AIDR. Biometria e sicurezza, la sottile linea della privacy
Nel testo che segue – redatto da Biagino Costanzo, dirigente d’azienda e Responsabile dell’Osservatorio Security, Cyber, Safety, Ethic di AIDR – si affronta un interessante problema di grande attualità.
“Ha fatto il giro del mondo, pochi giorni prima della folle invasione dell’Ucraina, la foto dove la distanza tra Putin e Macron sul tavolone bianco di rappresentanza testimoniava, plasticamente, non solo una voragine tra i due sul dossier Ucraina, appunto, ma il semplice motivo della necessità di mantenere il distanziamento sanitario, infatti, il presidente francese che aveva già fatto un tampone in partenza da Parigi, all’arrivo a Mosca è stato bloccato dalla propria intelligence nel rifare un test, voluto dai russi, dove chiaramente il rischio paventato era la sottrazione dei dati biometrici dei leader stranieri. Infatti, stesso consiglio i Servizi tedeschi hanno dato a Olaf Scholz al suo arrivo nella capitale russa, ma, comunque, per poter incontrare il presidente russo i due leader europei si sono sottoposti ad un cd Pcr eseguito però dai medici delle rispettive ambasciate e con apparecchiature portati dalle rispettive nazioni e il personale medico russo è stato invitato ad assistere alla prova.
È storia nota e antica quella per la quale tutti i servizi di intelligence del mondo siano interessati ai dati biometrici delle persone. Ma per quale motivo?
È risaputo anche che l’acquisizione del DNA umano è possibile ottenerlo anche prendendo il bicchiere usato o qualche capello lasciato su una sedia sul cuscino dell’hotel ospitante ma la leggibilità e la chiarezza dei dati è massima prelevando appunto da un test per il Covid, è tutto questo è merce preziosa, infatti, le tracce genetiche sono quelle più sensibili e personali.
Conoscere il DNA di un essere umano significa saper tutto di lui e quando le guerre non sono più quelle convenzionali ma si alimentano di quasi tutto quello che ormai ci circonda, l’informazione, la salute di un soggetto, e innanzitutto la cibernetica, avere una lista di DNA della maggior parte di individui che vanno dai leader a chi ricopre incarichi istituzionali o manager di industrie partecipate ma fino al semplice cittadino.
Ricordiamoci che dai diversi dati biometrici è ormai possibile dedurre l’origine etnica e razziale o anche lo stato di salute di un individuo e ulteriori dati di natura particolare
Negli ultimi anni il numero di dispositivi in grado di trattare dati biometrici è aumentato in modo vertiginoso. Dai semplici diffusissimi smartphone, ai wearable device, al mondo della videosorveglianza, da quella basica a quella intelligente con funzionalità di riconoscimento, sempre più strumenti sono in grado di rilevare caratteristiche fisiche, fisiologiche o comportamentali che consentono l’identificazione univoca degli interessati.
Ed è qui che entra in gioco la normativa relativa al “famigerato “trattamento dei dati e alle implicazioni relative alla legittimità, alla compliance e ai principi del GDPR e agli interventi del Garante della privacy.
Mettendo per il momento da parte, nel nostro ragionamento, l’uso che gli apparati di sicurezza sono autorizzati a utilizzare ai fini della sicurezza nazionale, l’utilizzo dei sistemi di riconoscimento biometrico in un contesto lavorativo ha implicazioni relativamente alla legittimità del trattamento stesso.
Infatti, dinanzi alla rapida ascesa degli strumenti che trattano dati biometrici, il Garante ha sempre assunto un atteggiamento rigido al fine di garantire il rispetto della dignità della persona, dell’identità personale e dei semplici principi di finalità e proporzionalità.
La finalità di identificazione e di sorveglianza non può giustificare qualsiasi utilizzo del corpo umano che l’innovazione tecnologica può rendere possibile e giustificabile.
Prendiamo ad esempio il contesto lavorativo. Il titolare di una azienda o il Datore di Lavoro, in una ottica di un utilizzo di sistemi di riconoscimento biometrico per verificare l’effettivo svolgimento della prestazione lavorativa e permetterebbe di conoscere con assoluta certezza chi realmente stia svolgendo il proprio lavoro ma questo confligge in modo evidente con la protezione dell’identità e quindi con uno dei principi generali dettati dal GDPR.
Il titolare, quando parliamo di questa tipologia di trattamento, deve far fronte a diverse variabili; innanzitutto saper ponderare l’effettiva necessità e proporzionalità dello stesso, poi il saper individuare la giusta base giuridica di applicazione.
