Il trattamento dei dati biometrici è legittimo solo se poggia sul libero consenso dell’interessato: questo il nocciolo delle disposizioni previste dal GDPR in materia di biometria e privacy.
Il termine “biometria”, di derivazione greca (bìos= vita, emétron= conteggio o misura), fa riferimento allo studio delle caratteristiche biofisiche di un individuo. E il “sistema di riconoscimento biometrico” è quell’apparato in grado di identificare le persone sulla base di tali caratteristiche.
In questo articolo, non tratterò dell’utilizzo della biometria e dei sistemi di riconoscimento biometrico quali strumenti di autenticazione in ambito informatico, per applicazioni di controllo accessi a PC, notebook e tablet.
E non parlerò di riconoscimento biometrico per l’autenticazione e l’accesso ai dispositivi elettronici, tra cui i sensori di riconoscimento dell’impronta digitale presenti negli smartphone più evoluti.
Al centro di questo articolo c’è la tutela della privacy riferita al riconoscimento biometrico per applicazioni di controllo accessi a luoghi fisici e di rilevazione presenze nei luoghi fisici, ovvero aree speciali di aeroporti, laboratori medici, zone critiche di siti produttivi, grandi building, aziende, uffici, solo per citarne alcuni.

Dati biometrici: che cosa sono
I dati biometrici riguardano gli attributi fisici e comportamentali delle persone, quei tratti distintivi che le rendono uniche, le differenziano e fanno sì che vengano riconosciute in modo univoco: il colore e la dimensione dell’iride, le caratteristiche della retina, le impronte digitali, le linee della mano, la fisionomia del volto, la forma dell’orecchio e il DNA, tra i principali.
Tra i dati biometrici di tipo comportamentale, figurano, invece, il timbro della voce, l’andatura e lo stile della scrittura.
Come vengono rilevati e raccolti i dati biometrici? All’inizio ho accennato alla funzione dei sistemi di riconoscimento biometrico. Vediamo, ora, come lavorano.
Il loro funzionamento si fonda su due elementi: una parte hardware (il lettore per la rilevazione di impronte digitali, ad esempio, oppure il sensore per la scansione della retina) che acquisisce il dato biometrico; una parte software che consente, attraverso l’impiego di algoritmi, di analizzarlo e di confrontarlo con quelli acquisiti precedentemente e archiviati nel database del sistema, con l’obiettivo di collegare il dato raccolto a una precisa persona, di riconoscerla e di concederle, in questo modo, l’accesso a una determinata area o di registrare la sua presenza in un preciso contesto.
Trattamento dei dati biometrici e tutela della privacy
Proprio perché è coinvolta la sfera biofisica dell’individuo, la sua corporeità, il trattamento dei dati biometrici è questione delicata.
Iniziamo col dire che, oggi, molte tecnologie biometriche sono così sofisticate da riuscire – partendo da un attributo fisico – a individuare patologie mediche. È il caso, ad esempio, dei sistemi di riconoscimento biometrico basati sull’analisi delle vene, in grado di mettere in evidenza potenziali malattie vascolari.
È intuibile il danno che subirebbe la persona coinvolta, se i propri dati biometrici venissero trattati in modo improprio, sentendosi in questo modo lesa nel suo diritto alla privacy e alla riservatezza delle problematiche personali.
Di qui, l’importanza di una regolamentazione finalizzata al corretto trattamento dei dati biometrici, allo scopo di evitare abusi e violazioni.
E sono il GDPR – General Data Protection Regulation (Regolamento dell’UE su trattamento dei dati personali e privacy, pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 e divenuto operativo a partire dal 25 maggio 2018) e il successivo decreto italiano di adeguamento (D.lgs. 101/2018) ad avere disciplinato la materia.
L’art. 9, par. 1, del GDPR vieta – in linea generale – il trattamento dei dati biometrici, fatte salve alcune eccezioni, elencate nel par. 2 dello stesso articolo.
La prima eccezione al divieto prevede che l’interessato abbia autorizzato il trattamento: questa è la base assoluta.
Seguono, poi, altre eccezioni, che consentono l’utilizzo dei dati biometrici solo se necessario in ambito lavorativo o nell’ambito della sicurezza sociale e collettiva; se necessario per la protezione di un interesse vitale dell’interessato o di altra persona; se necessario in un procedimento giudiziario; se vengono rilevati particolari motivi di interesse pubblico o per motivi di sicurezza sanitaria, controllo e prevenzione di malattie trasmissibili e per la tutela di gravi minacce per la salute delle persone fisiche.
In ogni caso – continua il GDPR – laddove il trattamento dei dati venga concesso, l’interessato va sempre correttamente informato circa le modalità e le finalità di utilizzo dei dati biometrici che lo riguardano.

Telecamere riconoscimento facciale e GDPR
Che cosa prevede il GDPR per la tutela della privacy in caso di riconoscimento facciale per mezzo di telecamere? Innanzitutto che, chi transita in un luogo soggetto a videosorveglianza con riconoscimento facciale, venga preventivamente avvisato.
Ma, ancora prima di rendere operative le telecamere con riconoscimento facciale a bordo, esiste l’obbligo, da parte del titolare del trattamento delle immagini, della valutazione di impatto sulla protezione dei dati (D.P.I.A.- Data Protection Impact Assessment), ai sensi dell’art. 35 del GDPR.
La valutazione di impatto sulla protezione dei dati è un documento di valutazione preventiva dei rischi che derivano dal trattamento dei dati che si intende effettuare.
Rischi per la libertà e per il diritto alla privacy di tutti coloro che potrebbero essere ripresi da telecamere dotate di software di riconoscimento biometrico a bordo.
Questo documento ha l’obiettivo di analizzare la tipologia del trattamento, quali sono le sue finalità e se vengono trattati solo i dati necessari.
Rilevati eventuali rischi per gli utenti, il titolare del trattamento è chiamato a individuare misure tecnico-organizzative volte a ridurre, o ad annullare del tutto, tali rischi.
Quando, da questo documento, emerge che il trattamento dei dati è causa di un rischio relativamente elevato per gli utenti, c’è l’obbligo di interpello preventivo al Garante della Privacy.