12

Gen 2017

(Garante Privacy, provvedimento 27/10/2016 n. 438)

In seguito ad una verifica preliminare, il Garante Privacy ha dato il via libera ad un progetto pilota di autenticazione basata sul riconoscimento vocale e facciale per la consegna dei cedolini on line. La sperimentazione da parte del Consorzio per il Sistema Informativo (Csi) Piemonte avverrà per un periodo limitato di tempo e attraverso una app installata unicamente sugli smartphone di quei dipendenti che accetteranno di utilizzarla per accedere al servizio “cedolini on line“, in alternativa al sistema in uso basato su user id e password.

I “volontari” potranno  visualizzare e scaricare, tramite la app, il cedolino mensile, il modello CU,  la posizione assicurativa per chi aderisce al Fondo pensione. Il test consentirà al Consorzio di verificare l’accuratezza, la facilità d’uso e la sicurezza, anche sotto il profilo dei dati personali, del servizio di autenticazione biometrica.

L’autorizzazione del Garante si riferisce esclusivamente alla fase sperimentale e non riguarda eventuali future applicazioni “a regime” del sistema che dovranno essere sottoposte a un nuovo vaglio dell’Autorità.

Considerata la delicatezza dei dati biometrici trattati,  il Garante ha prescritto l’adozione di ulteriori misure rispetto a quelle già previste dal Consorzio: la sperimentazione non dovrà coinvolgere meccanismi e applicativi aziendali utilizzati nella gestione del rapporto di lavoro; gli aderenti alla sperimentazione (dalla quale potranno recedere in ogni momento) dovranno accedere ad un’installazione di test creata ad hoc, contenente solo i loro cedolini; ai volontari dovranno essere fornite apposite credenziali ed un indirizzo di posta elettronica temporaneo per avere accesso alla sezione della intranet da cui si avvia la fase di registrazione per effettuare il login alla app. I dati biometrici dovranno essere cancellati in modo irreversibile al termine della sperimentazione o su richiesta del partecipante.

Fermo restando l’obbligo di comunicare al Garante il verificarsi di violazioni dei dati biometrici (data breach) o incidenti informatici il consorzio dovrà predisporre una procedura per la gestione congiunta degli eventuali incidenti di sicurezza che dovessero verificarsi.

Il Consorzio dovrà infine:

  1. effettuare la notificazione al Garante ai sensi dell’articolo 37, comma 1, lett. a), del Codice Privacy;
  2. fornire agli interessati un’informativa comprensiva di tutti gli elementi contenuti nell’articolo 13 del Codice;
  3. predisporre misure al fine di garantire agli interessati l’esercizio dei diritti previsti dagli articoli 7 e seguenti del Codice (anche alla luce di quanto stabilito dall’art. 100, comma 2, del Codice).