L’impiego di sistemi biometrici non e’ lecito se non e’ proporzionato agli scopi che si vogliono raggiungere, in particolare nei casi in cui si propone di creare archivi centralizzati. E’ quanto in sintesi hanno concordato i Garanti europei che hanno approvato un documento di lavoro.
Tali informazioni sono particolarmente delicate e il loro uso, se da un alto puo’ contribuire a salvaguardare la privacy riducendo il ricorso ad altri dati personali quali nome, indirizzo o domicilio, dall’altro puo’ comportare rischi legati all’utilizzazione indebita o indiscriminata di informazioni desunte da “tracce” fisiche (come le impronte digitali) che una persona puo’ lasciare anche senza rendersene conto.
I Garanti si sono riservati di tornare sul tema in futuro proprio per fare in modo che le imprese ed i soggetti interessati all’impiego di sistemi biometrici sviluppino dispositivi sempre piu’ “a misura di privacy”; lo stesso Gruppo di Garanti ha richiamato l’attenzione anche sull’opportunita’ di redigere appositi codici deontologici che fissino i criteri da seguire nello sviluppo e nell’utilizzo di sistemi biometrici.
Nel documento i Garanti partono dalla considerazione della diffusione crescente dei sistemi biometrici e dai seri rischi connessi alla possibile “assuefazione” dell’opinione pubblica rispetto all’impiego di tali sistemi. Dopo una rapida analisi delle tipologie di sistemi attualmente in uso – basati su informazioni “fisiologiche” (impronte digitali, iride, contorno della mano, DNA) oppure su informazioni di tipo “comportamentale” (andatura, analisi della tipologia di digitazione su tastiera) – le Autorita’ per la privacy chiariscono che le considerazioni svolte riguardano soltanto i dispositivi biometrici utilizzati per finalita’ di autenticazione e verifica, e non gia’ quelli utilizzati per scopi di identificazione. E’ una distinzione importante, anche se, di fatto, la maggioranza dei sistemi biometrici sono utilizzati spesso per entrambi gli scopi.

Ormai stanno crescendo sempre piu’ di importanza le tecnologie biometriche di sicurezza tanto da essere prese recentemente in considerazione da diversi paesi dell’Unione europea. Appare, quindi, fondata la preoccupazione dei Garanti europei sull’uso indiscriminato di tali tecnologie.
Le tecnologie biometriche, consentono, mediante l’uso di specifici software e apparecchiature informatiche, il riconoscimento di un individuo attraverso dati fisici ricavati dall’analisi delle impronte digitali, della morfologia facciale e dal riconoscimento palmare.

Il crescente bisogno di sicurezza, alla luce anche dei fatti dell’11 settembre 2001, ha portato a una maggiore enfasi nello studio di soluzioni tecnologiche sempre piu’ avanzate, volte a garantire una maggiore sicurezza sociale. In tema di accessi informatici i sistemi biometrici rappresentano la ricerca piu’ avanzata in tema di sicurezza. Alcune caratteristiche fisiche dell’utente autorizzato all’accesso, vengono memorizzate dal computer e confrontate con quelle della persona che accede.
Attualmente, per garantire la riservatezza delle transazioni si usano le parole chiavi e i numeri PIN, i quali consentono l’identificazione del soggetto, ma non la sua autenticazione. In questo modo, una volta che i dati sono stati smarriti o rubati possono essere utilizzati da chiunque, per ovviare a questo problema le tecnologie biometriche stanno sviluppando delle soluzioni che saranno integrate nei personal computer e consentiranno l’autenticazione esatta dell’attore. Queste tecnologie sofisticate, riconosciute anche dal legislatore italiano, utilizzano delle chiavi c.d. biometriche intese come la sequenza di codici informatici utilizzati nell’ambito di meccanismi di sicurezza che impiegano metodi di verifica dell’identita’ personale basati su specifiche caratteristiche fisiche dell’utente.
Le caratteristiche fisiche prese in esame sono il riconoscimento dell’iride, della voce, della topografia del viso e delle impronte digitali.
Naturalmente riguardo al mondo della Societa’ dell’Informazione, l’uso di queste tecnologie permettera’, in un futuro prossimo, di diffondere fiducia e sicurezza nelle transazioni elettroniche, che, a tutt’oggi, non hanno ancora raggiunto uno sviluppo di massa. Pagamenti on line, voto elettronico, servizi di e-government, commercio elettronico, sono tutte attivita’ che riceveranno, grazie alle tecnologie biometriche, un beneficio considerevole.
Ma esiste l’altra faccia della medaglia, difatti il timore che si tratti di tecnologie troppo invasive dell’orbita-privacy ha spinto associazioni ed organi competenti a stilare rapporti, tesi a cercare soluzioni eque che garantiscano il progredire di queste tecnologie prevedendo, nello stesso tempo, un effettivo rispetto della sfera personale degli individui.

