“L’identità è inseparabile dalla personalità umana. Un’identità è una dichiarazione di chi è un individuo. Le nostre identità definiscono chi siamo. Esprimono ciò che vorremmo che il mondo conoscesse di noi”[2]: con queste parole il giudice D. Chandrachud della Corte Suprema indiana ha voluto mettere in estrema evidenza l’unicità e la complessità del concetto di “identità”, la quale è generalmente associata al termine di “riconoscimento”, ossia quell’insieme di procedure che – per quanto qui d’interesse – permettono, mediante sistemi tecnologici di intelligenza artificiale[3] (per loro natura, innovativi e sofisticati), di associare l’identità a un determinato soggetto. Stiamo parlando del riconoscimento biometrico.
Tali strumenti di riconoscimento si fondano – in misura ancor più ampia rispetto al passato – sull’utilizzo di dati personali[4] dal carattere unico, ovverosia i dati biometrici. Questi ultimi – seguendo la definizione più recente fornita dal Regolamento UE n. 679/2016 (GDPR) all’art. 4 n. 14 (da leggersi, in combinato disposto, con l’art. 9 e il Considerando n. 51) – sono “i dati personali ottenuti da un trattamento specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici” (es. impronte digitali; struttura del volto; caratteristiche della voce): i dati biometrici cambiano, quindi, in maniera irreversibile, la relazione tra il corpo e l’identità, giacché le caratteristiche del corpo umano possono essere “lette” da un macchina, e sottoposte a un successivo trattamento.
Il riconoscimento biometrico garantisce l’unicità della persona
Sebbene alcune forme di riconoscimento biometrico[5] abbiano origini risalenti, è solo a partire dal secolo scorso (e ancor più in quello attuale) che si registra una crescente espansione dell’impiego di questa forma di determinazione dell’identità, al punto da essere utilizzata, in particolar modo, nella sicurezza delle transazioni finanziarie, nella prevenzione delle frodi, nella selezione degli utenti e conseguente disciplina del loro “accesso fisico” (accertamento della legittimazione di un soggetto all’ingresso in un’area) ovvero “accesso logico” (accertamento della titolarità del soggetto a usufruire di una risorsa informatica): il sistema di riconoscimento biometrico, dunque, è in grado garantire l’unicità della persona.
Come anticipato, l’utilizzo delle tecniche biometriche[6] è volto, nella maggior parte dei casi, a realizzare delle procedure di riconoscimento di un individuo, basate su una verifica ovvero su un’identificazione a carattere biometrico.
Nel dettaglio, laddove il processo biometrico si fondi sulla verifica dell’identità dell’interessato, il confronto viene effettuato tra un determinato modello biometrico associato all’identità dichiarata dall’utente nella fase assertiva (ad esempio, mediante l’inserimento di un codice utente ovvero l’utilizzo di un badge a varia tecnologia) e il modello biometrico generato al momento della richiesta di riconoscimento (cd. approccio “one to one”).
Diverso è, invece, il sistema di identificazione che prevede un approccio cd. one to many e che, quindi, presuppone l’esistenza di un database contenente molteplici dati biometrici appartenenti ad un numero di soggetti generalmente elevato: in tal caso, il match viene effettuato controllando la corrispondenza del dato biometrico prelevato al momento dell’identificazione con tutti quelli contenuti nella banca dati.
Riconoscimento biometrico: casi pratici nella giurisprudenza comunitaria e nazionale
Tanto premesso, l’attualità della tematica è testimoniata, con forza ed evidenza, da alcune fattispecie emblematiche che hanno interessato, all’interno di differenti paesi dell’Unione Europea, giudici, legislatori e autorità nazionali per la protezione dei dati personali, ivi incluso (naturalmente) il Garante della Privacy italiano; oltre i nostri confini nazionali, è, infatti, degna di rilievo la normativa francese in materia di ficher Titre electroniques securises (TES) (esempio di “one to many”) nonché la (discussa) legislazione belga in materia di carta d’identità elettronica (esempio di “one to one”).
