La biometria e il difficile equilibrio tra privacy e sicurezza

Creato il 26 luglio 2011 da Cindi
By Diego D'Agostini

Per biometria si intende quell’insieme di tecniche volte all’accertamento dell’identità di un individuo basate sulla “decodifica” delle sue caratteristiche morfologiche individualizzanti quali il riconoscimento facciale, dell’iride o della retina, ovvero della geometria palmare, dell’impronta digitale o vocale. L‘odierno sviluppo tecnologico consente un largo uso delle tecniche biometriche pur rappresentando spesso un mezzo incompatibile con il rispetto della privacy di un soggetto. Invero, “elevare” la singole parti del corpo umano a elementi di identificazione, equivale a “trattare” un dato personale, sacrificando così la sfera di riservatezza di un soggetto.
Tale esito pare essere logica conseguenza del fatto che i dati biometrici possono essere utilizzati come strumento di autenticazione (informatica), rectius di identificazione, in virtù di specifiche qualità peculiari quali:
l’universalità: l’elemento biometrico è presente in ogni persona;
l’esclusività: l’elemento biometrico è unico, assolutamente inequivoco e distintivo di ogni persona;
la permanenza: ogni persona conserva i propri elementi biometrici nel corso del tempo (salvo lesioni dell’integrità fisica).
Le credenziali biometriche consentono così di accedere a un sistema utile a determinate operazioni, tra le quali quelle di trattamento dei dati personali, ma gli stessi dati biometrici sono dati personali (per la definizione vedasi art.4, co.1 lett. b, Codice Privacy) e come tali sono soggetti, quanto a tutela, garanzie, modalità e finalità di trattamento, alle disposizioni del “Codice in materia di protezione dei dati personali”.
Invero, le più significative norme in materia prevedono che:
- il trattamento debba svolgersi nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali (art. 2);
- i sistemi informativi e i programmi informatici debbano essere configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, nel rispetto del principio di necessità, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità (art. 3);
- i dati vadano trattati secondo liceità e correttezza, nonchè nel rispetto dei principi di finalità e proporzionalità del trattamento: in sostanza ciò significa che i dati possono essere utilizzati per scopi determinati (specifici), espliciti (trasparenti) e legittimi (non contrastanti con le leggi e con l’ordinamento giuridico) e devono essere pertinenti e non eccedenti rispetto alle finalità per le quali sono raccolti e successivamente trattati (art. 11);
- l
‘informativa debba essere completa e chiara (art.13), soprattutto in relazione alle finalità e alle modalità (soprattutto con riferimento al profilo della sicurezza) del trattamento dei dati biometrici, nonché alla possibilità da parte dell’interessato di esercitare i propri diritti ex art. 7 e di prestare in modo consapevole il consenso al trattamento (art. 23 per i dati biometrici meramente identificativi, e art. 26, in caso di dati biometrici “sensibili”);
- debbano osservarsi prescrizioni ulteriori (volte a una maggiore garanzia) dettate dal Garante Privacy per il trattamento di quei dati che presentano rischi specifici come per l’appunto i dati biometrici (art.17);
- vi sia un’adeguata protezione dei dati biometrici mediante l’adozione di misure di sicurezza idonee e preventive (non solo minime dunque), sì da garantire la riservatezza, l’integrità e la disponibilità dei dati (artt. 31 e ss.), pena l’esposizione da parete del Titolare del trattamento anche a responsabilità civili (art.15 Cod.Priv., che richiama l’art. 2050 c.c., dacché l’attività di trattamento dei dati personali è definita ex lege come attività pericolosa, con quel che ne consegue in termini di inversione dell’onere probatorio);
- vi sia l’obbligo, ai sensi dell’art.37 lett. a), di notificazione al Garante, prima di procedere al trattamento, rispettando le modalità di cui al successivo art.38 (ovvero trasmissione per via telematica utilizzando il modello predisposto dal Garante e osservando le prescrizioni da questi impartite, anche con riferimento alla sottoscrizione con firma digitale).
Proprio in applicazione delle suddette normative, spesso, il Garante Privacy ha rilevato come la biometria venisse adottata non tanto quale strumento dettato dalla necessità di non subire illecite sostituzioni di persone nel godimento di diritti e/o nell’adempimento di doveri, quanto all’opposto come strumento di “controllo”. In tali ipotesi, a ben vedere, il problema giuridico di fondo sta nello stabilire quanto sia sacrificabile la privacy violata dall’utilizzo delle tecnologie biometriche, rispetto agli interessi che si intendono tutelare nell’adozione delle stesse, confine spesso molto labile e che, oggi più che mai, deve essere presidiato (sul punto vedasi pronunce del 21 Luglio 2005, 27 ottobre 2005, 15 giugno 2006, 1 febbraio 2007 del Garante Privacy). 

Share this: