Privacy, Italia in affanno sul riconoscimento facciale, scarsamente attivo il Garante

MILANO - Il sito Comparitech, che recensisce tecnologie e servizi It nel campo della sicurezza informatica, in una recente analisi ha preso in esame le leggi in fatto di privacy di 47 Paesi del mondo, con l'obiettivo di valutare quale il grado di protezione sia garantita ai cittadini.

A far discutere sono stati tanto i risultati, che fanno emergere una situazione piuttosto negativa per quanto riguarda il nostro Paese, quanto il giudizio espresso sull’Europa in generale.

In base alla classifica presentata, l'Italia si colloca nelle prime venti posizioni per richieste di censura da parte del Governo, e nelle ultime nella protezione da tecnologie di sorveglianza di massa (dati biometrici). Risulta poco attiva in riferimento alle attività del Garante della privacy e, quanto ai tempi del trattamento dei dati telefonici (sei anni) questi risultano essere più alti della media. 

La replica del Garante

Il Garante della privacy ha espresso alcune considerazioni per replicare a questi dati, osservando in primo luogo come non siano chiari i parametri utilizzati nello studio per valutare la diffusione e l’incidenza di fenomeni e comportamenti non facili da misurare, soprattutto a livello globale. 

Risultano generici e ambivalenti i parametri utilizzati per lo “scoring” del Paese, quali la sorveglianza estesa o endemica e la sistematica, omessa adozione di misure di garanzia. E' noto l'alto livello di garanzia che la normativa di protezione dati assicura da tempo, addirittura rispetto ai dati personali gestiti in un settore tradizionalmente impermeabile a controlli esterni quale quello dell’intelligence. In questo ambito peraltro è stata potenziata la supervisione mediante specifici protocolli d’intesa.

Per quanto concerne la biometria e la sorveglianza globale, nel sito si legge che sono in discussione la carta d’identità, che conterrebbe dati biometrici non protetti, e l’uso delle tecnologie di riconoscimento facciale negli aeroporti. 

Allo stato attuale, nel Codice dell’Amministrazione Digitale (CAD) vi sono tre strumenti di identità digitale: la Carta d’Identità Elettronica (CIE), la Carta Nazionale dei Servizi (che contiene anche la tessera sanitaria) e i tre livelli di SPID (Sistema Unico di identità digitale) affidati questi ultimi all’azione complessa e differenziata di diversi provider privati qualificati da AgID (Agenzia di Identità Digitale).

La Cie accanto allo Spid potrà essere utilizzata per accedere online ai servizi resi disponibili dalle amministrazioni pubbliche italiane e dagli altri organismi del settore pubblico di un qualsiasi stato membro europeo. Da questo l’esigenza espressa dal ministro dell’Innovazione Paola Pisano e dal premier Conte di arrivare a una carta unificata.

Lo Spid rappresenta il fulcro del processo di identità digitale, che non ha funzionato come da attese e che richiederà un intervento normatvo da parte del Governo, per dotare Pa e aziende delle risorse necessaria a sviluppare applicazione su questa piattaforma. Il Garante dovrà vigilare e capire se le informazioni biometriche presenti in questo strumento sono sufficientemente protette. Come è noto, si è già espresso sul “Decreto contro l’assenteismo nella Pa”: le misure sul riconoscimento biometrico per i dipendenti pubblici sono state considerate negativamente, ma non è stato introdotto un regolamento ad hoc.

Garanzie di sicurezza per i dati biometrici

In riferimento ai dati biometrici, prosegue il Garante, sono stati adottati diversi provvedimenti a carattere regolatorio e indicate garanzie e misure di sicurezza. Non solo, il Garante è intervenuto con diversi provvedimenti prescrittivi al fine circoscrivere il ricorso a tale categoria particolarmente “sensibile” di dati personali, sia in ambito privato che pubblico. Riguardo a questo aspetto, è stata sottolineata l’incompatibilità della prevista sistematica rilevazione biometrica della presenza in servizio dei dipendenti pubblici (come dispone la “legge concretezza”) con il principio di proporzionalità“.

Più grave l’accusa di scarsa attività del Garante della privacy. “L’organismo di regolamentazione italiano incaricato di far rispettare il GDPR – si legge nel sito di Comparitech – non è stato molto attivo. Ciò potrebbe essere dovuto alla mancanza di violazioni dei dati o potrebbe indicare una mancanza di attuazione“.

Questo appunto andreebbe interpretato in due modi, ovvero che in Italia tutti rispettano il regolamento privacy o che non vengano comunicate violazioni al Garante, oppure che la legge presenta problemi di attuazione. A questo va ad aggiungersi il fatto che l’organismo di controllo sta aspettando nuove nomine, quattro nuovi membri che rinnovino il collegio ormai scaduto da mesi.

Anche su questo delicato aspetto Soro ha replicato: “Non si può in alcun modo attribuire al Garante un presunto scarso attivismo, non solo in linea generale (come dimostrano i dati sull’attività espletata in ciascun anno, contenuti nelle Relazioni al Parlamento), ma soprattutto in relazione ad alcuni temi evidenziati nello studio: il trattamento dei dati biometrici, la data retention e le intercettazioni“.

(Fonte: Il Sole 24 Ore)