|
TECNICHE BIOMETRICHE E PRIVACY
VANTAGGI E RISChi
Individuate le Linee Guida per
un corretto utilizzo
 Riccardo
Imperiali
Studio Legale Imperiali
riccardo.imperiali@imperiali.com
La biometria è una tecnica che consente a un
sistema informatico l'identificazione di una persona fisica
attraverso l'analisi di una sua caratteristica: ad esempio
la geometria del volto, le impronte digitali, l'iride, la
voce. Il confronto delle informazioni rilevate con quelle
memorizzate, permette di individuare con certezza la persona
cui quei dati si riferiscono.
L'ambito di diffusione
La diffusione dei sistemi di identificazione biometrica è aumentata
progressivamente nel corso degli ultimi anni. Si stima, infatti,
che l'impiego della biometria per funzioni di controllo e
di sicurezza sia, allo stato, il più efficace sistema
di riconoscimento di un individuo. Esso è testimoniato
a livello internazionale da alcune iniziative, quali il nuovo
passaporto europeo, il permesso di soggiorno elettronico
e la carta d'identità elettronica (quest'ultima attiva
anche nel nostro Paese). Le applicazioni di tali tecnologie
sono molteplici e si va registrando un loro utilizzo, oltre
che per l'attività investigativa e di controllo, anche
nei settori privati e pubblici. Gli strumenti biometrici
sono, infatti, in grado di verificare sia le caratteristiche
fisiche sia quelle comportamentali che distinguono ciascun
soggetto da un altro. Tra le applicazioni più "comuni" già in
circolazione vi sono: le cosiddette bussole antirapina per
accesso a istituti finanziari, predisposte per la memorizzazione
e il confronto successivo delle impronte digitali; o la tastiera
del personal computer che riconosce le impronte digitali
dell'utente e inibisce l'utilizzo del PC a un estraneo, evitando
di ricorrere all'uso di password. Per il settore pubblico,
l'applicazione di tali tecnologie è strettamente collegata
al processo di informatizzazione della P.A. per l'attuazione
dell'e-governament, giacché offrono una soluzione
che garantisce l'accesso ai dati e ai servizi online, attraverso
una procedura di autenticazione dell'utente affidabile e
sicura.
I pro e i contro
I vantaggi sono facilmente intuibili, principalmente in termini
di sicurezza, posto che si tratta del sistema probabilmente
più sicuro fino a oggi pensato. Ciononostante, non
sono pochi i possibili svantaggi. Innanzitutto, manca una
legge o una procedura internazionale che indichi dei parametri
di sicurezza per l'utilizzo e la raccolta dei dati, per cui
può esservi il legittimo dubbio, da parte dell'interessato,
che - per esempio - i sistemi di rilevazione dell'iride provochino
danni alla vista. Ma soprattutto sono notevoli i rischi per
la privacy del cittadino, basti pensare alle modalità con
cui spesso è effettuata la rilevazione biometrica
o ai pericoli di abuso di tali informazioni. La biometria,
infatti, può favorire la creazione di profili individuali,
anche all'insaputa dell'interessato, che possono essere strumentalizzati
per finalità illecite. I pericoli sono i più disparati.
Si passa da un utilizzo dei dati per finalità di marketing
fino alla consumazione di reati quali ad esempio quelli connessi
al furto d'identità.
Il controllo dei lavoratori
Attualmente, le tecniche biometriche sono utilizzate anche
per banali sistemi di controllo degli accessi, in sostituzione
dei tradizionali tornelli con badge identificativi. Tale
utilizzo è visto con sempre maggior favore da parte
dei datori di lavoro, che in tal modo possono evitare la
prassi di scambio dei badge tra dipendenti, e con minor entusiasmo
da parte di questi ultimi, che si sentono più controllati
vedendo ridotta una precedente "autonomia". Il
controllo, inoltre, può essere meno diretto ma più pervasivo
aumentando il rischio di intrusione nella sfera di riservatezza
dell'interessato. Il riferimento è, ad esempio, a
sistemi di controllo scaturenti da strumenti quali quello
citato innanzi della tastiera per PC che riconosce l'utente.
Lo strumento, invero, può consentire anche al datore
di lavoro di verificare e monitorare i tempi e la velocità di
utilizzo del PC e, quindi, far dipendere da questi rilevamenti
il profilo di efficienza del lavoratore.
La posizione del Garante
Sul punto, il Garante per la protezione dei dati personali
si è pronunciato, fissando alcuni principi per l'applicazione
delle tecniche biometriche (informazioni al riguardo sono
reperibili sul sito www.garanteprivacy.it). In particolare,
l'Autorità ha affermato che l'utilizzo "generalizzato
e indiscriminato" dei sistemi di rilevazione biometrica
non è consentito, in quanto viola il principio di
proporzionalità tra gli strumenti impiegati e le finalità prospettate,
sancito dalla legge. In applicazione di tale criterio, quindi,
gli obiettivi prefissati devono essere perseguiti attraverso
strumenti che comportino minori problemi per la tutela dei
diritti e della dignità delle persone interessate.
