I. Introduzione alle firme biometriche in Turchia
Le firme biometriche, convergenza contemporanea tra tecnologia e identificazione personale, rappresentano una nuova frontiera nel mondo della validazione elettronica e digitale. Fondamentalmente, le firme biometriche sono una derivazione dei dati biometrici. Questi dati, rinomati per la loro intrinseca associazione a un individuo e per la loro natura tipicamente immutabile, forniscono attributi unici che li distinguono dai dati convenzionali. La loro incapacità di essere alterati o dimenticati, radicata nella loro innata connessione con l'individuo, rende i dati biometrici distinti da altre forme di informazione.
Tuttavia, man mano che ci avventuriamo più in profondità nel regno delle transazioni digitali e dell’autenticazione elettronica, incontriamo una miscela di normative diverse che possono variare in modo significativo da una giurisdizione all’altra. L’Unione Europea, con il suo approccio sistematico e ampio, ha sviluppato un quadro normativo completo che ingloba varie forme di firme elettroniche e digitali. Il regolamento eIDAS, un pilastro importante in questo costrutto, fornisce definizioni chiare tra i diversi livelli di firma elettronica, che vanno dalle firme "semplici" a quelle avanzate e qualificate.
Al contrario, le firme biometriche in Turchia presentano un quadro contrastante. Mentre il quadro normativo dell’UE offre chiarezza e copertura completa, l’approccio della Turchia appare più ristretto. Il panorama normativo del Paese, incentrato prevalentemente sulle “firme elettroniche qualificate”, lascia non regolamentati altri tipi di firme elettroniche e digitali. Questo quadro limitato porta a significative aree grigie, sollevando domande sulla validità, il riconoscimento e l’applicabilità delle varie firme elettroniche all’interno della giurisdizione turca.
In questo articolo approfondiremo le firme biometriche, esaminando come si inseriscono nel più ampio panorama delle norme digitali sia nell'UE che in Turchia
II. Differenziazione dei tipi di firme: elettronica, digitale e biometrica
Prima di approfondire le firme biometriche, è fondamentale comprendere la distinzione tra firme elettroniche, firme digitali e firme biometriche. Il Regolamento eIDAS fornisce un approccio strutturato alle firme elettroniche:
- Firme elettroniche “semplici”: Definiti come “dati in formato elettronico allegati o associati logicamente ad altri dati in formato elettronico e utilizzati dal firmatario per firmare”. In sostanza, aggiungere il tuo nome sotto un'e-mail potrebbe essere una "semplice" firma elettronica.
- Firme elettroniche avanzate (AdES): Al di là della firma elettronica di base, un AdES è legato in modo univoco al firmatario e gli consente il controllo completo. Inoltre, è collegato al documento associato in modo tale da poter rilevare eventuali modifiche successive. La tecnologia più diffusa che garantisce ciò è l’infrastruttura a chiave pubblica (PKI), che comprende l’uso di certificati e chiavi crittografiche.
- Firme elettroniche qualificate (QES): Un QES è una versione potenziata dell'AdES, realizzata da un dispositivo qualificato per la creazione di firma (QSCD) e fondata su un certificato qualificato per le firme elettroniche.
Mentre le firme elettroniche e digitali ruotano principalmente attorno alla convalida dei dati e all’autenticazione dell’utente, le firme biometriche sfruttano le caratteristiche fisiche o comportamentali uniche del firmatario. È fondamentale notare la posizione delle normative turche in questo contesto. Le normative turche riconoscono come firme valide solo le “firme elettroniche qualificate” (QES). Altre forme, comprese le firme elettroniche semplici e avanzate, non sono pienamente riconosciute come firme ufficiali nel paese, il che le rende dotate di valore legale limitato. Questa distinzione diventa più pronunciata se si considera l’evoluzione e il potenziale riconoscimento legale delle firme biometriche in Turchia
III. Comprendere le firme biometriche
Le firme biometriche implicano l'uso di dati biometrici specifici per creare firme su un tablet o pad dedicato, con questi dati spesso collegati in modo sicuro al documento firmato. È importante chiarire che, sebbene le firme biometriche condividano alcune somiglianze con le tradizionali firme autografe, si tratta di concetti distinti. A differenza delle firme tradizionali create con carta e penna, le soluzioni di firma biometrica mancano di un quadro standardizzato, con conseguenti caratteristiche di design e funzionalità diverse.
