L’identità e la sua dimostrazione è estremamente importante: la capacità di dimostrare chi siamo può essere una parte importante della nostra capacità di esercitare i nostri diritti fondamentali. Ciò è particolarmente chiaro quando si esaminano casi di soggetti vulnerabili, che spesso non dispongono di strumenti per dimostrare chi sono, lasciandoli aperti a discriminazioni e abusi.
Non a caso, tra gli Obiettivi di sviluppo sostenibile (OSS) c’è l’obiettivo 16.9, sull’identità che prevede: di “fornire entro il 2030 l’identità legale per tutti, compresa la registrazione delle nascite”.
Tuttavia, fornire una identità legale attraverso la progettazione e l’introduzione di sistemi di identificazione può costituire una minaccia per i diritti umani, in particolare il diritto alla privacy. Tali sistemi infatti, possono diventare strumenti di sorveglianza da parte dello stato e del settore privato; possono escludere, piuttosto che includere.
Vi sono quindi dei rischi nell’attuazione di un sistema di identificazione, quelli legati al fatto che non solo non riesca a rispettare la promessa dell’SDG 16.9, ma crei anche un sistema di sorveglianza ed esclusione. Ma a tutela dei diritti c’è sempre il Gdpr.
Identità legale, le sfide
A parere di chi scrive, per un professionista della privacy, la sfida nell’interpretazione dell’SDG 16.9 è che non esiste una definizione chiara sul significato di “identità legale”. Ciò crea un “divario”, un livello di ambiguità circa l’intenzione dell’obiettivo, diventa difficile capire cosa significhi che l’obiettivo venga raggiunto con successo. Tuttavia, ciascuno degli obiettivi per gli OSS ha un indicatore: una misura più concreta del successo degli obiettivi. L’attuale indicatore dell’SDG 16.9 riguarda esclusivamente la registrazione delle nascite: “la percentuale di bambini di età inferiore a 5 anni le cui nascite sono state registrate presso un’autorità civile”.
Avere un forte sistema di registrazione delle nascite non è la misura per garantire che le persone abbiano un modo forte di dimostrare chi sono, per esempio, la registrazione delle nascite potrebbe non essere sufficiente per gli attuali milioni di adulti la cui nascita non è stata registrata quando erano giovani. Tuttavia, il problema lasciato ambiguo dall’attuale formulazione dell’SDG 16.9 è questo: per un individuo, avere una registrazione delle nascite è sufficiente – o necessario e sufficiente – per avere una “identità legale”?
La Banca Mondiale sostiene che l’SDG16.9 è “la chiave per il raggiungimento di molti altri obiettivi SDG”. Identifica tre impatti generali di un sistema di identità nel contesto dello sviluppo: inclusione e accesso ai servizi; avere accesso alla giustizia, amministrazione efficace dei servizi pubblici per misurare il “progresso dello sviluppo”.
Non un singolo sistema di identità
Quindi, cosa si aspettano gli Stakeholders dall’SDG 16.9? Lo scopo di ciò che cercano di ottenere va ben oltre quello presentato nello stesso SDG: “identità legale per tutti, inclusa la registrazione delle nascite”, mira in realtà a forme più complesse di identità digitali e sistemi di identificazione univoci per l’intera popolazione mondiale.
L’’affermazione di un singolo sistema di identità per raggiungere questi obiettivi, racchiude molti rischi.
La sfida di questa spinta verso l’identità è che, mentre un individuo che ha accesso alla capacità di dimostrare la propria identità può trarre un grande beneficio, non ne consegue che un particolare sistema di identificazione sia vantaggioso per i diritti umani o per lo sviluppo di una popolazione.
La consapevolezza dei rischi dei sistemi di identificazione è cresciuta.
Un sistema di identificazione può diventare un meccanismo utilizzato per la sorveglianza e il controllo da parte del governo, spesso con garanzie limitate.
I timori legati alla portata crescente dell’ID, anche se legati a tecnologie biometriche come il riconoscimento facciale, possono offrire ai governi il potenziale per un controllo e un monitoraggio senza precedenti sulle popolazioni. Vediamo crescere e cambiare l’ambito dei sistemi identificativi, poiché i sistemi originariamente utilizzati per uno scopo iniziano a essere utilizzati per altri.
L’utilizzo di un singolo numero ID in un set di dati è un potente strumento per collegare tra loro diverse fonti di dati: quella che viene definita la visione a 360 gradi delle persone. In altre parole, conoscere sempre di più le persone, potenzialmente a loro insaputa, sulla natura o su come i set di dati sono utilizzati, può rivelare l’interazione delle stesse su queste diverse fonti di dati.
