Aspetti legali dell’utilizzo della biometria e delle altre tecnologie vocali con riferimento all’applicazione del Regolamento Generale per la Data Protection (GDPR).
Nel maggio 2018 è entrato in vigore il Regolamento Generale per la Data Protection (GDPR), il cui dispositivo riguarda anche i dati di biometria vocale (ad esempio, le impronte vocali dei cittadini europei) e i processi di verifica dell’identità.
Questo comporta una omogeneizzazione del trattamento legale internazionale per i Paesi dell’Unione Europea, considerato che attualmente la legge prescrive standard specifici e linee guida per le diverse giurisdizioni, che possono variare da nazione a nazione.
Quali sono le responsabilità come azienda o studio e cosa si rischia?
Per molti clienti, gli aspetti legali dell’utilizzo delle tecnologie vocali sono strettamente connessi non solo a questioni legate alla protezione dei dati personali, ma anche alla data security in generale, specialmente nei casi di autenticazione multi-fattore.
Molte aziende hanno la necessità di bilanciare un livello di sicurezza ragionevolmente elevato con la volontà di offrire una customer experience qualificata e piacevole – in altre parole, un accesso facile e senza ostacoli a dati e servizi, che allo stesso tempo venga percepito come sufficientemente sicuro dai clienti stessi.
L’utilizzo della biometria e di altre tecnologie vocali viene spesso indicato come la procedura di autenticazione probabilistica più sicura ed economicamente appetibile, facilmente combinabile con altri metodi di autenticazione deterministici, permettendo anche la verifica in modalità remota, senza necessità di strumenti o applicazioni aggiuntive.
È importante sottolineare che le soluzioni di biometria vocale forniscono un maggior livello di sicurezza rispetto alle procedure di verifica tradizionali, basate su domande di sicurezza.
La voce umana è anche molto più complessa da imitare alla perfezione (traendo in inganno il sistema), rispetto, ad esempio, a un’impronta digitale.
Nelle conversazioni reali con gli operatori di call center, la verifica è un compito arduo per i software attualmente esistenti.
Inoltre, la biometria vocale è facile da combinare con qualsiasi altro fattore di autenticazione in soluzioni multi-fattore, come password basate sulla conoscenza, codici numerici e frasi generate in maniera random etc., per evitare attacchi o spoofing pre-registrati.
Tecnicamente, la creazione di un’impronta vocale implica l’utilizzo delle caratteristiche vocali di una persona per costruire un modello matematico della voce; il quale può essere utilizzato solo da una soluzione di identificazione e verifica biometrica concreta.
Questa è in grado di confrontare un campione di pochi secondi della voce dal vivo di un soggetto (convertito istantaneamente in un modello matematico) con il modello memorizzato nel database di impronte vocali del sistema.
Non avrebbe senso, quindi, attaccare un sistema al fine di ottenere delle impronte vocali per tentare un accesso fraudolento, poiché il sistema, per la riuscita della verifica, richiede la voce dal vivo e libera da interazioni predefinite.
A partire da maggio 2018. i dati biometrici (comprese le impronte vocali) che fanno riferimento all’identità di cittadini UE saranno trattati come dati personali sensibili ai sensi del GDPR.
Qualsiasi azienda che memorizzi o elabori dati biometrici vocali dei cittadini dell’Unione, pertanto, dovrà rispettare il GDPR, anche se non ha una presenza commerciale all’interno dell’UE.
Inoltre, i dati personali, comprese le impronte vocali, devono essere cancellati immediatamente se un individuo ne fa richiesta.
È inoltre importante essere consapevoli del fatto che in alcuni casi di utilizzo nel settore bancario, ad es. nelle app di telefonia mobile basate su Siri, è difficile o impossibile garantire che i dati personali dei clienti – compresi i dati personali sensibili – non vengano trasferiti oltre confine, portando a una potenziale violazione del GDPR o di altre norme sulla riservatezza dei dati, a prescindere dal paese di destinazione.
Il “Titolare del trattamento dei dati” (“l’Azienda”) si assume la piena responsabilità per l’elaborazione dei dati, anche se alcune parti del trattamento sono esternalizzate a una terza parte (il “Responsabile del trattamento dei dati”), ad es. alcune aziende statunitensi.
L’ausilio delle tecnologie vocali garantisce uno stretto controllo dell’azienda sui dati dei propri clienti, e permette un’elaborazione interna o con terze parti di assoluta fiducia, che soddisfa i requisiti normativi – almeno all’interno del Paese originario.
Che cosa sta facendo CRONOTIME per il GDPR?
CRONOTIME ha avviato da tempo un progetto di adeguamento al GDPR con i propri fornitori per migliorare le caratteristiche di sicurezza dei prodotti e servizi ed elevare il livello di protezione dei dati personali.
- Stiamo aggiornando i nostri sistemi allo scopo di introdurre funzionalità specifiche per aiutare i clienti a soddisfare i requisiti dicompliance previsti dal GDPR, secondo le logiche della privacy by design e privacy by default richieste dal GDPR
- Stiamo rafforzando le misure di sicurezza nei servizi erogati ai clienti allo scopo di ridurre i rischi di trattamenti non conformi, introducendo il principio della protezione dei dati personali attraverso partner qualificati
- Abbiamo sviluppato sistemi di protezione dei dati sensibili attraverso l’installazione di bacheche elettroniche, controllo accessi, video sorveglianza per garantire che i dati conservati nell’azienda o nello studio siano messi al sicuro.
Per maggiori informazioni
Chiami al 080 56 19 587 Area Commerciale
O invii una mail indicando i Suoi dati all’indirizzo marketing@cronotime.it