La differenziazione cruciale tra le firme biometriche e le tradizionali firme autografe risiede nel modo in cui vengono valutate. Nel contesto della privacy dei dati, l'essenza dell'analisi della firma biometrica dipende dalle caratteristiche dinamiche, considerando fattori come la quantità di pressione applicata durante la firma, l'angolo di scrittura, la velocità e l'accelerazione dello stilo, la formazione delle lettere, l'orientamento della firma e altri attributi dinamici univoci. Ciò contrasta con le firme tradizionali, che si concentrano principalmente sull’aspetto visivo della firma.
IV. Aspetti legali delle firme biometriche: eIDAS, LPDP e oltre
UN. UE-Turchia
L’esame delle firme biometriche nel contesto dei quadri giuridici e normativi rivela un panorama multiforme. Le soluzioni di firma biometrica presentano variazioni negli standard di progettazione e implementazione, in gran parte dovute all’assenza di uno standard globale universale che ne governi lo sviluppo e l’utilizzo. Al contrario, l’Unione Europea ha compiuto passi da gigante nella creazione di un quadro coeso per l’identificazione elettronica e i servizi fiduciari all’interno del mercato unico digitale. Questo quadro, noto come “Regolamento sull’identificazione elettronica e sui servizi fiduciari” (eIDAS), fornisce un approccio strutturato a tali questioni, offrendo una certa chiarezza all'interno dell'UE.
Tuttavia, quando spostiamo la nostra attenzione sulla legislazione turca, ci imbattiamo in una carenza di analoga chiarezza. Le distinzioni tra firme biometriche e autografe e la loro compatibilità con le strutture giuridiche esistenti diventano sempre più marcate. L’assenza di un quadro legislativo specifico per le firme biometriche in Turchia solleva questioni pertinenti sul loro status e riconoscimento ai sensi della legge. Questa ambiguità sottolinea la necessità di un’analisi giuridica rigorosa per chiarire la posizione delle firme biometriche nel panorama giuridico turco.
B. TCC, LPDP e la decisione del comitato per la protezione dei dati
L'inclusione delle firme biometriche nel quadro giuridico pone interrogativi interessanti, in particolare per quanto riguarda la loro compatibilità con le disposizioni del Codice delle obbligazioni turco n. 6098 (il “TCC”). Negli articoli 14 e 15 del TCC, che delineano i principi fondamentali della formazione del contratto, l'obbligo della firma è previsto come atto manoscritto. Questa enfasi sull’atto di firmare esclusivamente a mano solleva una domanda pertinente: le firme biometriche possono essere valutate nell’ambito di applicazione dell’articolo 6, paragrafo 3, del Legge turca sulla protezione dei dati personali n. 6698 (la “LPDP”)?
La distinzione tra firme autografe tradizionali e firme biometriche dipende dal processo di valutazione. Le tradizionali firme scritte a mano si basano su attributi statici o geometrici, ovvero su come appaiono visivamente. Al contrario, le firme biometriche si concentrano sulle caratteristiche dinamiche, esaminando attentamente il processo di creazione della firma. Un'analisi completa delle firme biometriche considera elementi dinamici come la pressione applicata durante la firma, l'angolo e la velocità dello stilo, la formazione dei caratteri, la direzione della firma e una serie di altre caratteristiche dinamiche distintive.
In una decisione cruciale con la nota n. 2020/649, il comitato turco per la protezione dei dati è intervenuto proprio su questo argomento. La loro prospettiva ha sottolineato che il termine “firma” all’interno del TCC comprende la tradizionale firma autografa e la firma elettronica sicura. Sebbene questi due tipi di firme producano risultati giuridici simili, il comitato ha osservato che il legislatore li regola distintamente entrambi. L’ampliamento delle disposizioni del TCC per coprire le firme biometriche potrebbe portare a una lettura eccessivamente ampia dell’eccezione di cui all’articolo 6, paragrafo 3, dell’LPDP, potenzialmente in contrasto con il principio di proporzionalità. Pertanto, il comitato ha suggerito un'attenta gestione delle firme biometriche, richiedendo:
- Consenso espresso da persone correlate,
- Notifica adeguata ai sensi dell'articolo 10 della LPDP,
- Aderenza alle “Misure Adeguate” determinate dal Consiglio nel trattamento dei dati personali sensibili, ai sensi dell'articolo 6, comma 4, del LPDP.
Alla luce di questi punti, è chiaro che le firme biometriche sollevano complesse questioni legali che richiedono un’analisi approfondita nell’ambito dell’attuale quadro turco.
