Dalle impronte digitali al riconoscimento facciale, i dati biometrici aiutano a proteggere i nostri dispositivi e le informazioni personali più sensibili. Ma i dati biometrici non sono come gli altri dati personali e le conseguenze della loro perdita o uso improprio possono essere costose e durature.
L'uso dei dati biometrici è aumentato negli ultimi anni. Utilizziamo sempre più spesso i nostri dati biometrici, che si tratti di un'impronta digitale o di un'impronta facciale, per sbloccare il nostro telefono cellulare, salire a bordo di un aereo o per accedere in modo sicuro ad account, app e servizi online.
Nel settore sanitario questi dati vengono utilizzati per identificare i pazienti, mentre le banche utilizzano la biometria per autenticare i clienti e combattere le frodi. Le Compagnie di Assicurazioni possono utilizzare i dati biometrici per incentivare stili di vita sani, nel settore delle vendite servono a monitorare il comportamento dei consumatori. Mentre le forze dell'ordine possono utilizzare il riconoscimento facciale e il DNA per prevenire il crimine o identificare i criminali.
I dati biometrici si dividono attualmente in due principali tipologie: biometria fisiologica, come impronte digitali, riconoscimento facciale e scansioni dell'iride; e biometria comportamentale, che cattura i modelli di comportamento di un individuo, come la voce, il movimento o l’andatura. Questi marcatori biometrici sono unici e offrono modi più convenienti e sicuri per accedere ai nostri dati, alle reti e agli spazi fisici più sensibili.
Ma l'integrazione dei dati biometrici nei processi quotidiani non è priva di sfide.
I dati biometrici comportano alcuni possibili rischi per la privacy, in quanto sono legati alla gestione di informazioni personali sensibili che, se compromesse, potrebbero causare danni irreparabili alla privacy e alla sicurezza delle persone.
Una caratteristica importante dei dati biometrici è che sono immutabili. A differenza di una password o di un PIN, l'impronta digitale o l'impronta del volto di un individuo non possono essere alterate. Una volta rubati, i dati biometrici di una persona potrebbero essere utilizzati ripetutamente per commettere frodi, accedere ai sistemi e rubare denaro o dati preziosi.
Migliorare il processo di risk management
La natura dei dati biometrici introduce una serie di rischi per le organizzazioni, dall'accesso non autorizzato e violazione dei dati, alla non conformità legale e ai danni alla reputazione.
Questi rischi richiedono un rigoroso approccio di gestione, che includa controlli tecnici, conformità legale e strategie di risposta agli incidenti. Le organizzazioni devono raccogliere un consenso chiaro e informato da parte delle persone prima di raccogliere dati biometrici e implementare solide misure di sicurezza per proteggerlo. Dovrebbero inoltre rivedere e aggiornare regolarmente le politiche sulla privacy per affrontare i dati biometrici e seguire gli sviluppi normativi e legali in materia di dati biometrici.
Esistono diverse misure specifiche che dovrebbero essere prese in considerazione per proteggere i dati biometrici:
Un regime legislativo in fase di evoluzione
La regolamentazione dei dati biometrici varia da Paese a Paese. Ma, trattandosi di dati sensibili, i dati biometrici sono in genere soggetti a requisiti e controlli aggiuntivi ai sensi delle leggi sulla protezione dei dati e sulla privacy.
Tra le normative più importanti in materia di dati biometrici c'è il Regolamento europeo in materia di protezione dei dati personali (GDPR) dell'UE. Ai sensi del GDPR, i dati biometrici sono considerati una "categoria speciale" di dati personali, soggetti a condizioni di trattamento più rigorose, tra cui l'ottenimento di esplicito consenso e l'attuazione di solide misure di protezione dei dati.
Inoltre, il prossimo Artificial Intelligence Act dell’ UE, stabilirebbe nuove norme per i dati biometrici, compreso il divieto di identificazione biometrica in tempo reale per l’applicazione della legge, anche se con alcune esenzioni, ad esempio per la prevenzione degli attacchi terroristici.
Tuttavia, il GDPR consente ai singoli Stati membri di introdurre disposizioni aggiuntive relative ai dati biometrici, mentre le autorità nazionali per la protezione dei dati (Francia, Italia e Spagna, ad esempio) hanno emanato linee guida specifiche per il trattamento dei dati biometrici. In Irlanda, la Commissione per la protezione dei dati (DPC) non ha ancora pubblicato orientamenti specifici sui dati biometrici, sebbene abbia espresso dei pareri nell'ambito di linee guida più ampie sulla protezione dei dati, mentre l'Information Commissioner's Office del Regno Unito sta sviluppando linee guida specifiche.
In particolare, nel novembre 2023 l'Agenzia spagnola per la protezione dei dati (AEPD) ha pubblicato linee guida che sottolineano i principi di legalità, consenso, limitazione delle finalità, minimizzazione dei dati e sicurezza nel contesto dei dati biometrici. La guida delinea le basi legittime per il trattamento dei dati biometrici e raccomanda di condurre un'analisi dei rischi, una valutazione dell'impatto e un test di adeguatezza, necessità e proporzionalità per giustificare l'uso di sistemi biometrici per il controllo degli accessi.
