I sistemi di autenticazione biometrica, comunemente implementati in smartphone, tablet e computer, rappresentano un esempio concreto di sistema a multi-fattore di pronto e semplice utilizzo, sia per l’uso personale che per quello aziendale.
Proprio sull’uso aziendale si pongono profili di non poco interesse. In questo articolo cercheremo di analizzare i sistemi di autenticazione biometrica, con particolare riferimento ai device messi a disposizione del lavoratore per lo svolgimento della propria attività. Il tutto con focus sul trattamento dei dati personali del lavoratore.
Indice degli argomenti
Sistemi di autenticazione biometrica: il contesto
Ogni volta che ci accingiamo ad aprire un nuovo account personale o a configurare un nuovo dispositivo personale, inevitabilmente ci viene richiesto di impostare una password. La complessità della stessa è legata tendenzialmente a due fattori: alle limitazioni del sistema (almeno un numero, una maiuscola, ecc.) e alla consapevolezza dell’utente.
La vita quotidiana è costellata di password, fondamentali per evitare indebiti accessi ai propri dispositivi o account, e ancor più necessarie nel mondo aziendale, dove ad entrare in gioco non sono solo informazioni riguardanti l’utente stesso, ma anche e soprattutto informazioni aziendali o di terzi. Oltre a proteggere le informazioni, la password è uno strumento di identificazione dell’utente, essendo composta da una sequenza di caratteri noti soltanto a lui.
L’evoluzione tecnologica ha comportato, da un lato, l’aumento della capacità computazionale, in grado di svolgere una notevole quantità di elaborazioni in un tempo ridotto rispetto a quello che un tempo era richiesto; dall’altro, la necessità di prendere provvedimenti volti ad aumentare il livello di sicurezza, ha incrementato il livello di complessità “minimo” delle password.
Il livello di sicurezza delle password è tanto più alto quanto più complesso è l’algoritmo di costruzione della stessa, attingendo a quanti più caratteri possibili. Il concetto di sicurezza di una password, infatti, segue gli stessi criteri della crittografia, che si basa sull’assunto che il calcolo per estrarre l’informazione cifrata è computazionalmente troppo dispendioso perché vi possa essere un interesse ad effettuare l’operazione di decifratura.
L’aumento della sicurezza è stato raggiunto anche grazie alla possibilità di utilizzare sistemi alternativi, come ad esempio il ricorso ad un ulteriore passaggio per validare il processo di identificazione (sistemi di autenticazione a doppio fattore o multi-fattore). Se da un lato questi sistemi hanno il vantaggio di esser più sicuri, allo stesso tempo hanno la criticità di esser potenzialmente troppo complessi o comunque poco affini all’immediatezza richiesta dall’utente, o perlomeno dalla maggior parte degli utenti consumer.
Inoltre, tale funzione generalmente deve essere attivata specificamente dall’utente, addossando allo stesso l’onere di aumentare il livello di protezione. Considerando la necessità di utilizzare password complesse, un sistema di autenticazione multi-fattore risulta, in determinate situazioni, l’unica possibilità per garantire un livello di sicurezza adeguato.
Gli strumenti e i requisiti di legittimità
L’utilizzo degli strumenti messi a disposizione del lavoratore da parte del datore di lavoro per rendere la prestazione lavorativa è oggetto di regolamentazione sia sotto il profilo della normativa riguardate la protezione dei dati personali che sotto il profilo giuslavoristico. Tale regolamentazione deve trovare esatta attuazione all’interno delle realtà aziendali.
Semplificando, sotto il profilo giuslavoristico, l’art. 4 dello Statuto dei Lavoratori prevede la necessità di un accordo con le rappresentanze sindacali (o un’autorizzazione amministrativa) per gli strumenti tecnologici che potrebbero potenzialmente permettere un controllo a distanza dell’attività dei lavoratori, escludendo invece gli strumenti per rendere la prestazione lavorativa.
Tra questi ultimi è possibile indicare i dispositivi elettronici quali smartphone, tablet, personal computer, che sono inquadrabili come oggetti strumentali alla prestazione e pertanto godono dell’esclusione delle procedure del comma 1 del citato articolo 4.
Se quindi la normativa sul diritto del lavoro permette l’utilizzo di questi dispositivi, purché per finalità ben definite (rendere la prestazione lavorativa), la medesima, quale requisito di utilizzabilità dei dati raccolti attraverso gli strumenti “a tutti i fini connessi al rapporto di lavoro”, richiede di fornire al lavoratore adeguate informazioni circa le attività poste in essere attraverso i sistemi informatici, le modalità di utilizzo degli stessi, nonché i possibili controlli eseguibili sui dati raccolti durante l’uso, richiamando espressamente il Codice Privacy italiano (D.Lgs. 196/2003).
