifrato con tecniche crittografiche robuste;

d. il supporto è rilasciato in un unico esemplare e, in caso di cessazione dei diritti di accesso ai sistemi informatici, viene restituito e distrutto con una procedura formalizzata.

e) Nel caso di conservazione del riferimento biometrico su un dispositivo-lettore o su postazioni informatiche:

a. è assicurata la registrazione degli accessi alla postazione da parte degli amministratori di sistema, tramite idonei sistemi di raccolta dei log;

b. sono adottate idonee misure e accorgimenti tecnici per contrastare i rischi di installazione di software e di modifica della configurazione dei dispositivi o delle postazioni informatiche, se non esplicitamente autorizzati;

c. sono adottate misure e accorgimenti volti a ridurre i rischi di manomissione e accesso fraudolento al dispositivo di acquisizione;

d. il riferimento biometrico deve essere cifrato con tecniche crittografiche robuste;

e. i riferimenti biometrici sono conservati per il tempo strettamente necessario a realizzare le finalità del sistema biometrici;

f. i riferimenti biometrici sono conservati separatamente dai dati identificativi degli interessati.

f) E’ esclusa la realizzazione di archivi biometrici centralizzati.

g) Le organizzazioni dotate di certificazione del sistema di gestione della sicurezza delle informazioni (SGSI) secondo lo standard internazionale ISO/IEC 27001:2006 inseriscono il sistema biometrico nel dominio di certificazione del SGSI e pianificano, verificano e aggiornano le relative misure di sicurezza, dandone evidenza nella documentazione prevista.

h) Le organizzazioni non dotate di certificazione ISO/IEC 27001:2006 redigono e mantengono aggiornata una relazione che descrive gli aspetti tecnici e organizzativi delle misure messe in atto dal titolare per conformare il trattamento alle prescrizioni sopra elencate. Tale relazione tecnica è conservata per tutto il periodo di esercizio del sistema biometrico e mantenuta a disposizione del Garante. Le misure adottate devono essere periodicamente verificate dando luogo alle eventuali azioni correttive e migliorative.

4.4 Sottoscrizione di documenti informatici

Il trattamento di dati biometrici costituiti da informazioni dinamiche associate all’apposizione di una firma autografa, a mano libera, su appositi dispositivi di acquisizione (c.d. tavolette grafometriche o dispositivi tablet di uso generale) è ammesso laddove si utilizzino sistemi di firma grafometrica posti a base di una soluzione di firma elettronica avanzata, così come definita dal D.lgs. n. 82/2005 (Codice dell’amministrazione digitale), che non prevedano la conservazione centralizzata di dati biometrici.

L’utilizzo di tali sistemi, da un lato, si giustifica al fine di contrastare eventuali tentativi di frode e il fenomeno dei furti di identità e, dall’altro, allo scopo di rafforzare le garanzie di autenticità, non ripudio e integrità dei documenti informatici sottoscritti, anche in vista di eventuale contenzioso legato al disconoscimento della sottoscrizione apposta su atti e documenti di tipo negoziale in sede giudiziaria.

In tali casi, il titolare può procedere al trattamento senza presentare istanza di verifica preliminare ai sensi dell’art. 17 del Codice, purché sia assicurato il rispetto delle seguenti prescrizioni e limitazioni:

a) Il procedimento di firma deve essere abilitato previa identificazione del firmatario.

b) Devono essere resi disponibili sistemi alternativi di sottoscrizione di semplice utilizzo per l’interessato che non comportino l’utilizzo di dati biometrici.

c) La soluzione di firma elettronica avanzata deve essere certificata secondo la norma ISO/IEC 15408, livello EAL 1 o superiore.

d) La cancellazione dei dati biometrici grezzi e dei campioni biometrici deve aver luogo immediatamente dopo la loro raccolta e trasformazione in modelli biometrici.