In alcuni paesi come gli Stati Uniti il problema non e’ molto sentito, difatti nonostante sporadiche audizioni dinanzi al Congresso degli USA, il legislatore federale e nazionale segue il fenomeno con scarsa attenzione; le forze dell’ordine possono agire in quello che e’, un sostanziale vuoto legislativo: la creazione di banche dati del DNA, o l’installazione di sistemi di videosorveglianza, puo’ avvenire senza l’informazione o la consultazione del pubblico e senza alcun dibattito nelle sedi appropriate.

La normativa che regolamenta la raccolta, l’utilizzazione e il trasferimento da parte delle imprese di dati biometrici relativi a dipendenti o clienti e’ assai scarsa; per contro, le imprese operanti nel settore conducono politiche aggressive, ed una lobby apposita e’ stata creata a Washington dalla International Biometrics Industry Association per esercitare pressione nelle sedi politiche federali e statali.
Diversa e’ la situazione in altri paesi come l’Italia dove il Garante e’ intervenuto piu’ volte in materia, specialmente sull’uso di tali tecnologie da parte degli istituti bancari. In particolare, in considerazione della particolare natura delle informazioni biometriche e dell’assenza di norme specifiche, l’Autorita’ ha valutato entro quali limiti possa considerarsi lecita, nell’ambito della realta’ bancaria, l’installazione di sistemi di acquisizione criptata delle impronte digitali e quali debbano essere le imprescindibili garanzie da assicurare per il rispetto dei diritti fondamentali delle persone.
Questa preoccupazione del nostro Garante e’ stata ampiamente condivisa dagli altri Garanti europei i quali hanno elaborato una serie di indicazioni che intendono fornire un quadro di riferimento omogeneo a livello europeo sia per l’industria dei sistemi biometrici sia per gli utenti di tali sistemi:

1. In primo luogo, i Garanti ribadiscono che il trattamento di dati biometrici e’ un trattamento di dati personali. Il dato biometrico resta assolutamente personale anche in forma di “template”, ossia di modello matematico – essendo possibile considerarlo come un’informazione relativa ad una persona fisica “identificata o identificabile” anche attraverso “uno o piu’ elementi specifici caratteristici della sua identita’ fisica”. Dunque si applicano integralmente i principi della Direttiva in materia di protezione dei dati personali, fin dalla fase di “arruolamento” sopra descritta.

2. E’ necessario identificare con chiarezza le finalita’ del ricorso a sistemi biometrici e valutare se tale ricorso sia realmente proporzionato rispetto alle finalita’ stesse, ossia se lo scopo che ci si prefigge puo’ essere raggiunto egualmente attraverso modalita’ meno invasive. E’ questo uno dei principi-cardine della Direttiva n. 95/46/CE, dal quale discende anche la preferenza accordata dai Garanti al trattamento di dati che possano essere memorizzati su un dispositivo periferico (smart card, tessera magnetica), anziche’  in un archivio centralizzato: cosi’ facendo, si riducono i rischi per i diritti e le liberta’ fondamentali degli interessati (possibili incroci di dati, interconnessioni, accessi non autorizzati). 

3. Il rispetto del principio di finalita’ comporta inoltre il divieto di utilizzare i dati biometrici per finalita’ incompatibili con quelle per cui essi sono stati raccolti – dunque, se il dato biometrico viene raccolto per verificare l’accesso dei dipendenti a determinate aree o settori, non puo’ essere utilizzato per monitorarne l’attivita’ lavorativa.

4. Se si decide di ricorrere a sistemi centralizzati, ad esempio per installazioni di massima sicurezza, i Garanti ritengono che i rischi possibili per i diritti e le liberta’ fondamentali degli interessati impongano un controllo preliminare ai sensi dell’art. 20 della Direttiva 95/46/CE da parte delle singole autorita’ nazionali.

5. Restano fermi anche tutti i requisiti legati all’informazione degli interessati – ovviamente con il divieto di utilizzare dati biometrici raccolti all’insaputa di questi ultimi (e in questo senso, i rischi legati a sistemi basati sulla raccolta di impronte digitali o sul riconoscimento vocale sembrano piu’ consistenti).

Anche la legittimita’ del trattamento deve basarsi sui principi stabiliti nella Direttiva europea n. 95/46/CE in materia di protezione dei dati personali (Art. 7), fra i quali il consenso del singolo interessato – che deve essere veramente “specifico” e “libero”.

Scritto da