I dati biometrici e la preliminare richiesta di verifica all’Autorita’ garante

Scritto da Federica Mammì Borruto

Si definiscono dati biometrici, dal greco βίος (vita) e μέτρον (misura), quei dati che si ricavano da caratteristiche somatiche o comportamentali della persona. Rientrano, ad esempio, in tale categoria le impronte digitali (anche dette "dermatoglifo"), la geometria della mano o del volto, la conformazione della retina o dell'iride, il timbro e la tonalità di voce. Nell'utilizzo di tali elementi, trattandosi di dati personali, è richiesta l'adozione di doverose cautele al fine di evitare pregiudizi a danno degli interessati. Se da un lato, infatti, la biometria può contribuire a salvaguardare la sicurezza degli utenti (nel caso della firma grafometrica per lo svolgimento delle operazioni allo sportello bancario permetterebbe di evitare falsificazioni), dall'altro può comportare dei rischi legati all'utilizzazione indiscriminata o indebita di informazioni desunte da tracce che la persona può lasciare senza rendersene conto. I dati biometrici, inoltre, quando rivelano l'origine razziale o etnica o informazioni relative alla salute (come i sistemi biometrici basati sul riconoscimento del volto o del movimento), possono rientrare nella categoria dei dati sensibili con le conseguenze che ne derivano ai sensi del D.lgs. 30 giugno 2003 n. 196, c.d. Codice privacy. Si deve porre poi in evidenza che nei riguardi degli utenti è sempre necessario rendere un'informativa chiara ed ottenere il consenso, tranne nei casi di esclusione previsti dall'art. 24 del Codice Privacy.
Il Parere 3/2012 del Gruppo di lavoro per la tutela dei dati personali (ex art. 29 Direttiva 95/46/CE), sugli sviluppi nelle tecnologie biometriche, del 27 aprile 2012, prende atto della vastità dei campi di utilizzo dei dati biometrici. In Italia, infatti, il Garante si è pronunciato numerose volte in materia chiarendo i confini di un loro possibile uso in ambito sanitario, aziendale, bancario e giudiziario e riguardo all'accesso ai sistemi informatici giudiziari.
In riferimento al settore sanitario, un istituto ospedaliero ha inviato una richiesta di verifica preliminare relativa ad un sistema di raccolta di dati, ricavati dall'impronta digitale di pazienti e personale sanitario, da associare alle sacche di sangue destinate alla trasfusione, al fine di evitare conseguenze molto gravi (come l'Epatite C e l'HIV), derivanti da errori di identificazione. L'Autorità ha dato la sua approvazione ritenendo la modalità di trattamento proporzionata allo scopo.
In campo aziendale, l'utilizzo dei dati biometrici è giustificato solo in casi particolari, da valutarsi in base al contesto e alle finalità in cui vengono trattati, e solo per presidiare accessi ad aree "sensibili" (es. processi produttivi pericolosi o locali destinati alla custodia di documenti riservati o segreti e oggetti di valore). L'uso della biometria per la rilevazione delle presenze sul luogo di lavoro è, invece, ritenuto illecito per violazione dei principi di necessità e proporzionalità, in particolare nell'ipotesi in cui si preveda l'utilizzo delle impronte digitali. In tal caso non risultano, in genere, sufficienti le motivazioni che le aziende sottopongono al Garante nelle richieste di verifica preventive.
Riguardo al settore bancario, invece, in un provvedimento del 31 gennaio 2013 l'Autorità Garante ha autorizzato per la prima volta l'impiego di dati biometrici legati alla firma, quali la pressione, la velocità di scrittura e il tratto grafico, all'interno di un procedimento di sottoscrizione digitale, sulla base di una richiesta rivolta da un istituto di credito. L'autenticazione viene effettuata tramite l'utilizzo di un "tablet", ricavandola dall'analisi dei parametri di ritmo, velocità, pressione, accelerazione, movimento nella stesura della firma autografa: segue, quindi, un confronto con i dati precedentemente memorizzati nella fase di adesione al servizio. Sono le stesse banche a porre in luce come il sistema permetterà di ridurre il rischio di frodi o di furti d'identità, nonché di limitare il contenzioso riguardante il disconoscimento della firma. In caso, infatti, di richiesta da parte dell'autorità giudiziaria, il sistema sarebbe in grado di riprodurre in chiaro la firma affinché un perito grafologico possa certificarne l'autenticità.
