I dati biometrici - Legaltech Italia

Sistemi di riconoscimento facciale, telefoni che si sbloccano con il volto, videosorveglianza intelligente: queste le nuove tecnologie che si basano sui dati biometrici. Ma di cosa si tratta, e quali sono i rischi per i singoli e per la società?

I dati biometrici: uno sguardo d’insieme

Nelle ultime settimane, ha suscitato scalpore il caso di alcune scuole inglesi che adottano sistemi di riconoscimento facciale per garantire l’accesso alla mensa ai soli studenti in regola con il pagamento della retta^[1]. Grazie a innovativi strumenti tecnologici, infatti, agli operatori scolastici è data la possibilità di identificare in maniera univoca un soggetto grazie ai suoi tratti somatici, come ad esempio l’iride, o ancora il timbro vocale. Questo processo è reso possibile grazie alla raccolta di dati c.d. biometrici: di che cosa si tratta, e quali garanzie ci sono per i cittadini?

I dati biometrici rappresentano una particolare categoria di dati personali. A livello europeo, la privacy e la riservatezza dei cittadini sono tutelati dal Regolamento Europeo 679/2016, più comunemente conosciuto come General Data Protection Regulation (GDPR), entrato in vigore il 25 maggio 2018^[2].

Da un punto di vista giuridico, in particolare, “dato personale” è definibile come quell’insieme di informazioni che, direttamente o indirettamente, possono portare all’identificazione di una determinata persona fisica (art. 4 GDPR), come, ad esempio, il codice fiscale o una fotografia.

All’interno della categoria dei dati personali, rientrano i dati biometrici, definiti come quei dati personali “ottenuti da un trattamento tecnico specifico, relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica e che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici” (art. 4, par. 1, n. 14, GDPR). Si pensi alla possibilità, sempre più frequente, di poter sbloccare il proprio telefono con l’impronta digitale: al sensore inserito sullo schermo del dispositivo è associato un programma in grado di analizzare i dati raccolti, come appunto la nostra impronta, di confrontarli con le informazioni raccolte nella propria banca dati, e infine di accettare quel determinato input o meno. Ad essere conservata non è, dunque, un’immagine statica della nostra impronta digitale, ma una ricostruzione virtuale e matematica realizzata da algoritmi sempre più sofisticati.

Dati biometrici, quali applicazioni?

Il legislatore europeo, nell’approcciarsi alla questione sulla legittimità o meno del trattamento dei dati biometrici, ha optato per un approccio molto restrittivo, in chiave garantista. Questo al fine di evitare che a partire di un semplice gesto quasi inconsapevole del cittadino la sua intera identità possa essere ricondotta, in maniera biunivoca, ad una serie algoritmica.

Per questo motivo, vige all’interno dell’Unione Europea un generale divieto di trattamenti di dati biometrici “intesi a identificare in modo non univoco una persona fisica” (art. 9, par. 1, GDPR).

Questo principio generale, però, è fortemente temperato, se non addirittura snaturato, da una serie di eccezioni, tra cui la sussistenza di un consenso dell’interessato (si pensi, appunto, allo sblocco del telefono attraverso l’impronta digitale, per la sicurezza e l’incolumità della persona, per motivi di pregnante interesse pubblico previsti dalla legge, nell’ambito della medicina diagnostico-preventiva (art. 9, par. 2, GDPR). Prima di poter procedere alla raccolta e al trattamento di dati biometrici, tuttavia, il titolare del trattamento, e cioè il soggetto responsabile della correttezza e liceità della raccolta di dati, è chiamato a svolgere una c.d. valutazione di impatto (art. 35 GDPR) della tecnologia che intende usare sui diritti imprescindibili del soggetto interessato, che deve poter mantenere il controllo sui propri dati, e a tenere un registro dei trattamenti effettuati (art. 30 GDPR), da tenere pronto a esibire alle autorità nazionali competenti in caso di necessità.