Stati Uniti e resto del mondo
Al di fuori dell'UE, i Paesi hanno adottato approcci diversi ai dati biometrici, che vanno da leggi specifiche a una legislazione più ampia sulla protezione dei dati che comprende i dati biometrici. Diversi Paesi hanno implementato una legislazione simile al GDPR (Brasile) o una legislazione sulla protezione dei dati specifica (Canada, Australia e Nuova Zelanda) che prevede l'uso e la protezione dei dati biometrici.
Gli Stati Uniti sono stati particolarmente attivi per quanto riguarda la regolamentazione della privacy dei dati biometrici. Promulgato nel 2008, il Biometric Information Privacy Act (BIPA) è una delle leggi più severe e specifiche per i dati biometrici negli Stati Uniti ed è stata al centro di cause legali di alto profilo. Le aziende ritenute responsabili di violazioni BIPA possono incorrere in sanzioni finanziarie sostanziali: BIPA consente danni legali che vanno da $ 1.000 per negligenza a $ 5.000 per violazione intenzionale.
In assenza di leggi federali sulla privacy, la regolamentazione dei dati biometrici negli Stati Uniti viene gestita dai singoli stati. Il Texas e Washington hanno promulgato una legislazione specifica sulla privacy biometrica, mentre molti stati includono i dati biometrici all'interno delle leggi esistenti sulla protezione dei dati. Il California Consumer Privacy Act (CCPA), ad esempio, copre la gestione dei dati biometrici e richiede alle aziende di divulgare le finalità di raccolta e utilizzo dei dati.
Applicazioni normative e contenziosi
Le sanzioni possono essere severe in caso di violazioni alla protezione dei dati biometrici e della privacy. Sebbene il GDPR non prescriva sanzioni più elevate per le violazioni dei dati, consente multe fino a 20 milioni di euro, o il 4% del fatturato annuo globale dell'azienda (a seconda di quale sia il valore più alto), per violazioni della protezione dei dati personali o del loro trattamento, compresi i dati biometrici.
Negli ultimi anni le autorità di protezione dei dati hanno adottato una serie di misure esecutive nei confronti delle imprese per il trattamento illecito di dati biometrici, comprese sanzioni pecuniarie. In Europa, la CNIL ha multato per una somma di 10.000 euro nel 2018 una società francese che utilizzava un dispositivo biometrico per controllare gli orari dei dipendenti, mentre il DPC irlandese ha emesso una multa di 100.000 euro contro una casa di cura dopo che una truffa di phishing ha portato alla compromissione dei dati biometrici dei residenti.
L'AEPD ha inoltre multato una palestra in Spagna per una somma di 50.000 euro per aver utilizzato le impronte digitali dei suoi clienti come metodo di controllo degli accessi, mentre l'autorità olandese di regolamentazione della privacy ha multato un datore di lavoro per 725.000 euro nel 2022 per aver elaborato illegalmente dati biometrici.
Anche il panorama legale dei dati biometrici si sta evolvendo, poiché i tribunali interpretano leggi come il BIPA negli Stati Uniti, stabilendo precedenti che influenzano i futuri contenziosi e le pratiche normative. Un esempio degno di nota è il sistema Cothron vs White Castle, che ha stabilito un precedente affermando che si verifica una violazione BIPA separata ogni volta che i dati biometrici vengono raccolti senza il consenso esplicito dell'utente, moltiplicando così potenzialmente le rivendicazioni legali e i costi associati. La sentenza è stata recentemente confermata dalla Corte Suprema dell'Illinois.
Stare al passo con l’evoluzione
La copertura per il rischio Cyber è progettata per coprire le esposizioni associate alla protezione dei dati, compresi i dati biometrici. Tuttavia, essendo un settore in evoluzione sia dal punto di vista legislativo che dei contenziosi, gli assicuratori stanno prestando particolare attenzione alle esposizioni ai dati biometrici degli assicurati e ai relativi controlli e processi di gestione del rischio.
Negli Stati Uniti, il BIPA ha portato ad alcune richieste di risarcimento significative per gli assicuratori, il che ha portato ad un irrigidimento dei termini di copertura per le società con esposizione biometrica.
In Europa, dove la gestione del contenzioso è stata meno problematica, la copertura dei dati biometrici continua a rientrare nelle considerazioni generali del GDPR. In futuro, gli assicuratori dovranno valutare attentamente l'ambito di copertura dei dati biometrici sullo sfondo di un panorama tecnico, normativo e legale in via di sviluppo.
L’aspetto più importante per i sottoscrittori sarà valutare l’adesione alle pratiche più sicure quando si tratta di dati biometrici.
Le organizzazioni devono adottare pratiche appropriate di gestione del rischio, tra cui valutazioni periodiche della sicurezza, il rispetto dei principi minimi di elaborazione dei dati e solidi piani di risposta agli incidenti. Per le Compagnie di Assicurazione, la comprensione di queste pratiche è fondamentale per valutare le applicazioni delle polizze e consigliare gli assicurati nella riduzione dei rischi associati ai dati biometrici.