A tal proposito numerosi sono stati gli istituti, le imprese o gli enti (ad esempio Unicredit S.p.A, Telecom Italia Trust Technologies s.r.l. e Banca Generali S.p.A, Alitalia - Compagnia Aerea Italiana S.p.A, Comune di Boscoreale) che, prima di adottare sistemi di autenticazione e/o identificazione, comportanti l'uso della biometria, hanno rivolto all'Autorità Garante una richiesta di verifica preliminare, ottemperando all'obbligo previsto dall'art. 17 del D.lgs. 196/2003. Tra i processi ad essa sottoposti, molti non sono stati ritenuti leciti, pur aderenti alle prescrizioni tecniche indicate, e nella maggior parte dei casi il motivo è stato la non conformità ai principi di necessità e di proporzionalità tra lo strumento impiegato e le finalità perseguite. Appare, quindi, evidente l'esigenza di un'approfondita conoscenza della disciplina dei dati biometrici al fine di un corretto utilizzo.
Il Gruppo dei Garanti europei ha pubblicato un "Documento di lavoro sulla biometria" nel 2003, in cui cerca di operare una riorganizzazione della materia, fornendo un quadro omogeneo per l'industria dei sistemi biometrici e gli utenti. All'interno di esso si precisa che per "sistemi biometrici si intendono le applicazioni di tecnologie biometriche che permettono l'identificazione e/o l'autenticazione/verifica automatica di un individuo". Da tale documento si evince, quindi, come la distinzione tra autenticazione e identificazione sia necessaria. L'autenticazione si basa su una verifica del tipo "One to one" e permette di rispondere alla domanda: "Sono la persona che dichiaro di essere?". L'identificazione, invece, basandosi su una verifica "One to many" risponde alla domanda: "Chi sono io?". Il sistema riconosce, infatti, l'utente distinguendolo da altre persone i cui dati biometrici sono a loro volta registrati. Un'ulteriore differenza si coglie, quindi, in merito alle modalità di conservazione dei dati biometrici, dal momento che ai fini di autenticazione è sufficiente l'archiviazione su sistemi decentralizzati, mentre ai fini identificativi è indispensabile adoperare banche dati centralizzate.
In passato, in Italia, purtroppo, l'Autorità Garante, nelle occasioni in cui era intervenuta sul tema, non aveva distinto espressamente il concetto di autenticazione da quello di identificazione, quanto agli adempimenti preliminari richiesti. Ciò aveva dato luogo a dubbi circa la necessità di interpello e di richiesta di verifica preliminare sia in caso di processi di autenticazione che di identificazione, o limitatamente al secondo caso.
In primo luogo va osservato che l'utilizzo di dati biometrici come credenziali di autenticazione è previsto nella Regola 2 del Disciplinare tecnico in materia di sicurezza, Allegato B al Codice in materia di protezione dei dati personali, in cui è affermato: "le credenziali di autenticazione consistono [..] in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave". Da tale documento si ricava, quindi, che l'autenticazione informatica è una misura di sicurezza che legittima l'utilizzo dei dati biometrici a prescindere dall'adempimento dell'onere di verifica preliminare da parte del Garante (ex art.17 Codice Privacy). E' lo stesso Garante poi nella Relazione 2006 ad affermare che un sistema di autenticazione informatica, mediante il quale gli incaricati dotati di credenziali, anche biometriche, possono effettuare specifici trattamenti di dati personali, costituisce una misura minima di sicurezza, purché esso sia conforme ai requisiti tecnici indicati dalle regole 1-11 dell'Allegato B al Codice.
Nel 2006 il Garante pubblica il "Decalogo su corpo e privacy", per un corretto utilizzo dei dati biometrici. Si afferma qui la necessità di un elevato grado di accuratezza nella rilevazione di questi ultimi, precisando che non è lecito un uso generalizzato, incontrollato o indifferenziato di tali elementi, ma che esso deve essere improntato al rispetto dei profili di necessità, proporzionalità, finalità, correttezza, adeguatezza e qualità dei dati. Si presenta indispensabile la previa dimostrazione dell'inefficacia di pratiche alternative che abbiano meno rischi di profilabili abusi. Qualora l'uso di tali dati sia permesso, deve essere comunque il più possibile circoscritto con la memorizzazione su supporti sempre disponibili da parte dell'interessato, il divieto assoluto di archivi centralizzati, e la temporanea conservazione per un periodo limitato di sette giorni. Viene ribadito, inoltre, il rispetto degli obblighi di verifica preliminare del Garante (ex art. 17 Codice Privacy) e di notifica (ex art. 37 Codice Privacy).
Queste prescrizioni sono, quindi, riprese nella Deliberazione n. 53 del 26.11.2006, la quale costituisce la chiave di volta per la risoluzione del dibattito dottrinale in merito alla differenza tra autenticazione e identificazione. Nella stessa, infatti, si legge: "Resta salva, per fattispecie particolari o in ragione di situazioni eccezionali non considerate in questa sede, la presentazione da parte di titolari del trattamento che intendano discostarsi dalle presenti prescrizioni, di apposito interpello al Garante, ai sensi dell'art. 17 del Codice." A contrario si può, quindi, ragionevolmente dedurre che l'utilizzo dei dati biometrici, per fini di autenticazione compatibili con quanto delineato dall'Autorità nella Deliberazione del 2006, non richieda suddetto interpello.
