PRIVACY

Perdita dei dati biometrici, il pericolo che pochi comprendono

Impronte digitali, informazioni per il riconoscimento dell’iride o del volto: ogni giorno si registrano furti o manomissioni di dati legati all’identità fisica. Un’analisi dei rischi e le misure da mettere in atto per garantire la tutela di diritti inalienabili

27 Set 2019
Marco Martorana

avvocato, studio legale Martorana, Presidente Assodata, DPO Certificato UNI 11697:2017

Victoria Parise

Avvocato giuslavorista in Firenze, DPO e Consigliere ASSODATA


Con una regolarità scioccante vengono persi milioni di dati ogni giorno. E’ una notizia recente quella relativa a una perdita record avvenuta nel Regno Unito: le impronte digitali di 1 milione di individui oltre ai dati per il riconoscimento facciale, nomi e password, tutte non crittografate. Si tratta di uno scenario allarmante: il problema della perdita o del furto di dati biometrici – personalissimi e immutabili – pone sfide non solo di ordine tecnologico e regolamentare ma anche etico: perché coinvolge da un lato la dignità dell’uomo e lo sviluppo di una tecnologia senza frontiere dall’altro. Vediamo nel dettaglio i termini della questione.

I dati biometrici sono dati personali particolari: è sempre possibile modificare la  password, mentre le nostre impronte digitali o le informazioni del nostro volto sono tendenzialmente immutabili. Una volta perso il dato biometrico con esso l’interessato perde, in un certo senso, anche parte della propria dignità umana. Come non riflettere sulle conseguenze di una tale violazione anche in termini di quantificazione del danno? Come non pensare all’impossibilità – per chi abiterà il futuro digitale, non troppo lontano – di utilizzare il proprio corpo per accedere a luoghi, servizi informazioni?

Dati biometrici, il rischio del bancomat “smart”

Già dal 2015 in Cina sono attivi bancomat che utilizzano la tecnologia del riconoscimento facciale. In pratica, i clienti accedono alle funzioni di sportello automatico senza necessità di inserimento di un PIN numerico, poiché le casse in questione sono in grado di scansionare i volti dei clienti.

A mettere a punto per primi questa tecnologia per i bancomat, sono stati anni fa un gruppo di ingegneri dell’Università pechinese Tsinghua e di Tzekwan Technology, e un’azienda di Hangzhou specializzata in sistemi di riconoscimento facciale. In pratica, lo sportello del bancomat è stato dotato di una videocamera e di un sistema in grado di scannerizzare e confrontare i tratti del volto e l’iride dell’utente con la fotografia presente sul suo documento d’identità, custodita all’interno di un apposito database.

L’implementazione del sistema non ha in alcun modo considerato il trattamento del dato personale, la necessità di una corretta conservazione e protezione, nonché le implicazioni di un furto di tale informazione. La Cina, nel proprio sistema di valori e diritti, non ha mai dato particolare rilevanza alla riservatezza delle persone come accade in Europa, per storia e cultura. Pertanto molte delle nuove tecnologie provenienti dal Paese asiatico e presentano una forte carenza sotto tale profilo.

Il ruolo dei titolari di trattamento

Infatti è facile notare che la diffusione del fenomeno di perdita o furto dell’identità biometrica è strettamente legato alla vulnerabilità e inadeguatezza dei sistemi di gestione e conservazione dei dati da parte dei Titolari del trattamento: moltissime aziende e pubbliche amministrazioni, infatti, si sono convertite, negli ultimi anni, a sistemi di salvataggio e conservazione non privacy compliance e per questo del tutto inadeguate alle esigenze di protezione e tutela dei diritti indicate dal Reg. UE 2016/679. Spesso avviene anche che Titolari inesperti, pur in possesso di strumenti di per sé potenzialmente adeguati[1] a trattamenti così delicati, siano del tutto impreparati e conseguentemente omettano di configurare impostazioni adeguate ai rischi.

Non è ulteriormente procrastinabile esaminare il fenomeno e affrontare questo reale pericolo. La questione interessa prima di tutto i Titolari del trattamento soggetti alla normativa UE GDPR (passibili di pesanti sanzioni e richieste di risarcimento danni) e immediatamente dopo gli sviluppatori dei sistemi informatici, che dovrebbero considerare non solo l’opportunità di rendere i propri prodotti compliant quale opportunità di mercato, ma che soprattutto dovrebbero considerare la dimensione etica del problema.

Un trattamento di dati biometrici non compliant è infatti suscettibile di ledere profondamente e in modo permanente la dignità delle persone. In altre parole dovrebbero considerare, al momento della progettazione di nuove tecnologie che coinvolgano l’identità biometrica, l’insieme di norme e di valori esistenti necessari al rispetto per la dignità umana.

Privacy e Carta dei diritti fondamentali

LIVE STREAMING 11 GIUGNO
Security Intelligence: investire in sicurezza per prevenire i rischi
Intelligenza Artificiale
Sicurezza

E’ sempre più evidente che il diritto alla privacy è corollario del più grande diritto alla dignità dell’individuo così come sancito dai trattati dell’UE e dalla Carta dei diritti fondamentali dell’UE.[2]

Tale diritto, forse scontato per le nuove generazioni digitali, permette agli individui di vivere una esistenza libera, sviluppare la propria personalità, condurre una vita indipendente, innovare ed esercitare altri diritti e libertà. I principi di protezione dei dati definiti nella Carta dell’UE – necessità, proporzionalità, equità, minimizzazione dei dati, limitazione delle finalità, consenso e trasparenza – devono dunque inevitabilmente essere applicati al trattamento dei dati nella sua interezza sin dalla progettazione. [3]

Nell’attuale panorama informatico-digitale, il rispetto della legge speciale non appare di per sé sufficiente e non può prescindersi dalla questione etica del trattamento dei dati[4].

ll dato personale costituisce oggi un valore assoluto: “Quale valore attribuiamo alla vita umana? Riteniamo che la vita sia un valore assoluto e inviolabile perché è la sua stessa natura che ci permette di affermarlo. Si tratta di un elemento ontologico: la vita è un valore. Allo stesso modo il dato si riferisce a informazioni personalissime di una persona fisica e va considerato un valore ontologicamente assoluto”. [5]

La sfida è quella di diffondere la consapevolezza dei diritti fondamentali anche nell’era digitale, trasmetterla alle prossime generazioni di programmatori, sviluppatori, imprenditori, Titolari e interessati cercando di tramandare i valori di dignità e libertà che abbiamo sì conquistato, ma che non è poi così scontato mantenere.

NOTE

  1. Perché provenienti da paesi o sviluppatori soggetti al GDPR o altre legislazioni con una forte attenzione alla privacy
  2. Articolo 1, Carta dei diritti fondamentali dell’UE «La dignità umana è inviolabile. Essa deve essere rispettata e tutelata».
  3. Parere 4/2015 EDPS – European Data Protection Supervisor: è un’autorità di vigilanza indipendente, per info https://edps.europa.eu/about-edps_en
  4. Giovanni Buttarelli: Garante europeo della protezione dei dati, parere 4/2015 EDPS
  5. come spiega in un suo libro l’avv. Nicola Fabiano, Presidente dell’ Autorità per la Protezione dei Dati Personali di San Marino.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3