Realizzato da Luminetwork
Dati biometrici: cosa prevede il GDPR per la tutela della privacy

Il trattamento dei dati biometrici è legittimo solo se poggia sul libero consenso dell’interessato: questo il nocciolo delle disposizioni previste dal GDPR in materia di biometria e privacy.


Il termine “biometria”, di derivazione greca (bìos= vita, emétron= conteggio o misura), fa riferimento allo studio delle caratteristiche biofisiche di un individuo. E il “sistema di riconoscimento biometrico” è quell’apparato in grado di identificare le persone sulla base di tali caratteristiche.

In questo articolo, non tratterò dell’utilizzo della biometria e dei sistemi di riconoscimento biometrico quali strumenti di autenticazione in ambito informatico, per applicazioni di controllo accessi a PC, notebook e tablet.

E non parlerò di riconoscimento biometrico per l’autenticazione e l’accesso ai dispositivi elettronici, tra cui i sensori di riconoscimento dell’impronta digitale presenti negli smartphone più evoluti.

CTA banner

Al centro di questo articolo c’è la tutela della privacy riferita al riconoscimento biometrico per applicazioni di controllo accessi a luoghi fisici e di rilevazione presenze nei luoghi fisici, ovvero aree speciali di aeroporti, laboratori medici, zone critiche di siti produttivi, grandi building, aziende, uffici, solo per citarne alcuni.

riconoscimento biometrico impronta digitale
Il riconoscimento biometrico lavora sulla base delle caratteristiche biofisiche

Dati biometrici: che cosa sono

I dati biometrici riguardano gli attributi fisici e comportamentali delle persone, quei tratti distintivi che le rendono uniche, le differenziano e fanno sì che vengano riconosciute in modo univoco: il colore e la dimensione dell’iride, le caratteristiche della retina, le impronte digitali, le linee della mano, la fisionomia del volto, la forma dell’orecchio e il DNA, tra i principali.

Tra i dati biometrici di tipo comportamentale, figurano, invece, il timbro della voce, l’andatura e lo stile della scrittura.

Come vengono rilevati e raccolti i dati biometrici? All’inizio ho accennato alla funzione dei sistemi di riconoscimento biometrico. Vediamo, ora, come lavorano.

Il loro funzionamento si fonda su due elementi: una parte hardware (il lettore per la rilevazione di impronte digitali, ad esempio, oppure il sensore per la scansione della retina) che acquisisce il dato biometrico; una parte software che consente, attraverso l’impiego di algoritmi, di analizzarlo e di confrontarlo con quelli acquisiti precedentemente e archiviati nel database del sistema, con l’obiettivo di collegare il dato raccolto a una precisa persona, di riconoscerla e di concederle, in questo modo, l’accesso a una determinata area o di registrare la sua presenza in un preciso contesto.

Trattamento dei dati biometrici e tutela della privacy

Proprio perché è coinvolta la sfera biofisica dell’individuo, la sua corporeità, il trattamento dei dati biometrici è questione delicata.

Iniziamo col dire che, oggi, molte tecnologie biometriche sono così sofisticate da riuscire – partendo da un attributo fisico – a individuare patologie mediche. È il caso, ad esempio, dei sistemi di riconoscimento biometrico basati sull’analisi delle vene, in grado di mettere in evidenza potenziali malattie vascolari.

È intuibile il danno che subirebbe la persona coinvolta, se i propri dati biometrici venissero trattati in modo improprio, sentendosi in questo modo lesa nel suo diritto alla privacy e alla riservatezza delle problematiche personali.

Di qui, l’importanza di una regolamentazione finalizzata al corretto trattamento dei dati biometrici, allo scopo di evitare abusi e violazioni.

E sono il GDPR – General Data Protection Regulation (Regolamento dell’UE su trattamento dei dati personali e privacy, pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 e divenuto operativo a partire dal 25 maggio 2018) e il successivo decreto italiano di adeguamento (D.lgs. 101/2018) ad avere disciplinato la materia.

L’art. 9, par. 1, del GDPR vieta – in linea generale – il trattamento dei dati biometrici, fatte salve alcune eccezioni, elencate nel par. 2 dello stesso articolo.

La prima eccezione al divieto prevede che l’interessato abbia autorizzato il trattamento: questa è la base assoluta.

Seguono, poi, altre eccezioni, che consentono l’utilizzo dei dati biometrici solo se necessario in ambito lavorativo o nell’ambito della sicurezza sociale e collettiva; se necessario per la protezione di un interesse vitale dell’interessato o di altra persona; se necessario in un procedimento giudiziario; se vengono rilevati particolari motivi di interesse pubblico o per motivi di sicurezza sanitaria, controllo e prevenzione di malattie trasmissibili e per la tutela di gravi minacce per la salute delle persone fisiche.

In ogni caso – continua il GDPR – laddove il trattamento dei dati venga concesso, l’interessato va sempre correttamente informato circa le modalità e le finalità di utilizzo dei dati biometrici che lo riguardano.

riconoscimento biometrico facciale
Che cosa prevede il GDPR in caso di riconoscimento facciale?

Telecamere riconoscimento facciale e GDPR

Che cosa prevede il GDPR per la tutela della privacy in caso di riconoscimento facciale per mezzo di telecamere? Innanzitutto che, chi transita in un luogo soggetto a videosorveglianza con riconoscimento facciale, venga preventivamente avvisato.

Ma, ancora prima di rendere operative le telecamere con riconoscimento facciale a bordo, esiste l’obbligo, da parte del titolare del trattamento delle immagini, della valutazione di impatto sulla protezione dei dati (D.P.I.A.- Data Protection Impact Assessment), ai sensi dell’art. 35 del GDPR.

La valutazione di impatto sulla protezione dei dati è un documento di valutazione preventiva dei rischi che derivano dal trattamento dei dati che si intende effettuare.

Rischi per la libertà e per il diritto alla privacy di tutti coloro che potrebbero essere ripresi da telecamere dotate di software di riconoscimento biometrico a bordo.

Questo documento ha l’obiettivo di analizzare la tipologia del trattamento, quali sono le sue finalità e se vengono trattati solo i dati necessari.

Rilevati eventuali rischi per gli utenti, il titolare del trattamento è chiamato a individuare misure tecnico-organizzative volte a ridurre, o ad annullare del tutto, tali rischi.

Quando, da questo documento, emerge che il trattamento dei dati è causa di un rischio relativamente elevato per gli utenti, c’è l’obbligo di interpello preventivo al Garante della Privacy.

CTA banner