Normative

Riconoscimento biometrico, la protezione dei dati personali

Cosa sono, quali rischi corrono i cittadini e quali obblighi per il responsabile del trattamento. Differenze e novità dopo l’introduzione del regolamento Europeo 679/2016

10 Lug 2020

Massimo Zampetti

Data protection officer

Alla vigilia della quarta rivoluzione industriale, un immenso bisogno di soluzioni e sistemi di sicurezza ha generato una crescita esponenziale nella domanda di dispositivi di riconoscimento biometrico, utili in diversi contesti e settori tra cui bancario, assicurativo, sanitario, servizi pubblici, telecomunicazioni, produzione e altro.

Il problema dei dati biometrici

La sicurezza delle persone e la sicurezza delle risorse si traducono, dunque, in esigenze fondamentali per qualsiasi settore. Con l’accesso alle tecnologie di nuova generazione, le organizzazioni e le imprese si stanno orientando verso la tecnologia biometrica d’avanguardia, per migliorare l’intera infrastruttura di sicurezza.

Si pensi, solo per citare alcuni esempi, al ricorso alla firma grafometrica, alla topografia della mano, al riconoscimento facciale, alle impronte digitali, ai segnali vocali, alla scansione della retina e alla forma dell’iride: tutte queste informazioni costituiscono strumenti di autenticazione individuale e di accesso ai dispositivi elettronici (es. il “Face Id” introdotto di recente negli smartphone di ultima generazione), ai locali aziendali e agli ambienti ad accesso riservato (aperture di serrature e uffici tramite scansione dell’impronta digitale).

L’inevitabile riconoscimento di benefici e vantaggi, in termini di sicurezza, nell’utilizzo di tali tecnologie presta tuttavia il fianco a un utilizzo smisurato di dati personali e, in particolare, di categorie peculiari di dati relativi alla persona (dati particolari) definiti tecnicamente “biometrici”, sottoposti a una specifica disciplina normativa, soprattutto a seguito dell’entrata in vigore in tutti gli Stati membri dell’UE del Regolamento 679/2016 e, in particolare, per quanto concerne l’Italia del D.lgs. 196/2003, novellato dal D.lgs. 101/2018.

In questo momento storico di emergenza sanitaria, inoltre, spesso entra nella vita quotidiana dei cittadini la discussione su temi tipici della privacy, concetto che sentiamo più vicino a noi.

L’art. 14 D.L. 9 marzo 2020 n. 14 ha introdotto un regime in deroga alla disciplina di tutela della privacy stabilita in via ordinaria dal D.lgs. 30 giugno 2003 n. 196, destinato a operare sino “al termine dello stato di emergenza deliberato dal Consiglio dei ministri in data 31 gennaio 2020” (c.d. emergenza Covid-19), ai fini dell’adozione da parte delle autorità competenti delle misure urgenti di contenimento e gestione dell’emergenza epidemiologica ai sensi dell’art. 3 del D.L. n. 6/2020, convertito con modificazioni dalla L. 13/2020. La privacy, infatti, a livello europeo è considerata un diritto fondamentale dell’individuo ma “non assoluto”, in quanto tale derogabile ai sensi dell’art. 15 CEDU.

Negli aeroporti di tutto il mondo vengono installati e implementati scanner termici per la rilevazione corporea dei passeggeri in transito, che consentono di identificare e isolare soggetti che manifestano temperatura corporea superiore a 37,5°. Stesse misure preventive sono state attivate per consentire l’accesso a negozi, supermercati e aziende.

Sempre in tema di emergenza sanitaria, l’impiego di App, scaricabili su base volontaria, per il monitoraggio dei contagi. A tale proposito il presidente dell’Autorità Garante della privacy Antonello Soro ha tracciato i confini in materia di analisi delle informazioni, chiarendo che il ricorso al contact tracing potrebbe anche concorrere all’eventuale formazione del “passaporto sanitario digitale”. Bocciato il ricorso ai droni, meccanismo che eccede il principio di proporzionalità e considerato troppo invasivo. Esclusa anche la funzione del cellulare come sorta di braccialetto elettronico, che presupporrebbe che le persone non si stacchino mai dal proprio telefono. Il compromesso è una adesione su base volontaria a una app Bluetooth per il tracciamento della propria posizione. L’adesione, però, secondo il Garante privacy deve trovare motivo (finalità) non tanto dietro una erogazione di servizi ma bensì nel principio di tutela della salute. Non sarà possibile creare una banca dati se non in forma anonima (anonimizzazione) e il tracciamento dovrà essere limitato al tempo dell’emergenza e le informazioni non potranno essere utilizzate per scopi diversi dalla tutela della salute.

