Dati biometrici
Featured

Dati biometrici

I dati biometrici sono definiti nel regolamento europeo (GDPR) all'art. 4, par. 1, n. 14: “dati personali ottenuti da un trattamento tecnico specifico, relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica e che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”. 

 

Definizione

I dati biometrici rientrano nella categoria dei dati personali, e in particolare nella categoria dei dati a trattamento speciale ex. art. 9 GDPR. Essi riguardano le caratteristiche fisiche, fisiologiche o comportamentali di un individuo. Un dato biometrico è, ad esempio, l'impronta digitale usata per sbloccare gli smartphone, ma anche la conformazione fisica della mano, del volto, dell'iride o della retina, il timbro e la tonalità della voce. La raccolta di questi dati avviene tramite componenti hardware e software che acquisiscono i dati e li analizzano confrontandoli con dati già acquisiti e conservati (in genere direttamente sullo smartphone e non condivisi con il produttore). In tal modo è possibile identificare la persona interessata. In questo modo, ad esempio, lo smartphone viene sbloccato con la scansione del volto oppure dell'impronta digitale. 

In base alla normativa europea, però, i dati biometrici sono soggetti alla speciale tutela di cui all'art. 9 del GDPR solo se tramite il loro trattamento si può giungere all'identificazione univoca o all'autenticazione di una persona fisica. Infatti, in tema di riconoscimento facciale, il Considerando 51 del GDPR prevede: "Il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione di una persona fisica". In caso contrario sono tutelati come normali dati personali. 

Cioè è necessario distinguere tra il vero e proprio dato biometrico (il risultato del trattamento, come ad esempio l'impronta del volto o quella digitale) e la fonte dello stesso (la fotografia o il dito) che può anche essere oggetto di rilevamento automatizzato delle caratteristiche fisiche di un individuo (nel quale caso diventa dato biometrico). Solo se la finalità è quella di identificare univocamente una persona fisica i dati si possono considerare dati biometrici ai sensi del GDPR (e quindi sono soggetti alla relativa normativa). In tal senso si è espressa l'Autorità Garante italiana (Verifica preliminare. Riconoscimento via webcam dei partecipanti a corsi di formazione in diretta streaming - 26 luglio 2017), stabilendo che i dati acquisiti per il riconoscimento via webcam non sono dati biometrici e quindi non richiedono particolari cautele. Perché si possa parlare di trattamento di dati biometrici occorre, invece, che la verifica dell'identità sia automatizzata, tramite l'ausilio di appositi strumenti software o hardware. 

Ad una conclusione parzialmente differente è pervenuta la Corte di Cassazione, sez. I Civile (ordinanza 13 maggio 2024, n. 12967) sostenendo che "ricorre un trattamento di dati biometrici quando gli stessi sono ottenuti mediante un trattamento tecnico automatizzato specifico, realizzato con un software che, sulla base di riprese e analisi delle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica, le elabora, evidenziando comportamenti o elementi anomali, e che perviene a un esito conclusivo, costituito da un elaborato video/foto che consente (o che conferma) l'identificazione univoca della persona fisica, restando irrilevante la circostanza che l'esito finale del trattamento sia successivamente sottoposto alla verifica finale di una persona fisica". Nel caso specifico la Corte precisa che se la riprese video di un esame non hanno la sola funzione di documentare la prova di esame, ma si connotano per la contestuale elaborazione e selezione del materiale raccolto, che converge nella individuazione ed alla segnalazione di comportamenti anomali, attraverso la produzione del video finale, siamo in presenza di un trattamento di dati biometrici. 

La conclusione della Corte non è del tutto conforme con il Provvedimento Generale sulla biometria del Garante pubblicato nel 2014, dove si individuano le 4 fasi di un trattamento biometrico: 
1) rilevamento di caratteristiche biometriche;
2) acquisizione di un campione biometrico;
3) estrazione dal campione biometrico, mediante elaborazione matematica, di tratti caratteristici idonei a costituire il modello biometrico;
4) confronto per l’identificazione univoca della persona fisica.

