
Legge sulla Privacy e biometria: riconoscimento facciale e vocale
15 Novembre 2021
Il tempo è tiranno. Si sa! La frenesia degli eventi e soprattutto dei cambiamenti nonché lo spasmodico utilizzo di nuove tecnologie ci porta a concepire il tempo come un bene tanto prezioso quanto labile.
I mezzi che utilizziamo per assumere decisioni devono quindi stare al passo con la tecnologia e con i tempi dettati dalla società odierna, dai mass media, dai colossi aziendali tra cui Google, Apple, Microsoft e Facebook.
Che cosa ci permette di fare il riconoscimento facciale o vocale?
- Sbloccare il nostro smartphone;
- Scaricare un App;
- Accedere ad aree riservate
Niente più perdite di tempo per inserire PIN o password combinati alla username. Meglio fornire i nostri dati biometrici affinché il semplice sguardo o il timbro vocale possano agevolmente permetterci di chattare, lavorare o giocare.
Ma qual è il prezzo da pagare? Dove vanno a finire e come vengono trattati i nostri dati biometrici? Ve lo siete mai chiesti?
Che cos’è il dato biometrico?
Il dato di biometria è quel dato personale particolare (sensibile) in grado di identificare univocamente una persona, mediante l’utilizzo di mezzi tecnici in grado di analizzare caratteristiche fisiche, fisiologiche o comportamentali (art. 4 del GDPR).
Il dato biometrico rientra nella più ampia categorie dei dati personali particolari disciplinati dall’art. 9 del GDPR che, per definizione, afferiscono la sfera più intima di un soggetto.
L’impronta digitale, la retina dell’occhio, il colore e la dimensione dell’iride, la fisionomia del volto, il timbro vocale ne sono degli esempi.
Tra biometria e GDPR
L’importanza e la conseguente necessità di tutela e protezione dei dati biometrici è stata colta dal Gruppo di lavoro ex art. 29 (oggi European Data Protection Board) e dal Garante Privacy, ancora prima del Regolamento Europeo.
Con il provvedimento 513 del 12 novembre 2014 e le relative linee guida, il Garante ha tentato di fornire “un primo quadro unitario di misure e accorgimenti di carattere tecnico, organizzativo e procedurale per accrescere i livelli di sicurezza dei trattamenti biometrici”.
Dal 2014 ad oggi ci sono stati degli ulteriori passi in avanti.
Il Regolamento 2016/679 ha fornito una definizione propria di dato biometrico (art. 4 del GDPR), ha stabilito casi specifici in presenza dei quali è possibile trattare dati particolari (tra cui rientrano i dati biometrici – art. 9 del GDPR) ed ha individuato, seppur in modo generico, le misure di sicurezza.
In aggiunta, l’art. 2 septies del D.lgs 196/2003, così come modificato dal D.lgs 101/2018, ha preannunciato che i dati biometrici dovranno essere trattati in base alle misure di sicurezza che saranno disposte dal Garante con provvedimenti biennali. In attesa, restano valide le generiche misure di sicurezza del GDPR e del Codice Privacy (purché compatibili).
Andando ad approfondire l’analisi delle misure di sicurezza da adottare per proteggere correttamente i dati biometrici forniti è necessario assumere un approccio basato sul rischio (risk approach).
L’identificazione facciale e vocale rappresentano alcuni dei sistemi di autenticazione al pari della password, seppur con differenze in termini di rischi legati alla riservatezza, smarrimento, furto, dimenticanza e alterazioni accidentali.
Tra queste misure si può citare sicuramente la pseudonimizzazione che comporta la separazione dei dati identificativi degli utenti da quelli biometrici; utilizzo di strumenti crittografici e database cifrati; accesso ristretto alle solo personale adibito al trattamento che dovrà essere debitamente istruito (art. 29 del GDPR) e adeguatamente valutato assumendo la qualifica di Amministratore di Sistema.
Non dimentichiamo poi, oltre alla valutazione dei rischi, la necessità di una ponderata e minuziosa valutazione della necessità e proporzionalità del trattamento (che impone la raccolta dei soli dati necessari in funzione del trattamento svolto) nonché la necessità di stabilire i termini di conservazione dei dati e di cancellazione.
A che cosa bisogna fare attenzione quando si parla di dati di biometrici
Un occhio di riguardo deve aversi anche in ordine alla base giuridica su cui basare il trattamento di dati biometrici.
Occhio ad avvalersi impropriamente del legittimo interesse o del consenso poiché potrebbero risultare inadeguati o insufficienti.
Ne è un esempio il caso dell’Azienda sanitaria provinciale (Asp) di Enna, sanzionata dal Garante Privacy per 30 mila euro, per aver utilizzato un sistema di rilevazione delle presenze basato sull’impronta biometrica dei dipendenti.
Inoltre, la questione relativa agli strumenti per il riconoscimento facciale e vocale sta avendo risvolti rilevanti anche in ambito pubblico.
Tutte le forze di polizia e i servizi di intelligence del mondo utilizzano o stanno implementando questo tipo di soluzioni, al fine di prevenire reati o di ricercare sospettati coinvolti nelle indagini.
Proprio a questo proposito, il Garante Privacy ha espresso parere negativo in merito al sistema SARI Real Time del Ministero dell’Interno italiano, che voleva implementare tale soluzione al fine di analizzare in tempo reale i volti dei soggetti ripresi da una serie di telecamere installate e confrontarli con una banca dati predefinita (denominata “whatch-list”).
Il Garante ha ritenuto che non esistesse una base giuridica idonea per procedere con il trattamento dei dati biometrici tramite il riconoscimento facciale e ha bocciato il progetto.
Il sistema, infatti, avrebbe permesso di identificare ogni singola persona presente nello spazio sottoposto alla videosorveglianza. Si determinerebbe così “una evoluzione della natura stessa dell’attività di sorveglianza, che segnerebbe un passaggio dalla sorveglianza mirata di alcuni individui alla possibilità di sorveglianza universale”.
Il tema del riconoscimento facciale è sicuramente attuale, anche alla luce dell’introduzione in Cina della nuova normativa sulla privacy, entrata in vigore il 1 novembre 2021.
La Cina, infatti, è famosa nel mondo per il sistema di videosorveglianza con riconoscimento facciale più esteso.
La nuova legge pone sicuramente dei limiti agli utilizzi in ambito privato, ma gli impatti sulla possibilità di utilizzo da parte del Governo sono più vaghi.
In ogni caso, si tratta di una svolta notevole, evidenza del fatto che l’argomento sta diventando sempre più importante anche in quegli Stati che per tradizione sono conosciuti per essere meno stringenti nella gestione del diritto alla privacy.