Dati passeggeri aerei. Per i Garanti occorre un accordo internazionale
Il trasferimento dei dati in Usa può avvenire solo nel rispetto della privacy

Si è conclusa con una Risoluzione sul trasferimento dei dati dei passeggeri aerei alle autorità americane, la 25ma Conferenza internazionale delle Autorità Garanti per la protezione dei dati personali svoltasi a Sidney dal 10 al 12 settembre scorsi. La questione è al centro di un lungo e laborioso confronto tra gli Stati Uniti e l’Unione Europea, dopo le richieste americane di poter accedere ai dati dei passeggeri del trasporto aereo a fini di sicurezza nazionale e di lotta  al terrorismo.

La Risoluzione, votata all’unanimità dai rappresentanti di più di 40 Paesi presenti a Sidney, chiede che i dati  dei viaggiatori diretti in Usa possano essere acquisiti e trasferiti soltanto all’interno di un “contesto che tenga conto della protezione dei dati e “sulla base di un accordo internazionale”.

Ad avanzare la richiesta di adottare un documento formale sulla necessità di garantire la correttezza e la certezza delle finalità nell´ acquisizione dei
dati di chi viaggia sono stati, in particolare, quattro Stati, attraverso i rispettivi organismi preposti alla garanzia della privacy: Svizzera, Repubblica Ceca, Finlandia e Germania.

Riportiamo qui di seguito il testo integrale della Risoluzione:

“L’Autorità federale svizzera per la protezione dei dati, l’Ufficio per la protezione dei dati personali della Repubblica Ceca, l’Ombudsman per la protezione dei dati della Finlandia e l’Autorità federale tedesca per la protezione dei dati propongono che la Conferenza Internazionale adotti la seguente risoluzione:

A. La Conferenza rileva che
   1.Nel quadro della lotta legittima contro il terrorismo e la criminalità organizzata, in alcuni Paesi sono allo studio misure che potrebbero minacciare diritti e libertà fondamentali, in particolare il diritto alla privacy.
   2. C’è il rischio di minare la democrazia e la libertà attraverso misure finalizzate a difenderle.
   3. Disposizioni di legge che impongano ai fornitori di trasporto di consentire l’accesso a, o trasferire dati da, insiemi di dati relativi ai passeggeri, memorizzati nei sistemi di prenotazione aerea, potrebbero confliggere con i principi internazionali della protezione dei dati o con gli obblighi imposti alle compagnie aeree dalle normative nazionali in materia di protezione dei dati.

B. La Conferenza, pertanto, afferma che
   1. Nella lotta contro il terrorismo e la criminalità organizzata, gli Stati dovrebbero definire la propria risposta tenendo pienamente conto di principi fondamentali della protezione dei dati, i quali costituiscono parte integrante dei valori da tutelare.
   2. Qualora siano necessari trasferimenti internazionali di dati personali su base regolare, ciò dovrebbe avvenire in un contesto che tenga conto della protezione dei dati, ad esempio sulla base di un accordo internazionale che preveda norme adeguate in materia di protezione dei dati, fra cui una chiara limitazione delle relative finalità, la raccolta di dati adeguati e non eccedenti, un periodo limitato di conservazione dei dati, l’informativa per gli interessati, la garanzia dell’esercizio dei diritti riconosciuti agli interessati ed un controllo indipendente.

Dati dei passeggeri italiani diretti negli Usa
Dichiarazione di Gaetano Rasi

“In merito alle notizie apparse oggi su alcuni quotidiani riguardo alla trasmissione dei dati personali dei passeggeri italiani alle autorità Usa da parte della compagnia area di bandiera, il Garante per la protezione dei dati personali (composto da Stefano Rodotà, Giuseppe Santaniello, Gaetano Rasi, Mauro Paissan) precisa che l’Authority, nelle comunicazioni all’Alitalia, si è limitata, come suo preciso dovere istituzionale, a richiamare l’attenzione sull’applicazione di una legge, quella sulla privacy, voluta ed approvata dal Parlamento italiano e che rispecchia, peraltro, un quadro normativo sancito dalla direttiva “madre” europea 95/46 sulla riservatezza dei dati.

Il Garante - ha ricordato Rasi - è consapevole della assoluta necessità di assicurare una efficace lotta al terrorismo e salvaguardare la sicurezza nazionale ed internazionale, e si è impegnato anche in sede europea nella individuazione di soluzioni e garanzie che consentano di raggiungere questo obiettivo senza che vengano negati i diritti di libertà individuali”.

(Comunicato del 10.9.2003)

Impronte digitali ed iride. Le indicazioni dei Garanti europei
Rischi, limiti e garanzie per un uso proporzionato dei dati biometrici, anche al fine di non costituire grandi banche dati

L’impiego di sistemi biometrici non è lecito se non è proporzionato agli scopi che si vogliono raggiungere, in particolare nei casi in cui si propone di creare archivi centralizzati. Tali informazioni sono particolarmente delicate e il loro uso, se da un alto può contribuire a salvaguardare la privacy riducendo il ricorso ad altri dati personali quali nome, indirizzo o domicilio, dall’altro può comportare rischi legati all’utilizzazione indebita o indiscriminata di informazioni desunte da “tracce” fisiche (come le impronte digitali) che una persona può lasciare anche senza rendersene conto.

