Parere 3/2012- WP193

sugli sviluppi nelle tecnologiebiometriche

adottato il 27 aprile 2012

.

Sintesi

I sistemi biometrici sono strettamente legati all'individuo perchÈsono in grado di sfruttarne una caratteristica determinata e unica ai finidell'identificazione e/o dell'autenticazione. Mentre i dati biometrici di unapersona possono essere cancellati o modificati, la fonte da cui sono statiestratti non puÚ di norma essere nÈ modificata, nÈ cancellata.

I dati biometrici sono usati con successo ed efficacia nellaricerca scientifica; essi rappresentano inoltre un elemento chiave dellascienza forense e una valida componente dei sistemi di controllo dell'accesso.Questi dati sono in grado di aumentare il livello di sicurezza e facilitano leprocedure di identificazione e autenticazione rendendole veloci e agevoli. Inpassato, l'impiego di questa tecnologia era economicamente dispendioso e,pertanto, l'impatto sui diritti delle persone fisiche in materia di protezionedei dati era limitato. Negli ultimi anni questa situazione Ë mutatasostanzialmente: l'analisi del DNA Ë divenuta pi˘ rapida e accessibile quasiper tutti, il progresso tecnologico ha fatto diminuire il costo dello spazio diarchiviazione e della potenza di elaborazione, rendendo possibile la creazionedi album di immagini online e di social network contenenti miliardi difotografie. I lettori di impronte digitali e i dispositivi di videosorveglianzasono ormai un oggetto di consumo alla portata di tutti. Grazie al contributofornito dallo sviluppo di queste tecnologie, molte operazioni sono pi˘facilmente realizzabili, gli autori di numerosi reati sono stati individuati ei sistemi di controllo dell'accesso sono pi˘ affidabili; tuttavia, talesviluppo ha anche introdotto nuove minacce ai diritti fondamentali. Ladiscriminazione genetica Ë divenuta un problema concreto e il furto di identit‡un rischio non pi˘ teorico.

Se altre nuove tecnologie destinate al pubblico, che di recentehanno sollevato preoccupazioni riguardanti la protezione dei dati, non sononecessariamente incentrate sulla creazione di un legame diretto con un soggettospecifico oppure se la creazione di tale collegamento richiede un considerevoledispendio di tempo ed energie, i dati biometrici sono, proprio per la loronatura, direttamente collegati a una persona. Il che non Ë sempre un aspettopositivo, anzi comporta svariati svantaggi. Da un lato, per esempio, il fattodi dotare i sistemi di videosorveglianza e gli smartphone di sistemi diriconoscimento del volto basati su banche dati di social network potrebbefar venire meno l'anonimato e la circolazione non identificata delle persone;dall'altro, tuttavia, i lettori di impronte digitali, i lettori di vene o anchesolo un sorriso in una videocamera possono sostituire carte, codici, passworde firme.

Il presente parere affronta questi ed altri recenti sviluppi persensibilizzare sia le persone coinvolte, sia gli organi legislativi. Leinnovazioni tecniche, molto spesso presentate come tecnologie che servonosoltanto a migliorare la capacit‡ dell'utente e la fruibilit‡ delleapplicazioni, possono in realt‡ determinare, in assenza di adeguate garanzie,una graduale perdita di riservatezza. Pertanto, il parere individua misuretecniche e organizzative che mirano ad attenuare i rischi per la protezione deidati e la vita privata, e che possono contribuire a evitare conseguenzenegative sulla vita privata dei cittadini europei e sul loro dirittofondamentale alla protezione dei dati.

IL GRUPPO PER LA TUTELA DELLE PERSONECON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI,

HA ADOTTATO IL PRESENTE PARERE

1. Campo di applicazione del parere

Nel documento di lavoro sulla biometria del 2003 (WP80) il Gruppodi lavoro articolo 29 (in prosieguo: il "Gruppo di lavoro") ha preso inconsiderazione alcune problematiche in materia di protezione dei dati relativeall'utilizzo di tecnologie emergenti in grado di leggere e di elaborareelettronicamente dati biometrici. Negli anni passati Ë stato fatto un ampio usodi questa tecnologia nei settori pubblico e privato ed Ë stata sviluppata unaserie di nuovi servizi. Le tecnologie biometriche, che un tempo richiedevanol'investimento di importanti risorse finanziare o informatiche, sono divenutestraordinariamente pi˘ rapide ed economiche e l'uso di lettori di improntedigitali Ë oggi una consuetudine diffusa. Alcuni computer portatili, peresempio, contengono un lettore di impronte digitali per il controllo biometricodell'accesso. I progressi raggiunti nel campo dell'analisi del DNA consentonoattualmente di ottenere risultati in pochi minuti. Fra le tecnologie di recentecreazione ne esistono alcune, quali il riconoscimento del volto o dello schemadelle vene, che hanno gi‡ raggiunto un livello ottimale di sviluppo e il cuiimpiego in svariate situazioni della vita quotidiana Ë ormai imminente. Letecnologie biometriche sono strettamente connesse a talune caratteristichepersonali degli individui e alcune possono essere utilizzate per rivelare datisensibili. Inoltre, molte di queste tecnologie consentono il tracciamentoautomatizzato nonchÈ la localizzazione o la profilazione delle persone, per cuiil loro impatto potenziale sulla vita privata e sulla protezione dei dati dellepersone Ë elevato. Tale impatto Ë direttamente proporzionale alla crescentediffusione di queste tecnologie: qualsiasi individuo potrebbe essere registratoin uno o pi˘ sistemi biometrici.

Scopo del parere Ë fornire un quadro rivisto e aggiornato di lineeguida generali unificate e di raccomandazioni sull'applicazione dei principi diprotezione della vita privata e dei dati personali nelle applicazionibiometriche. Esso Ë rivolto alle autorit‡ legislative europee e nazionali,all'industria dei sistemi biometrici e agli utenti di tali tecnologie.

2. Definizioni

Le tecnologie biometriche non sono nuove e sono gi‡ state oggettodi vari pareri del Gruppo di lavoro. In questa sezione Ë riportato un elencodelle definizioni pertinenti, ove opportuno debitamente aggiornate.

Dati biometrici: come gi‡osservato dal Gruppo di lavoro nel parere 4/2007 (WP136), i dati biometricipossono essere definiti come propriet‡ biologiche, aspetti comportamentali,caratteristiche fisiologiche, tratti biologici o azioni ripetibili laddove talicaratteristiche e/o azioni sono tanto proprie di un certo individuo quantomisurabili, anche se i metodi usati nella pratica per misurarli tecnicamentecomportano un certo grado di probabilit‡.

I dati biometrici cambiano in maniera irreversibile la relazionetra corpo e identit‡, in quanto le caratteristiche del corpo umano possonoessere "lette" da una macchina e sottoposte a un successivo trattamento.

I dati biometrici possono essere archiviati e trattati in varimodi. Talvolta le informazioni di natura biometrica ottenute da una personasono archiviate e trattate in una forma grezza che permette di riconoscerne lafonte senza avere conoscenze specifiche (per esempio, la fotografia di unvolto, l'immagine di un'impronta digitale o la registrazione della voce).Talaltra, le informazioni di natura biometrica ottenute in forma grezza vengonotrattate in maniera da estrarre e salvare come modello biometrico soltantodeterminate caratteristiche e/o aspetti.

Fonte dei dati biometrici: la fonte deidati biometrici puÚ essere estremamente varia ed essere costituita daglielementi fisici, fisiologici, comportamentali o psicologici di una persona.Secondo il parere 4/2007 (WP136): le fonti di dati biometrici (per esempio,i campioni di tessuti umani) non possono essere considerate dati biometrici diper sÈ ma possono essere usate per la raccolta di dati biometrici (mediantel'estrazione di informazioni dalle fonti stesse).

Come indicato nel parere WP80, si distinguono due categorieprincipali di tecniche biometriche:

- esistono, in primo luogo, tecniche di tipo fisico e fisiologico che misurano lecaratteristiche fisiche e fisiologiche di una persona. Esse comprendono: laverifica delle impronte digitali, l'analisi dell'immagine delle dita, ilriconoscimento dell'iride, l'analisi della retina, il riconoscimento del volto,la geometria della mano, il riconoscimento della forma dell'orecchio, ilrilevamento dell'odore del corpo, il riconoscimento vocale, l'analisi dellastruttura del DNA, l'analisi dei pori della pelle, ecc.;

- in secondo luogo esistono tecniche di tipo comportamentale che misurano ilcomportamento di una persona. Esse comprendono la verifica della firmamanoscritta, l'analisi della battitura su tastiera, l'analisi dell'andatura, ilmodo di camminare o di muoversi, schemi che indicano percorsi mentali subconscicome il fatto di mentire ecc.

Occorre altresÏ tenere conto di un campo di tecniche emergente,basate sulla psicologia, in cuifigura la misurazione della risposta a situazioni concrete o test specifici perl'eventuale corrispondenza a un determinato profilo psicologico.

Modello biometrico: dalla formagrezza dei dati biometrici Ë possibile estrarre caratteristiche principali (peresempio, misurazioni del volto da un'immagine) e conservarle per sottoporle atrattamento in un secondo tempo, al posto degli stessi dati grezzi. In tal casosi parla di modello biometrico dei dati. La definizione delle dimensioni (laquantit‡ di informazioni) del modello Ë una questione fondamentale. Da un latole dimensioni devono essere sufficientemente ampie da permettere di gestire lasicurezza (evitando sovrapposizioni fra dati biometrici diversi o sostituzionidi identit‡); dall'altro lato, le dimensioni del modello non devono essereeccessivamente ampie, onde evitare il rischio di ricostruzione dei datibiometrici. La creazione del modello deve essere un processo univoco, nel sensoche non dovrebbe essere possibile ricreare i dati biometrici grezzi a partiredal modello.

Sistemi biometrici: secondo ilWP80 i sistemi biometrici sono: applicazioni di tecnologie biometriche chepermettono l'identificazione e/o l'autenticazione/verifica automatica di unindividuo. Le applicazioni a fini di autenticazione/verifica sono spessoutilizzate per vari compiti in settori completamente differenti, a vari fini esotto la responsabilit‡ di numerose entit‡ diverse.

Grazie ai recenti sviluppi tecnologici, Ë inoltre possibile oggiservirsi dei sistemi biometrici per scopi di classificazione/separazione.

I rischi dei sistemi biometrici derivano dalla natura stessa deidati biometrici utilizzati nel trattamento. Pertanto, una definizione pi˘generica potrebbe essere quella di un sistema che estrae dati biometrici persottoporli successivamente a trattamento.

Il trattamento di dati biometrici in un sistema biometricocomporta, di norma, l'esecuzione di processi differenti quali l'iscrizione,l'archiviazione e il confronto:

- iscrizione dei dati biometrici: comprendetutti i processi che hanno luogo all'interno di un sistema biometrico perestrarre dati biometrici da una fonte biometrica e per collegarli a una persona.La quantit‡ e la qualit‡ dei dati richiesti nel corso dell'iscrizionedev'essere sufficiente a consentire l'identificazione, l'autenticazione, laclassificazione o la verifica corrette della persona senza ricorrere allaregistrazione di una quantit‡ eccessiva di dati. La quantit‡ di dati estrattida una fonte biometrica durante la fase di iscrizione dev'essere adeguata allafinalit‡ del trattamento, come pure al livello di rendimento del sistemabiometrico.

La fase di iscrizione costituisce di norma il primo contatto cheuna persona ha con un sistema biometrico specifico. Nella maggior parte deicasi l'iscrizione richiede la partecipazione diretta dell'interessato (peresempio, nella rilevazione delle impronte digitali) e, pertanto, puÚ offrireuna valida opportunit‡ per fornire informazioni e una corretta notificazionedel trattamento. Tuttavia, l'iscrizione di una persona puÚ altresÏ avvenire asua insaputa o senza il suo consenso (per esempio, nel caso dei sistemi ditelevisione a circuito chiuso dotati di funzionalit‡ di riconoscimento delvolto). L'accuratezza e la sicurezza del processo di iscrizione Ë essenzialeper la prestazione dell'intero sistema. Una persona potrebbe essere in grado diiscriversi nuovamente in un sistema biometrico per aggiornare i dati biometriciregistrati.

- Conservazione dei dati biometrici: i datiottenuti durante la fase di iscrizione possono essere conservati a livellolocale nei centri operativi in cui Ë stata effettuata l'iscrizione (peresempio, in un lettore) per un utilizzo futuro, su un dispositivo in possessodell'interessato (per esempio, una smart card) oppure possono essereinviati e archiviati in una banca dati a livello centrale, accessibile da uno opi˘ sistemi biometrici.

- Confronto dei dati biometrici: si trattadel confronto dei dati/del modello biometrici (ottenuti durante l'iscrizione)con i dati/il modello biometrici raccolti da un nuovo campione ai finidell'identificazione, della verifica/autenticazione o della classificazione.

Identificazione biometrica: l'identificazionedi una persona con un sistema biometrico consiste solitamente nel confronto deidati biometrici di tale persona (acquisiti al momento dell'identificazione) conuna serie di modelli biometrici conservati in una banca dati (per esempio, unconfronto di vari campioni).

Verifica/autenticazione biometrica: l'identificazionedi una persona con un sistema biometrico consiste solitamente nel confronto deidati biometrici di tale persona (acquisiti al momento dell'identificazione) conun unico modello biometrico conservato in un dispositivo (per esempio, unconfronto di due campioni).

Classificazione/separazione biometrica: laclassificazione/separazione biometrica di una persona mediante un sistemabiometrico consiste solitamente nello stabilire se i dati biometrici di unapersona appartengano a un gruppo dotato di alcune caratteristiche predefiniteal fine di intraprendere un'azione specifica. In tal caso, non Ë importanteidentificare o verificare la persona, bensÏ inserirla automaticamente in unadeterminata categoria. Per esempio, una schermata pubblicitaria puÚ mostraremessaggi pubblicitari diversi, in base all'et‡ o al sesso della persona che laguarda.

Biometria multimodale: puÚ esseredefinita come la combinazione di tecnologie biometriche diverse per migliorarel'accuratezza o il rendimento del sistema (nota anche come biometriamultilivello).

Durante il confronto i sistemi biometrici impiegano due o pi˘tratti o modalit‡ biometrici della stessa persona. Questi sistemi possonofunzionare in maniera diversa: raccogliendo dati biometrici diversi con sensorialtrettanto diversi oppure prelevando unit‡ multiple dei medesimi datibiometrici. Alcuni studi inseriscono in questa categoria anche i sistemi chefunzionano effettuando letture multiple degli stessi dati biometrici o quelliche utilizzano algoritmi multipli per l'estrazione di caratteristiche sulmedesimo campione biometrico. Tra gli esempi di sistemi biometrici multimodalifigurano il passaporto elettronico nell'UE e gli US-VISIT BiometricIdentification Services (servizi di identificazione biometrica US-VISIT)negli Stati Uniti.

Accuratezza: difficilmentel'utilizzo di sistemi biometrici consente di ottenere risultati del tutto prividi errore; ciÚ a causa di differenze a livello ambientale al momentodell'acquisizione dei dati (illuminazione, temperatura, ecc.) e di differenzenelle apparecchiature usate (videocamere, dispositivi di scansione, ecc.). Iparametri pi˘ comunemente usati per la valutazione dei risultati sono il FalseAccept Rate e il False Reject Rate, che possono essere adeguati alsistema in uso:

- False Accept Rate (FAR): consiste nella probabilit‡ cheun sistema biometrico identifichi in maniera errata una persona o che nonrespinga un impostore. Esso misura la percentuale di dati invalidi erroneamenteaccettati ed Ë altresÏ noto come falso positivo.

- False Reject Rate (FRR): consiste nella probabilit‡ cheil sistema non riconosca una persona. CiÚ si verifica quando una persona nonviene associata al suo modello biometrico. Il parametro Ë noto altresÏ comefalso negativo.

Con un corretto aggiustamento del sistema e un'esatta regolazionedelle impostazioni Ë possibile ridurre al minimo gli errori importanti deisistemi biometrici fino al livello consentito per l'uso operativo, limitando ilrischio di valutazioni inesatte. Un sistema perfetto sar‡ caratterizzato davalori FAR e FRR pari a zero, sebbene, pi˘ comunemente, tali parametri sonoinversamente proporzionali, per cui l'incremento del parametro FAR spessoriduce il livello del parametro FRR.

Nel valutare se l'accuratezza di un determinato sistema biometricosia o meno accettabile Ë importante esaminare la finalit‡ del trattamento, comepure il FAR e il FRR e la dimensione della popolazione. Inoltre, la valutazionedell'accuratezza di un sistema biometrico puÚ tener conto anche della capacit‡di individuare un campione dal vero. Per esempio, Ë possibile copiare improntedigitali latenti e utilizzarle per creare false impronte. In tal caso unlettore di impronte digitali non deve lasciarsi ingannare ma deve essere ingrado di identificare correttamente la persona in questione.

3. Analisi giuridica

Il quadro giuridico pertinente Ë la direttiva sulla protezione deidati (95/46/CE). Il Gruppo di lavoro ha gi‡ affermato, nel suo parere WP80, chenella maggior parte dei casi i dati biometrici sono dati personali. Pertanto,essi possono essere oggetto di trattamento soltanto in presenza di una basegiuridica e se il trattamento Ë adeguato, pertinente e non eccedente rispetto allefinalit‡ per le quali vengono rilevati e/o successivamente trattati.

Finalit‡

Un requisito fondamentale per il ricorso alla biometria consistenella chiara definizione delle finalit‡ per le quali vengono raccolti etrattati i dati, tenendo conto dei rischi per la protezione dei dirittifondamentali e delle libert‡ delle persone.

Per esempio, i dati biometrici possono essere raccolti pergarantire o aumentare la sicurezza dei sistemi di trattamento attuando misureappropriate per proteggere i dati personali dall'accesso non autorizzato.

In linea di principio, non esistono ostacoli all'attuazione dimisure di sicurezza appropriate basate su caratteristiche biometriche deisoggetti incaricati del trattamento al fine di garantire un livello disicurezza adeguato, in relazione ai rischi che il trattamento comporta e allanatura dei dati personali da proteggere. Tuttavia, non bisogna dimenticare chel'utilizzo della biometria non garantisce di per sÈ una maggiore sicurezza, inquanto molti dati biometrici sono rilevabili all'insaputa della personainteressata. Maggiore Ë il livello di sicurezza previsto, minore Ë la capacit‡dei dati biometrici di soddisfare da soli tale obiettivo.

Il principio di limitazione delle finalit‡ dev'essere rispettatounitamente agli altri principi sulla protezione dei dati; nello specifico,occorre tenere presenti i principi della proporzionalit‡, della necessit‡ edella minimizzazione dei dati allorchÈ vengono definite le diverse finalit‡ diun'applicazione. Quando Ë possibile, l'interessato deve poter scegliere fra levarie finalit‡ di un'applicazione con molteplici funzionalit‡, soprattutto seuna o pi˘ di esse richiedono il trattamento di dati biometrici.

Esempio: Ë statoconsigliato l'uso di dispositivi elettronici che offrono procedure diautenticazione specifiche basate su dati biometrici in relazione alle misure disicurezza da adottare in caso di: -trattamento di dati personali raccolti daoperatori di telefonia durante intercettazioni autorizzate da un giudice; - accessoai dati relativi al traffico e all'ubicazione conservati per finalit‡giudiziarie da fornitori di servizi di comunicazione elettronica accessibili alpubblico o di una rete pubblica di comunicazione e accesso alle strutturepertinenti ove sono conservati tali dati; - raccolta e archiviazione di datigenetici e di campioni biologici.

Le fotografie suinternet, nei media sociali, nelle applicazioni on-line per la gestione o lacondivisione di fotografie non possono essere oggetto di ulteriori trattamential fine dell'estrazione di modelli biometrici o dell'iscrizione in un sistemabiometrico per il riconoscimento automatico delle persone basato sulle immagini(riconoscimento del volto) in assenza di una specifica base giuridica (ilconsenso, per esempio) per questa nuova finalit‡. In presenza di una basegiuridica per tale finalit‡ accessoria, il trattamento dev'essere inoltreadeguato, pertinente e non eccedente rispetto a tale finalit‡.

Qualora una persona interessata abbia fornito il proprio consensoal trattamento delle fotografie in cui essa compare per essere automaticamenteassociata a un album di fotografie online con un algoritmo per ilriconoscimento del volto, questo trattamento dev'essere effettuato in un modoche tenga conto della protezione dei dati: una volta che nome, pseudonimo oaltro testo specificato dall'interessato sono stati associati alle immagini, idati biometrici non pi˘ necessari vanno cancellati. La creazione di una bancadi dati biometrici permanente non Ë necessaria a priori per questa finalit‡.

Proporzionalit‡

L'uso della biometria pone il problema della proporzionalit‡ diogni categoria di dati trattati alla luce delle finalit‡ del trattamento. Ilfatto che i dati biometrici possano essere usati soltanto se adeguati,pertinenti e non eccessivi comporta una rigorosa valutazione della necessit‡ edella proporzionalit‡ dei dati trattati e se sia possibile raggiungere lafinalit‡ perseguita in maniera meno invasiva.

Nell'analisi della proporzionalit‡ di un sistema biometricoproposto, la prima considerazione fondamentale Ë se il sistema sia inevitabileper soddisfare la necessit‡ accertata, ossia se Ë essenziale per soddisfaretale necessit‡ o, piuttosto, Ë il pi˘ conveniente o quello pi˘ efficace sottoil profilo dei costi. Il secondo fattore di cui tener conto Ë la potenzialeefficacia del sistema riguardo al soddisfacimento di tale necessit‡ alla lucedelle peculiarit‡ della tecnologia biometrica di cui si prevede l'uso1. Il terzoaspetto da soppesare Ë se la conseguente perdita di riservatezza siaproporzionata al vantaggio previsto. Nel caso in cui il vantaggio siarelativamente minore, come una maggiore comodit‡ o un esiguo risparmio, laperdita di riservatezza non sar‡ ritenuta opportuna. Il quarto aspetto datenere in considerazione nella valutazione dell'adeguatezza di un sistemabiometrico Ë osservare se un mezzo meno invasivo della riservatezza possaraggiungere lo scopo desiderato2.

Il Gruppo di lavoro mette in guardia contro i rischi che comportal'uso di dati biometrici per finalit‡ di identificazione in grandi banche daticentralizzate, considerate le conseguenze potenzialmente pregiudizievoli per lepersone interessate.

Si deve tenere conto dell'enorme impatto sulla dignit‡ umana degliinteressati e delle implicazioni di tali sistemi per i diritti fondamentali.Alla luce della convenzione europea per la salvaguardia dei diritti dell'uomo edelle libert‡ fondamentali, nonchÈ della giurisprudenza della Corte europea deidiritti dell'uomo sull'articolo 8 della convenzione, il Gruppo di lavorosottolinea che qualsiasi ingerenza nel diritto alla protezione dei datidev'essere consentita unicamente a condizione che sia prevista dalla legge eche sia necessaria in una societ‡ democratica per proteggere un interessepubblico importante3.

Per garantire il rispetto di queste condizioni Ë necessariospecificare l'obiettivo perseguito dal sistema ed esaminare la proporzionalit‡dei dati da inserirvi con riferimento a tale obiettivo.

A tal fine, il responsabile del trattamento Ë tenuto a dimostrarese il trattamento e i meccanismi ad esso relativi, le categorie dei dati daraccogliere e da trattare, nonchÈ il trasferimento di informazioni contenutenella banca dati siano necessari e indispensabili. Le misure di sicurezzaadottate devono essere adeguate ed efficaci. Il responsabile del trattamentodeve tener conto dei diritti delle persone cui si riferiscono i dati personalie garantire che l'applicazione contenga un meccanismo adeguato per l'eserciziodi tali diritti.

Esempio: In un centrofitness e salute viene installato un sistema biometrico centralizzato basatosul rilevamento delle impronte digitali per consentire l'accesso al centro e aiservizi da esso offerti soltanto ai clienti che hanno pagato l'ingresso. Per ilfunzionamento del sistema sarebbe necessario conservare le impronte digitali ditutti i clienti e dei membri del personale. Questa applicazione apparesproporzionata alla necessit‡ di controllare l'accesso al centro e difacilitare la gestione degli abbonamenti. Non Ë impossibile prevedere altremisure ugualmente applicabili ed efficaci quali una semplice lista dicontrollo, l'utilizzo di etichette RFID o di un tesserino magnetico, che nonrichiedono il trattamento di dati biometrici.

Esempio: Uso di datibiometrici per finalit‡ di identificazione. I sistemi che analizzano il voltodi una persona, nonchÈ quelli che ne analizzano il DNA, possono contribuire inmaniera molto significativa alla lotta contro la criminalit‡ e a rivelare inmodo efficace l'identit‡ di sconosciuti sospettati di aver commesso un reatograve. Tuttavia, se usati su larga scala, questi sistemi producono gravieffetti collaterali. Nel caso del riconoscimento del volto in cui i datibiometrici sono facilmente ottenibili all'insaputa dell'interessato, un utilizzoindiscriminato metterebbe fine all'anonimato nelle aree pubbliche econsentirebbe la localizzazione continua di persone. Nel caso dei datiriguardanti il DNA, l'uso della tecnologia si accompagna al rischio dellapotenziale divulgazione di dati sensibili sulla salute di un individuo.

Accuratezza

I dati biometrici trattati devono essere accurati e pertinentirispetto alle finalit‡ per le quali vengono rilevati. I dati devono essereaccurati al momento dell'iscrizione e nel momento in cui si stabilisce illegame fra la persona e i dati biometrici. L'accuratezza al momentodell'iscrizione Ë inoltre importante per prevenire il furto d'identit‡.

I dati biometrici sono unici e la maggior parte di essi genera unsolo campione o una sola immagine. Se impiegati su larga scala, in particolarecon riferimento a una fascia importante di popolazione, i dati biometricipossono essere considerati alla stregua di un mezzo identificativo di portatagenerale ai sensi della direttiva 95/46/CE. L'articolo 8, paragrafo 7, dellasuddetta direttiva Ë pertanto applicabile e gli Stati membri sono tenuti adeterminare le condizioni del relativo trattamento.

Minimizzazione dei dati

Potrebbe sorgere una difficolt‡ specifica, in quanto i datibiometrici contengono spesso pi˘ informazioni di quelle richieste per ilconfronto delle funzioni. Il responsabile del trattamento Ë tenutoall'applicazione del principio della minimizzazione dei dati e questosignifica, in primo luogo, che soltanto le informazioni richieste devono esseretrattate, trasmesse o conservate – non tutte quelle disponibili. Insecondo luogo, il responsabile del trattamento dei dati deve garantire che laconfigurazione di default agevoli la protezione dei dati senza doverla attuare.

Periodo di conservazione

Il responsabile del trattamento Ë tenuto a determinare un periododi conservazione per i dati biometrici che non dev'essere superiore a quellonecessario al conseguimento delle finalit‡ per le quali essi sono rilevati osono successivamente trattati. Il responsabile del trattamento deve garantireche i dati o i profili derivati da tali dati siano cancellati definitivamenteal termine del suddetto periodo.

Dev'essere chiara la differenza fra dati personali genericieventualmente necessari per un periodo di tempo pi˘ lungo e dati biometriciormai inutili, per esempio quando l'interessato non ha pi˘ accesso a un'areaspecifica.

Esempio: Un datore dilavoro utilizza un sistema biometrico per controllare l'accesso a un'areariservata. Le mansioni di un lavoratore non prevedono pi˘ l'accesso all'areariservata (per esempio a causa di mutate responsabilit‡ o lavoro). In questocaso i suoi dati biometrici devono essere cancellati, essendo venuta meno lafinalit‡ per la quale essi sono stati raccolti.

3.1. Motivo di liceit‡

Il trattamento dei dati biometrici si deve fondare su uno deimotivi di liceit‡ di cui all'articolo 7 della direttiva 95/46/CE.

3.1.1.          Consenso,articolo 7, lettera a)

Il primo motivo di liceit‡ indicato all'articolo 7, lettera a), Ëche l'interessato abbia manifestato il proprio consenso al trattamento. Secondol'articolo 2, lettera h), della direttiva sulla protezione dei dati, ilconsenso dev'essere una manifestazione di volont‡ libera, specifica e informatadella persona interessata. Dev'essere chiaro che tale consenso non puÚ essereformulato in maniera libera con l'accettazione obbligatoria di termini econdizioni generali oppure mediante possibilit‡ di optare per l'esclusione.Inoltre, il consenso dev'essere revocabile. In proposito, nel suo parere sulladefinizione di consenso, il Gruppo di lavoro sottolinea diversi aspettiimportanti della nozione: la validit‡ del consenso, il diritto dei singoli allarevoca del proprio consenso, il consenso rilasciato prima dell'inizio deltrattamento e i requisiti sulla qualit‡ e l'accessibilit‡ dell'informazione4.

In molti casi di trattamento di dati biometrici, senza una validaalternativa come una password o un tesserino magnetico il consenso nonpuÚ considerarsi fornito in maniera libera. Per esempio, un sistema che nescoraggi l'uso da parte degli interessati (perchÈ fa perdere troppo tempo o Ëtroppo complicato) non puÚ essere considerato una valida alternativa e noncomporta, dunque, un consenso valido.

Esempi: In mancanzadi altri motivi di liceit‡, un sistema biometrico di autenticazione potrebbeessere usato per controllare l'accesso a un video club soltanto se i clientisono liberi di decidere se avvalersi o meno di tale sistema.

CiÚ significa che ilproprietario del video club deve offrire meccanismi alternativi e meno invasividella vita privata. Tale sistema dovr‡ permettere al cliente che, per motivipersonali, non desidera o non Ë in grado di sottoporsi alla rilevazione delleimpronte digitali, di opporvisi. La semplice scelta tra non usare un servizio efornire i propri dati biometrici prova chiaramente che il consenso non Ë statofornito in maniera libera e che non puÚ essere considerato un motivo diliceit‡.

In una scuola maternaË installato uno scanner rilevatore dello schema delle vene per verificareche gli adulti (genitori e membri del personale) che vi accedono sianoautorizzati a farlo. Per il funzionamento di tale sistema sarebbe necessarioconservare le impronte digitali di tutti i genitori e dei membri del personale.