Diversamente, in mancanza di specifici elementi che ne giustifichino
l'utilizzo, le tecniche biometriche si tradurrebbero in un
sacrificio sproporzionato della sfera di libertà dei
soggetti coinvolti. Viceversa, in presenza di un concreto
e obiettivo rischio per la sicurezza, l'installazione dei
suddetti mezzi di rilevazione può essere considerata
legittima, sempre nel rispetto di precise regole.
Le regole privacy da osservare
In primo luogo, non è ammessa alcuna "schedatura" delle
persone soggette alla rilevazione, le cui informazioni così raccolte
non possono confluire all'interno di una banca dati. Occorre,
inoltre, informare adeguatamente gli interessati. L'accesso
ai dati deve essere consentito solo all'autorità giudiziaria
o di polizia, nell'ambito di indagini connesse alla commissione
di reati. I dati cifrati possono essere conservati solo per
un breve periodo e il personale addetto alla manutenzione
delle apparecchiature di rilevazione non può accedere "in
chiaro" alle informazioni cifrate. In caso di installazione
di tali sistemi, infine, deve essere previsto un meccanismo
che, in caso di indisponibilità dell'interessato,
permetta a questi di accedere in modo alternativo ai servizi
offerti.
Le Linee Guida del CNIPA
In tale scenario si collocano le linee guida sull'utilizzo
delle tecnologie biometrie elaborate dal Centro Nazionale
per l'Informatica nella P.A., diffuse alla fine del 2004.
Tale documento è il frutto del lavoro di un Gruppo
di lavoro, al cui interno sono rappresentate Pubbliche Amministrazioni,
esponenti del mondo universitario e della ricerca, associazioni
di fornitori. Il Gruppo di Lavoro ha analizzato le diverse
tecniche biometriche esistenti, gli scenari applicativi di
tale tecnologia con particolare riguardo al settore pubblico
e il quadro giuridico di riferimento.
Il D.Lgs. 196/2003 come disciplina da seguire
Sul piano normativo, la conclusione cui giungono i ricercatori è l'assenza
di una puntuale definizione dell'elemento biometrico nella
legislazione vigente. In mancanza, il richiamo è a
quanto stabilito dal Gruppo dei Garanti Europei (Working
Party art.29) laddove si afferma che «i dati biometrici
sono considerati informazioni concernenti una persona fisica,
in quanto sono dati che, per loro stessa natura, forniscono
indicazioni su di una determinata persona». Essi sono,
quindi, dati personali, la cui raccolta, conservazione e
utilizzo deve avvenire nel rispetto di quanto stabilito nel
D.Lgs.196/2003. Il documento del CNIPA richiama alcuni principi.
In particolare: liceità e trasparenza nel trattamento;
finalità e non eccedenza nella raccolta dei dati;
specificità dei fini perseguiti; notificazione obbligatoria
al Garante privacy; informazione agli interessati; consenso
esplicito per registrare i dati sensibili; sicurezza dei
dati memorizzati e obbligo di redigere il DPS. A ben vedere,
il futuro della biometria si basa su di una profonda considerazione
dell'utente, delle sue preoccupazioni ed esigenze. L'accettazione,
anche sociale, del processo biometrico è strettamente
collegata al successo dell'implementazione di tale tecnologia
e alla regolamentazione che si attende.
L'articolo "Privacy e 231 nuovi modi di fare impresa" (Costozero
n° 2 - marzo 2005, p. 38 a firma di Rosario Imperiali) riferiva di
un nuovo adempimento introdotto dalla Finanziaria 2005 a carico delle imprese
beneficiarie di finanziamenti pubblici per l'avviamento al lavoro, aggiornamento
e formazione professionale dei lavoratori. La norma (art.1, co. 82, l.
311/2004, in vigore dal 1° gennaio 2005) obbligava le aziende a dotarsi,
entro il 31 ottobre, di specifiche misure organizzative anticrimine contro
il rischio di illecita destinazione dei fondi pubblici. In seguito alla
recente abrogazione della norma citata - a opera del decreto legge 14 marzo
2005 n. 35 in fase di conversione parlamentare - le aziende beneficiarie
non dovrebbero essere più tenute a tale adempimento. L'autore dell'articolo
ritiene doveroso aggiornare i lettori sul punto precisando che, a ogni
modo, l'intervento abrogativo non recide la continuità tra gli obblighi
previsti dalla disciplina "Privacy" e la responsabilità delle
imprese per la prevenzione di fatti criminosi, come evidenziata nell'articolo. |