È infatti certo che i processi di autenticazione all’accesso basati sulle password hanno il 100% di meticolosità, ricordiamo che la password inserita da un user specifico può essere corretta, e l’accesso consentito, oppure non corretta, e l’accesso quindi negato ma se parliamo di dati biomedici questo non vale, infatti questi possono presentare anche se residualmente dei falsi positivi
Di fatto la raccolta di tali dati, per la loro peculiare natura, richiede l’adozione di elevate cautele per prevenire possibili pregiudizi a danno degli interessati.
È quindi necessario esser coscienti che l’uso di dati biometrici deve esser sempre esser giustificato e solo in casi particolari, tenuto conto delle finalità e del contesto in cui essi sono trattati e, in relazione appunto ai luoghi di lavoro, per presidiare accessi ad “aree riservate e/o sensibili”, definitive tali considerando la natura delle attività in esse svolte.
Pensiamo, ad esempio, in aree dove si svolge attività e processi produttivi pericolosi o a quelle sottoposte alla custodia di infrastrutture, progetti, documentazione, apparecchiature HW e SW o beni classificati “segreti” o riservati che ai fini di legge debbono essere presidiate e controllate H24.
Bisogna ricordare che in Industria 4.0 sono presenti numerose tecnologie che riguardano il trattamento di dati biometrici e nell’ambiente industriale con progresso tecnologico avanzato questi dati sono ampiamente utilizzati.
Di cosa parliamo quando si cita “progresso tecnologico avanzato”?
Parliamo di categorie non futuristiche ma soluzioni che riguardano già oggi la robotica cd indossabile, quindi tute speciali realizzate grazie alle scansioni del corpo dei lavoratori, oppure le postazioni di lavoro auto adattive, ovvero costruite in base alle caratteristiche proprie di chi deve occuparle o gli esoscheletri per applicazioni industriali volti ad aumentare le capacità operative dei lavoratori che svolgono attività o manuali o di movimentazione.
Insomma, quando si utilizzano tecnologie sempre più avanzate ed invasive che coinvolgono sempre più la “persona” considerando inoltre che parliamo di lavoratori, è assolutamente necessario saper bilanciare gli interessi in gioco per valutare la necessita e la proporzionalità del trattamento dei dati biometrici e attribuire il giusto peso alla valutazione del rischio inerente al trattamento stesso. Questo sta a significare, prevedere soluzioni che devono portare al rendere anonimi i dati tracciati o la limitazione temporale della conservazione degli stessi.
Il rischio aumenta esponenzialmente quando si acquisiscono tutte queste informazioni se non viene mitigato dalla garanzia di un controllo severo. Infatti è bene tener a mente che le conseguenze di un data breach di dati biometrici sarebbero davvero, potenzialmente molto gravi, bisogna infatti considerare che al contrario delle password tradizionali, un dato biometrico non può essere modificato né cancellato.
Ecco perché nel GDPR, alla sezione riguardante il trattamento dei biometrici, è previsto un divieto generale e una tutela rafforzata proprio la natura particolare del tema, per dove vi è la possibilità di derogare solo in presenza di specifiche eccezioni.
Parliamo, ad esempio e innanzitutto del consenso da parte dell’interessato, dell’assolvimento degli obblighi e l’esercizio dei diritti del titolare o dell’interessato in materia di diritto del lavoro, ed infine i motivi di interesse pubblico rilevante, quali per esempio la Sicurezza Nazionale degli Stati membri dell’Unione.
In conclusione non possiamo non constatare che con l’aumento dei rischi dovuti agli attacchi terroristici e, in generale, da una criminalità organizzata sempre più sofisticata, è contemporaneamente aumentata l’esigenza di garantire la sicurezza dei cittadini soprattutto quando si devono proteggere luoghi pubblici cd “ad alto rischio” quali stazioni ferroviarie, aeroporti, porti, etc ,etc ed è naturale, direi, che anche l’utilizzo della biometria costituisce un alleato più che valido per poter individuare soggetti potenzialmente pericolosi per la collettività, con la possibilità di poter misurare con metodologie statistiche e matematiche, tutte le possibili variabili fisiologiche e comportamentali proprie delle persone.
Ma tutto questo deve esser svolto in un contesto di massima serietà professionale, deontologica, rispettando la legge e al tempo stesso esser coscienti che una materia così delicata come questa deve essere gestita da veri professionisti in possesso, direi, anche di un alto dato valoriale ed etico. Solo così si riuscirà a coniugare, con successo, progresso, diritti, lavoro, business e sicurezza”.