In mancanza di una modalit‡ alternativa di accesso alla scuolamaterna, il consenso rappresenterebbe una base giuridica discutibile,soprattutto per i lavoratori, che potrebbero non disporre di un'opportunit‡ discelta concreta di opporsi all'uso di tale sistema, ma anche per i genitori.

BenchÈ possa sussistere il forte sospetto che il consenso fornitosia debole alla luce della naturale posizione di squilibrio tra lavoratore edatore di lavoro, il Gruppo di lavoro non lo esclude del tutto "purchÈ visiano garanzie sufficienti che si tratti veramente di una manifestazione divolont‡ libera"5.

Pertanto, il consenso nell'ambito del lavoro subordinatodev'essere analizzato e debitamente dimostrato. Invece di richiedere ilconsenso, i datori di lavoro potrebbero occuparsi di verificare se Ë necessariousare i dati biometrici dei lavoratori per finalit‡ legittime e ponderare talenecessit‡ con i diritti e le libert‡ fondamentali dei lavoratori medesimi.Laddove la necessit‡ sia adeguatamente dimostrabile, la base giuridica di taletrattamento puÚ fondarsi sull'interesse legittimo del responsabile deltrattamento come definito all'articolo 7, lettera f), della direttiva 95/46/CE.Il datore di lavoro Ë sempre tenuto a cercare i mezzi meno invasivi scegliendo,se possibile, un procedimento non biometrico.

Tuttavia, come descritto al punto 3.1.3, possono esistere casi incui un sistema biometrico potrebbe essere nell'interesse legittimo delresponsabile del trattamento. In questi casi il consenso non Ë necessario.

Il consenso Ë valido soltanto quando vengono fornite informazionisufficienti sull'uso dei dati biometrici e, poichÈ questi ultimi possono essereusati come identificatori unici e universali, fornendo informazioni chiare efacilmente accessibili circa le modalit‡ di utilizzo dei dati specifici, lagaranzia di un trattamento equo dev'essere ritenuta assolutamente necessaria.CiÚ Ë pertanto un requisito fondamentale per un consenso valido nell'impiegodei dati biometrici.

Posto che il consenso Ë sempre revocabile, i responsabili deltrattamento devono attuare mezzi tecnici che possano invertire l'uso di datibiometrici nei rispettivi sistemi. Un sistema biometrico che funziona sullabase del consenso dev'essere pertanto in grado di eliminare in maniera efficacetutti i collegamenti all'identit‡ da esso creati.

3.1.2.          Contratto,articolo 7, lettera b)

Il trattamento dei dati biometrici puÚ rivelarsi necessarioall'esecuzione del contratto concluso con l'interessato o all'esecuzione dimisure precontrattuali prese su sua richiesta. Occorre tuttavia rilevare checiÚ si applica in generale soltanto quando vengono forniti servizi puramentebiometrici. Questa base giuridica non vale per legittimare un servizioaccessorio consistente nell'iscrivere una persona in un sistema biometrico. Setale servizio puÚ essere distinto dal servizio principale, il contratto perquest'ultimo non puÚ legittimare il trattamento dei dati biometrici. I datipersonali non sono beni che si possono chiedere quale contropartita di unservizio; pertanto, i contratti che prevedono oppure che offrono un serviziounicamente a condizione che qualcuno acconsenta al trattamento dei propri datibiometrici per un altro servizio non possono fungere da base giuridica per taletrattamento.

Esempi: Un consensovalido per un sistema di controllo dell'accesso che utilizza le improntedigitali richiede informazioni sul fatto se il sistema biometrico crei o menoun modello unico per quel sistema. In presenza di un algoritmo che genera ilmedesimo modello biometrico in sistemi biometrici differenti, l'interessatodeve sapere che potrebbe essere riconosciuto in pi˘ sistemi biometricidifferenti.

Qualcuno carica lapropria immagine in un album fotografico su internet. L'iscrizione di questaimmagine in un sistema biometrico richiede un consenso esplicito basato suinformazioni esaustive in merito all'attivit‡ svolta con i dati biometrici, allasso di tempo e alle finalit‡ per cui essi saranno oggetto di trattamento.

3.1.3.          Obbligolegale, articolo 7, lettera c)

Un altro motivo di liceit‡ per il trattamento dei dati personali Ëche il detto trattamento sia necessario per adempiere un obbligo legale alquale Ë soggetto il responsabile del trattamento. CiÚ si verifica, per esempio,in alcuni paesi nel momento in cui vengono rilasciati e/o usati passaporti6evisti7.

3.1.4.          Interessilegittimi del responsabile del trattamento, articolo 7, lettera f)

In base all'articolo 7 della direttiva 95/46/CE, il trattamentodei dati personali biometrici Ë inoltre giustificabile se Ë "necessario per ilperseguimento dell'interesse legittimo del responsabile del trattamento oppuredi terzi cui vengono comunicati i dati, a condizione che non prevalganol'interesse o i diritti e le libert‡ fondamentali della persona interessata".

CiÚ significa che esistono casi in cui l'uso di sistemi biometriciË nell'interesse legittimo del responsabile del trattamento. Tuttavia, siffattointeresse Ë legittimo soltanto se il rappresentante puÚ dimostrare che il suointeresse prevale in maniera obiettiva sul diritto degli interessati a nonessere iscritti in un sistema biometrico. Per esempio, quando la sicurezza diaree a rischio elevato dev'essere garantita in maniera specifica da unmeccanismo che possa verificare con precisione se le persone sono autorizzatead accedervi, un sistema biometrico puÚ essere usato nell'interesse legittimodel responsabile del trattamento. Nell'esempio seguente riguardante un sistemabiometrico di controllo dell'accesso a un laboratorio, il responsabile deltrattamento non puÚ offrire al lavoratore un meccanismo alternativo senzainfluire direttamente sulla sicurezza dell'area riservata, in quanto nonesistono altre misure meno invasive idonee a raggiungere un livello adeguato disicurezza per quest'area. » pertanto nel suo interesse legittimo attuare ilsistema e iscrivere un numero limitato di lavoratori senza doverne ottenere ilconsenso. Tuttavia, nel caso in cui l'interesse legittimo del responsabile deltrattamento costituisca un valido motivo di liceit‡ per il trattamento, siapplicheranno, come di consueto, tutti gli altri principi in materia diprotezione dei dati, segnatamente il principio della proporzionalit‡ e quellodella minimizzazione dei dati.

Esempi: a) Duefratelli sottopongono alcuni campioni di capelli a un laboratorio per l'effettuazionedi un test del DNA finalizzato a scoprire se sono realmente fratelli. Ilcontratto stipulato con il laboratorio per l'effettuazione di questo test Ë unabase giuridica sufficiente per l'iscrizione e per il trattamento di datibiometrici.

b) Una personainserisce una foto da mostrare ai suoi amici nel proprio album fotografico inun social network. Nel caso in cui il contratto (condizioni di servizio)preveda che l'uso del servizio sia vincolato all'iscrizione dell'utente in unsistema biometrico, quest'ultima disposizione non costituirebbe una basegiuridica sufficiente per l'iscrizione.

Di norma, l'uso della biometria per necessit‡ generiche disicurezza di beni e persone non puÚ essere considerato un interesse legittimosuperiore agli interessi o ai diritti e alle libert‡ fondamentalidell'interessato. Al contrario, il trattamento di dati biometrici Ëgiustificabile unicamente quale strumento necessario per la sicurezza di benie/o persone laddove Ë dimostrata l'effettiva esistenza di un rischioconsiderevole sulla base di circostanze obiettive e documentate. A tal fine, ilresponsabile del trattamento deve dimostrare che le circostanze specifichepongono un rischio concreto e considerevole, che egli Ë tenuto a valutare moltoattentamente. Allo scopo di uniformarsi al principio di proporzionalit‡, inpresenza di siffatte situazioni di rischio elevato il responsabile deltrattamento Ë tenuto a verificare se eventuali misure alternative potrebberoessere ugualmente efficaci ma meno invasive rispetto agli obiettivi perseguitie optare per esse.

» inoltre necessario riesaminare periodicamente l'esistenza dellecircostanze in questione e, sulla base dei risultati di tale riesame,dev'essere terminata o interrotta ogni operazione di trattamento dei dati ormaiingiustificata.

3.2. Responsabile e incaricato deltrattamento

La direttiva 95/46/CE pone alcuni obblighi agli incaricati deltrattamento riguardo al trattamento dei dati personali. Nell'ambito dellabiometria varie tipologie di persone possono essere nominate "incaricato deltrattamento", per esempio i lavoratori, le autorit‡ di polizia o quellecompetenti per l'immigrazione.

Il Gruppo di lavoro desidera richiamare gli orientamenti fornitinel suo parere sui concetti di responsabile del trattamento e di incaricato deltrattamento8, che contiene utili chiarimenti sulle modalit‡ diinterpretazione di queste definizioni chiave della direttiva.

Esempio: In una societ‡ che si occupa di ricerca su viruspericolosi, un laboratorio Ë protetto da porte che si aprono soltanto una voltaverificate con successo le impronte digitali e una volta effettuata lascansione dell'iride. Questo sistema Ë stato attuato per garantire che solo lepersone cui sono noti i rischi specifici, che sono state formate sulle procedureda seguire e che l'azienda ritiene affidabili possano eseguire esperimenti conquesti materiali pericolosi. L'interesse legittimo dell'azienda di accertarsiche unicamente le persone pertinenti sono autorizzate ad accedere a un'areariservata, per assicurare che i rischi per la sicurezza connessi all'accesso aquell'area specifica possano essere ridotti in maniera significativa, supera lavolont‡ delle persone di non sottoporre a trattamento i propri dati biometrici.

3.3. Trattamento automatizzato (articolo15 della direttiva)

L'uso di sistemi basati sul trattamento di dati biometricirichiede un'attenzione particolare per quanto concerne le conseguenze dellapotenziale discriminazione per le persone escluse dal sistema. Inoltre, al finedi proteggere il diritto delle persone di non essere oggetto di misure cheabbiano effetti nei loro confronti e fondate esclusivamente su un trattamentoautomatizzato di dati, Ë necessario introdurre adeguate garanzie comeinterventi, rimedi o meccanismi umani, che consentano all'interessato diesprimere il suo punto di vista.

Secondo l'articolo 15 della direttiva 95/46/CE, "[g]liStati membri riconoscono a qualsiasi persona il diritto di non esseresottoposta ad una decisione che produca effetti giuridici o abbia effetti significativinei suoi confronti fondata esclusivamente su un trattamento automatizzato didati destinati a valutare taluni aspetti della sua personalit‡, quali ilrendimento professionale, il credito, l'affidabilit‡, il comportamento, ecc."

3.4. Trasparenza e informazionedell'interessato

In base al principio del trattamento leale, gli interessati devonoessere a conoscenza della raccolta e/o dell'uso dei loro dati biometrici(articolo 6 della direttiva 95/46/CE). Vanno evitati i sistemi che raccolgonoquesti dati all'insaputa dell'interessato.

Il responsabile del trattamento deve accertarsi che gliinteressati siano adeguatamente informati sugli elementi fondamentali deltrattamento, in conformit‡ con l'articolo 10 della direttiva sulla protezionedei dati, quali l'identit‡ del responsabile, le finalit‡ del trattamento, iltipo di dati, la durata del trattamento, i diritti degli interessati di accessoai dati e di rettifica oppure di cancellare i propri dati e il diritto direvocare il consenso nonchÈ le informazioni sui destinatari o le categorie didestinatari cui sono comunicati i dati. Posto che il responsabile deltrattamento di un sistema biometrico Ë obbligato a informare l'interessato,nessuno deve raccogliere i dati biometrici all'insaputa dell'interessato.

3.5. Diritto di accesso ai datibiometrici

Gli interessati hanno il diritto di ottenere dagli incaricati deltrattamento l'accesso ai propri dati, di norma anche a quelli biometrici. Gliinteressati hanno altresÏ il diritto di accedere agli eventuali profili basatisu questi dati biometrici. Nel caso in cui il responsabile del trattamentodebba verificare l'identit‡ degli interessati prima di consentire lorol'accesso, Ë fondamentale che quest'ultimo sia fornito senza procedere altrattamento di ulteriori dati personali.

3.6. Sicurezza dei dati

I responsabili del trattamento devono attuare misure tecniche edorganizzative appropriate al fine di garantire la protezione dei dati personalidalla distruzione accidentale o illecita, dalla perdita accidentale odall'alterazione, dalla diffusione o dall'accesso non autorizzati, o daqualsiasi altra forma illecita di trattamento di dati personali.9

I dati raccolti e conservati devono essere adeguatamente protetti.Gli ideatori di sistemi sono tenuti a rivolgersi a idonei esperti dellasicurezza per garantire che i punti deboli della sicurezza vengano affrontatiin maniera adeguata, soprattutto in caso di migrazione su internet di sistemiesistenti.

3.7. Garanzie per persone con necessit‡particolari

L'uso della biometria potrebbe avere importanti ripercussionisulla dignit‡, sulla vita privata e sul diritto alla protezione dei dati dipersone vulnerabili come i minori, gli anziani e le persone che non sonofisicamente in grado di ultimare correttamente la procedura di iscrizione.Considerate le conseguenze potenzialmente dannose per le persone interessate,perchÈ una misura possa essere ritenuta ammissibile dovranno essere soddisfattirequisiti pi˘ rigorosi nel processo di valutazione delle ripercussioni di misureche interferiscono con la dignit‡ del singolo, interrogandosi sulla necessit‡ ela proporzionalit‡ nonchÈ sulle possibilit‡ del singolo di esercitare il suodiritto alla protezione dei dati. Devono essere presenti garanzie idonee controi rischi di stigmatizzazione o discriminazione delle suddette categorie dipersone a motivo dell'et‡ o dell'incapacit‡ di registrarsi.

Riguardo all'introduzione di un obbligo giuridico generico diraccolta di identificatori biometrici per questi gruppi, segnatamente per minorie anziani ai controlli alle frontiere ai fini di identificazione, il Gruppo dilavoro Ë dell'idea che "– per rispetto della dignit‡ umana e perchÈ laprocedura sia affidabile – sarebbe opportuno limitare, per i minori e glianziani, il rilevamento e il trattamento delle impronte digitali e stabilirelimiti d'et‡ che siano coerenti con i limiti introdotti per altre grandi banchedati dell'Unione (Eurodac, per esempio)"10.

In ogni caso, devono essere attuate garanzie specifiche (idoneeprocedure di ripiego, per esempio) per garantire il rispetto della dignit‡umana e delle libert‡ fondamentali di chiunque non sia in grado di portare atermine correttamente la procedura di iscrizione, evitando in tal modo di farsubire all'interessato le imperfezioni del sistema tecnico11.

3.8. Dati sensibili

Alcuni dati biometrici potrebbero essere considerati sensibili aisensi dell'articolo 8 della direttiva 95/46/CE, soprattutto i dati che rivelanol'origine razziale o etnica, ovvero i dati relativi alla salute. Per esempio, idati sul DNA di una persona contengono sovente dati relativi alla salute opossono rivelarne l'origine razziale o etnica. In questo caso, i dati sul DNAsono sensibili e le garanzie particolari di cui all'articolo 8 devonoapplicarsi in aggiunta ai principi generali di protezione dei dati di cui allasuddetta direttiva. Va altresÏ tenuto conto del contesto del trattamento pervalutare la sensibilit‡ dei dati sottoposti a trattamento da un sistemabiometrico12.

3.9. Ruolo delle autorit‡ nazionali garantidella protezione dei dati

Tenendo conto della crescente standardizzazione delle tecnologiebiometriche di interoperabilit‡, in linea generale Ë pacifico chel'archiviazione centralizzata di dati biometrici accresce sia il rischiodell'utilizzo di tali dati quale chiave di connessione di banche dati multiple(il che potrebbe comportare la creazione di profili dettagliati di unapersona), sia i pericoli specifici del riutilizzo di tali dati per finalit‡incompatibili, soprattutto nel caso di accesso non autorizzato.

Il Gruppo di lavoro raccomanda che i sistemi che utilizzano datibiometrici come chiave per connettere banche dati multiple prevedano ulteriorigaranzie, in quanto questo tipo di trattamento presenta potenzialmente rischispecifici per i diritti e le libert‡ degli interessati (articolo 20 delladirettiva 95/46/CE). Allo scopo di assicurare la presenza di idonee garanzie e,in particolare, per attenuare i rischi per gli interessati, prima di introdurretali misure il responsabile del trattamento deve consultare la competenteautorit‡ nazionale per il controllo della protezione dei dati.

4. Nuovi sviluppi e tendenzetecnologiche, nuovi scenari

4.1. Introduzione

Le tecnologie biometriche sono state a lungo usate principalmentedalle autorit‡ pubbliche, ma di recente la situazione si Ë gradualmentemodificata, nel senso che le organizzazioni commerciali svolgono oggi un ruoloprimario nell'utilizzo di queste tecnologie e nello sviluppo di nuovi prodotti.

Uno dei motivi principali di questa situazione Ë che la tecnologiaË progredita in maniera tale per cui i sistemi biometrici che funzionavano benesoltanto in condizioni controllate sono stati perfezionati e oggi sono adatti aun uso esteso in una serie di ambienti diversi. Al riguardo, in alcuni casi labiometria sta sostituendo o migliorando i tradizionali metodi diidentificazione, segnatamente quelli basati su fattori multipli diidentificazione, necessari per sistemi di autenticazione forte. Cresce inoltrel'uso di tecnologie biometriche in applicazioni che, al prezzo di un minorlivello di precisione, sono in grado di identificare una persona in manierarapida e agevole.

Anche l'uso di tecnologie biometriche Ë in graduale espansionerispetto alla sfera di applicazione originale: le tecniche di identificazione eautenticazione sono usate anche per l'analisi comportamentale, la sorveglianzae la prevenzione delle frodi.

I progressi ottenuti nel campo delle tecnologie informatiche enelle reti stanno anch'essi conducendo alla nascita di quella che si definisce"biometria di seconda generazione", basata sull'utilizzo di caratteristichecomportamentali e psicologiche considerate da sole o combinate con altrisistemi tradizionali nell'ambito di sistemi multimodali. A completare ilquadro, si osserva una graduale tendenza verso l'uso della biometria neglisviluppi dell'intelligenza ambientale diffusa e dell'informatica pervasiva.

4.2. Nuove tendenze riguardo allabiometria

Esistono varie tecnologie biometriche che possono essere ritenutemature, con svariate applicazioni nei sistemi di contrasto, di governoelettronico e commerciali, tra cui, a titolo meramente indicativo, improntedigitali, geometria della mano, scansione dell'iride e alcuni tipi diriconoscimento del volto. Si rileva altresÏ la presenza di alcune tecnologiebiometriche emergenti dedicate all'analisi delle caratteristiche del corpoumano. Sebbene alcune di esse siano nuove, altre tecnologie biometrichetradizionali ricavano nuovi impulsi da altrettanto nuove capacit‡ dielaborazione.

Elementi tipici di questi nuovi sistemi sono l'uso dicaratteristiche del corpo umano che consentono lacategorizzazione/identificazione di persone e la raccolta a distanza di talicaratteristiche. I dati rilevati vengono usati per la profilazione, per lasorveglianza a distanza o per compiti ancora pi˘ complessi come l'intelligenzaambientale.

CiÚ Ë divenuto possibile grazie ai progressi continui nel campodei sensori, che consentono la rilevazione di nuove caratteristichefisiologiche, come pure di nuovi modi di trattare i dati biometricitradizionali.

Occorre anche evidenziare l'utilizzo della cosiddetta softbiometrics (biometria "leggera"), che si identifica con l'uso dicaratteristiche molto comuni, non idonee a distinguere o a identificare conchiarezza una persona, ma che consentono di migliorare il risultato di altrisistemi di identificazione.

Un altro elemento essenziale dei nuovi sistemi biometrici Ë lapotenziale capacit‡ di raccogliere informazioni a distanza o in movimento senzala collaborazione o l'intervento dell'interessato. Sebbene si tratti di unatecnologia non ancora pienamente sviluppata, l'impegno profuso Ë enorme,soprattutto ai fini delle attivit‡ di contrasto.

CiÚ che progredisce rapidamente Ë l'uso di sistemi multimodali cheimpiegano biometrie diverse simultaneamente oppure letture/unit‡ multiple dellastessa biometria, che possono essere rettificate per ottimizzare lo scambio disicurezza/facilit‡ d'uso dei sistemi biometrici. In tal modo Ë possibileridurre la percentuale di falsi positivi, migliorare i risultati di un sistemadi riconoscimento oppure facilitare la raccolta di dati di un maggior numero dipersone bilanciando la non universalit‡ di una fonte di dati biometricicombinandola con un'altra.

Cresce sempre pi˘ l'utilizzo dei sistemi biometrici presso entipubblici e privati; di norma, nel settore pubblico delle attivit‡ di contrastoi dati biometrici sono utilizzati con regolarit‡; si espande rapidamente l'usodella biometria anche nel settore della finanza, in quello bancario e deiservizi sanitari online, nonchÈ in altri settori come quello dell'istruzione,del commercio al dettaglio e delle telecomunicazioni. Questo sviluppo sar‡alimentato dalle nuove caratteristiche derivate dalla convergenza/fusione ditecnologie esistenti. Ne costituisce un esempio l'impiego dei sistemi di TV acircuito chiuso, che consentono la rilevazione e l'analisi di dati biometrici edi tracce comportamentali umane.

Quanto osservato puÚ inoltre essere visto come un cambiamento diinteresse per lo sviluppo dei sistemi biometrici dagli strumenti diidentificazione verso finalit‡ di riconoscimento blande, in altre parole,dall'identificazione alla rilevazione del comportamento o di necessit‡specifiche delle persone. CiÚ fornisce nuove opportunit‡ per usi di gran lungadiversi rispetto alle applicazioni di sicurezza su larga scala: sicurezzapersonale, gioco d'azzardo e commercio al dettaglio beneficeranno di unamigliore interazione uomo-macchina, che andr‡ oltre l'identificazione o lacategorizzazione delle persone.

4.3. Impatto sulla vita privata e sullaprotezione di dati

Fin dall'inizio della loro attuazione si Ë confermata la capacit‡dei sistemi informatici di far sorgere seri motivi di preoccupazione insvariati settori, fra cui quello della vita privata e della protezione deidati, che ne hanno senza dubbio influenzato l'accettazione sociale, alimentandoil dibattito sulla legittimit‡ e sui limiti del relativo utilizzo come puresulle garanzie necessarie per attenuare i rischi individuati.

La tipica riluttanza nei confronti dei sistemi biometrici Ë stata,ed Ë tuttora, connessa alla protezione dei diritti dei singoli. Nondimeno, inuovi sistemi e gli sviluppi di quelli esistenti fanno sorgere una serie dipreoccupazioni, fra cui la possibilit‡ di nascondere la raccolta,l'archiviazione e il trattamento, come pure la raccolta di materiali coninformazioni particolarmente sensibili che possono invadere la sfera pi˘ intimadel singolo.

Gli utilizzi deviati rappresentavano un problema gi‡ agli alboridelle tecnologie e dei sistemi biometrici; sebbene questi costituiscano unrischio ben noto e gi‡ affrontato nella biometria tradizionale, Ë indubbiamentepalese che le maggiori potenzialit‡ tecniche dei nuovi sistemi informaticifanno sorgere il rischio che i dati vengano usati in maniera opposta alla lorofinalit‡ originaria.

Le tecniche di occultamento consentono l'identificazioneall'insaputa degli interessati, comportando una seria minaccia per la vitaprivata e una perdita di controllo sui dati personali. Questo produce graviconseguenze sulla capacit‡ di esercitare liberamente il proprio consenso o,semplicemente, di ottenere informazioni sul trattamento. Inoltre, alcunisistemi possono raccogliere segretamente informazioni connesse agli statiemozionali o alle caratteristiche corporee e rivelare informazioni riguardantila salute che determinano un trattamento dei dati non proporzionale, nonchÈ iltrattamento dei dati sensibili ai sensi dell'articolo 8 della direttiva95/46/CE.

Tenendo conto del fatto che le tecnologie biometriche non possonogarantire un'accuratezza assoluta, esiste sempre un rischio implicito chederiva dalle identificazioni inesatte. I falsi positivi comportano decisioniche influiscono sui diritti dei singoli. Il furto di identit‡ basato sull'usodi fonti biometriche falsificate o rubate puÚ causare danni gravi. Diversamenteda altri sistemi di identificazione, non si puÚ semplicemente fornire una nuovaidentificazione al singolo soltanto perchÈ Ë stata compromessa.

» opportuno menzionare la profilazione nell'ambito dell'adozionedi decisioni automatizzate o per prevedere un comportamento o le preferenze inuna situazione specifica Alcuni dati biometrici possono rivelare informazionifisiche su una persona, le quali possono essere usate per individuare edefinire finalit‡, come pure culminare nella discriminazione, nellastigmatizzazione o nel confronto non voluto con informazioni nonpreviste/indesiderate.

4.4. Riferimento a tecnologie e sistemibiometrici specifici

4.4.1.          Schemadelle vene e usi combinati

Due principali tecnologie in uso si basano sul riconoscimento delpercorso delle vene: il riconoscimento attraverso le vene del palmo della manoe il riconoscimento attraverso le vene delle dita, entrambe attualmente moltodiffuse soprattutto in Giappone.

Dal punto di vista tecnico il riconoscimento attraverso ilpercorso delle vene si basa sul modello di vene ottenuto con una fotocamera ainfrarossi quando il dito o la mano sono illuminati da una luce nel vicinoinfrarosso. L'immagine acquisita viene trattata per evidenziare lecaratteristiche dello schema delle vene, creando in tal modo una nuova immaginedella rete vascolare. Il vantaggio principale di questa tecnologia Ë chenessuno lascia traccia delle proprie caratteristiche biometriche13nonessendo necessario "toccare" il lettore. Ad oggi Ë inoltre difficile rilevaredati biometrici senza il consenso dell'interessato. Infine, questa tecnica ËaltresÏ utilizzabile per scoprire se il soggetto presentato al sistema Ë vivo omorto, in base alla presenza della circolazione sanguigna.

Il riconoscimento attraverso lo schema delle vene Ë utilizzabileper applicazioni di accesso logico e per l'accesso fisico a strutture. Icostruttori offrono anche la possibilit‡ di inserire il sensore in altriprodotti, soprattutto per finalit‡ legate alle attivit‡ bancarie.

I rischi per la protezione dei dati connessi all'uso di sistemibasati sullo schema delle vene possono essere illustrati come segue:

Ä accuratezza: il livello del risultato ottenibile dalpercorso delle vene Ë elevato, poichÈ questa tecnologia Ë considerata come unavalida alternativa alle impronte digitali. Il riconoscimento attraverso loschema delle vene offre inoltre un basso "Failure to Enrol Rate" (FER),non essendo soggetto a deterioramento del dito o della mano. Queste tecnologienon sono ancora state sperimentate/usate presso il grande pubblico (in Giapponeil modello Ë confrontato con quello conservato nella smart card). Inalcuni casi questa tecnologia puÚ essere influenzata anche da condizioniclimatiche che si ripercuotono sul sistema vascolare (calore, pressione, ecc.).

Ä Impatto: l'impatto dei sistemi basati sugli schemi dellevene sulla protezione dei dati Ë limitato, in quanto i dati biometrici non siraccolgono facilmente e l'uso del percorso delle vene Ë attualmente limitato adapplicazioni nel settore privato.

Ä Consenso e trasparenza: poichÈ i dati relativi allo schemadelle vene possono essere rilevati soltanto con l'impiego di illuminazione efotocamere nel vicino infrarosso, si puÚ ritenere che l'interessato sia aconoscenza del trattamento e, appoggiando il dito o la mano sul lettore,trasmetta il consenso. Tuttavia, come per tutti i sistemi biometrici, questapresunzione andrebbe ridimensionata in alcuni ambiti specifici, per esempioquando l'interessato Ë un lavoratore subordinato del responsabile deltrattamento.

Ä Ulteriore finalit‡ o ulteriori finalit‡ di trattamento: adoggi i dati relativi allo schema delle vene presentano rischi limitati riguardoall'utilizzo per ulteriori finalit‡. Il rischio puÚ aumentare se il trattamentoË generalizzato e se la falsificazione dell'identit‡ Ë resa pi˘ agevole.

Ä Capacit‡ di collegamento: i dati relativi allo schema dellevene non forniscono informazioni collegabili con altri dati, salvo con datidello stesso tipo provenienti da un altro trattamento.

Ä Individuazione/profilazione: finchÈ questo tipo di tecnicabiometrica rimarr‡ poco usata, per esempio in una banca dati centrale per cartedi pagamento, il rischio di individuazione/profilazione con dati relativi alloschema delle vene sar‡ limitato.

Ä Trattamento di dati sensibili: gli unici dati sensibili chepotrebbero derivare dai dati sullo schema delle vene riguardano lo stato disalute, ma finora non Ë stata condotta alcuna valutazione formalesull'argomento.

Ä Revocabilit‡: i dati relativi allo schema delle venesembrano essere molto stabili nel tempo, ma questa affermazione richiede unaconferma empirica (i sistemi basati sullo schema delle vene sono troppo recentiper fornire risultati confermati). I suddetti dati vanno pertanto consideratiirreversibili.

4.4.2.

Protezione antifalsificazione dell'identit‡: la falsificazionedell'identit‡ dei dati relativi allo schema delle vene non Ë stata ancoradiffusamente esplorata ma i risultati di una ricerca recente hanno indicato cheË possibile falsificare un lettore di vene del palmo della mano14. Ladifficolt‡ principale per la falsificazione di questi dati consiste nellaraccolta di un campione dei dati biometrici.

Impronte digitali e usi combinati

Il riconoscimento delle impronte digitali Ë uno dei sistemibiometrici pi˘ antichi e diffusamente studiati, nonchÈ uno fra i pi˘ utilizzatisu larga scala. Da oltre un secolo le forze di contrasto si servonodell'identificazione attraverso le impronte digitali sia per la verifica, siaper l'identificazione delle persone. Essa si basa sul fatto che le improntedigitali sono uniche per ciascuna persona e che esse contengono caratteristichemisurabili per poter decidere se un'impronta combacia con un campione gi‡rilevato.

La registrazione delle impronte digitali richiede la presenzafisica della persona nonchÈ, a seconda del caso previsto, di personaleadeguatamente formato per garantire una buona qualit‡ dei dati. Il rilevamentodelle impronte digitali non Ë un compito da poco, nel senso che l'accuratezzadel confronto dipende dalla qualit‡ dell'immagine rispetto alla tecnica diquest'ultima. Le tecniche di acquisizione possono variare dalla pressione diuna o due dita fino a tutte e dieci le dita, con modalit‡ piana o rollata. Aseconda del sistema impiegato, le impronte digitali possono essere usatesoltanto per la verifica (1:1) o per l'identificazione e il confronto contracce (1: n). Tuttavia, come risulta da alcuni studi, una parte dellapopolazione non Ë in grado di registrarsi per svariati motivi, ponendo unproblema che richiede l'esistenza di adeguate procedure di ripiego, soprattuttoper grossi sistemi, per evitare di privare i singoli di qualcosa cui hannodiritto.

Sebbene, in linea di principio, questo non sia un metodo troppoinvasivo, in ogni caso puÚ essere percepito come tale poichÈ si accompagnaall'immagine negativa associata al trattamento di una persona come sospettata,ciÚ a causa dell'uso comune che se ne fa nell'ambito delle attivit‡ dicontrasto.

Le impronte digitali indicano varie caratteristiche utilizzabiliper finalit‡ di verifica/identificazione anche se l'analisi dei minimiparticolari Ë tuttora la tecnica pi˘ usata. Lo sviluppo di nuove tecniche(ossia gli scanner ad alta risoluzione) consentir‡ l'uso di altrecaratteristiche. Lo sviluppo tecnologico ha altresÏ riguardato le capacit‡ diidentificazione consentendo l'uso di grosse banche dati per finalit‡ diidentificazione.

In proposito, i sistemi pi˘ avanzati sono i noti sistemiautomatizzati d'identificazione dattiloscopica (AFIS) impiegati per finalit‡ dicontrasto e utilizzabili per lo scambio di dati attraverso la ricerca in variarchivi posti in siti transfrontalieri. Lo scambio di dati affronta problemi connessia siti, a formati e a livelli di qualit‡ differenti.

Esempi di AFIS in Europa sono l'Eurodac e il sistema diinformazione visti che, secondo le previsioni, saranno fra le banche dati pi˘grandi a livello mondiale, considerando che vi saranno conservate circa 70milioni di impronte digitali. Nei suoi precedenti pareri il Gruppo di lavoro hasollevato svariate questioni in merito all'utilizzo di banche dati su vastascala, rilevando la necessit‡ di garantire proporzionalit‡. Occorre soprattuttoaffrontare problemi di affidabilit‡ in termini di risultati falsi positivi efalsi negativi, di efficace controllo dell'accesso a tali banche dati, comepure i problemi connessi all'uso di impronte digitali di minori e di anziani.

Nei sistemi biometrici basati sulle impronte digitali vengononormalmente usati dei modelli, solitamente considerati dai fornitori di sistemicome un modo per proteggere il singolo. Tuttavia, a seconda delsistema/algoritmo usato per creare il modello, esistono alcuni rischipotenziali connessi alla possibilit‡ di collegare modelli con altre banche datidi impronte digitali per l'identificazione delle persone.

Riveste una certa importanza anche la questione dell'impiego ditecniche per eludere i sistemi di riconoscimento delle impronte digitaliattraverso l'uso di dita artificiali o di impronte create da materialeartificiale, che consente pratiche legate al furto di identit‡. Esistonoapprocci diversi per ridurre la vulnerabilit‡ di questi sistemi come larilevazione dal vivo, i sistemi basati sul riconoscimento di pi˘ dita e anchel'uso di un appropriato controllo umano per i compiti di iscrizione eidentificazione/verifica.

Le preoccupazioni per la protezione dei dati connesse all'usodelle impronte digitali possono essere cosÏ descritte in breve:

Ä Accuratezza: anche se, dopotutto, le impronte digitali presentanoun'elevata percentuale di accuratezza, quest'ultima puÚ essere messa indiscussione dai limiti relativi a questioni riguardanti le informazioni –scarsa qualit‡ dei dati o procedura di acquisizione incompatibile – o ladichiarazione – caratteristiche selezionate o qualit‡ degli algoritmi diestrazione. CiÚ puÚ comportare falsi negativi o falsi positivi.

Ä Impatto: l'irreversibilit‡ del processo puÚ ridurre la capacit‡del singolo di esercitare i propri diritti o di riformare decisioni adottatesulla base di indicazioni false. Basarsi sull'accuratezza delle improntedigitali puÚ rendere pi˘ difficile rettificare eventuali errori, comportandoconseguenze di ampia portata per i singoli. CiÚ dev'essere tenuto inconsiderazione in sede di valutazione della proporzionalit‡ del trattamento inrelazione alla decisione specifica da adottare sulle impronte digitali. VaaltresÏ detto che la mancanza di misure di sicurezza puÚ essere la causa delfurto di identit‡, con un potenziale forte impatto sul singolo.

Ä Capacit‡ di collegamento: le impronte digitali possono essereutilizzate in maniera illecita in quanto i dati ad esse relativi sonocollegabili con altre banche dati. Questa possibilit‡ di collegamento ad altrebanche dati puÚ condurre a usi non compatibili con le finalit‡ originarie; perridurne il rischio Ë possibile avvalersi di tecniche come i dati biometriciconvertibili oppure la criptazione di questi ultimi.

Ä Trattamento di dati sensibili: secondo alcuni studi, le immaginidelle impronte digitali possono rivelare informazioni sull'etniadell'interessato15.

Ä Ulteriore finalit‡ o ulteriori finalit‡ di trattamento: laconservazione centralizzata di dati, soprattutto in grosse banche dati, implicarischi connessi alla sicurezza dei dati, alla possibilit‡ di collegamento eagli utilizzi deviati. In assenza di garanzie, ciÚ consente l'uso di improntedigitali per finalit‡ diverse da quelle inizialmente poste alla base deltrattamento.

Ä Consenso e trasparenza: il consenso Ë una questione essenziale perquanto riguarda l'uso delle impronte digitali per scopi diversi da quelli dicontrasto. Le impronte digitali sono facilmente riproducibili da improntelatenti e perfino da fotografie, all'insaputa dell'interessato. Altre questioniche riguardano il consenso sono quelle legate all'ottenimento del consenso delminore e al ruolo svolto in proposito dai genitori (per esempio, la rilevazionedi impronte digitali a scuola), nonchÈ quelle connesse alla validit‡ delconsenso per fornire impronte digitali in ambito lavorativo.

Ä Revocabilit‡: i dati relativi alle impronte digitali sono moltostabili nel tempo e devono essere considerati irreversibili. A determinatecondizioni Ë possibile revocare un modello di impronta digitale.

Ä Protezione anti-falsificazione dell'identit‡: le impronte digitalisono facilmente rilevabili grazie alle molteplici tracce di impronte checiascun individuo lascia. Inoltre, con diversi sistemi e sensori Ë possibileutilizzare false impronte digitali, soprattutto quando in tali sistemi nonfigura una specifica protezione anti-falsificazione dell'identit‡. La riuscitadi un'aggressione dipende in larga misura dal tipo di sensore (ottico,capacitivo, ecc.) e dal materiale usato dall'aggressore.

4.4.3. Riconoscimento del volto e usicombinati

Il volto, alla stregua delle impronte digitali, Ë usato da moltotempo e in maniera diffusa come fonte di dati biometrici. Ultimamente, dalvolto non soltanto Ë possibile determinare l'identit‡ ma anche caratteristichefisiologiche e psicologiche come l'origine etnica, l'emozione e il benessere.La capacit‡ di estrarre questo volume di dati da un'immagine e il fatto che siapossibile scattare una fotografia da una certa distanza all'insaputa dell'interessatodimostra il livello dei problemi in materia di protezione dei dati che questetecnologie possono far sorgere.

Il riconoscimento del volto quale mezzo per l'identificazione e laverifica non Ë passato inosservato agli occhi delle autorit‡ di contrasto, dialtre autorit‡ pubbliche e perfino di organizzazioni private. Da molti anni lefotografie compaiono su passaporti, patenti di guida, carte di identit‡ e fotosegnaletiche e non Ë insolita la presenza di una fotografia stampata su unatessera di controllo dell'accesso o su altra carta di identit‡ aziendale. Taliimmagini si ottengono di norma con un'illuminazione controllata e si limitano auna visione frontale o di profilo dell'interessato. L'uso di questa seriecontrollata di immagini Ë stata una logica base di partenza per il trattamentoautomatico e il riconoscimento delle persone. Tale capacit‡ Ë stata nelfrattempo superata e la tecnologia Ë arrivata al punto in cui Ë possibilegiungere all'identificazione partendo da immagini tratte da una molteplicit‡ difotocamere, di punti di vista e di condizioni di luce. Esiste inoltre unaquantit‡ enorme di immagini pubblicamente disponibili su internet, come quelleche vengono caricate nei social network e in altre gallerie altrettantopubblicamente disponibili. I rischi non si limitano alle immagini tradizionali,in quanto il riconoscimento del volto Ë stato inserito con successo nei videofeed in tempo reale. Il responsabile del trattamento deve riconoscere chel'aggiunta di nuove capacit‡ di trattamento in un sistema gi‡ esistente (peresempio il riconoscimento del volto nelle TV a circuito chiuso) puÚ modificarela finalit‡ specifica del sistema originario ed Ë tenuto a rivalutare l'impattodi questa modifica sulla vita privata.

Esempio: Un ospedaleutilizza impronte digitali in una banca dati centrale per autenticare ipazienti in un servizio di radioterapia, onde accertarsi che ogni pazientericeva il trattamento corretto. Le impronte digitali sono preferibili alriconoscimento mediante lettura delle vene in quanto il trattamento altera ilsistema vascolare. Inoltre, viene utilizzata una banca dati centrale perchÈ lecondizioni dei pazienti (et‡, patologia) comportano un rischio elevato diperdita dei badge, il che impedirebbe l'accesso al trattamento. In tal casol'uso delle impronte digitali Ë una soluzione adeguata.

Segue una descrizione dei rischi per la protezione dei daticonnessi all'uso dei sistemi di riconoscimento del volto:

Ä Accuratezza: se non Ë possibile garantire la qualit‡ delleimmagini, esiste il rischio di compromettere l'accuratezza. » evidente che, seil volto non viene svelato (perchÈ Ë celato dai capelli o da un cappello, peresempio), il confronto o la categorizzazione avverr‡ con un elevato margine dierrore. Le variazioni di posa e di illuminazione rimangono una sfida importanteper il riconoscimento del volto, che influenzano in maniera significatival'accuratezza.

Ä Impatto: l'impatto specifico sulla protezione dei dati di unparticolare sistema di riconoscimento del volto dipender‡ dalle sue finalit‡ edalle circostanze specifiche. Un sistema di categorizzazione pensato percontare i dati statistico-demografici dei visitatori di un luogo di attrazioneprivo di capacit‡ di registrazione avr‡ un impatto diverso sulla protezione deidati rispetto a quello di un sistema usato per nascondere la sorveglianza delleautorit‡ di contrasto finalizzata a identificare potenziali agitatori.

Ä Consenso e trasparenza: un rischio per la protezione dei dati noninsito in molti altri tipi di trattamento di dati biometrici consiste nel fattoche Ë possibile ottenere e sottoporre a trattamento immagini provenienti da unaserie di punti di vista, di condizioni ambientali e all'insaputadell'interessato. Nel parere 15/2011 sulla definizione del consenso, il Gruppodi lavoro specifica che, per poter essere considerato quale base giuridica peril trattamento, il consenso dev'essere "informato". CiÚ non accade nel caso incui l'interessato ignori che le immagini raccolte sono finalizzate altrattamento per il riconoscimento del volto. Sebbene l'interessato sia aconoscenza della presenza di una videocamera in funzione, potrebbero nonesservi tracce visive per distinguere un sistema di TV a circuito chiuso liveo per registrazioni da una lente che cattura immagini per il riconoscimentodel volto.

Ä Ulteriore finalit‡ o ulteriori finalit‡ di trattamento: una voltaottenute, lecitamente o illecitamente, le immagini digitali possono esserefacilmente condivise o riprodotte per divenire oggetto di trattamento insistemi diversi da quelli cui erano state originariamente destinate. Questofenomeno Ë evidente nell'ambito dei media sociali, in cui gli utenti caricano lefotografie personali da condividere con la famiglia, con gli amici e con icolleghi. Non appena presenti sulla piattaforma del medium sociale, le immaginisono a disposizione per essere riutilizzate dalla medesima piattaforma persvariate finalit‡, alcune delle quali possono essere inserite nella piattaformatalvolta anche dopo che l'immagine Ë stata ottenuta e/o caricata.

Ä Capacit‡ di collegamento: un ampio numero di servizi onlineconsente agli utenti di caricare un'immagine da collegare al profilo dell'utente.Il riconoscimento del volto puÚ essere utilizzato per collegare i profili divari servizi online (attraverso l'immagine del profilo) ma anche tra la realt‡online e il mondo reale esterno. Non Ë impossibile fotografare una persona perstrada e determinarne in tempo reale l'identit‡ attraverso una ricerca compiutafra le immagini contenute nei profili pubblici. Esistono servizi offerti daterzi che sono anche in grado di setacciare le fotografie dei profili e altricontenuti pubblicamente disponibili per creare immense collezioni di immaginial fine di associarvi un'identit‡ vera.

Ä Individuazione / profilazione: potrebbe essere possibile servirsidi un sistema di identificazione anche se non si conosce la vera identit‡ diuna persona. Un sistema per il riconoscimento del volto posto all'interno di uncentro commerciale o di un'area pubblica analoga Ë potenzialmente utilizzabileper individuare percorsi e abitudini dei singoli clienti; la finalit‡ potrebbeessere quella di gestire in modo efficace le code o il posizionamento deiprodotti, al fine di migliorare la permanenza della clientela nel centro.Tuttavia, la capacit‡ di individuare o di localizzare una persona va di paripasso con la possibilit‡ di tracciarne il profilo e di distribuire pubblicit‡mirata o altri servizi specifici.

Ä Trattamento dei dati sensibili: come si Ë detto, il trattamentodei dati biometrici potrebbe essere usato per determinare dati sensibili, inparticolare quelli contenenti indizi visivi quali razza, gruppo etnico o magariuna condizione clinica.

Ä Revocabilit‡: una persona puÚ facilmente modificare l'immagine delproprio volto (barba, occhiali, cappello, ecc.) in maniera sufficiente daingannare i sistemi di riconoscimento del volto, soprattutto se funzionano inun ambiente non controllato. Tuttavia, le principali caratteristiche del visodi una persona sono stabili nel tempo e i sistemi possono anche migliorare ilriconoscimento, raccogliendo e associando pi˘ "volti" noti di una persona.

