L’utilizzo dei dati biometrici dilaga, anche spinto dalle attività di contrasto al coronavirus: una situazione che può avere ripercussioni relativamente alla data protection.
Pur certo dell’importanza che il futuro riserverà alla gestione dei dati biometrici, anche il Garante Europeo non ha potuto sottacere le proprie preoccupazioni, soprattutto legate alla consapevolezza collettiva – considerata ancora insufficiente – in ordine alle caratteristiche delle tecnologie ed i loro potenziali utilizzi, sia corretti che distorti.
Lo stato della biometria e privacy secondo il Garante Europeo
Durante il congresso annuale organizzato dal Biometric Institute, lo scorso 7 ottobre 2020 il Garante europeo della protezione dei dati Wojciech Wiewiórowski ha svolto un interessante speech sul trattamento dei dati biometrici, il cui contenuto proveremo di seguito a riassumere. La riflessione del GEDP si è appuntata, in prima battuta, sull’aumento esponenziale dei dispositivi di elaborazione dei dati biometrici: diffusione massiccia di smartphone che adottano sistemi di autenticazione basati sul riconoscimento dei volti e delle impronte digitali; assistenti virtuali che elaborano i dati vocali per rispondere alle richieste degli utenti; sistemi di videosorveglianza “intelligenti”, in grado di identificare e classificare gli individui ripresi; wearable devices applicati tanto allo sport quanto alla medicina.
A queste già note modalità, a causa dell’emergenza sanitaria conseguente alla diffusione di Covid-19, sono stati sviluppati ulteriori sistemi che, grazie al riconoscimento facciale, sono in grado di monitorare le distanze sociali, il corretto utilizzo delle mascherine nonché l’identità dei soggetti potenzialmente positivi al virus, dei quali rilevano la temperatura e le informazioni identificative essenziali. Perfino le pubbliche amministrazioni si trovano ad elaborare dati biometrici con sempre maggior frequenza, non facendo eccezione nemmeno le istituzioni, gli uffici, gli enti e le agenzie UE. Basti pensare, a tal proposito, ai tre sistemi IT istituiti dall’Unione Europea in grado di trattare dati biometrici su larga scala:
- VIS, il sistema di informazione e visti;
- SIS II, il Sistema d’informazione Schengen;
- Eurodac, il database europeo delle impronte digitali per coloro che richiedono asilo politico e per le persone fermate mentre varcano irregolarmente una frontiera esterna dell’Unione Europea.
L’UE, inoltre, è in procinto di sviluppare altri due sistemi in grado di procedere al trattamento su larga scala di dati biometrici:
- EES, il sistema elettronico che registrerà e conserverà la data, l’ora e il luogo d’ingresso e di uscita dei cittadini di paesi extra UE che attraversano le frontiere, che calcolerà automaticamente la durata del soggiorno autorizzato di tali cittadini e genererà segnalazioni allo scadere del soggiorno autorizzato;
- ECRIS-TCN, il sistema informativo del casellario giudiziale europeo, istituito nel 2012, per consentire lo scambio di informazioni tra gli Uffici dei casellari di ciascuno degli Stati europei.
Casi di usi impropri della biometria ai danni della privacy
D’altra parte, che alcune tecnologie si prestino ad un uso improprio è storia ormai nota. Di recente, per esempio, è emerso come la tecnologia statunitense Clearview AI abbia raccolto circa 3 miliardi di immagini dai social media (inclusi Facebook, Twitter e Youtube) mettendole a disposizione, tra gli altri, anche di alcune forze dell’ordine europee. Una piattaforma polacca pare aver svolto – e svolgere tuttora – un’attività del tutto simile, non solo per le autorità di contrasto ma per chiunque ne faccia richiesta: in sostanza ogni utente ha la possibilità, disponendo dell’immagine di un individuo e caricandola sul loro portale, di rintracciarne ogni fotografia presente sul web. Nulla di nuovo, dal punto di vista concettuale: l’evoluzione della tecnologia accompagna promesse di sviluppo a pericoli, per i dati personali, che non possono essere sottovalutati e che impongono, ai progettisti, l’implementazione di sistemi di protezione adeguati.
In difetto, è facile prevedere nel futuro più prossimo il verificarsi di violazioni di rilevante gravità. Anche per questo motivo le buone notizie vengono dallo sviluppo di standard internazionali – come ISO/IEC 24745 e dai progressi registrati nello sviluppo dei meccanismi di protezione del modello biometrico (BTP). Alcuni progetti europei – come Turbine, Fidelity e Swan – hanno contribuito significativamente allo sviluppo di alcuni di questi BTP, ma il cammino da percorrere per il raggiungimento di uno standard di sicurezza accettabile è sicuramente ancora lungo. Nel 2019, alcuni ricercatori hanno scoperto l’esistenza di un database contenente 28 milioni di record non protetti e per lo più non crittografati. Il database apparteneva a Biostar 2, un sistema sviluppato dalla società di sicurezza Suprema. Tra gli altri, il database conteneva anche impronte digitali, dati di riconoscimento facciale, foto degli utenti, volti, nomi utente e password non crittografati.
I controlli
La natura sensibile dei dati biometrici – riconosciuta tale sia dall’Ordinamento UE che dalla Convenzione modernizzata 108+ del Consiglio d’Europa – li rende meritevoli di una protezione speciale, sicché il loro trattamento è di regola vietato, salvo poche e sporadiche eccezioni. Proprio perché il contesto fin qui descritto impone l’adozione di particolari cautele, il Garante Europeo ha espresso la propria intenzione di svolgere severi controlli sui sistemi IT che consentono il trattamento su larga scala di dati biometrici, oltre a fornire consulenza sulla liceità di tali trattamenti alle istituzioni che ne facessero richiesta.
A titolo esemplificativo, se, da un lato, l’Autority non ha avuto perplessità nell’ammettere l’uso di dati biometrici per il perseguimento di alcune finalità di pubblica sicurezza, d’altro lato ne ha escluso il trattamento per il controllo del personale, dei suoi orari di lavoro e dei permessi. In quest’ultimo caso, difatti, le ragioni di controllo invocate dai datori di lavoro potrebbero essere utilmente perseguite anche attraverso procedure diverse e meno invasive (fogli di presenza, badge magnetici ecc.), senza alcuna necessità che vengano raccolti anche dati biometrici. Il discrimine tra l’uso consentito e quello vietato di questa tipologia di informazioni è sempre da ricercarsi, in primo luogo, nei principi di necessità e proporzionalità, sicché anche un sistema perfettamente sviluppato potrebbe essere considerato illegittimo, qualora consentisse l’elaborazione non necessaria di dati biometrici o la loro raccolta in misura superiore al necessario.
Accuratezza, sicurezza, necessità e proporzionalità sono requisiti da considerare separatamente, ma la liceità del trattamento dipende dalla verifica positiva condotta in relazione ad ognuno di essi. Nella sua relazione, il Garante Europeo ha richiamato un esempio di trattamento accurato e sufficientemente sicuro, ma potenzialmente sproporzionato ed eccessivo rispetto alle finalità della raccolta. Si tratta del caso che ha coinvolto diverse grandi catene di supermercati spagnole che hanno installato, in circa 40 punti vendita, alcuni sistemi di riconoscimento facciale. Le società in questione, in questo modo, miravano a confrontare le immagini raccolte con i volti di alcuni delinquenti, per impedirne l’accesso ai supermercati. Nel luglio 2020, tuttavia, l’Autorità Garante Spagnola ha avviato una verifica su quei sistemi proprio per verificare se la raccolta massiva dei dati biometrici di tutti i clienti fosse proporzionata rispetto all’esigenza di individuare i pochi malfattori le cui immagini erano disponibili ed utilizzabili per un confronto.
Limitazione e minimizzazione
Oggetto di eguale attenzione meritano, senz’altro, anche i principi di limitazione e minimizzazione del trattamento. I dati personali – a maggior ragione quelli biometrici – devono essere raccolti per scopi determinati, espliciti e legittimi e non possono essere oggetto di ulteriori trattamenti, incompatibili con tali finalità. La limitazione delle finalità assume particolare rilevanza in questo contesto poiché il raffronto non controllato tra dati biometrici potrebbe consentire di risalire ad altri dati personali. Si pensi, ad esempio, alle informazioni sanitarie potenzialmente desumibili dalle immagini dei volti raccolte per l’accesso ad alcuni sistemi di autenticazione; ai dati vocali raccolti dagli assistenti intelligenti, che potrebbero consentire di ricostruire le reazioni emotive degli utenti e così via.
È anche per questo motivo che l’elaborazione dei dati biometrici deve applicare pienamente il principio di minimizzazione: nello sviluppo di una tecnologia risulta, difatti, di essenziale importanza ridurne la capacità di raccolta allo stretto necessario. Attraverso il parere rilasciato sulla proposta di regolamento per l’implementazione dei sistemi di sicurezza delle carte di identità, il Garante Europeo ha fatto presente come la memorizzazione delle immagini delle impronte digitali, da un lato migliori l’interoperabilità, ma dall’altro aumenti esponenzialmente la quantità di dati biometrici raccolti e, di conseguenza, incrementi il rischio di furti d’identità. Il GEDP ha concluso il proprio parere suggerendo di limitare quanto più possibile la memorizzazione dei dati delle impronte digitali sul chip dei documenti d’identità. L’Unione Europea sta preparando nuovi testi normativi atti a regolamentare l’utilizzo dei dati, lo sviluppo dell’intelligenza artificiale e la diffusione dei servizi digitali sul territorio comunitario. Si tratta di interventi che, inevitabilmente, impatteranno anche sul trattamento di dati biometrici.
Conclusione
Non c’è dubbio, in definitiva, che come spesso accade, la tecnologia corra e la disciplina in materia di protezione dei dati personali insegua. Il lavoro, tuttavia, che le istituzioni preposte a vigilare su queste dinamiche, sia a livello nazionale che comunitario, stanno sviluppando in ogni direzione, rappresenta un elemento di rassicurazione in un quadro in cui, a ben vedere, è difficile comprendere se sia più ampio il margine di sviluppo positivo o il rischio di abuso e potenziale danno per i diritti e le libertà degli interessati.