Dati biometrici, cosa sono

I dati biometrici sono dati personali, in quanto costituiscono una “informazione concernente una persona fisica identificata o identificabile”; prima del GDPR non esisteva una definizione normativa in grado di descriverli con esattezza. Il Regolamento Europeo 679/2016 all’art. 4 definisce i dati biometrici come “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici. Rientrano in questo concetto le impronte digitali, la firma autografa, le caratteristiche vocali dell’individuo, la struttura della retina, la forma dell’iride, la struttura venosa delle dita o della mano, la topografia della mano, le caratteristiche del volto.

Tecnicamente, il sistema di riconoscimento effettua la rilevazione e la relativa acquisizione della caratteristica biometrica dell’individuo, attraverso sensori o dispositivi specifici (scanner, tablet, webcam e microfoni incorporati). In sostanza ciò che viene acquisito, in concreto, è una rappresentazione digitale della caratteristica biometrica e, cioè, il campione o modello biometrico.

Può capitare che una società scelga di controllare gli accessi dei visitatori tramite un tablet che, anche per motivi di sicurezza, effettui il nostro riconoscimento facciale, in entrata e in uscita, mediante associazione del nostro nominativo all’immagine registrata. Quando effettuiamo un’operazione in banca ormai da tempo firmiamo su un dispositivo elettronico, che riconosce la nostra firma che è stata in precedenza censita. Per accedere al nostro smartphone usiamo la nostra impronta digitale o il riconoscimento facciale. I badge di riconoscimento nella pubblica amministrazione vengono sostituiti con dispositivi di riconoscimento biometrici. Sono molteplici gli esempi che si potrebbero fare, visto il sempre più vasto utilizzo di simili sistemi di riconoscimento.

I rischi correlati sono evidenti quanto elevati, dal momento che il patrimonio di informazioni raccolte, attinenti aspetti così particolari dell’individuo, costituisce facile preda di malintenzionati che, per svariate motivazioni, intendono impossessarsi dei dati per farne un uso illecito. È chiaro che, a fronte di una mole sempre più vasta di informazioni presenti all’interno dei sistemi informatici e disponibile nella rete, i rischi conseguenti a un potenziale uso illecito, quali il furto di identità, la frode o l’utilizzo scorretto dello strumento da parte del datore di lavoro, diventino sempre maggiori. L’esposizione al rischio è massima laddove si dovessero utilizzare strumenti di riconoscimento e identificazione basati esclusivamente sui dati biometrici, motivo per cui è sempre consigliabile utilizzare un sistema “multi-factor”, che preveda, per esempio, l’uso di informazioni aggiuntive quali le password o analoghi codici.

I principi che regolano l’utilizzo dei dati biometrici

L’utilizzo dei dati biometrici, pertanto, per essere consentito dovrà rispettare alcuni principi.

In primo luogo, dovranno essere garantiti i presupposti di liceità stabiliti dal Regolamento Europeo 679/2016. A tale proposito, si deve effettuare una distinzione. Nell’ambito pubblico il limite del trattamento è costituito dalla legge e dei regolamenti, in quanto la P.A. non opera in base al consenso dell’interessato. Diversamente, per i soggetti privati e gli enti pubblici economici ogni trattamento di dati biometrici, per regola generale (art. 9 GDPR), è fondato sul consenso da parte dell’interessato, che è sempre revocabile e deve essere manifestato in forma libera ed espressa, senza il quale si deve considerare illegittimo.

