Biometria per la sicurezza, se il GDPR non basta più a proteggerci | Agenda Digitale

il report

Biometria per la sicurezza, se il GDPR non basta più a proteggerci

La normativa Ue non è sufficiente a proteggere a 360 gradi l’individuo dai rischi di abuso. L’accusa parte dall’AI Now Institute di New York che svela la “falla” nel sistema di tutele: anche una foto può diventare un’arma contro le popolazioni. Soprattutto le più vulnerabili. La soluzione adottata dal CICR

13 Nov 2020
Marco Martorana

avvocato, studio legale Martorana, Presidente Assodata, DPO Certificato UNI 11697:2017

Roberta Savella

Avvocato praticante presso Studio Legale Martorana


L’AI Now Institute di New York, un centro di ricerca dedicato allo studio dell’impatto sociale delle intelligenze artificiali, ha recentemente pubblicato un report, a cura di Amba Kak, intitolato Regulating Biometrics: Global Approaches and Urgent Questions, in cui alcuni esempi di regolamentazione del trattamento dei dati biometrici sono esaminati in chiave critica.

Lo scopo è quello di indagare sui risultati effettivi delle normative che sono state adottate in materia, per comprendere fino in fondo i limiti della legge e le possibilità di tutela degli individui.

Trattamento dati biometrici: la critica alle normative

In definitiva, Amba Kak solleva un dubbio piuttosto scomodo, specialmente per noi europei, che ormai ci stiamo adagiando sempre più sulla severità del nostro Regolamento a tutela dei dati personali, apparente scudo contro ogni abuso; ma siamo davvero sicuri che basti una legge che regola il trattamento dei dati biometrici per circoscrivere efficacemente i rischi che derivano dalle nuove tecnologie?

In un’intervista rilasciata a Karen Hao per il MIT Technology Review intitolata “Eight case studies on regulating biometric technology show us a path forward”, Kak ha chiarito che la normativa, di per sé, in alcuni casi potrebbe essere dannosa, legittimando comportamenti che, anche se formalmente leciti, di fatto ledono diritti e libertà degli individui. Il report si pone in un’ottica globale, spaziando dagli USA all’Australia, dall’India al Regno Unito; lungi da noi riassumere un’analisi così ampia in poche battute, in questo articolo ci concentreremo sui limiti della disciplina del GDPR in materia che vengono evidenziati nel report e su una soluzione virtuosa a questi problemi: la Biometrics Policy adottata dal Comitato Internazionale della Croce Rossa.

Sicurezza sì, ma a quale costo?

Se l’utilizzo delle tecnologie biometriche viene incoraggiato dalle istanze securitarie, che trovano in questo settore uno strumento efficace di controllo delle masse e sistemi di sicurezza apparentemente infallibili, negli ultimi tempi molte voci si sono alzate per mettere in luce i possibili rischi insiti nell’abuso di queste intelligenze artificiali.

Abbiamo già osservato in un precedente contributo come spesso gli algoritmi portino con sé rischi di discriminazione razziale; più in generale, l’utilizzo improprio dei dati biometrici non solo pone problemi di tutela della privacy dei soggetti (questa è l’ottica su cui si sono concentrati la maggior parte dei legislatori), ma crea delle situazioni potenzialmente lesive di diritti fondamentali degli individui come, ad esempio, il diritto a un giusto processo e la libertà di espressione e circolazione.

Basti pensare all’utilizzo di tecnologie di riconoscimento facciale per controllare i partecipanti a una protesta, come è avvenuto ad Hong Kong, Delhi, Detroit e Baltimora; o all’impossibilità di accedere a servizi fondamentali in India da parte di alcuni lavoratori manuali perché le loro impronte digitali non venivano riconosciute dai sistemi biometrici. Diventa necessario quindi chiedersi se effettivamente la società abbia bisogno di questo tipo di sistemi, se sia inevitabile questa crescita esponenziale del loro utilizzo, che si sta velocemente insinuando in moltissimi aspetti della nostra vita quotidiana, fino ad azioni banali come lo sblocco di uno smartphone o l’autorizzazione di un bonifico bancario. Il report dell’AI Now Institute intende mettere in discussione la percepita inevitabilità di queste tecnologie.

La soluzione europea GDPR e i suoi limiti

In Europa il GDPR (Regolamento 2016/679 sulla protezione dei dati personali) contiene alcune previsioni specifiche sui dati biometrici. Innanzitutto, l’articolo 4 ne dà una definizione: si tratta di “dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.

