L’utilizzo di dati biometrici e la tutela della privacy

privacy computer

Negli ultimi anni abbiamo assistito ad un sempre maggiore utilizzo, anche nei dispositivi destinati ad uso personale (come smartphone e tablet), di tecnologie informatiche e software il cui funzionamento è fondato sull’impiego dei c.d. dati biometrici. Ad esempio, le impronte digitali sono utilizzate ormai da tempo come strumento di autenticazione per l’attivazione di dispositivi elettronici, mentre è più recente è l’introduzione di tecnologie destinate al riconoscimento facciale, alla scansione dell’iride e al riconoscimento della struttura vascolare dell’occhio o del palmo delle mani.

In questo articolo si cercherà anzitutto di precisare il concetto di “dato biometrico” dal punto di vista giuridico e dell’utilizzo che ne viene fatto, per poi delineare quale sia la disciplina normativa applicabile, in particolare alla luce delle nuove disposizioni in materia di protezione dei dati personali introdotte dal Regolamento dell’UE n. 679/2016 (c.d. GDPR), che sarà pienamente applicabile a partire dal prossimo 25 maggio 2018.

I dati biometrici e il loro utilizzo

In generale, i dati biometrici sono quei dati personali che si ricavano da caratteristiche fisiche o comportamentali uniche e identificative di ciascuna persona fisica. Fanno parte di questa categoria di dati, ad esempio, le impronte digitali (chiamate anche “dermatoglifo”), la specifica conformazione fisica della mano o del volto, dell’iride o della retina, la firma grafometrica (ovvero quella firma elettronica effettuata su apposito supporto mediante un gesto fisico in tutto coincidente con quello utilizzato per firmare su carta), nonché il timbro e la tonalità della voce.

Dal punto di vista normativo, l’art. 4, paragrafo 1, n. 14) del GDPR, definisce i “dati biometrici” come quei “dati personali ottenuti da un trattamento tecnico specifico, relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica e che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.

In concreto, la raccolta di questi particolari dati personali è possibile ricorrendo all’impiego di sistemi informatici di riconoscimento biometrico, il cui funzionamento è basato essenzialmente su due elementi.

In primo luogo, una componente hardware acquisisce il dato biometrico (si pensi, ad esempio, al sensore per il riconoscimento dell’impronta digitale integrato in molti modelli di smartphone di ultima generazione).

In secondo luogo, interviene un software che consente, attraverso l’impiego di algoritmi matematici, di analizzare i dati raccolti e di confrontarli con quelli acquisiti in precedenza e conservati nel database del sistema, al fine di ricondurre il dato raccolto ad una determinata persona e di riconoscerla da tali informazioni.

Una delle ipotesi sicuramente più conosciuta di impiego di dati biometrici è quella dell’utilizzo negli smartphone dell’impronta digitale quale sistema di autentificazione al posto della password numerica. Prendiamo ad esempio la descrizione del funzionamento di tale sistema di riconoscimento resa per uno dei più diffusi smartphone: in questi casi, i cellulari utilizzano un sensore tattile per acquisire l’immagine ad alta risoluzione dell’impronta dallo strato sottocutaneo della pelle dell’utente. L’immagine così acquisita viene analizzata e mappata nelle sue univoche variazioni al fine di crearne, non una copia fotografica, ma una rappresentazione matematica. In questo modo, si cerca di evitare che vengano salvate ed archiviate le fotografie dell’impronta digitale (che rischierebbero di essere più facilmente oggetto di sottrazione, copia ed utilizzo illegittimo), sostituite invece da una mera rappresentazione matematica. Questo vuol dire che, se tale meccanismo viene applicato correttamente, l’impronta non sarà decodificabile attraverso i dati archiviati da chi fornisce il servizio (che non la salva sui propri server né le include in alcun tipo di backup), ma soltanto con l’impiego di uno specifico software che la decodifica partendo appunto dalla sua rappresentazione matematica.

La disciplina normativa

Come è facilmente intuibile, l’utilizzo di questa delicata tipologia di dati personali richiede la rigida osservanza di una serie di cautele, al fine di evitare che si verifichino dei pregiudizi a danno dei soggetti interessati.