In relazione al territorio francese, con sentenza n. 404966 del 3.10.2018 il Conseil d’Etat si è dovuto pronunciare su un’istanza di annullamento del Decret n. 1480/2016, il quale prevede l’istituzione di un database (TES), posto sotto il controllo del ministero dell’Interno francese e deputato alla conservazione dei dati personali e biometrici in occasione dell’erogazione delle carte d’identità. In tal caso, il Conseil d’Etat ha ritenuto adeguato il trattamento posto in essere, giacché volto a eseguire una specifica finalità di trattamento, ossia quella di permettere il rilascio del documento d’identità in questione (e, pertanto, migliorare l’efficacia del controlli), mediante l’implementazione di misure di sicurezza adeguate a scongiurare possibili abusi nelle fasi di utilizzo e di accesso ai dati[7].
Come poc’anzi anticipato, il dibattito sull’utilizzo dei dati biometrici a scopo di riconoscimento è fortemente sentito ed attuale non solo rispetto alle modalità di identificazione one to many, bensì anche con riferimento ai sistemi one to one. Esemplificativa di tale tendenza è la vicenda che ha visto come protagonista il Belgio negli ultimi mesi del 2018.
Il Parlamento nazionale ha approvato una legge[8] integrante l’obbligo di inserire, a partire dal mese di aprile 2019, due impronte digitali (oltre alla fotografia del soggetto richiedente) all’interno del documento d’identità in formato elettronico[9]. Tuttavia, questa decisione non ha mancato di sollevare dubbi e, soprattutto, critiche: nello specifico, il Garante della Privacy belga (Autoritè de Protection des donnes, APD) ha espresso il proprio parere sfavorevole, ritenendo non rispettato il principio di proporzionalità (oltre all’assenza di adeguate misure di sicurezza), giacché il Governo nazionale non aveva fornito adeguate prove attestanti l’inefficacia ovvero l’insufficienza delle misure di garanzia di sicurezza e di autenticità relative alle carte d’identità già esistenti (che contengono un ologramma e l’immagine del titolare).
Con riguardo all’ambito italiano[10], il Garante della Privacy – dopo essere intervenuto, in passato, su interpello da parte dei Titolari del trattamento, mediante l’emanazione di propri provvedimenti di verifica preliminare – ha deciso di definire, tramite le già citate Linee Guida in materia di riconoscimento biometrico[11], un quadro unitario di misure ed accorgimenti di carattere tecnico, organizzativo e procedurale al fine di accrescere i livelli di sicurezza dei trattamenti biometrici.
In merito, il Garante – premettendo che il trattamento dei dati biometrici deve conformarsi ai consueti principi in materia (oggi racchiusi all’interno del GDPR), a cui deve accompagnarsi l’applicazione dei necessari adempimenti giuridici – ha individuato, con provvedimento generale (contestuale all’adozione delle citate Linee Guida), una serie di specifiche tipologie di trattamenti ritenute legittime, di seguito illustrate solo in via esemplificativa: autenticazione informatica; controllo di accesso fisico ad aree aziendali cd. sensibili; sottoscrizione di documenti informatici.
Inoltre, l’autorità garante nazionale ha tenuto a ricordare la necessità di un uso limitato degli strumenti di rilevazione biometrica, incentivando, pertanto, l’utilizzo di mezzi alternativi meno invasivi della sfera personale, della libertà individuale e che non coinvolgono il corpo del soggetto interessato.
In proposito, degni di rilievo sono i recenti interventi del Garante della Privacy italiano, il quale ha ritenuto lecito il trattamento, da parte di un aeroporto, dei dati biometrici (effettuato mediante la morfologia del volto) al fine di monitorare il numero dei passeggeri transitanti pressi i punti critici (e, di conseguenza, per migliorare il servizio pubblico da rendere)[12]. Ha, parimenti, ritenuto lecito il trattamento (in via sperimentale), da parte di un datore di lavoro privato, di dati personali biometrici (basato su sistemi di riconoscimento vocale e facciale) dei prestatori di lavoro al fine di consentire la visualizzazione della propria busta paga e di altri documenti[13].