Queste, in sintesi, le indicazioni emerse da un documento di lavoro che i Garanti europei riuniti a Bruxelles nel Gruppo presieduto da Stefano Rodotà hanno approvato lo scorso 1 agosto (disponibile in lingua inglese all’indirizzo http://www.europa.eu.int/...). I Garanti si sono riservati di tornare sul tema in futuro proprio per fare in modo che le imprese ed i soggetti interessati all’impiego di sistemi biometrici sviluppino dispositivi sempre più “a misura di privacy”; il Gruppo richiama l’attenzione anche sull’opportunità di redigere appositi codici deontologici che fissino i criteri da seguire nello sviluppo e nell’utilizzo di sistemi biometrici.

Nel documento i Garanti partono dalla considerazione della diffusione crescente dei sistemi biometrici e dai seri rischi connessi alla possibile "assuefazione" dell’opinione pubblica rispetto all’impiego di tali sistemi. Dopo una rapida analisi delle tipologie di sistemi attualmente in uso - basati su informazioni “fisiologiche” (impronte digitali, iride, contorno della mano, DNA) oppure su informazioni di tipo “comportamentale” (andatura, analisi della tipologia di digitazione su tastiera) - le Autorità per la privacy chiariscono che le considerazioni svolte riguardano soltanto i dispositivi biometrici utilizzati per finalità di autenticazione e verifica, e non già quelli utilizzati per scopi di identificazione. E’ una distinzione importante, anche se, di fatto, la maggioranza dei sistemi biometrici sono utilizzati spesso per entrambi gli scopi.

I Garanti hanno sottolineato come la fase dell’acquisizione del dato biometrico assuma un valore fondamentale. Infatti, nella fase detta di “arruolamento” (enrolment)  il dato “grezzo” di partenza (impronta, iride, DNA), l’algoritmo utilizzato per estrarne un modello matematico da memorizzare (template) e quello utilizzato per la cifratura di tale modello, sono tutti compresenti. Sarà, dunque, particolarmente necessario garantire la massima sicurezza in questa fase, anche alla luce dei requisiti fissati dalla Direttiva europea in materia di protezione dei dati personali (Art. 15 - Misure di sicurezza). Inoltre, per autenticare o verificare l’identità di una persona, non è necessario disporre di un archivio centralizzato contenente tutti i dati biometrici raccolti - cosa che è invece necessaria ai fini dell’identificazione, dovendosi confrontare il dato relativo al singolo soggetto con quelli di tutti i soggetti le cui informazioni sono conservate, appunto, nell’archivio. Ne consegue, a giudizio dei Garanti, che per le procedure di autenticazione e/o verifica attraverso sistemi biometrici è preferibile utilizzare, in linea di principio, dispositivi decentralizzati - ad esempio, smart cards, nei cui chip siano contenuti i dati biometrici del soggetto da autenticare.

Un altro elemento di specificità connesso ai dati biometrici riguarda la possibilità di raccoglierli più che mai all’insaputa del singolo interessato - soprattutto nel caso delle impronte digitali o del DNA. Ciò comporta, in particolare, il rischio di un’utilizzazione indiscriminata proprio per il coefficiente di “ridotta invasività” che caratterizza la raccolta di alcune categorie di dati biometrici.

Alla luce di queste considerazioni, i Garanti hanno elaborato una serie di indicazioni che intendono fornire un quadro di riferimento omogeneo a livello europeo sia per l’industria dei sistemi biometrici sia per gli utenti di tali sistemi.

a) In primo luogo, i Garanti ribadiscono che il trattamento di dati biometrici è un trattamento di dati personali. Il dato biometrico resta assolutamente personale anche in forma di “template”, ossia di modello matematico - essendo possibile considerarlo come un’informazione relativa ad una persona fisica “identificata o identificabile” anche attraverso “uno o più elementi specifici caratteristici della sua identità fisica”. Dunque si applicano integralmente i principi della Direttiva in materia di protezione dei dati personali, fin dalla fase di “arruolamento” sopra descritta.
b) E’ necessario identificare con chiarezza le finalità del ricorso a sistemi biometrici e valutare se tale ricorso sia realmente proporzionato rispetto alle finalità stesse, ossia se lo scopo che ci si prefigge può essere raggiunto egualmente attraverso modalità meno invasive. E’ questo uno dei principi-cardine della direttiva, dal quale discende anche la preferenza accordata dai Garanti al trattamento di dati che possano essere memorizzati su un dispositivo periferico (smart card, tessera magnetica), anziché  in un archivio centralizzato: così facendo, si riducono i rischi per i diritti e le libertà fondamentali degli interessati (possibili incroci di dati, interconnessioni, accessi non autorizzati).  
c) Il rispetto del principio di finalità comporta inoltre il divieto di utilizzare i dati biometrici per finalità incompatibili con quelle per cui essi sono stati raccolti - dunque, se il dato biometrico viene raccolto per verificare l’accesso dei dipendenti a determinate aree o settori, non può essere utilizzato per monitorarne l’attività lavorativa.
d) Se si decide di ricorrere a sistemi centralizzati, ad esempio per installazioni di massima sicurezza, i Garanti ritengono che i rischi possibili per i diritti e le libertà fondamentali degli interessati impongano un controllo preliminare ai sensi dell’art. 20 della Direttiva da parte delle singole autorità nazionali.
e) Restano fermi anche tutti i requisiti legati all’informazione degli interessati - ovviamente con il divieto di utilizzare dati biometrici raccolti all’insaputa di questi ultimi (e in questo senso, i rischi legati a sistemi basati sulla raccolta di impronte digitali o sul riconoscimento vocale sembrano più consistenti).

Anche la legittimità del trattamento deve basarsi sui principi stabiliti nella Direttiva (Art. 7), fra i quali il consenso del singolo interessato - che deve essere veramente “specifico” e “libero”.