Trattamento dati biometrici e sicurezza sono 2 aspetti che, soprattutto con l’entrata in vigore del GDPR, hanno bisogno di essere approfonditi. Stiamo infatti parlando di dati personali il cui utilizzo è abbastanza borderline: da un lato sono utilizzati principalmente per ragioni di sicurezza, ma dall’altro sono vulnerabili e quindi passibili di violazioni e trattamenti illeciti.
A che punto siamo con il trattamento dei dati biometrici?
Dati Biometrici cosa sono?
Cosa sono i dati biometrici? Per rispondere conviene partire dall’art. 4 del Regolamento Privacy che li definisce come “dati personali ottenuti da un trattamento tecnico specifico, relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica e che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.
Sono esempi di dati biometrici:
- Le impronte digitali
- La conformazione del volto o della mano
- La struttura fisica dell’occhio (retina e iride)
- Il timbro vocale
- La camminata
- La calligrafia (compresa la firma personale).
GDPR Dati Particolari – cosa prevede la normativa?
Tutti queste caratteristiche permettono, insieme o disgiuntamente, di identificare una persona. Proprio per questo sono annoverati come dati personali-particolari e in quanto tali godono di un generale divieto di trattamento (nonché la raccolta in base a metodologie e regole precise).
Al di là del divieto generale, il trattamento è consentito in uno dei seguenti casi:
- dietro consenso espresso dell’interessato
- quando necessario a scopo lavorativo o in ambito di sicurezza sociale
- protezione di un interesse vitale dell’interessato o di un’altra persona
- per esercitare, accertare o difendere un proprio diritto in sede processuale
- per motivi d’interesse pubblico previsti dalla legge e proporzionati alla finalità perseguita
- per motivi di sicurezza sanitaria pubblica e per prevenire o controllare malattie
- per migliorare l’efficienza della sanità pubblica, anche in assenza di motivi gravi
è da precisare poi che in ognuno dei casi appena elencati, le modalità e le finalità del trattamento dei dati biometrici devono essere comunque comunicate all’interessato.
Trattamento Dati Biometrici – il riconoscimento facciale
Un esempio di trattamento borderline dei dati biometrici è rappresentato dal riconoscimento facciale ad opera di telecamere di videosorveglianza. Nonostante possa essere giustificata per motivi di sicurezza, il fatto chele persone siano registrate pone non poche problematiche di tutela della privacy dei soggetti interessati. Il GDPR a tal proposito impone:
- di avvisare preventivamente chi transita nella zona videosorvegliata della presenza di telecamere attive
- al titolare del trattamento di effettuare la valutazione di impatto sulla protezione dei dati.
Privacy Dati Particolari – possibile divieto di riconoscimento facciale?
Ad avvalorare la tesi del trattamento al limite ci si mette anche la redazione dell’agenzia stampa britannica Reuters.
In base ad alcune indiscrezioni, l’Unione Europea avrebbe in procinto di vietare le tecnologie per la facial recognition nei luoghi pubblici per un periodo da 3 a 5 anni (ad esclusione dei progetti che hanno a che fare con la sicurezza e la ricerca informatica). l motivo sembrerebbe proprio essere quello di limitare l’impatto sulla privacy delle persone coinvolte.
In pratica è come se l’Unione Europea voglia individuare un limite preciso oltre il quale la videosorveglianza si trasforma da sistema di sicurezza a meccanismo di violazioni continue della privacy. Ovviamente noi seguiremo i risvolti del caso.
Il caso appena esaminato dimostra ancora una volta quanto la compliance GDPR sia un argomento spinoso e insidioso. Capire tutto ciò che serve per essere in regola è complesso e richiede conoscenze tecniche, esperienza sul campo, nonché un approccio etico.