I dati biometrici vengono poi inseriti nella categoria di “dati particolari, sottoposta a un divieto generale di trattamento se non in alcune tassative eccezioni, elencate dall’articolo 9 del Regolamento. Giova qui ricordare che tutti i dati personali devono comunque essere trattati in conformità ai principi dell’articolo 5, tra cui troviamo il principio di minimizzazione e quello di limitazione delle finalità del trattamento, strumenti utilissimi per impedire abusi come la cosiddetta “function creep”, ovvero quei casi in cui i dati vengano raccolti per uno scopo (anche legittimo) e vengano in seguito utilizzati per un altro (spesso illegittimo) all’insaputa del soggetto cui i dati si riferiscono.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal

Nonostante il trattamento dei dati personali sia soggetto a tutte queste tutele, Els Kindt, autrice del capitolo dedicato alla regolamentazione europea nel report dell’AI Now Institute, evidenzia come anche questa legislazione, a suo parere, non sia esente da criticità. Innanzitutto, l’autrice sostiene che definire i dati biometrici in relazione al loro utilizzo potrebbe lasciare senza tutela nei confronti di abusi che avvenissero al momento della raccolta di tali informazioni. Pensiamo al fatto che ai sensi del GDPR le fotografie non sono considerate dato biometrico se non nei casi in cui vengano sottoposte ad analisi tramite software biometrici (come algoritmi di riconoscimento facciale); da questa previsione deriva che la raccolta di fotografie non gode della protezione speciale riservata al trattamento dei dati biometrici.

Fotografia fonte di dati biometrici

Per capire meglio questo passaggio, è utile pensare alla fotografia non come dato in sé per sé, ma come vettore del dato, che è l’informazione che si ricava dalla fotografia. Dalla fotografia si possono ricavare diverse informazioni, tra cui anche dati biometrici. Mettiamo che le fotografie vengano raccolte, senza le garanzie riservate al trattamento dei dati particolari perché nella raccolta non si fa uso di tecnologie biometriche, e così si formi un database; ci sarà il rischio che questo database venga poi acquisito e che vengano così estratti dati biometrici, in modo lecito o illecito.

Seguendo questa argomentazione, si potrebbe quindi sostenere che la definizione di dato biometrico contenuta nell’articolo 4 del GDPR crei un vuoto di tutela, non tenendo conto di questi rischi insiti nella raccolta di alcuni supporti (come le fotografie) da cui in seguito possono essere estrapolati dati biometrici.

Per questo motivo nel report viene proposta una nuova definizione di dato biometrico: “all personal data (a) relating directly or indirectly to unique or distinctive biological or behavioural characteristics of human beings and (b) used or fit for use by automated means (c) for purposes of identification, identity verification, or verification of a claim of living natural persons”. Si parla, quindi, di dati, relativi direttamente o indirettamente a caratteristiche biologiche o comportamentali uniche o distintive di persone fisiche, utilizzati o idonei a essere utilizzati da mezzi automatizzati per fini di identificazione, verifica dell’identità o verifica di una richiesta di una persona fisica vivente. Questo ragionamento sarebbe anche più in linea con la giurisprudenza europea a tutela dei diritti umani (Corte EDU), dalla quale emerge che la protezione dovrebbe partire dal momento della raccolta di questi dati, anche nel caso delle fotografie (caso Gaughran v. The United Kingdom).

Verification e identification

Un altro problema della legislazione europea in materia sollevato dal report riguarda le eccezioni in cui il trattamento dei dati particolari viene autorizzato: tra queste troviamo anche i motivi di interesse pubblico, che potrebbero essere invocati nei casi di sorveglianza, con possibili abusi (si pensi, ancora una volta, ai casi di Hong Kong, Detroit, Delhi e Baltimora).

Infine, la normativa europea non fa distinzione tra comparazioni biometriche “one to one”, la cosiddetta “verification”, e l’identificazione, che avviene confrontando i dati di una persona con quelli di numero indeterminato presenti in un database. La verification si ha, ad esempio, nel momento in cui si usa la propria impronta digitale per sbloccare lo smartphone (l’algoritmo confronta l’impronta presentata con quella presente nel sistema); un esempio di identificazione si ha invece nel caso di algoritmi di riconoscimento facciale che analizzano i volti dei partecipanti a una protesta per identificare individui schedati in un database.

Sia il Consiglio d’Europa che i vari Garanti europei hanno affermato che la verification è meno rischiosa dell’identificazione biometrica: nei casi di verification non è necessario avere un database di informazioni. Questa lacuna della normativa dunque sembra non tenere conto dei rischi posti dall’identificazione: la raccolta su larga scala di informazioni biometriche in database, i rischi di accuratezza posti dai matching basati su meccanismi probabilistici, le questioni legate alle lesioni della privacy a causa della sorveglianza indiscriminata.

