Le nuove regole introdotte dal Garante Privacy con Provvedimento generale [doc. web n. 3556992] e allegate Linee guida [doc. web n. 3563006] prevedono, in capo al Titolare del trattamento di dati biometrici e firma grafometrica, l’obbligo di:

  • Notificazione;
  • Adozione di tutte le Misure di sicurezza (Codice Privacy e Linee Guida Biometria);
  • Data breach: comunicazione al Garante, tramite modulo ad hoc, di tutte le violazioni sui sistemi biometrici custoditi, entro 24 ore dalla scoperta.

E’, invece, normalmente escluso l’obbligo di Prior check (verifica preliminare) se i sistemi utilizzati perseguono la finalità di Autenticazione informatica; Controllo di accesso fisico ad aree "sensibili" e utilizzo di apparati e macchinari pericolosi; Sottoscrizione di documenti informatici (anche mediante trattamento di dato biometrico costituito da informazioni dinamiche associate all'apposizione a mano libera di una firma autografa mediante specifici dispositivi hardware); Scopi facilitativi (es. accesso fisico di utenti ad aree fisiche in ambito pubblico o privato.

Fonte: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3562912