Ä Protezione anti-falsificazione dell'identit‡: molti sistemi diriconoscimento del volto sono facilmente falsificabili ma i produttori stannocercando di migliorare la protezione anti-falsificazione con tecniche quali lascansione in 3D o la registrazione di video. Tuttavia, la maggior parte deisistemi di base utilizzati in applicazioni pubbliche non contiene questo tipodi protezione.

Esempio: Un esempioestremamente irreale Ë quello di un sistema di sorveglianza video di prossimagenerazione, pensato per centri commerciali, in grado di riconoscere lepersone, individuare i movimenti in maniera automatica e distinguerecaratteristiche del volto quali il sorriso o la rabbia. Esso potrebbericonoscere i clienti abituali gi‡ all'ingresso del parcheggio riservato eguidarli verso i loro posti preferiti. Nel momento in cui i clienti entrano nelcentro commerciale, il sistema potrebbe identificarne l'abbigliamento persuggerire i negozi da visitare in base alle offerte disponibili, ciÚ a frontedi dati raccolti sui precedenti acquisti o di una serie prevista di indicatori.Potrebbe inoltre essere organizzata una pubblicit‡ su misura nelle vetrine opotrebbe essere posto un divieto di accesso automatico a negozi, ristoranti ealtri luoghi. Potenziali ladri di automobili potrebbero essere identificatiprima ancora che tocchino un'automobile. Se necessario, la presenza di velivolitelecomandati (droni) con videocamere e altri sensori potrebbe essere utile aconservare le tracce dei sospettati fino alla smentita o alla conferma delsospetto. Potrebbe essere rilevata la presenza di oggetti nascosti negliindumenti (coltelli o articoli rubati nei negozi). Questa tecnologia non sibasa unicamente sui nuovi sistemi biometrici ma combina ed elabora informazionigi‡ disponibili con altri dati raccolti da una serie di sistemi diversi.

Un'applicazione analoga Ë stata ideata nel progetto INDECT (Intelligentinformation system supporting observation, searching and detection for securityof citizens in urban environment — sistema intelligente diinformazione a sostegno dell'osservazione, della ricerca e della rilevazioneper la sicurezza dei cittadini in contesti urbani), nell'ambito del quale varietecnologie sono combinate per prevenire potenziali azioni di terrorismo ecriminalit‡. Il Gruppo di lavoro sottolinea con vigore che siffatto uso dellabiometria richiede un'adeguata base giuridica unitamente a considerazionirigorose sulla necessit‡ e la proporzionalit‡ di tali misure.

4.4.4. Riconoscimento vocale e usicombinati

Un utilizzo relativamente comune del riconoscimento vocale, oltrea quello di dato biometrico per l'identificazione, comporta l'identificazionedi elementi specifici dell'impronta vocale per classificare il parlatore. Unesempio Ë l'analisi delle risposte di una persona durante una conversazionetelefonica per identificare la presenza di stress e di irregolarit‡nell'eloquio che evidenzino potenziali casi di frode.

Testimonianze rese note dai produttori riferiscono che, grazieall'impiego di questa tecnologia, le societ‡ di servizi finanziari hannoincrementato le percentuali di rilevamento di frodi e consentito un serviziopi˘ rapido per la risoluzione dei reclami autentici.

Se usati in un sistema di classificazione, i rischi per laprotezione dei dati sono leggermente diversi rispetto a un sistema biometricodi identificazione, nel senso che non Ë richiesta una fase d'iscrizione e non Ënecessaria la conservazione del modello biometrico per lungo tempo. Tuttavia,in caso di conversazione telefonica registrata, come di norma accade con leistituzioni finanziarie, devono essere attuati controlli adeguati per garantirela sicurezza di questi dati.

Ä Accuratezza: uno dei rischi relativi alla protezione dei dati diquesto sistema sta nelle percentuali di rilevazione, soprattutto nei falsipositivi e nei falsi negativi, ossia nel numero di persone erroneamenteidentificate come responsabili di comportamenti fraudolenti oppure nel numerodi richieste basate sull'uso intenzionale di informazioni false, nonidentificate. Sebbene un sistema di classificazione possa essere in grado ditollerare percentuali pi˘ elevate di errori rispetto alla verifica o all'identificazione,devono essere ancora attuate procedure adeguate per gestire tempestivamente icasi che possono essere classificati in modo errato.

Ä Consenso e trasparenza: un approccio rispettoso della vita privatada applicare a queste tecnologie puÚ essere quello di farsi carico di garantireche le chiamate siano controllate per verificarne l'idoneit‡ e che gliinteressati siano informati delle procedure avviate. In un caso di studio lepersone sono state ritenute inadatte all'esperimento se non di madrelinguainglese o se portatori di disabilit‡ uditive o intellettive oppure se prive diaccesso a un telefono. I partecipanti erano liberi di rifiutarsi di risponderealla chiamata e di fornire informazioni in maniera tradizionale ma anche, pergli interessati dissenzienti o disabili, di partecipare a tale sistema senzasubirne uno svantaggio.

Ä Ulteriore finalit‡ o ulteriori finalit‡ di trattamento: nonostantela stragrande maggioranza delle ipotesi relative a questa tecnologia richiedamodifiche strutturali specifiche per essere attuate, in quanto i settoripubblico e privato consolidano le loro infrastrutture IT in maniera dacomprendervi tecnologie quali la Voice over IP (voce tramite protocollointernet), le tecnologie di riconoscimento vocale possono divenire pi˘facilmente integrabili senza tener conto degli obblighi di protezione dei datidel responsabile del trattamento.

Ä Revocabilit‡: se Ë vero che una persona puÚ volontariamentemodificare la propria voce, le impronte vocali sono piuttosto stabili e possonoessere validamente usate per identificare in maniera inconfondibile unapersona, soprattutto se questa non Ë informata (e dunque non propensa amodificare la voce).

Ä Protezione anti-falsificazione dell'identit‡: le voci registratesono utilizzabili per beffare i sistemi di riconoscimento vocale. Le tecnicheanti-falsificazione dell'identit‡ prevedono domande/risposte su argomenticontestuali (chiedere la data del giorno o ripetere parole di uso non comune).

4.4.5. DNA

I migliori dispositivi impiegati per il sequenziamento e ilconfronto del DNA e la disponibilit‡ di attrezzature che ne consentanol'analisi a prezzi abbordabili rendono necessario riconsiderare alcuneaffermazioni contenute nel precedente documento di lavoro sulla biometria(WP80).

Uno dei principali cambiamenti intervenuti nel settore delletecnologie sull'analisi del profilo del DNA Ë la riduzione del tempo necessarioper le operazioni di sequenziamento e confronto. I continui progressi compiutinel corso degli anni dagli studiosi e dall'industria delle biotecnologie hannoridotto il tempo necessario per la creazione di un profilo di DNA dall'ordinedi giorni all'ordine di ore e perfino di minuti.

Il lancio di un mercato di servizi online basati sull'analisi delDNA costituisce una minaccia per i diritti delle persone alla protezione deidati, soprattutto quando il servizio richiede il trasferimento di campioni e didati biometrici tra paesi diversi (compresi i paesi terzi), la presenza di pi˘titolari del trattamento e la mancanza di adeguate garanzie per il trattamentodi dati genetici o riguardanti la salute.

» altamente probabile che nel prossimo futuro sar‡ possibileeseguire analisi del profilo del DNA e confronti di campioni in tempo reale (oquasi) con dispositivi portatili, il che costituir‡ il punto di partenza per losviluppo di sistemi di autenticazione/identificazione biometrica dotati dimaggiori livelli di accuratezza rispetto all'autenticazione attraverso leimpronte digitali, il riconoscimento vocale oppure quello del volto.

I progressi nell'analisi del profilo del DNA sono inoltre dovutial crescente interesse dei governi, dei giudici e delle autorit‡ di contrastoriguardo alle biotecnologie da applicare nelle indagini penali. Grazieall'affidabilit‡ del confronto del DNA e al fatto che Ë possibile raccoglierecampioni di DNA all'insaputa dell'interessato, nel tempo svariati Stati membrihanno creato o avviato iniziative per creare banche dati centralizzate diprofili di DNA di persone condannate e di campioni trovati nei luoghi in cuisono stati commessi reati.

Nel maggio 2005 sette Stati membri dell'UE hanno firmato l'accordodenominato "Trattato di Pr¸m" allo scopo di migliorare la collaborazione nelleindagini penali transnazionali e in tema di giustizia attraverso lo scambio diinformazioni. L'accordo definisce nuove basi di collaborazione fornendo aifirmatari determinati diritti di accesso alle banche dati nazionali di DNAunicamente nell'ambito della repressione (azione penale), come pure in quellodei dati su impronte digitali, dei dati anche personali e dei dati sullaregistrazione di veicoli. A partire dalla data sopra indicata, altri Statimembri sono divenuti firmatari del trattato, i cui elementi essenziali sonoracchiusi nella decisione del Consiglio 2008/615/GAI.

In forza del presente quadro giuridico, svariati Stati membridell'UE possiedono o possiederanno a breve una banca dati nazionale funzionalecontenente i profili del DNA delle persone condannate e le prove raccolte suiluoghi del reato, il che solleva preoccupazioni riguardo a tale specificotrattamento di dati.

Uno dei problemi principali connessi alla creazione di banche datisul DNA consiste nel fatto che i dati genetici provenienti da campioni di DNA(loci) possono rivelare – non immediatamente durante la fase dirilevazione – informazioni correlate con lo stato di salute, lapredisposizione a patologie o l'origine etnica. Per questo motivo la creazionedi banche dati sul DNA pone un rischio importante per la dignit‡ umana e idiritti fondamentali, rischio che Ë stato considerato nella risoluzione delConsiglio 2009/C 296/01. Sono previste disposizioni specifiche per limitarel'analisi del DNA a zone cromosomiche prive di espressione genetica attraversouna determinata serie di marcatori del DNA che notoriamente non fornisceinformazioni su specifiche caratteristiche ereditarie (conosciuta anche come la"ESS" – Serie europea standard).

Tuttavia, la possibilit‡ che uno dei marcatori estratti contenutoin una banca dati sul DNA nazionale possa in futuro rivelare caratteristicheereditarie o altre informazioni sensibili richiede un'attenzione continuariguardo ai progressi nell'ambito della biologia con la conseguenza che, se ciÚmalauguratamente dovesse accadere, alcune informazioni della banca dati dovrebberoessere immediatamente cancellate. Inoltre, poichÈ tali banche dati sul DNAraccolgono profili di persone condannate, l'analisi statistica dei datidev'essere rigidamente limitata per evitare la profilazione in base al sesso oalla razza.

Per quanto riguarda le banche dati sul DNA per finalit‡ di poliziae di giustizia penale, la Corte europea dei diritti dell'uomo ha ritenuto cheoccorre distinguere fra il trattamento dei dati personali e i profili geneticidei sospettati e quelli delle persone condannate per aver commesso un reato16.

Esiste inoltre un rischio potenziale che l'analisi del DNA possaessere usata per identificare familiari o parenti collegati a un delittoirrisolto oppure a persone condannate, essendo possibile cercare i profili diDNA nella banca dati con serie parziali di marcatori o caratteri jolly. Questafunzionalit‡ solleva il problema delle implicazioni dei successivi controllieffettuati in base alle informazioni scaturite da una ricerca basata sucaratteristiche familiari.

Va pure rilevata la presenza di rischi specifici connessi all'usodi serie di dati di genomi nell'ambito della ricerca. Il Gruppo di lavororitiene che l'accesso ai campioni e ai dati debba essere rigorosamente limitatoalla ricerca e consentito esclusivamente per finalit‡ di ricerca; inoltre, Ënecessario chiarire in base a quali circostanze i dati e i risultati dellericerche saranno divulgati alle persone (tenendo altresÏ conto del diritto dinon essere informati) o inseriti in documentazione di natura medica.

Segue una descrizione dei rischi per la protezione dei daticonnessi con l'utilizzo del DNA quale dato biometrico:

Ä Accuratezza: sebbene il DNA presenti un elevatissimo grado diaccuratezza, occorre prendere in considerazione il fatto che ciÚ dipender‡ dalnumero di marcatori (loci) analizzati. I sistemi di analisi devono garantire ilmassimo livello di accuratezza.

Ä Impatto: l'uso del DNA puÚ essere ritenuto estremamente intrusivoper la persona. I dati genetici possono rivelare informazioni sensibili.L'analisi statistica dei dati Ë utilizzabile anche per la profilazione e puÚcomportare effetti discriminatori per le persone interessate.

Ä Ulteriore finalit‡ o ulteriori finalit‡ di trattamento: le nuovetecnologie consentono al giorno d'oggi di aumentare la quantit‡ di scambio didati. Per questo motivo dev'essere chiaro chi Ë il soggetto che puÚ accederealle informazioni di una banca dati sul DNA. La ricerca familiare e la ricercamirata al contesto razziale (racial targeting) possono essere ritenuteuna nuova tecnologia, che mette in discussione la finalit‡ originaria deltrattamento nelle banche dati sul DNA attualmente disponibili.

Ä Consenso e trasparenza: oggi vengono offerti servizi per eseguireanalisi del DNA su campioni biologici (la saliva, per esempio) inviati medianteposta ordinaria e i cui risultati sono resi disponibili attraverso internet.Controlli insufficienti sull'identit‡ potrebbero consentire a singoli o adorganizzazioni di sottoporre campioni di altre persone ottenendo dati personaliriservati di terzi.

Ä Possibilit‡ di collegamento: considerata la quantit‡ e la variet‡di informazioni ricavabili dal sequenziamento del DNA, quest'ultimo presenta unrischio elevato di un uso improprio in quanto i dati estratti sono facilmentecollegabili con altre banche dati che consentono l'analisi del profilo dellapersona. Anche una ricerca basata sulla familiarit‡ consente la creazione dicollegamenti con parenti.

Ä Trattamento di dati sensibili: il DNA puÚ rivelare informazioniassociate allo stato di salute, alla predisposizione a patologie o all'originerazziale dell'interessato. » pertanto estremamente importante applicare ilprincipio della minimizzazione dei dati al momento della scelta dei loci. Leinformazioni sul DNA possono essere estratte da diversi campioni per un periododi tempo pi˘ lungo: Ë dunque consigliabile garantire che l'accesso ai campionisia strettamente riservato a utilizzatori autorizzati e soltanto per usiconsentiti.

Ä Revocabilit‡: il DNA Ë irreversibile.

Ä Protezione anti-falsificazione dell'identit‡: il DNA Ë a prioriassai difficile da falsificare. Tuttavia, in molti casi Ë facile raccoglierecampioni del DNA (capelli, per esempio) all'insaputa del soggetto interessato.

4.4.6. Biometria della firma

La biometria della firma puÚ essere considerata un esempio deinuovi impieghi delle tecnologie biometriche tradizionali. Si tratta di tecnichebiometriche basate sul comportamento che misurano la condotta di una persona secondole dinamiche della firma manoscritta. Il tradizionale riconoscimento dellafirma si fonda sull'analisi di caratteristiche statiche o geometrichedell'immagine visiva della firma (come appare), la biometria della firma,invece, si riferisce all'analisi delle caratteristiche dinamiche della firma(come Ë stata fatta) e ciÚ fa sÏ che queste tecniche siano spesso indicate come"firma dinamica".

