Sicurezza biometrica e legge: istruzioni per l’uso

Nel tempo si susseguono e si inseguono molte mode, alcune parole chiave e alcuni concetti che sono considerati sinonimo di novità, di miglioramento, di incremento della sicurezza. Tra questi concetti alberga a buon diritto anche la biometria. Oggi un lettore biometrico è sinonimo di maggior sicurezza, di avvenirismo e progresso.

Come sempre, occorre capire qual è l'oggetto della tutela a cui presidio poniamo un sistema biometrico e sulla base della risposta a questa domanda, pensare se effettivamente la biometria rappresenti una soluzione e a quali condizioni.

Molte realtà, non solo in ambito privato ma anche pubblico, stanno valutando la possibilità di adottare soluzioni di tipo biometrico.

Cosa occorre fare per realizzare un sistema che sia efficiente (ovvero che consenta di perseguire le finalità per le quali i dati sono stati raccolti), ma anche necessario (ossia non mero frutto di suggestioni ma il risultato di un'adeguata ponderazione)?

Per dotarci di un sistema biometrico, dobbiamo innanzitutto chiederci quale finalità perseguiamo, perché questa ha un'intima connessione con gli strumenti e le metodologie utilizzate per soddisfarla. A seconda della finalità, la tecnologia biometrica può avere dei "propulsori" come: il marketing, la maggior sicurezza, la maggior praticità per gli utenti.

Poi occorre porsi un'altra domanda: le realtà del medesimo segmento quali tecnologie utilizzano?

La risposta a questa domanda porterà con sè due tipi di indicazioni:

• la prima è relativa alla compliance con quanto indicato nel d.lgs. 30 giugno 2003, n. 196 (Codice privacy), in particolare con l'articolo 31;
• la seconda aiuterà a focalizzare se la misura biometrica rappresenterà una tecnologia adeguata o d'avanguardia, oppure una tecnologia eccedente rispetto a quelle utilizzate dagli altri attori del medesimo segmento/categoria.

Per esempio, se per l'ingresso in una palestra gli operatori del settore utilizzano smartcard, strumenti NFC (Near Field Communication) o PIN, l'adozione di misure come l'analisi della "struttura vascolare della retina", può essere non solo economicamente dispendiosa (per quanto questa valutazione ricade esclusivamente nella pertinenza di chi deve adottare il sistema), ma anche eccedente per perseguire la finalità di accesso alle strutture della palestra (omettere questa valutazione rischia di rendere il trattamento in contrasto con il Codice privacy).

Vi è poi una terza domanda, che tra l'altro incide notevolmente anche su questioni di profilo più pratico: quali norme regolamentano l'uso di questi strumenti?