Nonostante, dunque, il trattamento di dati biometrici dovrebbe essere limitato a ipotesi prestabilite, soprattutto se raccolti in grande numero, nella prassi si fa sempre più ricorso a queste tecnologie^[3], specialmente da parte delle pubbliche amministrazioni, in assenza, spesso, di una specifica normativa nazionale che regolamenti le modalità di esercizio di questo tipo di trattamenti – e con il rischio, dunque, di trattamenti arbitrari e lesivi dei diritti dei cittadini.

Diritti a rischio

L’intrinseca pericolosità di queste tecnologie, tuttavia, è tornata a far discutere con la recente presa di Kabul, quando è emerso che il regime talebano si era impossessato dei database in cui l’esercito statunitense in missione in Afghanistan aveva registrato i dati biometrici dei propri collaboratori locali^[4]. I dati biometrici, infatti, poiché sono in grado di identificare univocamente – o quasi, a seconda dell’affidabilità della tecnologia impiegata – possono trasformarsi in uno strumento di controllo generalizzato e diffuso della popolazione, un rischio particolarmente elevato nei Pasi non occidentali, dove aumentano le campagne di raccolta massiccia dei dati da parte di Stati spesso autoritari.

Come racconta l’attivista messicano Luis Fernando García, si rischia di andare verso un nuovo tipo di regime, dove il controllo sui cittadini assume carattere quasi dispotico^[5]. Parimenti, in Brasile, il monitoraggio della popolazione attraverso i loro dati biometrici è stato accolto con favore dalla maggior parte delle varie fazioni politiche, mentre crescono i timori che queste tecnologie possano avere come unico effetto quello di aumentare la discriminazione e la repressione della popolazione di colore^[6].

Queste pericolose derive, tuttavia, si cominciano a registrare anche in Europa, dove i servizi di controllo e di monitoraggio dei flussi immigratori da Paesi terzi rispetto all’Unione europea corre il rischio di trasformarsi in uno strumento di sorveglianza diffusa e indiscriminata^[7], e anche in Italia, dove alcune amministrazioni comunali, in assenza di una specifica base giuridica, che le autorizzasse a procedere in tal senso, hanno stanziato ingenti fondi per impianti di videosorveglianza con sistemi di riconoscimento facciale integrato^[8].

È dunque indubbio come i dati biometrici siano raccolti con sempre maggiore frequenza, per fini molto diversi tra di loro. La difficoltà di saggiare la liceità dei trattamenti posti in essere, tuttavia, unita ad una scarsa educazione digitale, possono creare gravi rischi per gli individui e per la collettività. Secondo Sandra Wachter, docente di Data Ethics presso l’Oxford Internet Institute, i rischi collegati ai dati biometrici sono davvero troppi per essere ignorati. Prendendo a riferimento il caso delle mense inglesi, la docente ritiene che l’obiettivo perseguito dall’amministrazione scolastica, e cioè quello, forse, di rendere più veloci le operazioni di ingresso alla mensa, viene pagato con un prezzo molto caro, e cioè la riservatezza e il diritto all’immagine di migliaia di minori, che per il solo fatto della loro età dovrebbero essere più tutelati.

A questioni etiche, tuttavia, si accompagnano anche preoccupazioni pratico-operative, poiché nel caso di trattamento di dati biometrici, in assenza di linee guida internazionali e condivise, non è agevole risalire a dove si trovino i server, con quale misura di sicurezza siano protetti, e dopo quale lasso temporale i dati vengono cancellati.

Conclusioni

Alla luce di queste considerazioni, è possibile affermare che utilizzare la privacy e i dati personali come moneta di scambio per avere servizi – forse – più efficienti sembra stridere con i valori identitari su cui si fonda il costituzionalismo europeo. Secondo Stephanie Hare, autrice di Technology Ethics, l’assenza di una normativa più incisiva e di un’adeguata conoscenza dei propri diritti nella sfera digitale possono portare ad un ulteriore rischio, quello di condizionare intere società ad abituarsi a rapporti sempre più invasivi con la tecnologia.

Nonostante le lusinghe delle grandi aziende dell’industria digitale e la tendenziale normalizzazione dell’utilizzo, a livello globale, di questo particolare tipo di dati da parte dei governi nazionali, permangono molti rischi per i diritti dei cittadini.