Le tipiche caratteristiche dinamiche misurate da un sistemabiometrico della firma (come una tavoletta grafica) sono la pressione, l'angolodi scrittura, la velocit‡ e l'accelerazione della penna, la forma dellelettere, la direzione dei tratti della firma e altri tratti dinamici unici.Queste caratteristiche variano a seconda dell'utilizzo e dell'importanza fra undistributore e un altro e vengono di norma rilevate con dispositivi sensibilial contatto. Alcuni dispositivi di riconoscimento della firma sono in grado dieseguire la verifica combinando l'analisi delle caratteristiche statiche(immagine visiva) e di quelle dinamiche (pressione, angolazione, velocit‡,ecc.) di una firma.

Segue una descrizione dei rischi relativi alla protezione dei daticonnessi all'uso della biometria della firma:

Ä Accuratezza: poichÈ le persone non firmano sempre allo stessomodo, possono sorgere problemi durante la procedura di iscrizione, come pure almomento della verifica dell'identit‡.

Impatto: la biometrica basata sulle caratteristichecomportamentali come la firma puÚ non essere unica nel tempo ed Ë modificabiledall'interessato. Una firma diversa dal solito puÚ celare un motivo psicologicoe il cambiamento puÚ precludere una verifica positiva, comportando la necessit‡di un'altra procedura di verifica dell'identit‡ degli interessati.

Ä Anti-falsificazione dell'identit‡: l'immagine grafica di una firmatradizionale Ë facilmente replicabile e falsificabile da un esperto, con unafotocopia oppure con un software di grafica, mentre una firma dinamica Ë pi˘sicura in quanto la procedura di verifica controlla anche le caratteristiche dinamiche,che sono complesse e uniche rispetto alla calligrafia di una persona.

5. Orientamenti generali,raccomandazioni per il settore specifico e misure tecniche e organizzative.

Lo sviluppo di un sistema biometrico si basa sulla collaborazionedelle varie parti coinvolte:

- produttori: progettano e testano sensori biometrici edefiniscono i risultati delle tecnologie biometriche;

- integratori: progettano il prodotto finale che sar‡ venduto aiclienti: essi scelgono la tecnologia biometrica e definiscono parzialmente lefinalit‡ del sistema (scegliendo il pubblico a cui rivolgersi);

- rivenditori: vendono il prodotto finale al cliente; di normainformano il cliente sui risultati, sui rischi ed eventualmente sul relativoquadro giuridico;

- installatori: installano il prodotto presso i locali delcliente; -       clienti: scelgono di acquistareun sistema biometrico, definiscono la finalit‡ e i mezzi del trattamento e,pertanto, sono responsabili del trattamento;

- interessati: forniscono dati biometrici usati dal sistema.

Alcune parti coinvolte svolgono anche pi˘ di un ruolo tra quellisopra descritti, ciascuno dei quali deve garantire un utilizzo dei sistemibiometrici che sia rispettoso della vita privata. L'installatore, per esempio,non puÚ attivare una caratteristica di sicurezza definita dall'integratore.

5.1. Principi generali.

Riguardo ai dati biometrici, la sicurezza dev'essere una dellepreoccupazioni principali, considerata l'irreversibilit‡ di tale tipo di dati.Pertanto, una violazione di questi dati pregiudica l'ulteriore uso sicuro dellabiometria come identificatore e il diritto alla protezione dei dati dellepersone interessate, per le quali non Ë possibile ridurre gli effetti dellaviolazione.

I rischi aumentano con il numero di applicazioni che impieganoquesto tipo di dati (soprattutto il rischio di violazioni e di utilizzideviati). Il maggior uso di dati biometrici ne accresce la probabilit‡ difurto.

Il Gruppo di lavoro riconosce l'attuale tendenza a consentirel'accesso a distanza ai sistemi biometrici, per esempio interfacce consegnatevia internet. Tale tendenza introduce una nuova serie di problemi relativi allasicurezza, molti dei quali sono gi‡ noti al settore informatico. Sindall'inizio, a partire dalla fase di progettazione, l'utilizzo di tale sistemadeve richiedere il coinvolgimento di tecnici idonei addetti alla sicurezzaprovenienti dal settore informatico.

Il Gruppo di lavoro raccomanda un livello elevato di protezionetecnica per il trattamento dei dati biometrici attraverso l'uso delle ultimetecnologie. Al riguardo, il Gruppo di lavoro invita ad attenersi alle norme delsettore per la protezione dei sistemi in cui vengono trattate le informazionibiometriche.

5.2. Tutela della vita privata fin dallaprogettazione (privacy by design) La tutela della vita privata fin dallaprogettazione Ë il concetto secondo cui la vita privata dev'essere integrata inmaniera proattiva nella tecnologia stessa.

Riguardo ai sistemi biometrici, la tutela della vita privata findalla progettazione concerne l'intera catena di valore dei sistemi biometrici:

- i produttori sono tenuti ad attuare i principi della tuteladella vita privata fin dalla progettazione nel momento in cui progettano nuovetecnologie e sensori: in quest'obbligo puÚ rientrare la cancellazioneautomatica dei dati grezzi dopo il calcolo del modello o la criptazione per laconservazione di dati biometrici (in una banca dati centrale o su una smartcard). I produttori devono inoltre concentrarsi sullo sviluppo ditecnologie biometriche che siano rispettose della vita privata;

- gli integratori e i rivenditori devono anch'essi attuare iprincipi della tutela della vita privata fin dalla progettazione nel momento incui definiscono il prodotto definitivo che sar‡ messo in vendita, scegliendotecnologie rispettose della vita privata e aggiungendo misure di sicurezza alprodotto definitivo quali la decentralizzazione della banca dati;

- i clienti (i futuri responsabili del trattamento) sono tenuti adapplicare i principi della tutela della vita privata fin dalla progettazioneogni volta che chiedono un sistema biometrico specifico o ne definiscono lecaratteristiche tecniche. In questo caso, i produttori e gli integratori devonooffrire un determinato livello di flessibilit‡ nei loro prodotti al fine dirispettare i principi di proporzionalit‡, limitazione delle finalit‡,minimizzazione dei dati e sicurezza.

Questi principi hanno gi‡ trovato attuazione in alcuni dispositivibiometrici; in uno specifico lettore biometrico alcuni produttori hanno infattiinserito parametri di criptazione e commutatori anti-pulling (anti-rimozione)e anti-tamper (anti-manomissione) per impedire l'accesso non autorizzatoa dati biometrici.

Il Gruppo di lavoro raccomanda che i sistemi biometrici sianoprogettati secondo "cicli di vita dello sviluppo" formali, che contemplino leseguenti fasi:

1. specifica di requisiti basati su un'analisi dei rischi e/o unavalutazione dell'impatto sulla vita privata (PIA, Privacy Impact Assessment);

2. descrizione e dimostrazione delle modalit‡ secondo cui ilprogetto soddisfa i requisiti;

3. convalida con verifiche funzionali e di sicurezza;

4. verifica della conformit‡ del progetto definitivo con il quadronormativo.

Il Gruppo di lavoro promuove la definizione di schemi di certificazioneche potrebbero garantire l'attuazione della tutela della vita privata fin dallaprogettazione e aumentare le informazioni dei responsabili del trattamento deidati circa i rischi relativi alla protezione dei dati associati ai sistemibiometrici.

5.3. Quadro di valutazione dell'impattosulla vita privata

5.3.1. Principi generali

La valutazione dell'impatto sulla vita privata Ë un processo incui un'entit‡ compie una valutazione dei rischi associati a un trattamento didati personali, unitamente a una definizione di ulteriori misure pensate perattenuare tali rischi. Per esempio, con riferimento alla tecnologia RFID, ilGruppo di lavoro ha stabilito che l'entit‡ che definisce l'applicazione Ëresponsabile della realizzazione della suddetta valutazione e che tale entit‡puÚ essere il responsabile del trattamento o il fornitore che progettal'applicazione RFID.

A causa dei rischi specifici che accompagnano l'uso dei datibiometrici, il Gruppo di lavoro chiede che la persona (il produttore,l'integratore o il cliente finale) che definisce la finalit‡ e i mezzi deldispositivo compia anche le valutazioni dell'impatto sulla vita privata qualeparte integrante della fase di progettazione dei sistemi che trattano questotipo di dati.

La PIA deve tener conto di quanto segue:

-    natura delle informazioni raccolte;

-    finalit‡ delle informazioni raccolte;

-    accuratezza del sistema, posto che da una corrispondenza/noncorrispondenza di un campione biometrico potrebbero derivare decisioniimportanti per una persona;

-    base giuridica e conformit‡ giuridica;

-    necessit‡ o meno del consenso;

-    accesso al dispositivo e condivisione interna ed esterna diinformazioni presso il responsabile del trattamento, il che comporter‡ tecnichee procedure di sicurezza per proteggere l'accesso non autorizzato ai dati;

-    misure in assoluto meno pregiudizievoli della vita privata gi‡adottate;

-    eventuale esistenza di una procedura alternativa al dispositivobiometrico (come la richiesta della carta di identit‡);

-    decisioni prese in merito al periodo di conservazione e allacancellazione di dati;

-    quale sia il periodo di tempo pertinente;

-    se i dati siano stati tutti raccolti per lo stesso periodo ditempo e se esistono un meccanismo di decisione automatico e un processo diripiego appropriato;

-    diritti dell'interessato.

Le valutazioni dell'impatto sulla vita privata non devonofocalizzarsi unicamente sull'identificazione dei rischi, dovendo altresÏfornire adeguate misure di protezione dei dati e indicare il modo in cui ilresponsabile del trattamento Ë riuscito a trovare soluzioni idonee perattenuare i rischi relativi alla protezione dei dati individuati nella sezioneprecedente.

Qualora la PIA sia stata condotta dal produttore odall'integratore, lo sviluppo del sistema biometrico potrebbe anche richiedereun'ulteriore valutazione, per tenere conto delle peculiarit‡ del responsabiledel trattamento. Nel caso in cui un sistema biometrico sia inserito nel sistemadi informazioni del cliente, per esempio, quest'ultimo deve effettuare un'altraPIA che consideri le proprie misure e procedure di sicurezza informatiche.

5.3.2. La specificit‡ dei datibiometrici

I dati biometrici richiedono un'attenzione specifica in quantoidentificano una persona in modo inequivocabile mediante le caratteristichecomportamentali o psicologiche che le sono tipiche.

Per questo motivo, lo scopo delle valutazioni dell'impatto sullavita privata dev'essere la valutazione del modo in cui Ë possibile evitare olimitare sostanzialmente i seguenti tre rischi attraverso il sistema oggettodell'analisi.

Il primo rischio Ë l'usurpazione di identit‡, soprattutto in casodi identificazione e di autenticazione. Il dispositivo biometrico nondev'essere ingannato da un attacco di falsificazione (spoofing) e devegarantire che la persona che sta tentando di eseguire il confronto siarealmente quella registrata nel sistema. Tale minaccia sembra menosignificativa per i dati biometrici che non possono essere rilevatiall'insaputa dell'interessato, come lo schema delle vene17, marappresenta, invece, uno dei problemi principali per i dispositivi diriconoscimento del volto o delle impronte digitali. Queste ultime sono lasciateovunque semplicemente toccando un oggetto e l'immagine del volto puÚ ancheessere ottenuta con una fotografia senza che il soggetto se ne accorga.

Il secondo rischio Ë lo sviamento delle finalit‡ sia da parte delresponsabile del trattamento, sia da parte di terzi, autorit‡ di contrastocomprese. Questo pericolo comune per i dati personali diventa importante conl'uso dei dati biometrici. I produttori devono adottare tutte le misure disicurezza per evitare ogni uso improprio dei dati e accertarsi che i dati nonpi˘ necessari ai fini del trattamento vengano cancellati immediatamente.

Analogamente a qualsiasi altro dato, i dati biometricilegittimamente trattati o conservati, come pure le fonti di dati biometrici,non possono essere trattati o iscritti dal responsabile del trattamento perfinalit‡ nuove o diverse, salvo trattarsi di un nuovo motivo legittimo perl'altrettanto nuovo trattamento di questi dati.

Il terzo rischio Ë la violazione dei dati che, nell'ambito deidati biometrici, richiede azioni specifiche in base al tipo di daticompromessi. Nel caso in cui si utilizzi un sistema che crea dati biometrici subase di un algoritmo che converte un campione biometrico in un determinatocodice e il dato biometrico o l'algoritmo venga rubato o compromesso, questidevono essere sostituiti. Quando la violazione comporta la perdita di datibiometrici direttamente identificati e molto prossimi alla fonte di datibiometrici, quali immagini di volti o impronte digitali, la persona interessatadev'esserne informata con precisione affinchÈ possa difendersi in un possibilee futuro caso in cui i dati biometrici compromessi potrebbero essere usati comeprova contro di essa.

5.4. Misure tecniche e organizzative

Proprio in virt˘ della loro natura, il trattamento dei datibiometrici richiede misure tecniche e organizzative specifiche, nonchÈprecauzioni atte ad evitare gli effetti negativi per l'interessato in caso diviolazione dei dati – soprattutto a causa dei rischi del comportamentoillecito all'origine della "ricostruzione" non autorizzata di unacaratteristica biometrica da un modello biometrico, il relativo collegamentocon banche dati diverse e l'ulteriore "uso" all'insaputa degli interessati, perfinalit‡ non compatibili con quelle originarie e/o la possibilit‡ che alcunidati biometrici possano essere usati per rivelare informazioni sulla razza osulla salute delle persone.

5.4.1. Misure tecniche

Ä Uso di modelli biometrici

Quando Ë possibile, i dati biometrici devono essere conservaticome modelli biometrici.

Il modello va estratto con modalit‡ tipiche per quel determinatosistema biometrico e non usate da altri responsabili del trattamento di sistemianaloghi, al fine di garantire che una persona sia identificabile soltanto inquei sistemi biometrici che possiedono una base giuridica per questaoperazione.

Ä Conservazione su dispositivo personale rispetto aconservazione su dispositivo centralizzato

» preferibile evitare la conservazione centralizzata delleinformazioni biometriche personali ogni qual volta Ë consentito sottoporre atrattamento i dati biometrici.

Soprattutto ai fini della verifica, il Gruppo di lavoro ritieneopportuno che i sistemi biometrici si basino sulla lettura di dati biometriciconservati come modelli criptati su media esclusivamente in possesso deirelativi interessati (per esempio: smart card o dispositivi simili). Leloro caratteristiche biometriche sono confrontabili con il modello o i modelliconservati sulla card e/o sul dispositivo mediante procedure diconfronto standard direttamente attuate sulla card e/o sul dispositivoin questione, mediante le quali – in generale e se possibile – lacreazione di una banca dati contenente informazioni biometriche dev'essereevitata. Effettivamente, in caso di perdita o di smarrimento della carta e/odel dispositivo, esistono attualmente rischi limitati di uso improprio delleinformazioni biometriche in essi contenute. Per diminuire il rischio di furtodi identit‡, in tali dispositivi occorre memorizzare pochi dati identificativirelativi all'interessato.

