Garante per la protezione
    dei dati personali

Newsletter

IMPRONTE DIGITALI ED IRIDE. LE INDICAZIONI DEI GARANTI EUROPEI

Rischi, limiti e garanzie per un uso proporzionato dei dati biometrici, anche al fine di non costituire grandi banche dati

L'impiego di sistemi biometrici non è lecito se non è proporzionato agli scopi che si vogliono raggiungere, in particolare nei casi in cui si propone di creare archivi centralizzati. Tali informazioni sono particolarmente delicate e il loro uso, se da un lato può contribuire a salvaguardare la privacy riducendo il ricorso ad altri dati personali quali nome, indirizzo o domicilio, dall'altro può comportare rischi legati all'utilizzazione indebita o indiscriminata di informazioni desunte da "tracce" fisiche (come le impronte digitali) che una persona può lasciare anche senza rendersene conto.

Queste, in sintesi, le indicazioni emerse da un documento di lavoro che i Garanti europei riuniti a Bruxelles nel Gruppo presieduto da Stefano Rodotà hanno approvato lo scorso 1 agosto (disponibile in lingua inglese all'indirizzo
http://www.europa.eu.int/comm/internal_market/privacy/docs/wpdocs/2003/wp80_en.pdf ).
I Garanti si sono riservati di tornare sul tema in futuro proprio per fare in modo che le imprese ed i soggetti interessati all'impiego di sistemi biometrici sviluppino dispositivi sempre più "a misura di privacy"; il Gruppo richiama l'attenzione anche sull'opportunità di redigere appositi codici deontologici che fissino i criteri da seguire nello sviluppo e nell'utilizzo di sistemi biometrici.

Nel documento i Garanti partono dalla considerazione della diffusione crescente dei sistemi biometrici e dai seri rischi connessi alla possibile "assuefazione" dell'opinione pubblica rispetto all'impiego di tali sistemi. Dopo una rapida analisi delle tipologie di sistemi attualmente in uso - basati su informazioni "fisiologiche" (impronte digitali, iride, contorno della mano, DNA) oppure su informazioni di tipo "comportamentale" (andatura, analisi della tipologia di digitazione su tastiera) — le Autorità per la privacy chiariscono che le considerazioni svolte riguardano soltanto i dispositivi biometrici utilizzati per finalità di autenticazione e verifica, e non già quelli utilizzati per scopi di identificazione. E' una distinzione importante, anche se, di fatto, la maggioranza dei sistemi biometrici sono utilizzati spesso per entrambi gli scopi.

I Garanti hanno sottolineato come la fase dell'acquisizione del dato biometrico assuma un valore fondamentale. Infatti, nella fase detta di "arruolamento" (enrolment) il dato "grezzo" di partenza (impronta, iride, DNA), l'algoritmo utilizzato per estrarne un modello matematico da memorizzare (template) e quello utilizzato per la cifratura di tale modello, sono tutti compresenti. Sarà, dunque, particolarmente necessario garantire la massima sicurezza in questa fase, anche alla luce dei requisiti fissati dalla Direttiva europea in materia di protezione dei dati personali (Art. 15 — Misure di sicurezza). Inoltre, per autenticare o verificare l'identità di una persona, non è necessario disporre di un archivio centralizzato contenente tutti i dati biometrici raccolti — cosa che è invece necessaria ai fini dell'identificazione, dovendosi confrontare il dato relativo al singolo soggetto con quelli di tutti i soggetti le cui informazioni sono conservate, appunto, nell'archivio. Ne consegue, a giudizio dei Garanti, che per le procedure di autenticazione e/o verifica attraverso sistemi biometrici è preferibile utilizzare, in linea di principio, dispositivi decentralizzati - ad esempio, smart cards, nei cui chip siano contenuti i dati biometrici del soggetto da autenticare.

Un altro elemento di specificità connesso ai dati biometrici riguarda la possibilità di raccoglierli più che mai all'insaputa del singolo interessato — soprattutto nel caso delle impronte digitali o del DNA. Ciò comporta, in particolare, il rischio di un'utilizzazione indiscriminata proprio per il coefficiente di "ridotta invasività" che caratterizza la raccolta di alcune categorie di dati biometrici.

Alla luce di queste considerazioni, i Garanti hanno elaborato una serie di indicazioni che intendono fornire un quadro di riferimento omogeneo a livello europeo sia per l’industria dei sistemi biometrici sia per gli utenti di tali sistemi.

a) In primo luogo, i Garanti ribadiscono che il trattamento di dati biometrici è un trattamento di dati personali. Il dato biometrico resta assolutamente personale anche in forma di "template", ossia di modello matematico — essendo possibile considerarlo come un'informazione relativa ad una persona fisica "identificata o identificabile" anche attraverso "uno o più elementi specifici caratteristici della sua identità fisica". Dunque si applicano integralmente i principi della Direttiva in materia di protezione dei dati personali, fin dalla fase di "arruolamento" sopra descritta.

b) E' necessario identificare con chiarezza le finalità del ricorso a sistemi biometrici e valutare se tale ricorso sia realmente proporzionato rispetto alle finalità stesse, ossia se lo scopo che ci si prefigge può essere raggiunto egualmente attraverso modalità meno invasive. E' questo uno dei principi-cardine della direttiva, dal quale discende anche la preferenza accordata dai Garanti al trattamento di dati che possano essere memorizzati su un dispositivo periferico (smart card, tessera magnetica), anziché in un archivio centralizzato: così facendo, si riducono i rischi per i diritti e le libertà fondamentali degli interessati (possibili incroci di dati, interconnessioni, accessi non autorizzati).

c) Il rispetto del principio di finalità comporta inoltre il divieto di utilizzare i dati biometrici per finalità incompatibili con quelle per cui essi sono stati raccolti — dunque, se il dato biometrico viene raccolto per verificare l'accesso dei dipendenti a determinate aree o settori, non può essere utilizzato per monitorarne l'attività lavorativa.

d) Se si decide di ricorrere a sistemi centralizzati, ad esempio per installazioni di massima sicurezza, i Garanti ritengono che i rischi possibili per i diritti e le libertà fondamentali degli interessati impongano un controllo preliminare ai sensi dell'art. 20 della Direttiva da parte delle singole autorità nazionali.

e) Restano fermi anche tutti i requisiti legati all'informazione degli interessati — ovviamente con il divieto di utilizzare dati biometrici raccolti all'insaputa di questi ultimi (e in questo senso, i rischi legati a sistemi basati sulla raccolta di impronte digitali o sul riconoscimento vocale sembrano più consistenti). Anche la legittimità del trattamento deve basarsi sui principi stabiliti nella Direttiva (Art. 7), fra i quali il consenso del singolo interessato — che deve essere veramente "specifico" e "libero".