Che cosa succede ai dati biometrici dell’Id e?
Secondo la legge sulla protezione dei dati, i dati biometrici, come ad esempio l’immagine del viso, sono dati degni di particolare protezione. È dunque fondamentale capire come la legge sull’Id e disciplina il loro trattamento; le seguenti spiegazioni al riguardo si basano sull’attuale disegno di legge non ancora entrato in vigore.
I dati biometrici sono generati al momento di richiedere l’Id e e possono essere condivisi quando si presenta tale mezzo di identificazione.
Per richiedere l’Id e online è necessario uno smartphone con l’app wallet della Confederazione. La procedura prevede di fotografare con tale app un documento d’identità valido (passaporto, carta d’identità o permesso di soggiorno), registrare un breve video del proprio viso e infine trasmettere i dati all’Ufficio federale di polizia che li confronterà con quelli già presenti nella banca dati dei documenti d’identità. Ma cosa succede ai dati biometrici trasmessi? L’Ufficio federale di polizia li registra per proteggere il titolare dell’Id e dall’usurpazione d’identità e li utilizzerà per le indagini del caso, ossia per fare luce su chi ha tentato di spacciarsi per il titolare dell’Id-e, quindi li memorizza al massimo per cinque anni dopo la data di scadenza dell’Id e dopodiché li cancella.
Per richiedere l’Id e di persona è necessario recarsi all’ufficio passaporti o all’ufficio della migrazione competente dove il confronto facciale sarà effettuato sul posto da un collaboratore o mediante una macchina a una postazione di rilevamento. Saranno i Cantoni a decidere se sarà una persona o una macchina a verificare l’identità del richiedente. Un confronto facciale meccanico può essere opportuno nei casi in cui chi procede alla verifica è incerto circa l’identità del richiedente (p. es. in caso di gemelli identici) oppure se un Cantone effettua un gran numero di verifiche d’identità nell’ambito dell’emissione di Id e. Se un Cantone opta per la verifica meccanica dell’identità, i dati biometrici ricavati non possono essere né memorizzati né trasmessi a fedpol, il che significa che saranno subito cancellati.
Fornire l’immagine del viso al momento di presentare l’Id-e equivale a condividere dati biometrici. Quali regole si applicano in questo caso? Anzitutto occorre sottolineare che i dati del titolare dell’Id e sono protetti dalla legge sulla protezione dei dati, il che significa che vanno richiesti, trattati e memorizzati secondo il principio della buona fede. Inoltre chi li verifica è tenuto a rispettare anche i principi di proporzionalità, finalità e consenso. Eventuali violazioni sono sottoposte all’Incaricato federale della protezione dei dati e della trasparenza che, in base alla loro gravità, procede d’ufficio o su denuncia.
Mentre la legge sulla protezione dei dati impone una finalità generale, la legge sull’Id e precisa che la richiesta di presentare l’Id e è lecita se lo prevede la legislazione o se da essa dipende l’affidabilità della transazione in particolare per evitare abusi e usurpazioni d’identità. Ciò significa che i dati biometrici contenuti nell’Id e possono essere consultati soltanto se una legge lo prevede o lo impone l’affidabilità della transazione. Ne consegue dunque che un verificatore è autorizzato a memorizzare i dati biometrici solamente se esiste una base legale in tal senso o vi è un’esigenza materiale.
Se un verificatore non rispetta questi principi, il titolare dell’Id e può segnalarlo al servizio competente, il quale può iscriverlo nel registro di fiducia o escluderlo da esso. Queste misure consentono inoltre di avvertire il titolare dell’Id e attivamente nell’app Wallet di un eccesso d’identificazione da parte di un verificatore.