Nel caso specifico la Cassazione ha ritenuto che l'identificazione sussistesse in quanto effettuata a monte dall'Università, e quindi il confronto poteva essere realizzato dal personale (insegnanti) anche se il software di per sè non effettuava alcun confronto. In questo senso la giurisprudenza ha sostanzialmente ampliato i casi di trattamento biometrico dei dati personali. 


Comunque è utile precisare che il semplice fatto di postare online una foto (o una registrazione video) non configura un trattamento di dati biometrici. 
Ovviamente tali dati (foto o video) non possono essere ulteriormente trattati per derivarne un modello matematico del volto del soggetto ritratto, al fine di riconoscere il soggetto, a meno che non vi sia una specifica base giuridica per tale ulteriore trattamento, a seguito di opportuna informativa (e il trattamento deve essere proporzionato alla finalità). . 

 

Regolamentazione generale e esenzioni

L'uso di questa particolare categoria di dati è da un lato incoraggiato, perché eleva sicuramente il livello di sicurezza dei servizi a seguito di autenticazione biometrica, dall'altro occorrono particolari cautele per non determinare rischi o pregiudizi per i soggetti interessati al trattamento, conseguenti all'utilizzazione non autorizzata dei dati al di fuori degli scopi originari. Ad esempio, il furto di un dato biometrico derivante da un'impronta digitale può causare un danno notevole in quanto è un sistema di autenticazione univoco e può avere conseguenze per l'intera vita di un individuo. 

Tali dati, infatti, sono dati a trattamento speciale per i quali il GDPR (art. 9, par. 1) vieta il trattamento se intesi ad identificare in modo univoco una persona fisica. Alla regola generale seguono, però, una serie di esenzioni, che permettono il trattamento dei dati biometrici: 
- se l’interessato ha dato il proprio consenso esplicito al trattamento dei dati personali per uno o più specifici utilizzi (come avviene per il caso dell’autenticazione tramite impronta digitale o della firma grafometrica in banca), sempre che la legge, nazionale od europea che sia, non vieti comunque il trattamento di tali dati per determinate finalità
- se il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo; 
- se l’impiego dei dati biometrici si rende necessario per proteggere un interesse vitale dell’interessato o di un’altra persona fisica, quando il soggetto cui i dati si riferiscono si trova in una situazione di incapacità, fisica o giuridica, di prestare direttamente il proprio consenso per tale utilizzo; 
- quando il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato; 
- quando il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato
- nell’ambito di un procedimento giudiziario e, in particolare, per accertare, esercitare o difendere un diritto, tanto in sede giudiziaria quanto stragiudiziale; 
- per motivi di particolare interesse pubblico, previsti dalla legge, e purché l’impiego di dati biometrici risulti proporzionato alla finalità perseguita, rispetti il diritto alla protezione dei dati e siano comunque previste delle misure di sicurezza appropriate per tutelare i diritti fondamentali e gli interessi del soggetto cui questi dati si riferiscono; 
- quando il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità; 
- se il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti dell’interessato, in particolare il segreto professionale; 
- quando il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici
- infine, se il trattamento è effettuato ad opera o sotto la responsabilità di un professionista soggetto al segreto professionale per il trattamento di categorie particolari di dati personali relativi alla salute in relazione ad esigenze specifiche, se tale trattamento è effettuato conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti. 

Il trattamento dei dati biometrici deve, inoltre, avvenire in conformità alle misure di garanzia disposte dal Garante con apposito provvedimento previsto dal D.lgs 101 del 2018 (legge di adeguamento del Codice Privacy al GDPR), il quale provvedimento terrà conto delle migliori prassi applicative, dell’evoluzione scientifica e tecnologica di volta in volta intervenuta nel settore oggetto delle misure.