Ebbene, il datore di lavoro è tenuto quindi ad adottare un “Regolamento per l’utilizzo degli strumenti informatici e dei dispositivi elettronici” [3] che disciplini le modalità di utilizzo degli strumenti e le attività di controllo poste in essere per la repressione delle eventuali attività illecite, nonché ad accompagnare quest’ultimo con apposita informativa atta a render note le finalità e le modalità di trattamento dei dati raccolti dai dispositivi e dai sistemi di sicurezza posti a tutela del patrimonio informativo aziendale.
Questi due documenti agiscono sinergicamente nell’intento di scongiurare indebite intrusioni ovvero comportamenti contrari alla libertà, dignità e riservatezza dei lavoratori. Allo stesso tempo permettono al datore di lavoro di regolare in modo chiaro l’utilizzo degli strumenti da lui concessi, nonché darsi un codice di autoregolamentazione riguardo all’uso delle informazioni raccolte e dei metodi per ottenerle.
In merito alla normativa sulla protezione dei dati personali, oltre a render note le informazioni che necessariamente deve mettere a disposizione ai sensi dell’art. 13 del GDPR, il datore è altresì tenuto ad adottare le misure tecniche e organizzative adeguate (art. 32 GDPR) per garantire un adeguato livello di sicurezza per i trattamenti svolti, anche mediante i dispositivi elettronici.
Risulta quindi necessario applicare metodi di protezione volti a proteggere i dispositivi da accessi non autorizzati ovvero discriminare i diritti sui sistemi in base ai livelli di accesso, in coerenza con la definizione degli incarichi dati ai lavoratori. Tale attività è basata sull’identificazione del soggetto, attuata tramite il sistema di autenticazione, filtro necessario per discriminare i diritti a livello informatico. Quest’operazione viene effettuata, di norma, mediante l’uso di un nome utente e una password.
Le informazioni necessarie all’autenticazione costituiscono ovviamente dati riferiti a persona identificata (dati personali) e pertanto sono rilevanti dal punto di vista della normativa.n L’assegnazione, la raccolta, la conservazione e tutte le operazioni connesse a questi dati sono effettuate sulla base del legittimo interesse del Titolare al mantenimento di adeguati livelli di sicurezza.
La normativa sui dati biometrici
Ma cosa succede quando gli strumenti aziendali in dotazione del lavoratore sono dotati di sistemi di autenticazione biometrica? Sul punto il Garante italiano si è pronunciato nel 2014 [1] con un provvedimento largamente esaustivo nel quale, oltre a descrivere le metodologie utilizzate per l’acquisizione ed il trattamento del dato biometrico, ha indicato i requisiti informativi necessari e le misure di sicurezza da adottare per un trattamento conforme alla normativa.
Tale provvedimento ancor oggi non può esser tralasciato, nonostante l’intervento della normativa europea. Importante però è una lettura con occhio critico del provvedimento. Infatti, il previgente Codice Privacy, non includeva i dati biometrici fra i “dati sensibili”, ma piuttosto fra i dati che potevano generare un trattamento avente rischi specifici (art. 17, Codice Privacy previgente).
Per questi motivi, l’uso dell’interesse legittimo, come previsto in determinati casi risulta oggi incompatibile con il trattamento in questione. Di fronte a questi sistemi di autenticazione biometrica, le condizioni di legittimità, in virtù dell’inclusione dei dati biometrici nelle categorie particolari di dati personali di cui all’art. 9 del GDPR, devono essere quelle previste dal paragrafo 2, ovvero dalle eventuali ulteriori condizioni introdotte dalla legislazione statale (paragrafo 4), come ad esempio quella contenuta nel comma 7 dell’art. 2-septies del Codice Privacy novellato [2].
Pertanto, fatti salvi alcuni casi particolari, l’unica base giuridica che risulti idonea a legittimare tale trattamento è il consenso dell’interessato. Il Titolare del trattamento è dunque tenuto a raccogliere un consenso in un contesto, come quello del mondo del lavoro, dove tale base giuridica risulta difficilmente supportata dal requisito della libertà, fondamentale per una effettiva espressione del consenso.
Sul punto il Gruppo di Lavoro ex art. 29, ora European Data Protection Board (EDPB), si è espresso nel 2017, nel periodo intercorrente tra l’entrata in vigore del GDPR e la sua piena applicabilità. In tale parere dichiarava espressamente: “I dipendenti non sono quasi mai nella posizione di poter concedere, rifiutare o revocare liberamente il consenso al trattamento dei dati, considerata la dipendenza derivante dal rapporto datore di lavoro/dipendente.
In considerazione di tale squilibrio di potere, i dipendenti possono concedere liberamente il consenso soltanto in circostanze eccezionali nelle quali l’accettazione o il rifiuto di un’offerta non ha conseguenze per loro”.
