Il Coronavirus ha solo incentivato e accelerato, obbligato dalla gravità della situazione, una tendenza che già era evidente, quella della diffusione sempre più capillare di dispositivi che raccolgono e utilizzano dati biometrici. Dati biometrici che sono estremamente sensibili, difficile quindi poter ancora ignorare gli aspetti di privacy e di data protection. Così il Garante Europeo per la Protezione dei Dati, Wojciech Wiewiórowski, ha deciso di sollevare apertamente le proprie preoccupazioni sul tema nell'ambito dell'annuale congresso organizzato al Biometric Institute, una organizzazione indipendente la cui mission è quello di promuovere un uso responsabile ed etico dei dati biometrici.

L'intervento del Garante Eurpeo ha iniziato a dipanarsi proprio dal tema dell'aumento a dir poco esponenziale dei dispositivi che elaborano dati biometrici: dagli smartphone che utilizzano il riconoscimento facciale o delle impronte digitali per il blocco/sblocco agli assistenti virtuali che elaborano dati biometrici (la voce) per reagire alle richieste degli utenti, passando per i sistemi di videosorveglianza "smart" in grado di in identificare le persone riprese e per i cosidetti "wereable device", molto usati sia nell'ambito sportivo che medico. Le app di tracciamento o quelle che rilevano la temperatura corporea non sono altro che "un'aggiunta" ad un trend già ben chiaro e determinato, con la differenza che, probabilmente per la prima volta, anche le pubbliche amministrazioni si trovano a raccogliere ed elaborare dati biometrici che, fino a poco tempo fa, erano fondamentalmente ad appannaggio di aziende private (fatta eccezione per alcuni database usati a fini di sicurezza interna, per visti e permessi, per il sistema delle richieste di asilo politico ecc...).

Il punto principale però, è di prospettiva: l'Unione Europea sta per implementare due sistemi per il trattamento su larga scala dei dati biometrici:

- EES: un sistema che conserverà ora, data, luogo di ingresso e di uscita di cittadini di paesi extra UE. Il sistema calcolerà automaticamente la durata del soggiorno autorizzato e genererà segnalazioni allo scadere del soggiorno.

- ECRIS-TCN: è un sistema già attivo, ma in via di implementazione ulteriore, che consente lo scambio di informazioni tra gli Uffici dei casellari di ciascuno stato europeo.

A fronte quindi di un impiego sempre maggiore di dati biometrici, il problema privacy e sicurezza si fa calzante: va ricordato anche che, al contrario di una password che, se rubata, può essere cambiata un data breach di dati biometrici non ha soluzione poichè nessuno può cambiare le proprie impronte digitali o il proprio volto. Il tema è assai difficile dal punto di vista non solo etico (al punto che alcune big tech hanno deciso di non vendere algoritmi di riconoscimento facciale), ma anche legale: il caso di Clearview AI ne è un esempio evidente. Questa app, sicuramente spregiudicata, non avrebbe di fatto violato alcuna legge specifica muovendosi nelle falle di normative impreparate ad uno sviluppo tecnologico così repentino. Ad ora solo lo sviluppo di alcuni standard internazionali ( ISO/IEC 24745) e l'avanzamento tecnologico, sopratutto nella protezione dei dati biometrici, hanno in parte mitigato il problema, ma c'è da aspettarsi nel prossimo futuro un intensificarsi di violazioni, dataleak e databreach.

Dal punto di vista normativo, comunque, i dati biometrici vedono riconosciuta la loro natura sensibile: da ciò discende l'obbligo di un regime di protezione speciale per il quale tendenzialmente trattare dati biometrici è vietato se non in alcuni contesti eccezionali. Ecco perchè il Garante Europeo ha dichiarato apertamente di voler procedere allo svolgimento di un piano di severi controlli sui sistemi IT approntati per il trattamento su larga scala di dati biometrici. Il Garante ha offerto anche la propria consulenza, in termini di liceità o meno di un dato trattamento, per quelle istituzioni che ne faranno richiesta.

Il garante Europeo ha espresso perplessità proprio nel come e se legittimare l'uso di dati biometrici per perseguire finalità di pubblica sicurezza, mentre ha escluso apertamente la possibilità di usare dati biometrici a finalità di controllo del personale, dato che esistono procedure di verifica meno invasive come l'uso di fogli presenza o badge magnetici. Di fatto, l'uso o meno di tali dati va valutato alla luce dei principi di necessità e proporzionalità del trattamento stesso: un sistema che dovesse trattare dati biometrici per finalità raggiungibili anche tramite trattamenti meno invasivi è da considerarsi illegittimo, ha dichiarato il Garante.

Nella relazione il Garante europeo ha citato un caso reale e concreto, ovvero la scelta da parte di una grande catena di supermercati spagnoli di installare nei propri punti vendita dei sistemi di riconoscimento facciale (ne abbiamo parlato qui). Scopo del sistema di sorveglianza era quello di verificare gli accessi ai punti vendita per identificare eventuali pregiudicati tramite riconoscimento facciale, così da poterne vietare l'ingresso. Nel Luglio 2020 il Garante spagnolo ha deciso di verificare il sistema e le modalità di raccolta e trattamento dati, analizzando principalmente se la raccolta massiva di dati biometrici di tutti i clienti fosse giustificabile e proporzionata all'esigenza di individuare pochi delinquenti.

Il principio di minimizzazione
Trattamento a parte merita il principio di minimizzazione: il GDPR prevede tale principio al fine di limitare la raccolta e il trattamento solo a quei dati effettivamente necessari per una data finalità. Il princpio è stato ripreso dal Garante Europeo in un parere riguardante i sistemi di sicurezza delle carte di identità: il Garante ha fatto notare come la memorizzazione di dati biometrici come le impronte digitali nelle carte d'identità da un lato migliori l'interoperabilità, ma dall'altro rappresenti un esponenziale aumento di raccolta di dati biometrici con conseguente aumento del rischio di furto dato e furto d'identità. Il parare quindi si è concluso con la richiesta di limitare quanto più possibile la memorizzazione delle impronte digitali nei documenti di identità.

Resta che l'UE sta discutendo e preparando specifiche normative per regolamentare raccolta e uso di tali dati, dovendo anche tenere necessariamente di conto sia l'uso crescente di intelligenze artificiali per trattare dati sia la sempre più capillare diffusione di servizi digitali.