Questo articolo è stato scritto da un’articolista di DirittoConsenso, partner di LegalTech Italia.

BIBLIOGRAFIA

BARBERA A., FUSARO C., Corso di diritto costituzionale, Ed. Il Mulino, quinta edizione (2020).

PASCUZZI G., Il diritto dell’era digitale, Ed. Il Mulino, quinta edizione (2020).

BASSINI M., Internet e libertà di espressione. Prospettive costituzionali e sovranazionali, Aracne editrice, 2019.

GIANNONE CODIGLIONE G., La tutela della riservatezza, in SICA S., ZENO-ZENCOVICH V. (a cura di), Manuale di diritto dell’informazione e della comunicazione, Wolters Kluwer, 2020.

European Union Agency for Fundamental Rights (EFRA) e Consiglio d’Europa, Handbook on European data protection law, Lussemburgo, 2018.

https://www.dirittoconsenso.it/2018/01/07/la-privacy-e-il-trattamento-dei-dati-personali/ .

^[1] La notizia, rilanciata dalla testata online The Verge, può essere letta qui: https://www.theverge.com/2021/10/18/22732330/uk-schools-facial-recognition-lunch-payments-north-ayrshire.

^[2] Il testo del Regolamento, in italiano, può essere consultato sul sito del Garante per la protezione dei dati personali: https://www.garanteprivacy.it/il-testo-del-regolamento.

^[3] L’utilizzo di tecnologie che sfruttano dati biometrici era circoscritto, in origine, ad operazioni militari, anche internazionali, rivolte a missioni di massima sicurezza o ad attività di lotta al terrorismo internazionale. Già negli anni scorsi, tuttavia, nei momenti in cui la lotta a questo fenomeno transnazionale era particolarmente intesa, il Counter-Terrorism Office delle Nazioni Unite aveva divulgato delle linee guida per un ricorso sostenibile e responsabile ai dati biometrici. Il report, in inglese, può essere consultato qui: https://www.unodc.org/pdf/terrorism/Compendium-Biometrics/Compendium-biometrics-final-version-LATEST_18_JUNE_2018_optimized.pdf .

^[4] Fonte: https://www.bbc.com/news/technology-58245121.

^[5] L’intervista può essere recuperata qui: https://restofworld.org/2021/the-dystopian-danger-of-a-mandatory-biometric-database-in-mexico/.

^[6] Fonte: https://restofworld.org/2021/brazil-facial-recognition-surveillance-black-communities.

^[7] Fonte: https://www.theguardian.com/world/2021/sep/08/eu-seeking-to-turn-migrant-database-into-mass-surveillance-tool.

^[8] Fonte: https://www.ilfattoquotidiano.it/2021/10/04/udine-il-comune-stanzia-675mila-euro-per-67-videocamere-a-riconoscimento-facciale-ma-non-possono-essere-usate-per-ora/6338822/.

Il 1° novembre 2023, il Comitato europeo per la protezione dei dati ha emesso una decisione vincolante imponendo a Meta, società madre di Facebook e Instagram, di interrompere l’uso dei dati personali degli utenti per fini di marketing senza consenso esplicito. Questa mossa segue precedenti controversie sulla privacy, compreso uno scandalo del 2018 su Facebook, con l’autorità di protezione dei dati irlandese che ha già multato Meta per violazioni del GDPR. La decisione del Comitato europeo mira a far rispettare norme sulla protezione dei dati, vietando a Meta di utilizzare il legittimo interesse come base giuridica per trattare i dati degli utenti europei a fini pubblicitari. In risposta, Meta ha introdotto un servizio di abbonamento a pagamento senza pubblicità per Facebook e Instagram nell’UE, cercando di conformarsi al GDPR e mitigare preoccupazioni sulla profilazione dei dati. Tuttavia, la possibilità di interrompere la profilazione è riservata agli utenti a pagamento, sollevando interrogativi sulla monetizzazione del consenso e suscitando attenzione sulle strategie di Meta.