L'approfondimento

Dati biometrici e tutela privacy, ecco i timori del Garante Europeo

L’aumento delle tecnologie che si servono di dati biometrici richiede attenzione per le possibili ricadute nell’ambito della privacy e dei rischi per gli interessati: vediamo quali sono le previsioni e gli interventi

09 Nov 2020
Vittorio Colomba

Avvocato esperto in diritto delle nuove tecnologie e protezione dei dati personali

dati data digital

L’utilizzo dei dati biometrici dilaga, anche spinto dalle attività di contrasto al coronavirus: una situazione che può avere ripercussioni relativamente alla data protection.

Pur certo dell’importanza che il futuro riserverà alla gestione dei dati biometrici, anche il Garante Europeo non ha potuto sottacere le proprie preoccupazioni, soprattutto legate alla consapevolezza collettiva – considerata ancora insufficiente – in ordine alle caratteristiche delle tecnologie ed i loro potenziali utilizzi, sia corretti che distorti.

Lo stato della biometria e privacy secondo il Garante Europeo

Durante il congresso annuale organizzato dal Biometric Institute, lo scorso 7 ottobre 2020 il Garante europeo della protezione dei dati Wojciech Wiewiórowski ha svolto un interessante speech sul trattamento dei dati biometrici, il cui contenuto proveremo di seguito a riassumere. La riflessione del GEDP si è appuntata, in prima battuta, sull’aumento esponenziale dei dispositivi di elaborazione dei dati biometrici: diffusione massiccia di smartphone che adottano sistemi di autenticazione basati sul riconoscimento dei volti e delle impronte digitali; assistenti virtuali che elaborano i dati vocali per rispondere alle richieste degli utenti; sistemi di videosorveglianza “intelligenti”, in grado di identificare e classificare gli individui ripresi; wearable devices applicati tanto allo sport quanto alla medicina.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

A queste già note modalità, a causa dell’emergenza sanitaria conseguente alla diffusione di Covid-19, sono stati sviluppati ulteriori sistemi che, grazie al riconoscimento facciale, sono in grado di monitorare le distanze sociali, il corretto utilizzo delle mascherine nonché l’identità dei soggetti potenzialmente positivi al virus, dei quali rilevano la temperatura e le informazioni identificative essenziali. Perfino le pubbliche amministrazioni si trovano ad elaborare dati biometrici con sempre maggior frequenza, non facendo eccezione nemmeno le istituzioni, gli uffici, gli enti e le agenzie UE. Basti pensare, a tal proposito, ai tre sistemi IT istituiti dall’Unione Europea in grado di trattare dati biometrici su larga scala:

  • VIS, il sistema di informazione e visti;
  • SIS II, il Sistema d’informazione Schengen;
  • Eurodac, il database europeo delle impronte digitali per coloro che richiedono asilo politico e per le persone fermate mentre varcano irregolarmente una frontiera esterna dell’Unione Europea.

L’UE, inoltre, è in procinto di sviluppare altri due sistemi in grado di procedere al trattamento su larga scala di dati biometrici:

  • EES, il sistema elettronico che registrerà e conserverà la data, l’ora e il luogo d’ingresso e di uscita dei cittadini di paesi extra UE che attraversano le frontiere, che calcolerà automaticamente la durata del soggiorno autorizzato di tali cittadini e genererà segnalazioni allo scadere del soggiorno autorizzato;
  • ECRIS-TCN, il sistema informativo del casellario giudiziale europeo, istituito nel 2012, per consentire lo scambio di informazioni tra gli Uffici dei casellari di ciascuno degli Stati europei.

Casi di usi impropri della biometria ai danni della privacy

D’altra parte, che alcune tecnologie si prestino ad un uso improprio è storia ormai nota. Di recente, per esempio, è emerso come la tecnologia statunitense Clearview AI abbia raccolto circa 3 miliardi di immagini dai social media (inclusi Facebook, Twitter e Youtube) mettendole a disposizione, tra gli altri, anche di alcune forze dell’ordine europee. Una piattaforma polacca pare aver svolto – e svolgere tuttora – un’attività del tutto simile, non solo per le autorità di contrasto ma per chiunque ne faccia richiesta: in sostanza ogni utente ha la possibilità, disponendo dell’immagine di un individuo e caricandola sul loro portale, di rintracciarne ogni fotografia presente sul web. Nulla di nuovo, dal punto di vista concettuale: l’evoluzione della tecnologia accompagna promesse di sviluppo a pericoli, per i dati personali, che non possono essere sottovalutati e che impongono, ai progettisti, l’implementazione di sistemi di protezione adeguati.

In difetto, è facile prevedere nel futuro più prossimo il verificarsi di violazioni di rilevante gravità. Anche per questo motivo le buone notizie vengono dallo sviluppo di standard internazionali – come ISO/IEC 24745 e dai progressi registrati nello sviluppo dei meccanismi di protezione del modello biometrico (BTP). Alcuni progetti europei – come Turbine, Fidelity e Swan – hanno contribuito significativamente allo sviluppo di alcuni di questi BTP, ma il cammino da percorrere per il raggiungimento di uno standard di sicurezza accettabile è sicuramente ancora lungo. Nel 2019, alcuni ricercatori hanno scoperto l’esistenza di un database contenente 28 milioni di record non protetti e per lo più non crittografati. Il database apparteneva a Biostar 2, un sistema sviluppato dalla società di sicurezza Suprema. Tra gli altri, il database conteneva anche impronte digitali, dati di riconoscimento facciale, foto degli utenti, volti, nomi utente e password non crittografati.

I controlli

La natura sensibile dei dati biometrici – riconosciuta tale sia dall’Ordinamento UE che dalla Convenzione modernizzata 108+ del Consiglio d’Europa – li rende meritevoli di una protezione speciale, sicché il loro trattamento è di regola vietato, salvo poche e sporadiche eccezioni. Proprio perché il contesto fin qui descritto impone l’adozione di particolari cautele, il Garante Europeo ha espresso la propria intenzione di svolgere severi controlli sui sistemi IT che consentono il trattamento su larga scala di dati biometrici, oltre a fornire consulenza sulla liceità di tali trattamenti alle istituzioni che ne facessero richiesta.

A titolo esemplificativo, se, da un lato, l’Autority non ha avuto perplessità nell’ammettere l’uso di dati biometrici per il perseguimento di alcune finalità di pubblica sicurezza, d’altro lato ne ha escluso il trattamento per il controllo del personale, dei suoi orari di lavoro e dei permessi. In quest’ultimo caso, difatti, le ragioni di controllo invocate dai datori di lavoro potrebbero essere utilmente perseguite anche attraverso procedure diverse e meno invasive (fogli di presenza, badge magnetici ecc.), senza alcuna necessità che vengano raccolti anche dati biometrici. Il discrimine tra l’uso consentito e quello vietato di questa tipologia di informazioni è sempre da ricercarsi, in primo luogo, nei principi di necessità e proporzionalità, sicché anche un sistema perfettamente sviluppato potrebbe essere considerato illegittimo, qualora consentisse l’elaborazione non necessaria di dati biometrici o la loro raccolta in misura superiore al necessario.

Accuratezza, sicurezza, necessità e proporzionalità sono requisiti da considerare separatamente, ma la liceità del trattamento dipende dalla verifica positiva condotta in relazione ad ognuno di essi. Nella sua relazione, il Garante Europeo ha richiamato un esempio di trattamento accurato e sufficientemente sicuro, ma potenzialmente sproporzionato ed eccessivo rispetto alle finalità della raccolta. Si tratta del caso che ha coinvolto diverse grandi catene di supermercati spagnole che hanno installato, in circa 40 punti vendita, alcuni sistemi di riconoscimento facciale. Le società in questione, in questo modo, miravano a confrontare le immagini raccolte con i volti di alcuni delinquenti, per impedirne l’accesso ai supermercati. Nel luglio 2020, tuttavia, l’Autorità Garante Spagnola ha avviato una verifica su quei sistemi proprio per verificare se la raccolta massiva dei dati biometrici di tutti i clienti fosse proporzionata rispetto all’esigenza di individuare i pochi malfattori le cui immagini erano disponibili ed utilizzabili per un confronto.

Limitazione e minimizzazione

Oggetto di eguale attenzione meritano, senz’altro, anche i principi di limitazione e minimizzazione del trattamento. I dati personali – a maggior ragione quelli biometrici – devono essere raccolti per scopi determinati, espliciti e legittimi e non possono essere oggetto di ulteriori trattamenti, incompatibili con tali finalità. La limitazione delle finalità assume particolare rilevanza in questo contesto poiché il raffronto non controllato tra dati biometrici potrebbe consentire di risalire ad altri dati personali. Si pensi, ad esempio, alle informazioni sanitarie potenzialmente desumibili dalle immagini dei volti raccolte per l’accesso ad alcuni sistemi di autenticazione; ai dati vocali raccolti dagli assistenti intelligenti, che potrebbero consentire di ricostruire le reazioni emotive degli utenti e così via.

È anche per questo motivo che l’elaborazione dei dati biometrici deve applicare pienamente il principio di minimizzazione: nello sviluppo di una tecnologia risulta, difatti, di essenziale importanza ridurne la capacità di raccolta allo stretto necessario. Attraverso il parere rilasciato sulla proposta di regolamento per l’implementazione dei sistemi di sicurezza delle carte di identità, il Garante Europeo ha fatto presente come la memorizzazione delle immagini delle impronte digitali, da un lato migliori l’interoperabilità, ma dall’altro aumenti esponenzialmente la quantità di dati biometrici raccolti e, di conseguenza, incrementi il rischio di furti d’identità. Il GEDP ha concluso il proprio parere suggerendo di limitare quanto più possibile la memorizzazione dei dati delle impronte digitali sul chip dei documenti d’identità. L’Unione Europea sta preparando nuovi testi normativi atti a regolamentare l’utilizzo dei dati, lo sviluppo dell’intelligenza artificiale e la diffusione dei servizi digitali sul territorio comunitario. Si tratta di interventi che, inevitabilmente, impatteranno anche sul trattamento di dati biometrici.

Conclusione

Non c’è dubbio, in definitiva, che come spesso accade, la tecnologia corra e la disciplina in materia di protezione dei dati personali insegua. Il lavoro, tuttavia, che le istituzioni preposte a vigilare su queste dinamiche, sia a livello nazionale che comunitario, stanno sviluppando in ogni direzione, rappresenta un elemento di rassicurazione in un quadro in cui, a ben vedere, è difficile comprendere se sia più ampio il margine di sviluppo positivo o il rischio di abuso e potenziale danno per i diritti e le libertà degli interessati.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati