I sistemi di rilevazione biometrica hanno ad oggetto dati ricavati dalle caratteristiche fisiche o comportamentali di un individuo, risultanti in un modello di riferimento preordinato al riconoscimento della persona.
Se a tutti è noto che il dato biometrico è un dato personale , ai più, tuttavia, sfugge che esso è un dato assolutamente sui generis, e ciò tanto per la natura dello stesso quanto per le implicazioni giuridiche del relativo trattamento. Basti considerare, in relazione a quest’ultimo profilo, che i dati biometrici – pur rappresentati in via normativa tra i dati cd. semi-sensibili – possono, in alcuni casi, rientrare nella categoria dei dati sensibili , con le conseguenze che ne derivano.
Il trattamento dei predetti dati richiede, quindi, elevate cautele per prevenire possibili pregiudizi a danno degli interessati (i quali, peraltro, avrebbero non poche difficoltà a dimostrare l’eventuale falsificazione della propria identità biometrica).
Proprio per le criticità che connotano il dato biometrico, il trattamento delle caratteristiche fisiche e comportamentali di una persona, ai fini del riconoscimento della stessa, costituisce oggetto di un vivace dibattito dottrinale, nell’ambito del quale, secondo molti, ad oggi non è possibile individuare soluzioni condivise, definitive ed appaganti.
Non si ritiene di condividere questa opinione, poiché, sebbene la materia sia complessa e di non immediata decifrazione, riteniamo raggiunte alcune certezze, di cui si dirà.
L’Autorità Garante per la protezione dei dati personali ha avuto modo di occuparsi della tematica in esame in diverse occasioni.
Con Comunicato del 09.05.2006, il Garante ha individuato una sorta di “decalogo” per il corretto utilizzo dei dati biometrici, nel quale spiccano anche prescrizioni di carattere tecnico, in parte riprese dalla successiva Deliberazione n.53 del 26.11.2006.
E’ stato precisato, in particolare, che nei casi in cui sia possibile far ricorso a dati biometrici la centralizzazione delle informazioni in una banca dati non risulta consentita, in quanto, alla luce del principio di cui all’art. 3 del D.Lgs.196/03 (principio di necessità), i sistemi informativi devono essere configurati in modo da ridurre al minimo l’utilizzo di dati personali.
In luogo, quindi, di modalità centralizzate di trattamento dei dati biometrici devono adottarsi soluzioni di riconoscimento biometrico basate su modelli, protetti con chiave crittografica, residenti in supporti posti nell’esclusiva disponibilità dell’interessato e privi dell’immagine o di indicazioni nominative riferibili a quest’ultimo, sì che siano remote le possibilità di abuso dei dispositivi in caso di smarrimento degli stessi.
Per disposto dell’Autorità Garante, inoltre, i dati raccolti non possono di regola essere conservati per oltre sette giorni e, anche quando detto arco temporale possa essere protratto, vanno assicurati idonei meccanismi di cancellazione automatica dei dati.
In via di estrema sintesi, si rileva che l’Autorità, con particolare riguardo all’ambito lavorativo, ha ritenuto illecito l’utilizzo generalizzato e incontrollato dei dati biometrici, in quanto detto può essere giustificato solo in casi specifici, in relazione alle finalità perseguite e al contesto in cui essi sono trattati (per esempio, accesso ad aree dell’azienda per le quali debbano essere adottati livelli di sicurezza particolarmente elevati in ragione di specifiche circostanze o delle attività ivi svolte).
Nella maggioranza delle occasioni in cui tratta del tema, peraltro, il Garante sembra non distinguere il concetto di autenticazione e quello di identificazione; concetti che, come insegnano (anche) i Garanti europei nel “Documento di lavoro del 01.08.2003”, devono essere tenuti, invece, ben differenziati.
Per autenticazione si intende quel processo finalizzato a verificare che l’incaricato che chiede di accedere ad un determinato sistema sia effettivamente colui che dichiara di essere, attraverso la verifica della sua identità basata sull’elaborazione di dati che si riferiscono all’incaricato medesimo. L’autenticazione, dunque, risponde alla domanda: “Tizio è la persona che dichiara di essere?”, e il sistema prende una decisione 1:1 (sì/no). L’identificazione, invece, consiste in quel processo in forza del quale un sistema riconosce un individuo, e ne accerta l’identità, confrontando i dati del medesimo con quelli di una molteplicità di soggetti, i cui dati sono a loro volta registrati, dando, quindi, risposta alla domanda: “Chi è Tizio?”; il sistema, in tal caso, prende una decisione 1:n.
Ciò premesso, va osservato che l’utilizzo di elementi biometrici come credenziali di autenticazione al fine di trattare i dati con strumenti elettronici è espressamente contemplato dalla Regola 2 del Disciplinare tecnico in materia di sicurezza , Allegato B al Codice.
A mente di detta Regola, infatti, “le credenziali di autenticazione consistono”, tra l’altro, “in una caratteristica biometrica dell’incaricato, eventualmente associata a un codice identificativo o a una parola chiave”.
Tenuto conto del chiaro dettato normativo che precede, l’autenticazione informatica è misura di sicurezza che pare legittimare “in re ipsa” l’utilizzo di dati biometrici, a prescindere dalla sussistenza di ulteriori particolari finalità.
A tale conclusione sembra pervenire, del resto, lo stesso Garante, il quale, nel Provvedimento 21.07.2005, individua la finalità di sicurezza del trattamento dei dati personali quale autonoma causa di giustificazione per il trattamento dei dati biometrici, accanto a quella, più generica, che rimanda alle finalità perseguite e al contesto in cui essi sono trattati, da valutarsi caso per caso.
Non tragga in inganno la vicenda oggetto del Provv. 17.11.2010; detto riguarda una fattispecie che l’Autorità Garante qualifica come sistema di autenticazione su base biometrica volto a verificare la presenza in servizio del personale (finalità, quindi, che presuppone la previa identificazione dell’interessato). In verità, all’esito di un’attenta lettura del Provvedimento, si evince che il fine ivi descritto viene raggiunto non già mediante l’impiego del dato biometrico, bensì attraverso la (mera) lettura di un codice identificativo. Riportiamo, al proposito, un passo del Provvedimento (nostra la sottolineatura, n.d.a.): “I dipendenti sottoposti al rilevamento biometrico inserirebbero la card in un’apposita fessura, poggiando l’indice in un alloggio predisposto dell’apparecchio. Il dispositivo rileverebbe la corrispondenza dei dati contenuti nella card con quelli dell’indice e conseguentemente, poiché ad essa sarebbe associato un numero di identificazione del dipendente, ne rileverebbe la presenza al lavoro”. Va da sé che il dato biometrico risulta impiegato a fini di sicurezza (id est autenticazione informatica), restando detto estraneo al processo di identificazione cui il sistema è altresì preordinato.
Ciò precisato, a parere di chi scrive l’adozione di un sistema di autenticazione biometrica, quale misura di sicurezza espressamente contemplata dalla Regola 2 del Disciplinare tecnico, non richiede l’adempimento dell’onere di verifica preliminare da parte dell’Autorità Garante, prevista dall’art. 17 del Codice. E ciò sebbene ci sia noto che la prassi è improntata a maggior cautela: cfr., ad esempio, il Provv. 28.02.2008, le cui indicazioni sono dettate in relazione ad un dispositivo di rilevamento delle impronte vocali quale misura di autenticazione, sottoposto al vaglio del Garante da Michelin Italiana Spa.
continua nel post successivo…