GDPR: General Data Protection Regulation
In questo articolo possiamo immaginare l'uso di alcune tecnologie che ormai sono del tutto mature (soprattutto in Cina) e che possono venire in aiuto nel tentativo di arginare il contagio da nuovo Corona Virus.
Queste tecnologie si basano sull'intelligenza artificiale e sull'acquisizione dei dati biometrici.
L'ostacolo nell'uso di queste tecnologie non è tanto tecnico, esistono diverse aziende che già possono fornire soluzioni evolute e poco costose, ma quanto legislativo.
In Europa, quando si parla di dati biometrici, occorre tenere in buon conto l'aspetto legale. In Italia non esistono ancora leggi ad hoc su questo argomento, esiste però il GDPR europeo.
Il GDPR lo conosciamo ormai tutti, è un regolamento nel diritto dell'UE in materia di protezione dei dati e privacy nell'Unione europea (UE) e nello Spazio Economico Europeo (SEE).
La semplice temperatura corporea, lo stato di salute e i dati biometrici sono considerati dati personali (di proprietà dell'interessato, il Data Subject) e pertanto rientrano nella regolamentazione dettata dal GDPR.
Quindi, i dispositivi di acquisizione e conservazione di queste informazioni devono sottostare ai criteri di accuratezza e protezione dei dati personali, nonché , di riflesso, ad alcuni requisiti tecnici.
Alcune delle regole da rispettare
I dati biometrici devono essere protetti e utilizzati solo ed esclusivamente per lo scopo per il quale sono stati raccolti. Chiunque volesse acquisire e utilizzare questi dati deve dichiarare, sotto la propria responsabilità, l'uso che ne vuole fare, fornire informazioni dettagliate su quest'uso ai soggetti proprietari dei dati e averne da essi il consenso alla raccolta e all'utillizzo (trattamento).
L'accesso ai dati deve essere concesso solo e unicamente a coloro che devono, per espletare la finalità dichiarata, venirne in possesso. Non è concessa la cessione a terzi e coloro che possono trattarli devono essere ben identificabili e non devono in alcun modo divulgare le informazioni alle quali hanno accesso. Meglio se si riesce a mantenere l'anonimato rispetto ai proprietari legittimi.
Deve esistere una persona fisica o giuridica, autorità pubblica, agenzia o altro organismo che, da solo o congiuntamente con altri, determini le finalità e le modalità del trattamento dei dati personali (titolare del trattamento o, meglio Data Controller).
I dati biometrici devono essere conservati solo per il tempo necessario e non di più. I dati possono dover essere eliminati subito dopo l'acquisizione, oppure dopo anni. Dipende dall'uso che se ne deve fare.
I database contenenti i dati biometrici devono essere archiviati su server sicuri, in una o più sedi esattamente identificabili e residenti all'interno dell'Unione Europea.
L'accesso al server contenente il database deve essere protetto e delegato solo a persone identificate. È preferibile disporre di un sistema di accesso combinato: login, password, chiave hardware o token. Ogni accesso deve essere registrato in un file di log che riporti: ID operatore, data e ora dell'accesso e data e ora della disconnessione.
I requisiti tecnici dei dispositivi fisici.
Vediamo velocemente i requisiti tecnici dei dispositivi di acquisizione dei dati biometrici e dei database che conterranno i dati.
I dati biometrici devono essere crittografati, non falsificabili e leggibili solo da dispositivi autorizzati.
I canali di trasmissione e trasferimento dati devono essere sicuri.
I dati biometrici non cifrati (raw data) devono essere eliminati da qualsiasi file system, memoria, file temporaneo o altro supporto fisico dopo la crittografia.
Il sistema operativo, i database e le applicazioni utilizzati devono essere regolarmente aggiornati per garantire sempre la massima sicurezza e lo stato dell'arte della crittografia.
Il sistema operativo utilizzato deve essere protetto da un eventuale attacco di tipo downgrading (il kernel deve avere un blocco che impedisca di essere riportato a una versione precedente).
La protezione deve essere di tipo hardware utilizzando un sistema di Secure Enclave Hardware (potrebbe essere un dispositivo SoC esterno o può essere incorporato all'interno del processore).
I dati biometrici devono essere crittografati e protetti da un Data Vault (FIPS 140-2).
Accordo sindacati, imprese e governo.
In Italia, è stato da poco firmato un accordo sulle misure di sicurezza da adottare nelle aziende per contenere il contagio da COVID-19. La tecnologia biometrica unita all'intelligenza artificiale può essere d'ausilio per migliorare e automatizzare la sorveglianza.
Prima di accedere al posto di lavoro, il personale può essere sottoposto a controlli della temperatura corporea. Se questa è superiore a 37,5 ° C, l'accesso al posto di lavoro non potrà essere consentito per evitare contagio dei colleghi di lavoro.
Esistono dispositivi di misurazione della temperatura a distanza molto precisi, basati sull'analisi termica delle immagini che possono identificare persone che in ingresso o in uscita abbiano sintomi febbrili.
In caso di accesso di fornitori esterni, è obbligatoria l'identificazioni del veicolo, il controllo del transito e la notifica dell'uscita, mediante metodi, percorsi e tempistiche predefiniti, al fine di ridurre le opportunità di contatto con il personale presente nei vari reparti/uffici dell'azienda.
In questo caso non possiamo parlare di dati biometrici, però, per esempio, i sistemi AI possono essere di ausilio nel leggere la targa, identificare il tipo di mezzo e tracciare tutti gli spostamenti all'interno dello stabilimento. Questi dati potrebbero essere registrati e consultati nel caso nei giorni successivi fosse necessario risalire ai percorsi e alle persone con le quali l'autista potrebbe essere venuto in contatto.
I movimenti del personale all'interno del sito aziendale devono essere limitati al minimo necessario e nel rispetto delle istruzioni dell'azienda.
In questo caso potrebbe essere utile utilizzare un sistema combinato di AI e acquisizione biometrica (riconoscimento facciale), non tanto per limitare il libero spostamento delle persone, ma quanto, in caso una persona avesse stati febbrili in stabilimento, riuscire a tracciare ogni suo spostamento e identificare i reparti da mettere in quarantena.
Le applicazioni trattate, sono ormai alla portata di tutti. I dispositivi sono relativamente di basso costo. Le possibilità di utilizzo, nei limiti delle regole, sono infinite. Noi siamo in contatto con aziende cinesi di ogni tipo e dimensione che potrebbero collaborare con aziende italiane per la messa in commercio di dispositivi di ogni genere. Nel caso foste interessati a tali collaborazioni, non esitate a contattarci.