Il Garante per la protezione dei dati personali (Newsletter 8/14 settembre) ha reso noto che lo scorso 1 agosto i Garanti Europei riuniti a Bruxelles nel Gruppo presieduto da Rodotà, hanno approvato un documento di lavoro nel quale sono state indicate, nel rispetto della privacy, le modalità di impiego dei sistemi biometrici (es. impronte digitali, iride, contorno della mano, DNA), utlizzati per finalità di autenticazione e verifica. I garanti hanno precisato che ?l'impiego di sistemi biometrici non è lecito se non è proporzionato agli scopi che si vogliono raggiungere, in particolare nei casi in cui si propone di creare archivi centralizzati? e che ?tali informazioni sono particolarmente delicate e il loro uso, se da un lato può contribuire a salvaguardare la privacy riducendo il ricorso ad altri dati personali quali nome, indirizzo o domicilio, dall'altro può comportare rischi legati all'utilizzazione indebita o indiscriminata di informazioni desunte da ?tracce? fisiche (come le impronte digitali) che una persona può lasciare anche senza rendersene conto?. Il Gruppo, che si è riservato di tornare a discutere dell'intera problematica, ha richiamato l'attenzione sull'esigenza di una apposita codificazione dei criteri da seguire nello sviluppo e nell'utilizzo di sistemi biometrici. A tal fine sono state evidenziate una serie di indicazioni che intendono foornire ?un quadro di riferimento omogeneo a livello europeo sia per l'industria dei sistemi biometrici sia per gli utenti di tali sistemi. a) In primo luogo, i Garanti ribadiscono che il trattamento di dati biometrici è un trattamento di dati personali. Il dato biometrico resta assolutamente personale anche in forma di "template", ossia di modello matematico ? essendo possibile considerarlo come un'informazione relativa ad una persona fisica "identificata o identificabile" anche attraverso "uno o più elementi specifici caratteristici della sua identità fisica". Dunque si applicano integralmente i principi della Direttiva in materia di protezione dei dati personali, fin dalla fase di "arruolamento" sopra descritta. b) E' necessario identificare con chiarezza le finalità del ricorso a sistemi biometrici e valutare se tale ricorso sia realmente proporzionato rispetto alle finalità stesse, ossia se lo scopo che ci si prefigge può essere raggiunto egualmente attraverso modalità meno invasive. E' questo uno dei principi-cardine della direttiva, dal quale discende anche la preferenza accordata dai Garanti al trattamento di dati che possano essere memorizzati su un dispositivo periferico (smart card, tessera magnetica), anziché in un archivio centralizzato: così facendo, si riducono i rischi per i diritti e le libertà fondamentali degli interessati (possibili incroci di dati, interconnessioni, accessi non autorizzati). c) Il rispetto del principio di finalità comporta inoltre il divieto di utilizzare i dati biometrici per finalità incompatibili con quelle per cui essi sono stati raccolti ? dunque, se il dato biometrico viene raccolto per verificare l'accesso dei dipendenti a determinate aree o settori, non può essere utilizzato per monitorarne l'attività lavorativa. d) Se si decide di ricorrere a sistemi centralizzati, ad esempio per installazioni di massima sicurezza, i Garanti ritengono che i rischi possibili per i diritti e le libertà fondamentali degli interessati impongano un controllo preliminare ai sensi dell'art. 20 della Direttiva da parte delle singole autorità nazionali. e) Restano fermi anche tutti i requisiti legati all'informazione degli interessati ? ovviamente con il divieto di utilizzare dati biometrici raccolti all'insaputa di questi ultimi (e in questo senso, i rischi legati a sistemi basati sulla raccolta di impronte digitali o sul riconoscimento vocale sembrano più consistenti). Anche la legittimità del trattamento deve basarsi sui principi stabiliti nella Direttiva (Art. 7), fra i quali il consenso del singolo interessato ? che deve essere veramente "specifico" e "libero"?.
Altri articoli che potrebbero interessarti:
In evidenza oggi: