I dati biometrici sono definiti nel regolamento europeo (GDPR) all'art. 4, par. 1, n. 14: “dati personali ottenuti da un trattamento tecnico specifico, relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica e che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.
Definizione
I dati biometrici rientrano nalla categoria dei dati personali, tra quelli soggetti a trattamento speciale, e in particolare sono quelli relativi a caratteristiche fisiche, fisiologiche o comportamentali di un individuo. Dato biometrico è, ad esempio, l'impronta digitale usata per sbloccare gli smartphone di ultima generazione, ma anche la conformazione fisica della mano, del volto, dell'iride o della retina, il timbro e la tonalità della voce. La raccolta di tali dati avviene tramite componenti hardware e software che acquisiscono le informazioni e le analizzano confrontandolo con dati acquisiti in precedenza e conservati in un database (in genere direttamente sullo smartphone e non condivisi con il produttore). In tal modo è possibile identificare la persona interessata.
Però, i dati biometrici sono soggetti alla speciale tutela normativa di cui all'art. 9 del GDPR solo se tramite il loro trattamento si può giungere all'identificazione univoca o all'autenticazione di una persona fisica. Ad esempio, in tema di riconoscimento facciale, il Considerando 51 del GDPR prevede: "Il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione di una persona fisica". Altrimenti sono tutelati come normali dati personali.
Cioè è necessario distinguere tra il vero e proprio dato biometrico (il risultato del trattamento, come ad esempio l'impronta del volto o quella digitale) e la fonte dello stesso (la fotografia o il dito) che può anche essere oggetto di rilevamento automatizzato delle caratteristiche fisiche di un individuo (nel quale caso diventa dato biometrico). Solo se la finalità è quella di identificare univocamente una persona fisica si possono considerare dati biometrici ai sensi del GDPR (e quindi sono soggetti alla relativa normativa). In tal senso si è espressa l'Autorità Garante italiana (Verifica preliminare. Riconoscimento via webcam dei partecipanti a corsi di formazione in diretta streaming - 26 luglio 2017), stabilendo che i dati acquisiti per il riconoscimento via webcam non sono dati biometrici e quindi non richiedono particolari cautele. Perché si possa parlare di trattamento di dati biometrici, occorre che la verifica dell'identità sia automatizzata, tramite l'ausilio di appositi strumenti software o hardware.
In conclusione, il semplice fatto di postare online una foto (o una registrazione video) non configura un trattamento di dati biometrici. Ovviamente tali dati (foto o video) non possono essere ulteriormente trattati per derivarne un modello matematico del volto del soggetto ritratto, al fine di riconoscere il soggetto, a meno che non vi sia una specifica base giuridica per tale ulteriore trattamento, a seguito di opportuna informativa (e il trattamento deve essere proporzionato alla finalità). .
Regolamentazione generale e esenzioni
L'uso di questa particolare categoria di dati è da un lato incoraggiato, perché eleva sicuramente il livello di sicurezza dei servizi a seguito di autenticazione biometrica, dall'altro occorrono particolari cautele per non configurare rischi o pregiudizi per i soggetti interessati al trattamento, conseguenti all'utilizzazione non autorizzata dei dati al di fuori degli scopi originari. Ad esempio, il furto di un dato biometrico derivante da un'impronta digitale può causare un danno notevole in quanto è un sistema di autenticazione univoco e può avere conseguenze per l'intera vita di un individuo.
Tali dati, infatti, sono dati a trattamento speciale per i quali il GDPR (art. 9, par. 1) vieta il trattamento se intesi ad identificare in modo univoco una persona fisica. Alla regola generale seguono, però, una serie di esenzioni, che permettono il trattamento dei dati biometrici:
- se l’interessato ha dato il proprio consenso esplicito al trattamento dei dati personali per uno o più specifici utilizzi (come avviene per il caso dell’autenticazione tramite impronta digitale o della firma grafometrica in banca), sempre che la legge, nazionale od europea che sia, non vieti comunque il trattamento di tali dati per determinate finalità;
- se il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo;
- se l’impiego dei dati biometrici si rende necessario per proteggere un interesse vitale dell’interessato o di un’altra persona fisica, quando il soggetto cui i dati si riferiscono si trova in una situazione di incapacità, fisica o giuridica, di prestare direttamente il proprio consenso per tale utilizzo;
- quando il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato;
- quando il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;
- nell’ambito di un procedimento giudiziario e, in particolare, per accertare, esercitare o difendere un diritto, tanto in sede giudiziaria quanto stragiudiziale;
- per motivi di particolare interesse pubblico, previsti dalla legge, e purché l’impiego di dati biometrici risulti proporzionato alla finalità perseguita, rispetti il diritto alla protezione dei dati e siano comunque previste delle misure di sicurezza appropriate per tutelare i diritti fondamentali e gli interessi del soggetto cui questi dati si riferiscono;
- quando il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità;
- se il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti dell’interessato, in particolare il segreto professionale;
- quando il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici;
- infine, se il trattamento è effettuato ad opera o sotto la responsabilità di un professionista soggetto al segreto professionale per il trattamento di categorie particolari di dati personali relativi alla salute in relazione ad esigenze specifiche, se tale trattamento è effettuato conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti.
Il trattamento dei dati biometrici deve, inoltre, avvenire in conformità alle misure di garanzie disposte dal Garante con apposito provvedimento previsto dal D.lgs 101 del 2018 (legge di adeguamento del Codice Privacy al GDPR), il quale provvedimento terrà conto delle migliori prassi applicative, dell’evoluzione scientifica e tecnologica di volta in volta intervenuta nel settore oggetto delle misure.
