La categoria dei dati biometrici è definita dall’articolo 4 del GDPR come l’insieme dei “dati personali ottenuti da un trattamento tecnico specifico, relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”. Si tratta quindi di una particolare categoria di dati, meritevole di una maggior tutela, e che per essere oggetto di trattamento necessita l’esplicito consenso dell’interessato.
Dove e perché sono utilizzati?
I dati biometrici sono spesso utilizzati come parte dei processi di autenticazione e negli ultimi anni si sono diffusi molto rapidamente, diventando parte integrante dei nostri gesti più comuni.
I più frequenti sono sicuramente la lettura dell’impronta digitale e il riconoscimento facciale: tutti gli smartphone – e in generale i dispositivi personali – prodotti negli ultimi 4-5 anni sono provvisti almeno una delle due caratteristiche.
Ma quali sono i principali rischi derivanti dall’utilizzo di questi dati?
In caso di data breach, e quindi di furto dei dati, ad esempio, la questione si complica: la difficoltà di violare questi sistemi di autenticazione si traduce nell’impossibilità di modificarli: non trattandosi di una password alfanumerica è impensabile “riscrivere” la propria impronta digitale o il proprio volto.
Per questo motivo è necessario non abusare di strumenti di questo genere: tenendo conto dei principi di necessità e di proporzionalità, i sistemi che sfruttano i dati biometrici devono essere utilizzati soltanto in assenza di alternative meno invasive, e per finalità di importanza pari o superiore all’invasività stessa del dato raccolto.
La biometria comportamentale
I dati biometrici non sono solo la nostra impronta digitale o il nostro volto. Un campo in sempre più rapida espansione è quello della biometria comportamentale, e cioè di tutte quelle azioni che i dispositivi possono compiere autonomamente dopo aver analizzato, per un determinato periodo di tempo, le abitudini dell’utente.
A partire dalle stime predittive dei nostri tragitti abituali quando saliamo in macchina o dall’interruzione programmata del caricamento della batteria degli smartphone, questo fenomeno si verifica in scala mondiale tramite l’analisi di complessi dataset, di natura estremamente diversa, tenendo conto di eventuali “profili” creati su di noi, e può arrivare al punto di condizionare le nostre azioni, tramite annunci di marketing o di entertainment mirati.
Le nuove regolamentazioni
Per correre ai ripari e mitigare l’impatto che queste tecnologie avranno sempre di più sulle nostre vite, il 28 gennaio scorso, dopo una lunga trattativa tra istituzioni e paesi membri, il Consiglio d’Europa ha adottato un documento1 che limita l’uso della tecnologia di riconoscimento facciale, stabilendo parametri e criteri da rispettare a tutela dei cittadini.
Si raccomanda di permettere il riconoscimento facciale solo in ambienti non controllati, per scopi a norma di legge. Il Consiglio d’Europa ha affermato che l’uso del riconoscimento facciale in ambienti “affollati” deve essere strettamente necessario e proporzionato per prevenire un rischio imminente e grave per la sicurezza pubblica, come documentato in più occasioni. Per il Consiglio d’Europa le aziende private non dovrebbero essere autorizzate a utilizzare questa tecnologia negli spazi pubblici per scopi di marketing o di sicurezza privata.
Inoltre, la Commissione Europea sta lavorando su una nuova legislazione volta a disciplinare l’uso dell’Intelligenza Artificiale, e degli strumenti di riconoscimento facciale. È il caso di ricordare che lo scorso ottobre il Parlamento Europeo ha votato in modo compatto per approvare i “principi guida”2 per un’Intelligenza Artificiale che sia fortemente incentrata su privacy, trasparenza e responsabilità sociale.
1. https://rm.coe.int/guidelines-on-facial-recognition/1680a134f3
Photo by Pete Linforth on Pixabay