Tuttavia, per scopi specifici e in presenza di necessit‡oggettive, si possono ritenere ammissibili le banche dati centralizzate checontengono informazioni biometriche e/o modelli. Il sistema biometrico usato ele misure di sicurezza prescelte devono limitare i rischi summenzionati egarantire che il riutilizzo dei dati biometrici in questione per ulteriorifinalit‡ sia impossibile o almeno rintracciabile. Per evitare la lettura, lariproduzione, la modifica o la cancellazione di dati biometrici vanno usatimeccanismi basati su tecnologie crittografiche.

In caso di conservazione di dati biometrici su un dispositivo fisicamentecontrollato dall'interessato, occorre usare una specifica chiave di criptazioneper i dispositivi di lettura, come pure un'efficace garanzia per proteggerequesti dati dall'accesso non autorizzato. Inoltre, questi sistemidecentralizzati offrono una protezione migliore dei dati biometrici fin dallaprogettazione, in quanto l'interessato continua a controllare fisicamente ipropri dati biometrici e nessun elemento puÚ essere oggetto di interesse, nÈutilizzato.

Il Gruppo di lavoro sottolinea inoltre che l'idea della banca daticentralizzata racchiude un'ampia gamma di attuazioni tecniche dallaconservazione nel lettore a una banca dati ospitata all'interno di una rete.

Ä Rinnovabilit‡ e revocabilit‡

Posto che la fonte dei dati biometrici non puÚ essere modificata,i sistemi biometrici destinati a stabilire un legame di identit‡ devono essereideati in modo che il processo di registrazione e il trattamento di datibiometrici consentano l'estrazione di pi˘ modelli biometrici indipendenti dallamedesima fonte, per poterli sostituire in caso di violazione di dati o dievoluzione tecnologica.

I sistemi biometrici vanno progettati in maniera da consentire larevoca del collegamento di identit‡, per rinnovarlo oppure per cancellarlodefinitivamente, per esempio in caso di revoca del consenso18.

Ä Forma criptata

Per quanto riguarda il problema della sicurezza, occorre adottaremisure adeguate per proteggere i dati conservati e trattati dal sistemabiometrico: le informazioni biometriche devono sempre essere conservate informa criptata. Occorre definire un quadro di gestione della chiave pergarantire che le chiavi di criptazione siano accessibili unicamente in casi dieffettiva necessit‡.

Considerato l'uso ampiamente diffuso di banche dati pubbliche eprivate contenenti informazioni biometriche, cosÏ come l'aumentatainteroperabilit‡ di diversi sistemi che impiegano la biometria, va privilegiatol'utilizzo di tecnologie specifiche o di formati di dati che rendanoimpossibili le connessioni di banche di dati biometrici e le divulgazioni noncontrollate di dati.

Ä Anti-falsificazione dell'identit‡

Il produttore deve attuare sistemi che determinino se i datibiometrici sono genuini e sempre relativi a una persona fisica, per conservarel'affidabilit‡ di un sistema biometrico ed evitare il furto d'identit‡.Riguardo al riconoscimento del volto, potrebbe essere importante garantire cheil volto sia autentico e non, per esempio, un'immagine incollata sul vero voltodi un impostore.

Ä Criptazione e decriptazione dei dati biometrici

La criptazione dei dati biometrici Ë una tecnica che inseriscecaratteristiche biometriche nell'algoritmo di criptazione e di decriptazione.In questo caso si usa di norma una parte di un dato biometrico come chiave percriptare un identificatore necessario per il servizio.

Questo sistema presenta numerosi vantaggi19econ esso non esiste alcuna conservazione dell'elemento identificatore o deidati biometrici in quanto viene conservato unicamente il risultatodell'identificatore criptato con i dati biometrici. Inoltre, i dati personalisono revocabili perchÈ Ë possibile creare un altro elemento identificatore chepuÚ essere anch'esso protetto con la criptazione di dati biometrici. Infine,risolvendo il problema di ricordare password lunghe e complesse, questo sistemaË pi˘ sicuro e facile da usare.

Tuttavia, non Ë facile risolvere il problema crittografico che sipone in quanto criptazione e decriptazione non tollerano alcuna modifica dellachiave, mentre i dati biometrici offrono un modello diverso che puÚ dar luogo amodifiche nella chiave estratta. Il sistema deve pertanto essere in grado dicalcolare la medesima chiave da dati biometrici leggermente diversi senza perquesto aumentare i falsi positivi.

Il Gruppo di lavoro concorda sul fatto che la tecnologia dicriptazione di dati biometrici offra vantaggiose possibilit‡ alla ricerca e siadivenuta sufficientemente matura per essere maggiormente considerata a livellodi ordine pubblico, di sviluppo di prototipi e di esame delle applicazioni.

Ä Meccanismi di cancellazione automatizzata dei dati

Per evitare che le informazioni biometriche siano conservate pi˘ alungo di quanto necessario al conseguimento delle finalit‡ per le quali essesono state rilevate o successivamente trattate, occorre attuare idonei meccanismidi cancellazione automatizzata dei dati anche in caso di periodo diconservazione lecitamente prorogato, garantendo la tempestiva cancellazione didati personali divenuti inutili per il funzionamento del sistema biometrico.

Se decidono di usare la memoria integrata sul lettore, iproduttori possono anche attuare la conservazione dei modelli biometrici sumemoria volatile, che garantisce la cancellazione dei dati una volta rimosso illettore; in tal modo non rimane quindi alcun dato biometrico se il lettoreviene venduto o disinstallato. » inoltre possibile usare commutatori anti-pullingper la cancellazione automatica dei dati in caso di tentativo di furto dellettore.

Ä Grosse banche dati contenenti dati biometrici e banche dati"weak link" (anello debole)

Alcuni paesi si servono di grosse banche dati contenenti datibiometrici principalmente per due scopi: facilitare le indagini penali egarantire il rilascio di documenti di identit‡ (passaporti, carte di identit‡ epatenti di guida). Di norma, le banche dati usate per le indagini penaliraccolgono informazioni sui criminali e sui sospettati e devono essereprogettate per identificare una persona attraverso i dati biometrici. Alcontrario, le banche dati usate per contrastare l'usurpazione di identit‡ comprendonodati biometrici di tutta la popolazione e devono essere usate soltanto perautenticare una persona (per esempio se questa ha perso i suoi documenti o hadistrutto il chip elettronico del passaporto in cui sono conservati i datibiometrici).

Il Gruppo di lavoro ritiene che si debbano attuare misure tecnicheper evitare ogni sviamento della finalit‡ in caso di utilizzo di una banca daticentrale per finalit‡ di contrasto contro l'usurpazione di identit‡.Innanzitutto, il principio di minimizzazione dei dati richiede che si debbanoraccogliere soltanto i dati necessari all'autenticazione della persona. Siritiene, per esempio, che il confronto delle impronte digitali di due dita siaabbastanza preciso per autenticare una persona.

Inoltre, i responsabili del trattamento dei dati possono usarebanche dati "weak link" in cui l'identit‡ di una persona non Ë collegataa un'unica serie di dati biometrici, bensÏ a un gruppo di serie di datibiometrici. Il modo in cui la banca dati Ë concepita deve garantire l'autenticazionedella persona con un'elevata probabilit‡ di corrispondenza (per esempio il99,9%, che Ë sufficiente a dissuadere gli autori di frodi) e garantire che essanon possa essere usata per l'identificazione (in quanto una serie di datibiometrici corrisponde a una notevole quantit‡ di persone).

Il Gruppo di lavoro incoraggia l'utilizzo di questi sistemiladdove sono in uso grosse banche dati contenenti dati biometrici per finalit‡di contrasto all'usurpazione di identit‡.

Esempio: misuretecniche per sistemi di autenticazione. La fonte di dati biometrici Ë unica epotenzialmente collegata con l'interessato per tutta la vita. Occorre tenere amente che, nel caso in cui questa fonte venga usata come base per sistemi diautenticazione, essa non potr‡ essere modificata, laddove nelle tecnologie diautenticazione comuni, che solitamente richiedono "la conoscenza o il possesso"di credenziali (per esempio user ID e password), queste ultimepossono sempre essere modificate. Pertanto, i sistemi che impieganol'autenticazione biometrica devono attuare garanzie specifiche per proteggereil collegamento fra il dato biometrico e altri dati relativi all'identit‡: - idati del modello non devono essere conservati a livello centrale in quanto lasicurezza dei dati biometrici Ë essenziale per la sicurezza complessiva delsistema biometrico. Occorre privilegiare una conservazione distribuita (peresempio su una smart card). In tal caso, la fonte dei dati e il modellosono trasmessi dall'interessato. - la conservazione e la trasmissione di datibiometrici vanno protette contro l'intercettazione, la divulgazione nonautorizzata e la modifica attraverso l'uso di appropriate tecnologiecrittografiche. - Alcuni tipi di dati biometrici non sono segreti (il volto,per esempio) e non possono essere resi inaccessibili, bloccati o modificatidopo la violazione di dati o in casi di uso improprio. Pertanto,l'autenticazione dev'essere combinata con altre credenziali inaccessibili omodificabili.

5.4.2. Misure organizzative

» necessario pianificare e approntare misure organizzative pergarantire la protezione dei dati. Il responsabile del trattamento, per esempio,deve stabilire una procedura chiara riguardo al soggetto che puÚ accedere alleinformazioni sul sistema, se l'accesso Ë parziale, e ai motivi dell'accesso.Tutte le azioni devono essere rintracciate.

Il Gruppo di lavoro ritiene che sia possibile ricorrere all'outsourcinga fornitori esterni di servizi, anche per le richieste di visto (articolo13 e articolo 43 del regolamento (CE) n. 810/2009 del 13 luglio 2009 cheistituisce un codice comunitario dei visti), fenomeno sempre pi˘ comune a causadel crescente utilizzo del cloud storage (archiviazione remota).

In tal caso, il responsabile del trattamento deve stabilire unapolitica dettagliata sulle modalit‡ di controllo dei propri fornitori, comeispezioni improvvise, e imporre garanzie per i lavoratori subordinati, nonchÈprocedure in materia di diritti dei singoli, ecc.

Fatto a Bruxelles, il 27 aprile 2012

Per il Gruppo di lavoro

Il presidente Jacob KOHNSTAMM

NOTE                                      

1 Biometria per finalit‡ di verifica o di identificazione: unidentificatore biometrico puÚ essere ritenuto idoneo sotto il profilo tecnicoper una finalit‡ e non per l'altra (per esempio, si devono preferire letecnologie caratterizzate da basse percentuali di falsi negativi in sistemipensati per finalit‡ di identificazione nell'ambito di attivit‡ di contrasto).

2 Per esempio, smart card o alri metodi che non raccolgono ocentralizzano informazioni biometriche per finalit‡ di autenticazione.

3 Cfr. Corte di giustizia dell'Unioneeuropea, sentenza del 20 maggio 2003 nelle cause riunite C-465/00, C-138/01 eC-139/01, Rechnungshof/÷sterreichischer Rundfunk e a., Corte europea deidiritti dell'uomo, sentenza del 4 dicembre 2008, ricorsi 30562/04 e 30566/04, S.e Marper/ Regno Unito nonchÈ sentenza del 19 luglio 2011, ricorsi 30089/04,14449/06, 24968/07, 13870/08, 36363/08, 23499/09, 43852/09 e 64027/09 Gogginse a./Regno Unito.

4 WP 187, parere 15/2011 sulla definizione di consenso.

5 WP 187, parere 15/2011 sulla definizione di consenso.

6 Le impronte digitali sono state inserite nei passaporti inottemperanza al regolamento (CE) n. 2252/2004 del Consiglio, del 13 dicembre2004, e nei permessi di soggiorno, in base al regolamento (CE) n. 1030/2002 delConsiglio, del 13 giugno 2002.

7 La registrazione degli identificatori biometrici nel sistema diinformazione visti (VIS) Ë stabilita dal regolamento (CE) n. 767/2008, del 9luglio 2008, concernente il sistema di informazione visti (VIS) e lo scambio didati tra Stati membri sui visti per soggiorni di breve durata (regolamentoVIS). Cfr. anche il parere 3/2007 sulla proposta di regolamento del Parlamentoeuropeo e del Consiglio recante modifica dell'Istruzione consolare comunediretta alle rappresentanze diplomatiche e consolari di prima categoria inrelazione all'introduzione di elementi biometrici e comprendente normesull'organizzazione del ricevimento e del trattamento delle domande di visto(COM(2006)269 definitivo), WP134; il parere 2/2005 sulla proposta diregolamento del Parlamento europeo e del Consiglio concernente il sistema diinformazione visti (VIS) e lo scambio di dati tra Stati membri sui visti persoggiorni di breve durata (COM (2004) 835 def.), WP 110; nonchÈ il parere7/2004 sull'inserimento di elementi biometrici nei permessi di soggiorno e neivisti tenuto conto della creazione del sistema di informazione visti (VIS), WP96.

8 WP169, parere1/2010 sui concetti di "responsabile del trattamento"e "incaricato del trattamento".

9 Articolo 17, paragrafo 1, della direttiva 95/46/CE.

10 WP134 – Parere 3/2007 sulla proposta di regolamento delParlamento europeo e del Consiglio recante modifica dell'Istruzione consolarecomune diretta alle rappresentanze diplomatiche e consolari di prima categoriain relazione all'introduzione di elementi biometrici e comprendente normesull'organizzazione del ricevimento e del trattamento delle domande di visti(COM(2006)269 definitivo).

11 Cfr. WP134 – Parere n. 3/2007,pag. 8.

12 Cfr. WP 29 - Documento di consulenzasu categorie speciali di dati ("dati sensibili") Ref. Ares (2011)444105 -20/4/2011.

13 Alcuni autori sostengono che le tecnologie associate alriconoscimento dello schema delle vene possono rivelare malattie come l'ipertensioneo talune anomalie vascolari.

14 Cfr.: http://www.fidis.net/fileadmin/fidis/deliverables/fidis-wp6-del6.1.forensic_implications_of_identity_management_systems.pdf.

15 http://www.handresearch.com/news/fingerprints-world-map-whorls-loops-arches.htmand http://www.crime-scene-investigator.net/fingerprintpatterns.html

16 Corte europea dei diritti dell'uomo, sentenza del 4.12.2008, S.e Marper /Regno Unito (ricorsi 30562/04 e 30566/04) in particolare, punto125.

17 Sebbene sia difficile prevedere quali potrebbero essere, neiprossimi anni, le aggressioni alla tecnologia che riguarda lo schema delle venese il loro utilizzo sar‡ pi˘ diffuso.

18 Per esempio, la tecnologia TURBINE, pensata per proteggere ilmodello biometrico mediante trasformazione crittografica delle informazionirelative alle impronte digitali in una chiave non invertibile che consente ilraffronto mediante confronto diretto. I dati biometrici trasformati si consideranoirreversibili rispetto ai campioni biometrici e ai modelli originali. Inoltre,per promuovere la fiducia dell'utente, questa chiave sar‡ anche reversibile,ossia sar‡ possibile creare una nuova chiave indipendente per emetterenuovamente identit‡ biometriche. Cfr. anche: http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2011/11-02-01_FP7_EN.pdf

19 http://www.ipc.on.ca/images/resources/bio-encryp.pdf.