Altro presupposto è la necessità, nel senso che sistemi e programmi informatici devono essere configurati riducendo al minimo l’utilizzazione dei dati (nel rispetto del principio di “minimizzazione”). In parole semplici, prima di procedere alla raccolta di dati biometrici si dovrà escludere che altri metodi che consentano l’anonimato possano permettere il raggiungimento delle finalità prefissate, ed in caso di raccolta l’identificazione dovrà essere limitata ai soli casi di necessità. I dati biometrici, inoltre, dovranno essere immediatamente cancellati una volta esaurita la finalità perseguita, come nel caso dell’esempio fatto di accesso ad una struttura mediante riconoscimento facciale al posto della compilazione del registro degli accessi. In questo caso, una volta usciti dall’edificio, la conservazione delle immagini associate ai nominativi dei visitatori risulterebbe inutile, e quindi eccedente rispetto alla finalità e, pertanto, illecita.

La finalità è un ulteriore elemento. Se si decide di limitare l’accesso in aree delimitate a pochi soggetti autorizzati, identificabili mediante i loro dati biometrici, in quanto si tratta di zone particolarmente pericolose, non sarà poi possibile usare le informazioni raccolte, ad esempio, per la verifica del rispetto dell’orario di lavoro dei dipendenti.

In caso di richiesta di raccolta di dati biometrici sarà sempre necessario ottenere dal titolare del trattamento una dettagliata informativa, che con un linguaggio semplice e chiaro consenta di comprendere cosa succede e per quale motivo.

Innanzitutto, sarà necessario spiegare all’interessato se il conferimento dei dati è obbligatorio o facoltativo. Negli smartphone, ad esempio, l’utilizzo dell’impronta digitale o del riconoscimento facciale non è obbligatorio, in quanto si può sempre accedere mediante un codice numerico personale. Inoltre, in caso di rilevamento di dati biometrici dell’interessato senza la sua cooperazione, come potrebbe accadere una volta avuto accesso ad un’area controllata (ad esempio un aeroporto), prima dell’ingresso dovrà essere apposto un avviso ben visibile che consenta a chiunque di scegliere liberamente se entrare o non entrare, laddove si fosse contrari a tale forma di controllo.

Importante novità derivante dall’entrata in vigore del Regolamento Europeo 679/2016 è quella che riguarda la cessazione dell’obbligo di notificazione preventiva al Garante per la Protezione dei Dati personali. Il Codice della privacy, nella versione precedente, obbligava i titolari del trattamento a presentare una richiesta di verifica preliminare (art. 17) nonché a effettuare una espressa notificazione al Garante (artt. 37 e 38). A seguito dell’introduzione del Regolamento Europeo 679/2016 in Italia è stato emanato il D. Lgs. 101/2018, provvedimento che, nel riscrivere il Codice privacy, ha espressamente abrogato gli artt. 17, 37 e 38 citati. Dal 25 maggio 2018, pertanto, verifica preliminare e notificazione al Garante non sono più necessarie per i dati in esame.

Il D. Lgs. 101/2018 ha anche inserito il nuovo art. 2 septies del D. Lgs. 196/2003 (cd. Codice privacy), che legittima il trattamento dei dati biometrici non solo nel rispetto di quanto disposto dal Regolamento ma anche in conformità a future “misure di sicurezza”, che saranno disposte dal Garante con provvedimenti biennali. Sarà quindi cura dell’Autorità di controllo nazionale emanare provvedimenti specifici, che tengano conto non solo delle migliori prassi applicative ma anche dell’evoluzione scientifica e tecnologica, così da mantenere sempre aggiornato nel tempo il livello di sicurezza che la peculiarità della materia impone.

Conclusioni

In conclusione, l’utilizzo dell’architettura biometrica come pratica e come tendenza di derivazione industriale moderna non deve esimersi dal rispetto e dall’adozione di misure di sicurezza tecniche e organizzative tali da garantire un adeguato livello di sicurezza compatibile con la particolarità dei dati trattati. Solo così si potrà continuare a sfruttare pienamente e liberamente le potenzialità della biometria, senza, tuttavia, rinunciare ad un diritto fondamentale a noi molto caro, ovvero il diritto alla riservatezza.

Z
Massimo Zampetti
Data protection officer

Articolo 1 di 5