Queste preoccupazioni non sono state ignorate nel programma delle Nazioni Unite. L’obiettivo dichiarato dei principi si basa sulla creazione di un sistema di identificazione che soddisfi le esigenze di un’ampia gamma di parti interessate, compresi il governo e il settore privato. Ciò crea alcuni problemi intrinseci.
I rischi dell’esclusione da un sistema identificativo
Uno di questi problemi è quello dell’esclusione. In gran parte della dottrina giuridica esiste un’idea intrinseca che l’identificazione è richiesta per il godimento dei diritti e dei servizi governativi, ad esempio l’assistenza sanitaria e l’istruzione.
La difficoltà qui è che accade sempre che l’esclusione dal sistema sia, in pratica, un’inevitabilità. Tutti i sistemi possono escludere: che si tratti del contadino le cui impronte digitali si sono logorate, della persona nelle terre di confine la cui residenza è messa in discussione o del figlio di migranti che non ha documenti a loro nome.
Inoltre, poiché un ID diventa necessario per un numero sempre maggiore di servizi e azioni, l’esclusione da un sistema identificativo implica che ad un individuo possa essere negata una vasta gamma di servizi governativi e del settore privato – e persino la stessa cittadinanza.
Costruendo un sistema di identificazione, le barriere sono rinforzate: formalmente o attraverso forme più sottili la presenza di ID significa che l’ID è un prerequisito per sempre più cose. Ciò significa che coloro che non sono in grado di ottenere un ID vengono ulteriormente esclusi dal sistema.
Piuttosto che i rischi di esclusione e le altre preoccupazioni sulla privacy dei singoli sistemi di identificazione, è essenziale interrogare gli altri modi in cui questi problemi possono essere risolti.
Mentre la registrazione delle nascite è l’unica forma di identificazione specificatamente menzionata nell’SDG 16.9, le iniziative emerse dall’obiettivo sembrano averlo considerata a malapena. Sono emerse altre tecnologie: carte d’identità nazionali biometriche e tecnologie più esotiche e non testate come la blockchain.
Conclusioni
L’ “identità” è una parte importante di tutte le nostre vite e avere la capacità di dimostrare chi siamo diventa di basilare importanza. Avere il controllo sulla nostra identità può aiutare non solo a raggiungere le necessità della vita, ma il rispetto di valori fondamentali quali dignità e autonomia.
I sistemi di identificazione possono condurre a sorveglianza, tracciabilità e profilazione da parte di stati e società private, giungendo al paradosso di escludere piuttosto che includere; possono limitare le opportunità e diventare uno strumento di controllo e repressione. Senza un’adeguata considerazione, l’SDG 16.9 potrebbe avere risvolti anche dannosi per i diritti umani e, in definitiva, danneggiare le stesse persone che avrebbe dovuto aiutare.
Tutti questi aspetti incrementano le possibilità di ledere in modo anche significativo i diritti umani, limitando la libertà delle persone, danneggiandone la dignità e sottoponendole a pericolose situazioni discriminatorie.
Se si riflette poi sui processi di innovazione e digitalizzazione in corso, per esempio nel mondo della sanità, dove visite ed operazioni chirurgiche si eseguono attraverso una connessione wi-fi, per comprendere che è a rischio persino la vita delle persone in assenza di adeguati strumenti di presidio dell’identità digitale.
Ecco perché il GDPR è uno strumento che è considerato un presidio fondamentale nel perseguimento dei diritti umani, all’interno dei quali il bene tutelato cambia prospettiva: il diritto alla privacy passa da mera protezione del dato personale, al più ampio concetto di tutela e protezione dell’identità digitale.
Questo concetto non può essere sottovalutato, le sanzioni applicabili, le attività rivolte alla protezione del diritto alla privacy sono strumenti che svolgono una funzione di tutela del business, ma devono andare oltre.
L’adozione di misure tecniche ed organizzative così pretese dal Regolamento, deve essere affidata a meccanismi molto solidi di valutazione d’impatto sui diritti e le libertà delle persone e dei rischi per gli interessati.
Questo processo richiede competenza tecnica e legale. La compliance al GDPR diventa un presidio sui diritti delle persone e un generatore di valore immateriale per l’azienda che aspira al dovuto rispetto dei diritti delle persone, indistintamente dal ruolo che ricoprano nella società. Il concetto del valore si allarga a metriche di natura non soltanto economica, ma di valutazione del ricavo sugli investimenti anche in ambito di tutela dei dati personali.