V. Utilizzo di dati biometrici e firme biometriche
Nell’ambito della protezione dei dati, l’uso delle firme biometriche è intrecciato con complesse considerazioni legali. LPDP classifica i dati biometrici come un sottoinsieme speciale di dati personali. Il trattamento di tali dati, privo di esplicito consenso, è sanzionato esclusivamente quando altre norme di legge lo autorizzano. Un primo esempio è la disposizione per la raccolta di dati biometrici per i servizi sanitari ai sensi dell’articolo 67 della legge n. 5510, Legge sulla previdenza sociale e sull’assicurazione sanitaria generale.
Per un’esplorazione più approfondita delle complessità dei dati biometrici in Turchia, compresi gli approfondimenti critici della Corte europea dei diritti dell’uomo (CEDU) e dell’Autorità turca per la protezione dei dati (DPA), i lettori sono invitati a consultare il nostro articolo dettagliato: “Sbloccare l’uso dei dati biometrici in Turchia: approfondimenti critici dalla CEDU e dall’Autorità per la protezione dei dati turca”.
Durante il trattamento dei dati biometrici è fondamentale rispettare le seguenti condizioni:
- Consenso esplicito: Il trattamento dei dati biometrici richiede generalmente il consenso esplicito degli interessati.
- Obbligo di informazione: I titolari del trattamento devono fornire agli interessati informazioni chiare ed esaurienti sul trattamento dei dati.
- Misure per la sicurezza dei dati: Per proteggere l'integrità e la riservatezza dei dati biometrici, devono essere adottate rigorose misure di sicurezza.
UN. Dati biometrici nel settore sanitario
Nel settore sanitario, l'articolo 67 della legge n. 5510 consente agli ospedali statali di richiedere dati biometrici per verificare l'identità dei pazienti quando ricevono servizi sanitari. Questa pratica ha scatenato dibattiti sui diritti alla privacy. Tuttavia, la Corte Costituzionale ha stabilito che tale disposizione non viola la Costituzione, sottolineando l’importanza della prevenzione della corruzione negli uffici pubblici e della maggiore sicurezza offerta dalla verifica biometrica.
B. Dati biometrici per i controlli dei turni dei dipendenti
Le grandi aziende e holding spesso utilizzano dati biometrici per monitorare l’orario di lavoro dei dipendenti. Tuttavia, l’uso di scanner di impronte digitali per tali scopi ha sollevato sfide legali. Il Consiglio di Stato ha stabilito che le impronte digitali sono parte integrante della vita privata dell'individuo e quindi tutelate dal diritto alla riservatezza (articolo 20 Cost.). È stato stabilito che esistono altri metodi altrettanto efficaci per tenere traccia dei turni dei dipendenti e costringere i dipendenti a utilizzare sistemi di scansione delle impronte digitali è stato ritenuto incostituzionale.
C. Dati biometrici per stanze sicure
L’implementazione di stanze sicure, soprattutto nelle aziende tecnologiche per la salvaguardia delle informazioni riservate, ha portato alla domanda di dati biometrici. Le aziende possono richiedere ai dipendenti di fornire dati biometrici per l’accesso a queste stanze. Sebbene i tribunali superiori non abbiano ancora emesso sentenze specifiche in merito, la decisione del Consiglio di Stato relativa ai dati biometrici per i controlli sui turni dei dipendenti suggerisce che i dipendenti non possono essere obbligati a fornire tali dati per l'accesso sicuro alle stanze. La raccolta dei dati basata sul consenso rimane un’opzione praticabile, a condizione che il consenso venga ottenuto meticolosamente.
VI. Conclusione
L’intersezione tra firme biometriche e legge turca è segnata sia da promesse che da ambiguità. Mentre la tecnologia apre la strada a mezzi di autenticazione innovativi e sicuri, il panorama normativo in Turchia rimane cauto, sottolineando gli imperativi del consenso esplicito e di solide misure di protezione dei dati. Scenari diversi, che si tratti di assistenza sanitaria, gestione dei dipendenti o aree sicure, presentano ciascuno sfumature giuridiche distinte, sottolineando l’importanza di un approccio giudizioso. Mentre ci troviamo sull’orlo di una trasformazione digitale, la narrativa in evoluzione della biometria in Turchia costituisce una testimonianza convincente dell’intricata danza tra progresso tecnologico e adattamento legale. Il percorso da seguire richiede un approccio armonizzato, che difenda sia i diritti individuali che le potenzialità emergenti della biometria.