Mentre molti paesi nel mondo, con la Cina in testa alla classifica, raccolgono sempre più dati biometrici delle persone, che ne accettano l’uso nonostante riconoscano che si tratta di dati sensibili, le nazioni europee – probabilmente anche grazie ai limiti imposti dal GDPR – sembrano le più attente ai diritti e alla libertà dei loro cittadini e dei loro lavoratori.
Nonostante ciò, anche da noi si sono diffusi una serie di falsi miti sul tema della biometria. Ma partiamo da ciò che sappiamo.
L’espressione “dati biometrici” fa riferimento a quei dati personali ottenuti da trattamenti tecnici specifici relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca.
Gli esempi più comuni sono senza dubbio la fisionomia del volto e le impronte digitali, frequentemente utilizzate per l’autenticazione (ad es. per sbloccare lo smartphone, in sostituzione al più classico PIN), ma anche la firma grafometrica, basata su specifiche caratteristiche della scrittura, quali velocità, pressione della penna, accelerazione e il movimento, che permettono di ricondurle al suo autore.
I primi due casi, in particolare, rientrano nella categoria della biometria fisiologica: i dati trattati identificano direttamente la persona (non a caso, fotografie e ritratti sono considerati dati biometrici solo se trattate attraverso tecnologie che, appunto, consentono l’identificazione della persona). Altri esempi, meno diffusi, sono l’iride o la retina dell’occhio, le vene del palmo della mano, o la sua impronta.
La firma grafometrica si collega invece al tema della biometria comportamentale: tali dati consentono unicamente di valutarne la riferibilità a una persona di cui siano stati precedentemente acquisiti e registrati (infatti, le caratteristiche del tratto grafico sono indipendenti dal nome effettivamente scritto, che potrebbe non corrispondere a quello reale dell’autore). Ulteriori esempi di questa tipologia di identificatori si trovano nell’impronta vocale, nello stile di battitura sulla tastiera, o nell’andatura del passo.
A prescindere da questa distinzione, i dati biometrici, com’è noto, rientrano tra le categorie particolari di dati personali il cui trattamento è vietato, a meno che non si rientri in uno degli specifici casi elencati all’art.9.2 GDPR, primo fra tutti il consenso esplicito dell’interessato. Oltre alla base giuridica per il loro trattamento, dovrebbero sempre innescare l’attenzione sul tema della privacy-by-design, attraverso lo svolgimento di una valutazione d’impatto ex art. 35 GDPR, e ciò soprattutto considerando i criteri suggeriti dal Gruppo di lavoro art.29 nelle Linee Guida WP248. Infatti, qualsiasi trattamento di dati biometrici:
1. presenterà un rischio intrinseco, avendo ad oggetto dati altamente personali, e
2. potrà (facilmente) essere connesso a un uso innovativo di soluzioni tecnologiche od organizzative.
Lo stesso Garante italiano, attraverso il Provvedimento n. 467/2018, ha esteso l’obbligo di svolgere una DPIA a tutti i casi di “trattamento sistematico di dati biometrici” – tenendo conto del volume dei dati, della durata, della persistenza, e dell’attività di trattamento. La valutazione d’impatto, tipicamente associata al processo di gestione dei rischi di un trattamento, ancor prima di questo, comporterà una riflessione sui principi di necessità e proporzionalità di un trattamento. Ad esempio, ha fatto notizia la sanzione, disposta dall’Autorità garante svedese a una scuola superiore, in seguito all’installazione di un sistema di riconoscimento facciale utilizzato per monitorare la presenza degli studenti alle lezioni: tra gli aspetti contestati, il fatto che il controllo delle presenze si potesse svolgere con altri sistemi certamente meno intrusivi o invadenti.
Sull’uso della biometria, risulta poi di notevole interesse la nota tecnica del 23 Giugno 2020 presentata dall’Autorità garante spagnola (AEPD). Il documento, infatti, ponendosi l’obiettivo di offrire informazioni sull’uso di queste tecnologie, risolve e chiarisce i più frequenti equivoci, idee sbagliate o inesattezze relative al modo in cui i dati biometrici incidono sulla protezione dei dati. Vediamo quindi alcuni dei più comuni falsi miti sfatati nell’analisi dell’AEPD.
“L’AUTENTICAZIONE BIOMETRICA È PIÙ SICURA”
No. L’utilizzo della sola biometria, di per sé, non rende un sistema più sicuro. Per parlare di autenticazione forte, occorre aggiungere e variare gli elementi richiesti per la stessa: qualcosa “che si conosce” (come una password), qualcosa “che si ha” (come un badge), qualcosa “che si è” (una caratteristica biometrica).
Anche i processi di identificazione o autenticazione biometrici, poi, possono essere aggirati attraverso tecniche (non necessariamente sofisticate) che permettono di assumere l’identità di un’altra persona.
In aggiunta, la gran parte delle caratteristiche biometriche rimangono esposte, dal momento che non possiamo nascondere il volto, le impronte digitali e gli altri elementi che ci rappresentano. Quindi, in mancanza di precise misure a contrasto di un uso non autorizzato di dati biometrici, il loro utilizzo equivale a tenere le password scritte in fronte.
Il problema appare più chiaro se ipotizziamo di subire un Data Breach che comporti l’accesso non autorizzato a dati biometrici: il suo impatto si estenderebbe inevitabilmente su ogni altro sistema che utilizzasse gli stessi dati, a ricordarci quei saggi che consigliano di non utilizzare la stessa password su sistemi diversi. Con la differenza che, una volta compromessi, i dati biometrici non possono essere sostituiti.
“I SISTEMI BASATI SULLA BIOMETRIA SONO PIÙ ACCURATI”
Il senso comune vuole che l’identificazione e l’autenticazione biometrica siano accurate o più accurate di altri metodi. Al contrario, mentre l’utilizzo di credenziali e password ci porta davanti a due opzioni (o sono corrette, o sono errate), le tecnologie basate sugli identificatori biometrici sfruttano metodi probabilistici che, a seconda della specifica tecnologia, possono generare diversi tassi di falsi positivi e falsi negativi.
Il tasso di errore, poi, può variare sulla base delle condizioni ambientali (come la luminosità) o di altri fattori non controllabili (si pensi all’effetto delle mascherine anti-contagio sul riconoscimento facciale). Non è nemmeno vero che l’identificazione biometrica sia sempre in grado di distinguere due persone, data la somiglianza che può esserci tra fratelli, gemelli, o altri parenti.
“TUTTE LE ELABORAZIONI BIOMETRICHE IMPLICANO L’IDENTIFICAZIONE DELLE PERSONE”
Se, da una parte, i dati biometrici – per definizione – consentono l’identificazione di una persona, non è invece necessariamente vero che qualsiasi loro elaborazione si debba svolgere con questa finalità. Vi sono applicazioni di tecnologie basate sull’elaborazione biometrica finalizzate a distinguere umani da robot (ad es. sul web), esseri umani da animali (ad es. in sistemi anti-intrusione) o ancora differenziare maschi e femmine, o adulti e bambini, senza procedere ad una loro effettiva identificazione. Con tutte le facilitazioni del caso, dovendo mantenersi, almeno in UE, nel perimetro della compliance al GDPR.