Infatti, da un lato, i sistemi di riconoscimento biometrico contribuiscono sicuramente ad incrementare per l’utente il livello di sicurezza rispetto all’esterno nell’utilizzo dei dispositivi elettronici: si pensi, ad esempio, all’utilizzo della firma grafometrica per autorizzare lo svolgimento di diverse operazioni allo sportello bancario, che consente di evitare falsificazioni e ricondurre in modo univoco la firma al suo unico titolare. Oppure, riprendendo l’esempio dell’utilizzo dell’impronta digitale come sistema di autentificazione, si consideri che le probabilità che le impronte di persone diverse possano corrispondere dovrebbe essere di circa di 1 su 50.000 a fronte di 1 su 10.000 per una password a quattro cifre.

Tuttavia, dall’altro lato, trattandosi di dati molto particolari, potrebbero configurarsi dei gravi rischi per l’interessato, connessi ad un’indebita o non autorizzata utilizzazione degli stessi, al di fuori degli scopi specifici per i quali sono stati acquisiti dal sistema.

Per queste ragioni, il GDPR, all’art. 9, paragrafo 1, stabilisce che in linea generale è vietato il trattamento di “dati biometrici intesi ad identificare in modo univoco una persona fisica”. Si introduce così, per i dati biometrici, una disciplina normativa particolarmente rigida, caratterizzata da un generale divieto di trattamento. D’altra parte, come per gli altri dati personali rientranti nella precedente definizione di “dati sensibili”, tale netta presa di posizione viene ammorbidita al ricorrere di una serie di casi ben precisi.

È sempre l’art. 9 del GDPR, infatti, al paragrafo 2, a stabilire che il trattamento dei dati biometrici è consentito quando si verifica, ad esempio, una delle seguenti ipotesi:

  1. quando l’interessato ha dato il proprio consenso esplicito al trattamento dei dati personali per uno o più specifici utilizzi, come avviene per il caso dell’autenticazione tramite impronta digitale o della firma grafometrica in banca (e sempre che la legge, nazionale od europea che sia, non vieti comunque il trattamento di tali dati per determinate finalità);
  2. quando tale trattamento è effettuato nell’ambito di rapporti di lavoro e di previdenza;
  3. quando l’impiego di questi particolari dati personali si rende necessario per proteggere un interesse vitale dell’interessato o di un’altra persona fisica, quando il soggetto cui i dati si riferiscono si trova in una situazione di incapacità, fisica o giuridica, di prestare direttamente il proprio consenso per tale utilizzo;
  4. nell’ambito di un procedimento giudiziario e, in particolare, per accertare, esercitare o difendere un diritto, tanto in sede amministrativa quanto stragiudiziale;
  5. per motivi di particolare interesse pubblico, previsti dalla legge, e purché l’impiego di dati biometrici risulti proporzionato alla finalità perseguita, rispetti il diritto alla protezione dei dati e siano comunque previste delle misure di sicurezza appropriate per tutelare i diritti fondamentali e gli interessi del soggetto cui questi dati si riferiscono;
  6. nel settore della sanità pubblica, per finalità di sicurezza sanitaria, per il controllo e l’allerta, per la prevenzione o il controllo di malattie trasmissibili e, in generale, per tutelarsi da altre minacce gravi alla salute delle persone. Peraltro, l’utilizzo dei dati biometrici in simili ipotesi può essere effettuato per generali scopi connessi alla tutela della salute, che non comprendono solo gravi circostanze, ma anche la migliore gestione della sanità pubblica e dei servizi di assistenza sanitaria, in particolare per assicurare la qualità e l’economicità delle procedure per meglio soddisfare le richieste di prestazioni e servizi nell’ambito dell’assistenza sanitaria in favore dei cittadini.

Considerazioni

Appare evidente e comprensibile l’attenzione che il legislatore europeo ha riservato a questa particolare e delicata tipologia di dati personali, dando loro una rilevanza specifica all’interno della generale categoria dei “dati sensibili”, stando alle definizioni del Codice della Privacy (tra i quali rientrano i dati personali idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale di una persona, i dati genetici, e quelli relativi alla salute, alla vita sessuale o all’orientamento sessuale di una persona). Ciò è confermato dalla previsione contenuta nel GDPR di una disciplina particolarmente tutelante e fondata su una serie di adempimenti obbligatori nei casi in cui oggetto del trattamento siano dati rientranti in una delle categorie particolari appena menzionate, quali ad esempio l’obbligo di predisporre un registro dei trattamenti (art. 30 del GDPR) e di svolgere una valutazione d’impatto sulla protezione dei dati (art. 35).