Un esempio virtuoso: la Biometrics Policy del CICR

Il report dell’AI Now Institute non si limita a una critica delle varie normative esistenti, ma propone anche un esempio virtuoso da cui prendere spunto per interventi futuri in materia: la Biometrics Policy adottata dal Comitato Internazionale della Croce Rossa nell’agosto del 2019.

Le organizzazioni umanitarie si trovano a dover trattare dati particolari in contesti disastrati in cui il trattamento è spesso funzionale all’accesso a servizi di prima necessità. Per questo motivo è quasi sempre impossibile basarsi sul consenso, visto che questo sarà nella maggior parte dei casi viziato perché condizionato o non adeguatamente informato, specialmente nel caso dell’utilizzo di nuove tecnologie, le cui implicazioni sono spesso incomprensibili alle popolazioni che vivono in contesti poveri o di conflitto.

Il Comitato Internazionale della Croce Rossa ha quindi elaborato un documento in cui vengono stabiliti casi e modalità in cui è possibile trattare i dati biometrici delle popolazioni cui vengono forniti aiuti umanitari. Alcuni esempi di trattamento di dati biometrici in questi contesti sono: l’uso del DNA per scoprire la fine che hanno fatto persone scomparse o il riconoscimento facciale per identificare persone scomparse o ricercate e ristabilire contatti con le loro famiglie.

Innanzitutto, il documento elaborato dal Comitato fornisce una definizione di dato biometrico molto simile a quella del GDPR, ma viene specificato chiaramente che la Policy si applica anche ai dati personali trattati al fine di creare un modello o un profilo biometrico della persona, a prescindere dal formato di questi dati; si applica, quindi, anche alle fotografie (si parla espressamente di “images used for digital matching”), aggirando in questo modo i problemi che abbiamo trovato nella normativa europea.

Dati biometrici solo a scopo umanitario

Non solo, ma nella Policy viene data la possibilità di utilizzare i dati biometrici solo per scopi di tipo umanitario e solamente quando sussista una tra le due basi giuridiche elencate dal documento: importanti motivi di interesse pubblico e il legittimo interesse del Comitato in alcuni casi specifici.

I principi su cui si deve fondare il trattamento sono quello dell’adeguatezza, rilevanza e, soprattutto, minimizzazione del trattamento. Consapevole della necessità di trattare i dati biometrici per distribuire aiuti umanitari, ma allo stesso tempo dell’importanza di minimizzare il più possibile la conservazione di questi dati, il Comitato ha approntato un meccanismo di riconoscimento degli individui tramite dati biometrici che fa sì che ai soggetti venga fornito una scheda su cui sono registrati i loro dati dei quali non rimane traccia in nessun database. In questo modo sono i soggetti ad avere il controllo sui propri dati, avendo la possibilità di decidere se utilizzare la scheda o distruggerla quando lo ritengano opportuno.

Kak, nella sua intervista al MIT Technology Review succitata, sottolinea come l’elemento più importante di questo meccanismo sia il fatto che riconosce quale sia il vero problema: la creazione di database dei dati biometrici di cittadini che hanno bisogno di aiuti umanitari crea dei rischi di non poco conto nel momento in cui ci siano governi, organizzazioni o associazioni che intendano perseguitare queste comunità (come potrebbe avvenire, ad esempio, nel caso di rifugiati politici).

Sistemi a tutela dei soggetti deboli

Il report dell’AI Now Institute, nella sua disamina accurata di alcune tra le più importanti previsioni mondiali in materia di tecnologie biometriche, pone le basi per un’analisi critica della disciplina vigente in materia, che superi definizioni che si stanno rivelando inefficaci nel proteggere la società dai rischi posti dalle nuove tecnologie. In particolare, qualificare i dati biometrici pensando ai possibili utilizzi futuri delle informazioni e dei loro supporti e non, come discende oggi dal GDPR, basandosi sull’osservazione del trattamento attuale, sembrerebbe una soluzione interessante alle varie problematiche che si stanno presentando in questo settore.

Ad ogni modo, come dimostra l’esempio del Comitato Internazionale della Croce Rossa, abbiamo già gli strumenti per creare sistemi efficaci di tutela dei soggetti deboli, specialmente tramite una accurata applicazione del principio di minimizzazione del trattamento dei dati personali. La “colonizzazione” della società da parte delle tecnologie biometriche non è inevitabile né inarrestabile: si tratta di riesaminare le conseguenze di questi sistemi per favorirne un utilizzo solo nei casi strettamente necessari.

WEBINAR
Sicurezza e Smart Working: elementi strategici per il business
Sicurezza
Cybersecurity

@RIPRODUZIONE RISERVATA

Articolo 1 di 4