Con questi presupposti, come può agire il datore di lavoro che intenda adottare strumenti tecnologici che utilizzano sistemi di autenticazione biometrica? Per risolvere questi dubbi è necessario preliminarmente effettuare un’analisi delle caratteristiche tecniche che posseggono questi dispositivi.
Sistemi di autenticazione biometrica, caratteristiche tecniche
Analizzando i dispositivi attualmente in commercio è possibile identificare alcune caratteristiche comuni di sicurezza. Semplificando e, per certi versi, generalizzando il funzionamento, si può dire che alla fase di acquisizione diretta (acquisizione dell’immagine raw), segue la creazione del modello, ossia della rappresentazione matematica del dato biometrico.
Tale modello viene successivamente crittografato con una chiave di crittografia connessa al sistema di acquisizione e la stringa crittografata viene a sua volta protetta all’interno di una memoria locale dedicata o comunque a sua volta crittografata.
Il dato biometrico, ovvero la sua rappresentazione matematica crittografata, risiede dunque all’interno del dispositivo, per essere utilizzata nelle fasi di autenticazione ai servizi, senza però esser trasferito e senza la possibilità di estrarlo, considerando che la crittografia è connessa al dispositivo stesso. Tale modalità di acquisizione e conservazione aumenta il livello di sicurezza, minimizzando la quantità di dati conservati alle sole rappresentazioni matematiche, oltretutto crittografate.
Affinché possa procedersi all’acquisizione del dato biometrico, l’utente deve tenere un comportamento attivo e volontario di configurazione successivo all’impostazione del preliminare criterio di protezione (password o pin). In questo modo l’utente è completamente consapevole del fatto di star attivando una funzione specifica legata al trattamento di dati biometrici, nonché ha il totale controllo dei dati potendo esso stesso procedere all’aggiornamento, alla cancellazione, alla disattivazione della funzione.
Da questo punto di vista l’acquisizione del dato avviene esclusivamente a livello di dispositivo e le eventuali interfacce possibili con tale sistema avvengono mediante software che, per ragioni di sicurezza, non trasmettono il dato, ma solo l’informazione autenticato/non-autenticato.
Al fine di permettere soluzioni alternative all’uso del dato biometrico, è sempre possibile impostare un pin o una password, volto a bypassare eventuali problemi legati a difficoltà di riconoscimento ovvero semplicemente alla mancata attivazione della funzione di autenticazione tramite sensore. Pertanto, il dissenso all’utilizzo di tale funzione può essere legittimamente esercitato mediante l’uso di alternativi metodi di autenticazione.
Considerando dunque che i dispositivi aventi la funzione di riconoscimento delle caratteristiche biometriche dell’utente ai fini dell’autenticazione ai sistemi, permettono di aumentare il livello di sicurezza complessivo, e inoltre che l’attività di elaborazione è strettamente connessa (in quanto ivi effettuata) al dispositivo stesso, esaminiamo ora come procedere ad effettuare (o non effettuare) tale trattamento in base ai principi imposti dalla normativa.
Come evitare il trattamento
Contornati da presidi normativi imperativi (art. 9 GDPR), il trattamento di dati biometrici potrebbe essere un rischio che il Titolare non intende gestire. Per fare ciò potrebbe dotarsi di un sistema MDM (Mobile Device Management), con i conseguenti impatti, ovvero di una norma regolamentare interna volta a vietare l’utilizzo delle funzioni di autenticazione biometrica presenti sul dispositivo.
La prima soluzione, legata all’utilizzo di un sistema MDM, comporta sicuramente ulteriori problematiche da tenere in considerazione ma allo stesso risulta un metodo maggiormente idoneo ad evitare il trattamento di dati biometrici da parte del Titolare, mediante il blocco della funzione stessa.
Tale soluzione potrebbe essere sicuramente valida, o addirittura consigliata, quando, dall’analisi delle specifiche tecniche (di cui si dirà più avanti), risulti che il dispositivo non è dotato delle caratteristiche di sicurezza necessarie per l’elaborazione dei dati biometrici.
L’uso di una norma regolamentare di converso, pur essendo azionabile dal punto di vista giuslavoristico, non permette un effettivo controllo sul trattamento, non agendo direttamente sullo strumento tecnologico, ma esclusivamente sul lavoratore e il suo rispetto delle regole.
La raccolta del consenso
Scegliendo di voler utilizzare le funzioni di autenticazione biometrica, il datore di lavoro si trova di fronte alla necessità – salvo i casi previsti dall’art. 9 GDPR e dal comma 7, art. 2-septies, D.Lgs. 196/2003 – di raccogliere il consenso dell’interessato.
Il Titolare dovrà dunque fornire adeguata informativa, adottare misure tecniche e organizzative idonee a garantire la sicurezza del trattamento e l’esercizio effettivo dei diritti, nonché permettere di revocare il consenso con la medesima semplicità con cui è stato prestato.
