Appunti di Biometria

DPR 513/1997: “Regolamento recante criteri e modalità per la formazione, l’archiviazione e la

trasmissione di documenti con strumenti informatici e telematici” in cui per chiave biometrica si

intende “la sequenza di codici informatici utilizzati nell’ambito di meccanismi di sicurezza che

impiegano metodi di verifica dell’identità personale basati su specifiche caratteristiche

dell’utente”.

La biometria, come applicazione scientifica, si sviluppa nel 1600:

- 1662 la Scuola Inglese e la Società Reale di Londra, su proposta di Re Carlo II, sostennero gli

studi di Graunt, con la nascita dell’ARITMETICA POLITICA che era l’arte di ragionare con i

numeri su questioni che riguardano l’attività del Governo ed in cui si considera, per la prima

volta, la mortalità non come evento individuale ma come studio sulla collettività.

- nel 1687, Halley costruisce la prima tabella relativa all’esperienza di vita della popolazione.

Nello stesso periodo si sviluppa l’approccio matematico al problema, favorito anche dallo

sviluppo della teoria delle probabilità e dei contributi della Scuole Francese (Pascal, De Fermat,

Bernouille, Laplace, Quételet;

- Gli studi più importanti, tuttavia, risalgono al 1890, quando Galton, ipotizza l’impiego delle

impronte digitali come mezzo di riconoscimento della persona

Oggi per BIOMETRIA si intende anche il riconoscimento informatico di un determinato soggetto

ovvero l’autodeterminazione informativa e la verifica dell’identità digitale di una persona

(HABEAS DATA) sulla base di caratteristiche biometriche di natura anatomica e

comportamentale.

Quindi la Biometria è la misura della vita fatta di dati, caratteristiche appartenenti alle cose vive,

come le differenze fisiologiche;

- Caratteristiche biometriche FISIOLOGICHE: impronte digitali, impronta della retina ed iride,

minutiae delle dita, geometria della mano, geometria del volto (zigomi, dentatura, mandibola,

setto nasale);

- Caratteristiche biometriche COMPORTAMENTALI: ognuno di noi fa le cose in modo unico, la

firma, la deambulazione, la voce;

Nelle caratteristiche biometriche anatomiche rientra anche il DNA che, però, non è inclusa tra le

tecniche biometriche per il riconoscimento, previste dalla legislazione vigente, a causa della

complessità intrinseca, dell’impossibilità di operare in “temo reale” e per i suoi livelli di ingerenza

ed invasività della sfera più intima dell’individuo (privacy).

Ogni sistema biometrico è strutturato in fasi specifiche integrate e strettamente interdipendenti tra

di loro:

a. REGISTRAZIONE

b. VERIFICA

c. IDENTIFICAZIONE

- La registrazione dell’utente consiste nell’acquisizione da parte del sensore della caratteristica

biometrica relativa alla persona interessata;

Il passaggio successivo riguarda la rappresentazione informatica del dato, procedura meglio

nota come “estrazione delle caratteristiche” attraverso la creazione digitale di un “modello” o

“template”; questo è il momento più delicato del processo a causa delle implicazioni giuridiche

2

che la trattazione del dato sensibile può avere sulla privacy. Tale fase termina con la

memorizzazione del template sul supporto di memorizzazione.

- Nella fase di verifica dell’identità, il sensore acquisisce il campione biometrico dell’utente e lo

compara con quello memorizzato nella fase di “estrazione”. L’esito del confronto vero/falso

conferma o rifiuta l’identità dell’utente.

- Infine, nella fase dell’identificazione, il sistema confronta il template estratto dalla caratteristica

biometrica, con tutti gli altri presenti in archivio.

Nel processo di rilevazione le caratteristiche biometriche debbano possedere determinate

proprietà:

- invariabilità nel tempo delle caratteristiche stesse;

- misurabilità: le proprietà devono poter essere rilevate in condizioni normali;

- singolarità: le caratteristiche devono avere proprietà sufficientemente “uniche” da permettere di

distinguere una persona da un’altra;

- accettabilità: la rilevazione delle caratteristiche deve essere possibile per un’ampia percentuale

della popolazione;

- riducibilità: i dati acquisiti devono poter essere riassunti in un file di facile gestione;

- affidabilità: il procedimento deve garantire un grado elevato di affidabilità e riproducibilità;

- tutela giuridica: il procedimento non deve violare la privacy e la sfera intima della persona.

TUTELA DELLA PRIVACY

Nella Società dell’Informazione e della Conoscenza, i dati vengono trattati in maniera automatica

e ci rendiamo conto che un dato che ci riguarda, assume una notevole importanza in quanto un

nostro dato che va in rete può essere disponibile in tutto il mondo. Per questo, nei Paesi evoluti,

questi dati sensibili vengono trattati dalle AUTORITA’ GARANTI della PRIVACY.

La normativa di riferimento della privacy è la DIRETTIVA 95/46/CE del Parlamento Europeo del

24 ottobre 1995, relativa alla “tutela delle persone fisiche con riguardo al trattamento dei

dati personali, nonché alla libera circolazione di tali dati”.