A sostegno di questa tesi si può ricordare che sempre nella Relazione 2006 il Garante cita una verifica preliminare inviata da una multinazionale operante nel settore farmaceutico, interessata ad introdurre un sistema di autentificazione dei propri dipendenti basato sull'utilizzo delle impronte digitali. Nel caso specifico, non essendo prevista la creazione di archivi centralizzati, non viene riconosciuta la necessità di valutazione preliminare dell'Autorità.
Si può, quindi, giungere alla conclusione che, a fronte di una mole molto vasta di richieste di verifica, il Garante abbia voluto dar vita a un processo semplificato di creazione di sistemi di rilevazione biometrica. A tal proposito, pur in assenza di un'esplicita differenza operata dall'Autorità tra autenticazione e identificazione in merito agli adempimenti preliminari, si può ritenere esistente una differenziazione tra le procedure che corrispondono alle regole dettate nella Deliberazione 53 del 2006 e quelle che se ne discostano. Non sarà, quindi, necessaria la richiesta di autorizzazione per le prime, ma per le seconde sì.
In un'intervista rilasciata lo scorso anno, infine, lo stesso Garante aveva affermato la necessità di aggiornare le linee guida sulla biometria, conservando l'attuale livello di tutela della privacy del cittadino, ma semplificando l'attività delle imprese e di chi fa ricorso alle misure biometriche. Questo obiettivo sarebbe stato raggiunto mediante la creazione di modelli "standard" predefiniti sia in riferimento alla firma grafometrica sia alle impronte digitali. Ne è derivata, quindi, l'apertura di una consultazione pubblica il 21 maggio 2014 su uno schema di provvedimento e sul documento ad esso allegato, intitolato "Linee guida in materia di riconoscimento biometrico e firma grafometrica", in cui l'Autorità ha individuato alcune specifiche categorie di trattamenti in relazione alle quali non ritiene necessaria la presentazione della richiesta di verifica preliminare, a condizione che vengano rispettati i presupposti di legittimità contenuti nel Codice e nelle stesse linee-guida. A ciò è seguita l'emanazione di un provvedimento generale, il 12 novembre 2014, in cui sono state fissate le misure di carattere tecnico, organizzativo e procedurale per mantenere alti i livelli di sicurezza nell'utilizzo di alcuni tipi di dati biometrici, pur attraverso una semplificazione degli oneri preliminari.
I trattamenti in questione sono l'autenticazione informatica, il controllo di accesso fisico ad aree "sensibili" dei soggetti addetti e l'utilizzo di apparati e macchinari pericolosi, l'uso delle impronte digitali o della topografia della mano a scopi facilitativi e la sottoscrizione di documenti informatici.
La novità è rappresentata dal venir meno del consenso da parte dell'utente, in riferimento all'utilizzo dell'impronta digitale o dell'emissione vocale, per l'autenticazione informatica, e la topografia della mano, per l'accesso ad aree "sensibili" o per consentire l'utilizzo di macchinari pericolosi ai soli soggetti qualificati. In relazione, invece, alla sottoscrizione informatica è necessario il consenso per l'analisi dei dati biometrici associati all'apposizione a mano libera di una firma autografa, salvo in ambito pubblico, nel caso in cui siano perseguite specifiche finalità istituzionali. Infine, in merito all'accesso ad aree fisiche in ambito pubblico (es. biblioteche) o privato (es. aree aeroportuali riservate), l'utilizzo dei dati biometrici è consentito solo con il consenso dell'interessato e dovranno essere previste delle modalità di accesso alternative per chi ne rifiuta l'utilizzo.
Ciò permetterà a chi intende aderire a tali dispositivi di inviare solo tale comunicazione all'Autorità senza più richiedere l'autorizzazione. Ne conseguirà, quindi, una diminuzione degli oneri gravanti sulle aziende nonché un deflazionamento delle richieste di verifica preliminare.
Sono esclusi da tali modalità semplificate i trattamenti che prevedono la realizzazione di archivi centralizzati di dati biometrici, nonché quelli non esplicitamente indicati nel provvedimento, essendo l'elenco tassativo.
Tutte le violazioni dei dati e gli incidenti informatici ("data breaches") che possono avere un impatto significativo sui sistemi biometrici e sui dati custoditi, devono essere comunicati da chi detiene i dati al Garante entro 24 ore dalla scoperta, così da consentire di adottare gli opportuni interventi a tutela degli interessati.