Da ultimo, con specifico riguardo all’ambiente di lavoro, si segnala che il Garante della Privacy ha precisato, in varie occasioni, che l’utilizzo dei dati biometrici non può avvenire in modo generalizzato e incontrollato, bensì può essere giustificato soltanto in casi speciali quali, ad esempio, il presidio all’accesso di aree aziendali cd. sensibili[14].
In conclusione, giova ricordare che, proprio in ambito lavorativo, è sempre più diffuso l’utilizzo di strumenti appartenenti al settore della cd. Internet of Things[15] (IoT) i quali – previa attivazione degli stessi mediante il trattamento dei dati biometrici dello specifico lavoratore – consentono, grazie all’interconnessione con la rete internet aziendale, di migliorare la sicurezza sul luogo di lavoro (es. localizzare, in caso di emergenze o necessità, l’esatta posizione del lavoratore) ovvero di fornire un tempestivo supporto a quest’ultimo, laddove necessario.
Cos’è il riconoscimento biometrico
Il riconoscimento biometrico è un particolare tipo di sistema informatico che ha la funzionalità, e lo scopo, di identificare una persona sulla base di una o più caratteristiche biologiche e comportamentali (cosiddetta biometria); i dati rilevati vengono confrontati con i dati precedentemente acquisiti e presenti in un database, utilizzando algoritmi matematici e per mezzo di componenti hardware per l’acquisizione dei dati.
Come funziona
Le soluzioni attualmente in uso prevedono l’uso di telecamere e droni. In queste soluzioni, il software basato sull’intelligenza artificiale permette di identificare le persone, ma anche gli oggetti sulle persone, ad esempio può rivela se una persona indossa un dispositivo di sicurezza obbligatorio (giubbetto, scarpe, occhiali, mascherina) o il comportamento, permesso o proibito. Questo tipo di software potenziati dall’AI è in grado di rilevare se la persona oggetto del controllo si trova in zone in cui non si dovrebbe recare (ad esempio all’interno di un impianto), o se utilizza oggetti senza averne l’autorizzazione.
- Con Provvedimento n. 60 del 16.2.2017, il Garante della Privacy ha autorizzato l’utilizzo, da parte di un datore di lavoro privato, di un impianto di controllo accessi biometrico (con riconoscimento facciale) al fine di consentire l’ingresso allo stabilimento soltanto al personale autorizzato, stante l’elevato valore dei beni prodotti; con Provvedimento n. 357 del 15.9.2016, il medesimo Garante ha autorizzato l’utilizzo, da parte di un datore di lavoro pubblico, di un sistema di lettura dei dati biometrici (mediante l’identificazione dell’impronta digitale) del personale al fine di garantire la sicurezza degli accessi e, soprattutto, al fine di eliminare il fenomeno del cd. assenteismo. ↑
- “Identity is inseparable from the human personality. An identity is a statement of who an individual is. Our identities define who we are. The express what we would wish the world to know us as”: v. Dissenting Opinion, Giudice D. Chandrachud, Justice Puttaswamy, v. Union of India, sentenza del 26.9.2018, Corte Suprema Indiana. ↑
- “L’intelligenza artificiale non è fantascienza: fa già parte delle nostre vite”: così la Commissione Europea nella Comunicazione al Parlamento Europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle Regioni, “L’intelligenza artificiale per l’Europa”, 25.4.2018; “L’intelligenza artificiale sarà più grande dell’elettricità o del fuoco”, Sundar Pichai, CEO di Google. ↑
- I dati rappresentano il “nuovo petrolio”, secondo la celebre metafora del The Economist, The world’s most valuable resource is no longer oil, but data, pubblicato il 6.5.2017. ↑
- La biometria – dalle parole greche “bios” (vita) e “metros” (conteggio, misura) – è la scienza che studia la misurazione delle variabili fisiologiche o comportamentali tipiche degli organismi; definizione di “riconoscimento biometrico”: “riconoscimento di individui basato su loro caratteristiche biologiche o comportamentali, includendo in tale accezione le nozioni di verifica biometrica e di identificazione biometrica”: v. Linee Guida in materia di riconoscimento biometrico – Allegato A) al Provvedimento del Garante della Privacy del 12.11.2014. ↑