I più nostalgici, ancorati saldamente alla registrazione su carta, richiederebbero che il dipendente, all’atto di consegna del dispositivo, unitamente alla presa visione dell’informativa e del regolamento, firmi anche una prestazione di consenso valevole per trattamento dei dati biometrici posti in essere tramite il dispositivo consegnato.
Questa soluzione ha il pregio di permettere un controllo effettivo sui consensi rilasciati, ma allo stesso tempo deve essere almeno assistita da una norma regolamentare che vieti l’attivazione della funzione in mancanza della prestazione di consenso (con i limiti di cui sopra), ovvero dall’adozione di un sistema MDM che permetta il blocco della funzione o infine dall’impossibilità di consegnare un dispositivo avente tale funzione in mancanza del rilascio di un consenso.
Questa soluzione, fossilizzandosi sul lato formale dell’applicazione normativa, prevede che il consenso venga rilasciato anche in assenza di una effettiva attivazione da parte dell’utente. Da un punto di vista organizzativo, l’impatto connesso alla gestione di tale attività risulta particolarmente gravoso in aziende di medio-grandi dimensioni, anche in relazione alle fasi necessarie per procedere alla gestione dei consensi (rilascio – contestuale o successivo – e revoca).
A parere dello scrivente, per spostarsi su una soluzione più sostanziale, sarebbe opportuno prevedere l’utilizzo di una misura organizzativa adeguata, che prenda in considerazione la definizione stessa di consenso presente nel Regolamento “[…] qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento” (art. 4, n. 11).
Il consenso potrebbe essere dunque prestato liberamente, mediante un atto libero, anche successivo alla messa a disposizione del dispositivo, che permetta all’utente di esercitare (nei limiti tecnici del dispositivo) anche i diritti che la normativa gli riserva.
In altre parole, previa adeguata informativa, corredata magari dalle specifiche tecniche e istruzioni d’uso del dispositivo stesso, si potrebbe specificare che l’atto di attivazione delle funzionalità di riconoscimento biometrico e quindi della raccolta delle caratteristiche (azione positiva inequivocabile), equivale per il Titolare alla prestazione del consenso al trattamento.
L’informativa dovrebbe comprendere, fra le altre informazioni, anche i diritti esercitabili, le modalità di esercizio specifico, nonché i rischi riguardanti l’utilizzo di tali strumenti, che unitamente agli altri documenti a corredo completerebbero integralmente l’onere informativo.
Rispetto alla necessità di dimostrare l’adempimento degli obblighi normativi, risulta opportuno evidenziare che l’abbinamento dell’azione volitiva unitamente alla registrazione sul dispositivo elettronico, permette una tracciatura del consenso mediante l’utilizzo di una misura tecnico-organizzativa (registrazione su dispositivo elettronico preceduta da modalità di esecuzione specifiche).
Conclusioni
In conclusione, stante quanto sopra espresso, il datore di lavoro non potrà comunque prescindere da un’accurata e preliminare analisi tecnico-giuridica dei dispositivi elettronici che intende adottare, soprattutto se questi prevedono l’utilizzo di sistemi di autenticazione biometrica.
Inoltre, il Titolare dovrà soffermarsi in particolare sulle modalità di elaborazione e messa in sicurezza dei dati, preferendo soluzioni che permettano di ridurre by design e by default l’uso dei dati e dei rischi connessi al trattamento.
L’analisi di cui sopra dovrà infine cristallizzarsi in adeguati strumenti informativi nei confronti dei lavoratori. Ancora una volta giova ribadire l’importanza all’interno delle aziende di un dettagliato regolamento interno sull’utilizzo degli strumenti informatici e dei dispositivi elettronici che, accompagnato da una corretta informativa sul trattamento dei dati, costituiscono la documentazione idonea a rendere legittime le attività poste in essere dal datore di lavoro nell’ambito della gestione dei dispositivi elettronici.
NOTE
[1] Provvedimento generale prescrittivo in tema di biometria – 12 novembre 2014 – doc. web n. 3556992.
[2] Il Codice Privacy, così come novellato dal D.Lgs. 101/2018, ha introdotto l’art. 2-septies, e al comma 7 ammette il trattamento dei dati biometrici per presidiare la sicurezza dei trattamenti di categorie particolari di dati (art. 9 GDPR): “Nel rispetto dei principi in materia di protezione dei dati personali, con riferimento agli obblighi di cui all’articolo 32 del Regolamento, è ammesso l’utilizzo dei dati biometrici con riguardo alle procedure di accesso fisico e logico ai dati da parte dei soggetti autorizzati, nel rispetto delle misure di garanzia di cui al presente articolo.”.
[3] Si veda anche: “Lavoro: le linee guida del Garante per posta elettronica e internet” – doc. web n. 1387522.