Sistema di riconoscimento biometrico per prenotare campi sportivi

Una società tennistica ha introdotto un nuovo sistema di prenotazione con riconoscimento biometrico delle persone: ora ogni membro deve confermare la prenotazione del campo da tennis mediante impronta digitale per potervi giocare. In seguito alle richieste di membri della società preoccupati, abbiamo sottoposto il sistema a un controllo, appurando che non risponde alle esigenze della protezione dei dati e che dev'essere adeguato. Abbiamo emanato una pertinente raccomandazione e al momento stiamo esaminando con la società in che maniera poterla attuare.

In passato una società di tennis ha avuto il problema che persone non autorizzate utilizzavano di continuo i campi da tennis. Il centro sportivo della società non è visibile completamente, è poco protetto da ingressi di estranei e non dispone di una reception sempre occupata, così che diventa difficile controllare chi gioca sui campi. Un sistema di prenotazione mediante riconoscimento con PIN introdotto per impedire gli accessi indebiti è servito in modo soltanto insufficiente, poiché i codici sono stati comunicati illecitamente a persone che non erano membri della società. Per tale motivo quest'ultima ha introdotto un sistema che verifica l'autorizzazione all'accesso dei giocatori mediante impronta digitale. I modelli («template») delle impronte digitali sono archiviati in un computer centrale, così che non occorre portare con se alcuna tessera di affiliato.

Su indicazione di singoli membri abbiamo sottoposto il centro a un controllo, giungendo alla seguente conclusione: anche se l'utilizzo di dati biometrici per verificare i membri della società paganti è giustificato da un interesse privato preponderante, si tratta pur tuttavia di un sistema di verifica per un centro ricreativo nel quale un'archiviazione centrale non è necessaria e perciò, sostanzialmente, sproporzionata (cfr. le nostre argomentazioni sul caso KSS nel 17° Rapporto d'attività 2009/2010, n. 1.2.2). I motivi addotti dalla società tennistica per questo tipo di archiviazione (risparmio e comodità) sono insufficienti per un trattamento dei dati sproporzionato. Siamo perciò giunti alla conclusione che la società di tennis deve adeguare il proprio sistema di prenotazione.

Conformemente alla raccomandazione da noi emanata nel presente caso alla società tennistica, vediamo di seguito le possibilità per impostare l'archiviazione dei dati in un sistema di verifica di un centro ricreativo in maniera conforme alla protezione dei dati: la migliore soluzione consiste nell'archiviare i dati biometrici in modo completamente decentrato su un supporto di dati sottoposto al controllo delle persone interessate (p.es. sulla tessera di membro); un'ulteriore possibilità consiste nell'archiviare i dati centralmente, utilizzando però solamente modelli e nessun dato grezzo (p.es. immagini delle impronte digitali o fotografie) e cifrando i dati prima dell'archiviazione. I dati vanno inoltre archiviati separatamente da altre indicazioni (p.es. le generalità) concernenti le persone in questione. Il riferimento a una determinata persona deve potere essere stabilito unicamente mediante l'approvazione consapevole ed esplicita di questa con l'ausilio di una carta personale (cfr. le considerazioni sulla conclusione del procedimento KSS nel n. 1.2.4 del presente rapporto d'attività). Se si persegue una soluzione senza carta, è inevitabile un'archiviazione dei dati centrale. Ma ciò è ammesso soltanto se non viene memorizzato alcun dato grezzo e se vengono utilizzati solamente caratteri biometrici che non lasciano tracce fisiche o digitali (quindi p.es. le vene delle dita o il contorno della mano, non però le impronte digitali). Anche qui i dati vanno cifrati e archiviati senza riferimento ad altri dati personali.

Alla società di tennis si è inoltre contestato che le misure prese per la sicurezza dei dati non erano assolutamente adeguate alla sensibilità dei dati biometrici. Ad esempio, il server si trova in un locale accessibile dall'esterno e protetto in maniera rudimentale contro lo scasso. Il trasferimento di dati avviene inoltre senza fili attraverso una rete radio che consente a tutti i membri di accedere a Internet nell'area della società. In questo modo è veramente facile per le persone non autorizzate un accesso sia fisico, sia digitale, ai dati in questione. I dati biometrici devono però essere protetti in modo particolare. Abbiamo perciò emanato una raccomandazione affinché la sicurezza dei dati della società tennistica possa essere accresciuta mediante adeguate misure tecniche e le autorizzazioni di accesso e di ingresso dei collaboratori e dei membri siano disciplinate in maniera esatta e restrittiva.

Attualmente stiamo esaminando con la società di tennis quale archiviazione di dati alternativa è possibile attuare e quali misure tecniche e organizzative concrete sono necessarie affinché sia garantita la sicurezza dei dati.

https://www.edoeb.admin.ch/content/edoeb/it/home/documentazione/rapporti-d-attivita/vecchi-rapporti/18--rapporto-d-attivita-2010-2011/sistema-di-riconoscimento-biometrico-per-prenotare-campi-sportiv.html