Cassandra Crossing/ Biometria e SIS II
(36) — La UE è alle prese con un database biometrico comunitario. Ma chi lo gestirà? Con quali regole? Dentro anche i dati della Carta di Identità Elettronica italiana? L’onda lunga della Biometria.
12 maggio 2006 — Il SIS è un progetto UE volto alla realizzazione di un sistema informativo delle polizie europee. La sigla significa Schengen Information System , e si tratta ufficialmente di un database di supporto alla libera circolazione dei cittadini all’interno dell’Unione Europea. La circolazione dei cittadini all’interno della UE è infatti la materia regolamentata dal Trattato di Schengen.
SIS II dovrebbe integrare tra i dati memorizzati anche non meglio precisate caratteristiche biometriche delle persone interessate, che dovrebbero essere sia extracomunitarie che cittadini dell’UE (qui un pdf).
Lo scopo di SIS è quello di riunire ed armonizzare le basi dati delle polizie dei vari paesi, che dovrebbero contenere i dati di criminali o sospettati tali. Non quelli dei normali e, fino a prova contraria, onesti cittadini. Certamente non quelli di tutti i cittadini (si chiamerebbe schedatura di massa). Assolutamente non informazioni sensibili di cittadini incensurati, quali impronte digitali o altre caratteristiche biometriche, come il DNA o l’impronta dell’iride.
Eppure SIS II non piacerà alle persone preoccupate della propria privacy, e questo articolo di EDRI ne spiega il perché (fonte dei dati, procedure ecc.). Dato lo scopo utile del SIS II, però, è qualcosa che non può essere certo osteggiato di per sé. Si tratta di un’iniziativa da tenere sotto osservazione per impedire che ci si “dimentichi” quali sono i suoi obiettivi principali (libera circolazione, tenere lontani i “cattivi”) magari per trasformarlo nel coltellino svizzero per il tecnocontrollo.
La preoccupazione per i possibili rischi per la privacy è stata per fortuna già espressa dai Garanti Europei per la protezione dei dati, che hanno richiesto per SIS II l’elaborazione di uno standard di protezione dei dati molto più rigido dei precedenti, considerati i maggiori rischi che un database anche biometrico di dati personali comporterebbe per la privacy dei cittadini dell’UE.
Anche i futuri gestori di SIS II hanno richiesto l’elaborazione di uno standard alto: quello per la fornitura, da parte delle varie polizie dell’UE, di dati biometrici di qualità controllata (cioè tecnicamente buona).
Tutto bene? Molte le domande aperte: SIS II dovrà contenere anche dati biometrici di cittadini incensurati dell’Unione Europea? Ma quali dati? E di chi? Ci sono delle regole? Le informazioni necessarie per rispondere a queste domande non sono pubbliche, se pure esistono.
Dall’Italia sarebbe utile porre qualche domanda ai Ministri competenti, Interni e Tecnologie per primi. Una interrogazione da avanzare potrebbe essere quella che segue:In Italia sono poche le situazioni in cui vengono raccolti dati biometrici a fini non medici.
Escludiamo l’identificazione di criminali e sospettati tali, eseguita con i metodi resi familiari da tante serie poliziesche; in Italia consistono di solito nel prelievo delle impronte digitali e, in certi casi, nella caratterizzazione del DNA.
Limitiamo il discorso alle impronte digitali. Essendo illegali in Italia (almeno per ora) le schedature di massa, esistono solo tre categorie di cittadini di cui sono state memorizzate le impronte digitali.
- I cittadini maschi che hanno passato la visita di leva quando era obbligatoria (e sono tanti); la rilevazione era cartacea.
- chi ha avuto guai grossi con la giustizia
- chi si è fatto rilasciare la nuova C.I.E. Carta di Identità Elettronica.
Concentriamoci sull’ultimo punto. La C.I.E. è in realtà un oggetto concepito con un occhio di riguardo alla privacy. Deve sostituire la Carta di Identità cartacea che in Italia, se non in casi così eccezionali da non riuscire a trovarne uno, non contiene l’impronta digitale. Il fatto che la C.I.E. contenga, oltre alla foto digitalizzata, anche una caratteristica biometrica potrebbe non essere una cattiva cosa.
Le norme tecniche di attuazione, tra l’altro molto ben fatte, contenute nel Decreto Ministeriale 19–7–2000 “Regole tecniche e di sicurezza relative alla carta d’identità e al documento d’identità elettronici” pubblicato nella G.U. 21 luglio 2000, stabiliscono che:
“8.5 Impronta digitale. Il titolare della C.I.E. può richiedere, al momento dell’emissione, l’installazione del template della propria impronta digitale.
Il template è una rappresentazione numerica di un elemento biometrico (in questo caso l’impronta del dito) e viene utilizzato ai fini di riconoscimento dell’impronta originale pur non consentendone una sua qualsivoglia ricostruzione. Va inoltre messo in evidenza che tale riconoscimento non presuppone la presenza di nessuna banca dati avvenendo il confronto direttamente tra il template memorizzato sulla C.I.E. e quello generato durante la fase di lettura da parte dello specifico reader utilizzato dalla postazione client che richiede il servizio. Nessuna traccia dell’operazione rimane sul client o sul server. Un simile confronto garantisce, per i servizi che lo richiedano, la presenza fisica del titolare della C.I.E..”
Quindi la C.I.E. prevede che:- l’impronta venga rilevata solo su richiesta del cittadino- l’impronta non venga memorizzata da nessuna parte, e solo il suo template venga memorizzato unicamente sulla scheda.
Peccato che tutti i comuni abilitati al rilascio obblighino invece chi vuole la C.I.E. a farsi rilevare l’impronta digitale. Una serie di contatti con i responsabili di un comune toscano che emette C.I.E. hanno giustificato ciò con il fatto che, trattandosi di una sperimentazione, il Ministero dell’Interno ha obbligato in questa fase a richiedere l’impronta digitale.
In effetti, un impiegato tecnico dello stesso comune ha assicurato che l’impronta digitale di chi ha richiesto la C.I.E. è tranquillamente visualizzabile dal sistema e che esso, al termine del processo di rilascio, trasmette in maniera automatica i dati delle C.I.E. emesse direttamente al Ministero senza possibilità di intervento da parte del personale.
Da quanto sopra, in assenza di ulteriori informazioni, sembrerebbe che le C.I.E. emesse violino in almeno due punti la normativa tecnica corrente.
A questo punto c’è da chiedersi, e qui si potrebbe chiudere l’interrogazione: Perché i cittadini che vogliono la C.I.E. vengono obbligati al deposito dell’impronta? Non è illegale? Dove vengono memorizzate, se vengono registrate fuori dalla C.I.E., template ed impronta? Posto che l’impronta ed il template vengano trasmessi, dove vengono memorizzati? Andranno forse ad alimentare il database di SIS II od altri database di dati di competenza del Ministero degli Interni?
Sarebbe un gesto di considerazione verso i cittadini se queste domande, o meglio preoccupazioni, avessero una risposta.
Originally published at punto-informatico.it.
Scrivere a Cassandra — Twitter — Mastodon
Videorubrica “Quattro chiacchiere con Cassandra”
Lo Slog (Static Blog) di Cassandra
L’archivio di Cassandra: scuola, formazione e pensiero
Licenza d’utilizzo: i contenuti di questo articolo, dove non diversamente indicato, sono sotto licenza Creative Commons Attribuzione — Condividi allo stesso modo 4.0 Internazionale (CC BY-SA 4.0), tutte le informazioni di utilizzo del materiale sono disponibili a questo link.