- Esempi di tecniche biometriche: a) sistemi interattivi e passivi: i primi prevedono la cooperazione dell’interessato e richiedono la sua consapevole partecipazione durante la fase di raccolta del dato; i secondi raccolgono il dato senza che l’interessato ne abbia piena percezione o consapevolezza – b) sistemi biologici e comportamentali: i primi sono legati a tratti fisici, morfologici o fisiologici, mentre i secondi sono collegati ad azioni ed atteggiamenti dell’individuo – c) strumenti traccianti e non traccianti: i primi si basano su caratteristiche biometriche che lasciano tracce nell’ambiente, al contrario dei secondi che non lasciano alcuna traccia. ↑
- La problematica e i timori sollevati in occasione dell’introduzione di un data base centralizzato di raccolta di impronte digitali non è però stata trattata dai giudici francesi solo in quell’occasione; infatti, se ci si allontana dalla disciplina attinente la carta d’identità per analizzare quella riguardante il passaporto è possibile notare che il Conseil d’Etat si fosse già pronunciato in materia di raccolta e conservazione di dati biometrici nel 2008 con riferimento al Decret n. 426/2008 che prevedeva non solo la raccolta di ben otto impronte digitali, ma anche la costruzione di un data base centralizzato: in quell’occasione, il Consiglio di Stato aveva ritenuto illegittima – in quanto sproporzionata, eccessiva e non pertinente allo scopo – la richiesta di un numero così elevato di impronte, confermando tuttavia la legittimità della conservazione in un repository nazionale. La Francia può essere considerato uno stato membro pioniere nel settore: l’autorità francese per la protezione dei dati ha registrato, dal 2005 al 2014, n. 4850 sistemi biometrici nei seguenti settori: controllo dell’orario di lavoro; istruzione; istituzioni; ricerca scientifica; servizi commerciali. ↑
- Loi portant des dispositions diverses concernant le Registre national et les registres de population del 14 novembre 2018, che modifica la Legge del 19 Luglio 1991. ↑
- Tale misura non prevede la creazione di un data base centralizzato, bensì solamente l’inserimento di dati biometrici all’interno di un chip nel documento, imponendo la distruzione dei dati stessi dopo un periodo massimo di tre mesi dalla raccolta. ↑
- Nella normativa italiana il primo riferimento alla biometria si rinviene nell’art. 1 lettera g) del D.P.R. n. 513/1997 che, nel qualificare giuridicamente il documento informatico e la firma digitale, definisce “chiave biometrica” la “sequenza di codici informatici utilizzati nell’ambito di meccanismi di sicurezza che impiegano metodi di verifica dell’identità digitale basati su specifiche caratteristiche fisiche dell’utente”. ↑
- Allegato A) al Provvedimento del Garante della Privacy del 12.11.2014, basato sul Parere n. 3/2012 denominato “sugli sviluppi nelle tecnologie biometriche” adottato il 27.4.2014 da parte del Gruppo di lavoro Art. 29 per la protezione dei dati. ↑
- Provvedimento n. 155 del 15.3.2018. ↑
- Provvedimento n. 438 del 27.10.2016. ↑
- Con Provvedimento n. 60 del 16.2.2017, il Garante della Privacy ha autorizzato l’utilizzo, da parte di un datore di lavoro privato, di un impianto di controllo accessi biometrico (con riconoscimento facciale) al fine di consentire l’ingresso allo stabilimento soltanto al personale autorizzato, stante l’elevato valore dei beni prodotti; con Provvedimento n. 357 del 15.9.2016, il medesimo Garante ha autorizzato l’utilizzo, da parte di un datore di lavoro pubblico, di un sistema di lettura dei dati biometrici (mediante l’identificazione dell’impronta digitale) del personale al fine di garantire la sicurezza degli accessi e, soprattutto, al fine di eliminare il fenomeno del cd. assenteismo. ↑
- Per approfondimenti sul tema: v. Parere n. 8/2014 intitolato “sui recenti sviluppi nel campo dell’Internet degli oggetti” adottato il 16.9.2014 da parte del Gruppo di lavoro Art. 29 per la protezione dei dati. ↑