e) I modelli grafometrici non sono conservati, neanche per periodi limitati, sui dispositivi hardware utilizzati per la raccolta, venendo memorizzati in forma cifrata, all’interno dei documenti informatici sottoscritti, tramite sistemi di crittografia a chiave pubblica con dimensione della chiave adeguata e certificato digitale emesso da un certificatore accreditato ai sensi dell’art. 29 del Codice dell’amministrazione digitale. La corrispondente chiave privata è nella esclusiva disponibilità di un soggetto terzo fiduciario che fornisca idonee garanzie di indipendenza e sicurezza nella conservazione della medesima chiave.

f) La trasmissione dei dati biometrici tra sensore e dispositivi, postazioni informatiche e sistemi server avviene esclusivamente tramite canali di comunicazione resi sicuri con l’ausilio di tecniche crittografiche.

g) Sono adottate idonee misure e accorgimenti tecnici per contrastare i rischi di installazione di software e di modifica della configurazione delle postazioni informatiche e dei dispositivi, se non esplicitamente autorizzati.

h) I sistemi informatici sono protetti contro l’azione di malware e sono, inoltre, adottati sistemi di firewall per la protezione perimetrale della rete e contro i tentativi di accesso abusivo ai dati.

i) Nel caso di utilizzo di sistemi di firma grafometrica nello scenario mobile o BYOD (Bring Your Own Device), devono essere realizzati idonei sistemi di gestione dei dispositivi mobili (sistemi MDM – Mobile Device Management) per isolare l’area di memoria dedicata all’applicazione biometrica, ridurre i rischi di installazione abusiva di software anche nel caso di modifica della configurazione dei dispositivi e contrastare l’azione di eventuali agenti malevoli (malware).

j) I sistemi di gestione impiegati nei trattamenti grafometrici adottano certificazioni digitali e policy di sicurezza che disciplinino, sulla base di criteri predeterminati, le condizioni di loro utilizzo sicuro (in particolare, rendendo disponibili funzionalità di remote wiping applicabili nei casi di smarrimento o sottrazione dei dispositivi).

k) L’accesso al modello grafometrico cifrato avviene esclusivamente tramite l’utilizzo della chiave privata detenuta dal soggetto terzo fiduciario, e nei soli casi in cui si renda indispensabile per l’insorgenza di un contenzioso sull’autenticità della firma e a seguito di richiesta dell’autorità giudiziaria. Le condizioni e le modalità di accesso alla firma grafometrica da parte del soggetto terzo di fiducia o da parte di tecnici qualificati sono dettagliate nell’informativa resa agli interessati e nei documenti di cui alle lettere l) e m) del presente paragrafo.

l) Le organizzazioni dotate di certificazione del sistema di gestione della sicurezza delle informazioni (SGSI) secondo lo standard internazionale ISO/IEC 27001:2006 inseriscono il sistema biometrico nel dominio di certificazione del SGSI e pianificano, verificano e aggiornano le relative misure di sicurezza, dandone evidenza nella documentazione prevista unitamente a una valutazione della necessità e della proporzionalità del trattamento biometrico.

m) Le organizzazioni non dotate di certificazione ISO/IEC 27001:2006 redigono e mantengono aggiornata una relazione che descrive dettagliatamente gli aspetti tecnici e organizzativi delle misure messe in atto dal titolare per conformare il trattamento alle prescrizioni sopra elencate, fornendo una valutazione della necessità e della proporzionalità del trattamento biometrico. Tale relazione tecnica è conservata per tutto il periodo di esercizio del sistema biometrico e mantenuta a disposizione del Garante. Le misure adottate devono essere periodicamente verificate dando luogo alle eventuali azioni correttive e migliorative.

 

 

Sull’ultimo punto, il punto M, si dirà più in seguito, o meglio, si sottolinea sin d’ora quanto molto presto, per la conservazione di questi dati, sarà fondamentale l’assunzione, per le grandi aziende, di un Data Protection Officer.