In particolare, all’Art. 2, la Direttiva definisce i dati personali “qualsiasi informazione concernente

una persona fisica identificata o identificabile (…); si considera identificabile la persona che può

essere identificata, direttamente o indirettamente, in base ad uno o più elementi specifici

caratteristici della sua identità fisica, fisiologica, psichica….”

Dunque, i dati biometrici possono SEMPRE essere considerati come “informazioni concernenti

una persona fisica”

Inoltre, all’art. 6, stabilisce che “i dati personali devono essere rilevati per finalità determinate ,

esplicite e legittime e, successivamente, trattati in modo non incompatibile con tale finalità . I

dati personali, inoltre, devono essere adeguati , pertinenti e non eccedenti rispetto alle finalità

per le quali vengono rilevati e, successivamente, trattati”

Per quanto attiene alla conservazione di tali dati sensibili, molte Autorità Garanti hanno espresso

il parere che l’individuo è meglio tutelato se tali dati non vengono memorizzati su di un database,

bensì su un oggetto accessibile unicamente all’utilizzatore, come una tessera magnetica o un

microchip.

Salvo disposizioni particolari, è posto divieto di raccogliere dati biometrici all’insaputa dei

soggetti; tuttavia, in molte applicazioni di carattere investigativo, giudiziario, militare, governativo

è previsto l’utilizzo di sistemi biometrici senza che le persone ne siano a conoscenza; il c.d.

regime di biometria passiva; tipico esempio il sistema di video-sorveglianza nei luoghi

caratterizzati da un largo afflusso di pubblico, come ad es., porti, aeroporti, stazioni ferroviarie,

ecc..

3

Per quanto attiene all’Italia, le direttive di riferimento per la tutela della privacy sono stati il D.Lgvo

30 giugno 2003 n° 196 (196/2003, Codice della Privacy) che detta le regole per i soggetti pubblici

ed il D.Lgvo 7 marzo 2005 n° 82 (82/2005, CAD).

In particolare, il D.Lgvo 196/2003, all’Art.3 recita “I sistemi informativi ed i programmi informatici

sono configurati riducendo al minimo l’utilizzazione dei dati personali e di dati identificativi, in

modo da escludere il trattamento quando le finalità perseguite nei singoli casi possono essere

realizzate mediante, rispettivamente, dati anonimi o opportune modalità che permettano di

identificare l’interessato solo in caso di necessità”.

La regola generale che ai soggetti pubblici (diversi da quelli economici) è consentita la trattazione

dei dati personali “soltanto per lo svolgimento delle funzioni istituzionali”; tuttavia, nel trattare i

dati, il soggetto ppubbllico, deve osservare i presupposti ed i limiti stabiliti dal Codice, anche in

relazione alla diversa natura dei dati stessi: “comuni”, “sensibili”, “giudiziari” o “semi sensibili”.

In ogni caso la P.A. deve rispettare il dettato dell’Art. 11, il quale impone il rispetto dei seguenti

fondamentali principi:

- liceità e correttezza del trattamento (in base al quale i dati devono essere raccolti in modo

lecito);

- finalizzazione del trattamento ( in base al quale i dati devono essere raccolti e registrati per

scopi determinati, espliciti e legittimi);

- correttezza dei dati (in base al quale i dati raccolti devono essere esatti e, se necessario,

aggiornati);

- pertinenza, completezza e non ridondanza (in base al quale i dati devono essere pertinenti,

completi e non eccedenti le finalità per cui sono stai raccolti e, successivamente, trattati);

- conservazione ( in base al quale i dati devono essere conservati in una forma che consenta

l’identificazione dell’interessato per un periodo non superiore a quello necessario agli scopi per

cui sono stai raccolti e, successivamente, trattati).

Il regime si irrigidisce ulteriormente quando una P.A. intenda effettuare una “comunicazione” o

una “diffusione” di dati personali. Il D.Lvo precisa che “la comunicazione da parte di un soggetto

pubblico ad altri soggetti pubblici è ammessa quando è prevista da una norma di legge o

regolamento. In mancanza di tale norma, la comunicazione è consentita quando necessaria per

lo svolgimento delle funzioni istituzionali (…) previo parere del Garante” (silenzio/assenso,

trascorsi 45 giorni dalla richiesta).

Nel caso di soggetti pubblici economici o in caso di dati “sensibili e giudiziari” , la comunicazione

potrà avvenire solo se autorizzata da espressa disposizione di legge nella quale siano specificati

i tipi di dati che possono essere trattati.

HABEAS DATA

A partire dalla fine degli anni ’60 (D. Bell e la Società post-industriale), viene individuata

“l’economia dell’informazione”, cioè l’economia derivante dalla produzione di servizi “non

materiali”.

Nasce così l’esigenza di normare tutte le informazioni che riguardano ed identificano l’individuo

(HABEAS DATA). Cioè il diritto alla protezione dei dati sensibili che riguardano l’individuo, così

com’é tutelata dalla Costituzione l’integrità fisica.

Attraverso l’Interpretazione Estensiva, si racchiude nell’area dell’integrità fisica della persona,

tutte le cose che lo riguardano (vestiti, proprietà, abitazione, auto, ecc..).

Con l’avvento di INTERNET, questa interpretazione si è dimostrata i