D’altra parte, le varietà delle ipotesi derogatorie sopra esaminate, in cui il GDPR permette che il generale divieto di utilizzo dei dati biometrici possa essere superato, consente di chiarire che nelle intenzioni del legislatore europeo un conto è richiedere la predisposizione di sistemi rigidi di tutela (che si vuole partano dall’origine del trattamento e sono descritti attraverso i principi di privacy by design e privacy by default) e un conto è permettere l’utilizzo e la circolazione dei dati personali.

Nell’ottica del GDPR, infatti, è proprio grazie ad un più efficiente ed efficace sistema di protezione dei dati personali in ogni fase di trattamento, strutturato già prima che i dati vengano raccolti, che la loro circolazione può trovare maggiore spazio e un impiego più proficuo. Per tali motivi, anche con riguardo ai dati biometrici, il GDPR si preoccupa di creare una solida struttura di cautele sulla base delle quali consente poi di procedere all’utilizzo (adeguatamente protetto) di una tipologia di dati la cui possibile applicazione ed utilità è assolutamente evidente.

Dott.ssa Myriam Mazzonetto – Avv. Cristina Brilli

FocusGDPRPrivacy e sicurezza InformaticaTelefonia
maggio 4, 2018
consumatoridati biometricigdprimprontaprivacyRegolamento europeosmartphone
logo fclex nero

Scopri anche

intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

28 Mar
Leggi tutto
linee guida agcom influencer

Nuove Linee guida AGCOM per Influencer e Content Creator: Criticità, multe e sfide nel Contesto Giuridico

17 Gen
Leggi tutto
ecommerce sanzioni direttiva omnibus 2023 omnibus

Nuovi obblighi per gli eCommerce: maggiori responsabilità per le imprese e tutele per i consumatori

14 Apr
Leggi tutto
recesso contratto clausola ecommerce limite

Diritto di recesso dal contratto: limiti e clausola di recesso

6 Apr
Leggi tutto
COME REGISTRARE MARCHIO

Come registrare un marchio? Le 5 domande più frequenti

29 Mar
Leggi tutto
guadagnare con marchio e licenza

Licensing e modelli di Business: 5 licenze per monetizzare il tuo marchio

18 Gen
Leggi tutto

Ultimi aggiornamenti

password garante

Linee guida del Garante Privacy in materia di Funzioni Crittografiche e Conservazione delle Password

Con il provvedimento n. 9962283 del 7 dicembre 2023, il Garante per la Protezione dei Dati Personali e l’Agenzia per la cybersicurezza nazionale (ACN) hanno emanato alcune Linee Guida in materia “Funzioni Crittografiche e Conservazione delle Password”. Successivamente, con un comunicato del 1° marzo 2024, il […]
aprile 4, 2024
Leggi tutto
intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

Avv. Giuseppe Croari – Dott.ssa Francesca Gattarello Ad oggi sono notoriamente risaputi i vantaggi che l’intelligenza artificiale ha apportato anche nel mondo del lavoro (a tal proposito vi segnaliamo questo articolo). A ciò si aggiunga la maggiore consapevolezza che la società ha acquisito, negli ultimi anni, […]
marzo 28, 2024
Leggi tutto
contratto vendere webinar

Il Contratto come strumento per vendere di più

Hai mai pensato al tuo contratto come a un’arma segreta per il successo? Probabilmente no. La maggior parte delle persone considera il contratto come un ostacolo burocratico, un documento noioso e pieno di “legalese” incomprensibile. Ma se ti dicessi che il tuo contratto può essere molto […]
marzo 15, 2024
Leggi tutto

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.

scopri altri video

Dirittodellinformatica.it è rivista telematica registrata il 08.04.2008 presso il Tribunale di Foggia (n. 10/08 registro periodici, cron. n. 816/08). Proprietari del sito: Gianluigi Fioriglio e Giuseppe Croari. Direttore responsabile: Gerardo Antonio Cavaliere. P.I. Studio Legale Associato Fioriglio-Croari: 02863681207.

Il contenuto del sito è sottoposto a licenza Creative Commons (Attribuzione-Non commerciale-Non opere derivate 3.0 Unported). E' possibile riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare il contenuto del sito purché sia attribuita esplicitamente la paternità di ogni sua singola parte; non sono consentiti utilizzi per fini commerciali, nè alterazioni o trasformazioni del contenuto del sito.

© 2024 dirittodellinformatica.it