Negli ultimi anni abbiamo assistito ad un sempre maggiore utilizzo, anche nei dispositivi destinati ad uso personale (come smartphone e tablet), di tecnologie informatiche e software il cui funzionamento è fondato sull’impiego dei c.d. dati biometrici. Ad esempio, le impronte digitali sono utilizzate ormai da tempo come strumento di autenticazione per l’attivazione di dispositivi elettronici, mentre è più recente è l’introduzione di tecnologie destinate al riconoscimento facciale, alla scansione dell’iride e al riconoscimento della struttura vascolare dell’occhio o del palmo delle mani.
In questo articolo si cercherà anzitutto di precisare il concetto di “dato biometrico” dal punto di vista giuridico e dell’utilizzo che ne viene fatto, per poi delineare quale sia la disciplina normativa applicabile, in particolare alla luce delle nuove disposizioni in materia di protezione dei dati personali introdotte dal Regolamento dell’UE n. 679/2016 (c.d. GDPR), che sarà pienamente applicabile a partire dal prossimo 25 maggio 2018.
I dati biometrici e il loro utilizzo
In generale, i dati biometrici sono quei dati personali che si ricavano da caratteristiche fisiche o comportamentali uniche e identificative di ciascuna persona fisica. Fanno parte di questa categoria di dati, ad esempio, le impronte digitali (chiamate anche “dermatoglifo”), la specifica conformazione fisica della mano o del volto, dell’iride o della retina, la firma grafometrica (ovvero quella firma elettronica effettuata su apposito supporto mediante un gesto fisico in tutto coincidente con quello utilizzato per firmare su carta), nonché il timbro e la tonalità della voce.
Dal punto di vista normativo, l’art. 4, paragrafo 1, n. 14) del GDPR, definisce i “dati biometrici” come quei “dati personali ottenuti da un trattamento tecnico specifico, relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica e che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.
In concreto, la raccolta di questi particolari dati personali è possibile ricorrendo all’impiego di sistemi informatici di riconoscimento biometrico, il cui funzionamento è basato essenzialmente su due elementi.
In primo luogo, una componente hardware acquisisce il dato biometrico (si pensi, ad esempio, al sensore per il riconoscimento dell’impronta digitale integrato in molti modelli di smartphone di ultima generazione).
In secondo luogo, interviene un software che consente, attraverso l’impiego di algoritmi matematici, di analizzare i dati raccolti e di confrontarli con quelli acquisiti in precedenza e conservati nel database del sistema, al fine di ricondurre il dato raccolto ad una determinata persona e di riconoscerla da tali informazioni.
Una delle ipotesi sicuramente più conosciuta di impiego di dati biometrici è quella dell’utilizzo negli smartphone dell’impronta digitale quale sistema di autentificazione al posto della password numerica. Prendiamo ad esempio la descrizione del funzionamento di tale sistema di riconoscimento resa per uno dei più diffusi smartphone: in questi casi, i cellulari utilizzano un sensore tattile per acquisire l’immagine ad alta risoluzione dell’impronta dallo strato sottocutaneo della pelle dell’utente. L’immagine così acquisita viene analizzata e mappata nelle sue univoche variazioni al fine di crearne, non una copia fotografica, ma una rappresentazione matematica. In questo modo, si cerca di evitare che vengano salvate ed archiviate le fotografie dell’impronta digitale (che rischierebbero di essere più facilmente oggetto di sottrazione, copia ed utilizzo illegittimo), sostituite invece da una mera rappresentazione matematica. Questo vuol dire che, se tale meccanismo viene applicato correttamente, l’impronta non sarà decodificabile attraverso i dati archiviati da chi fornisce il servizio (che non la salva sui propri server né le include in alcun tipo di backup), ma soltanto con l’impiego di uno specifico software che la decodifica partendo appunto dalla sua rappresentazione matematica.
La disciplina normativa
Come è facilmente intuibile, l’utilizzo di questa delicata tipologia di dati personali richiede la rigida osservanza di una serie di cautele, al fine di evitare che si verifichino dei pregiudizi a danno dei soggetti interessati.
Infatti, da un lato, i sistemi di riconoscimento biometrico contribuiscono sicuramente ad incrementare per l’utente il livello di sicurezza rispetto all’esterno nell’utilizzo dei dispositivi elettronici: si pensi, ad esempio, all’utilizzo della firma grafometrica per autorizzare lo svolgimento di diverse operazioni allo sportello bancario, che consente di evitare falsificazioni e ricondurre in modo univoco la firma al suo unico titolare. Oppure, riprendendo l’esempio dell’utilizzo dell’impronta digitale come sistema di autentificazione, si consideri che le probabilità che le impronte di persone diverse possano corrispondere dovrebbe essere di circa di 1 su 50.000 a fronte di 1 su 10.000 per una password a quattro cifre.
Tuttavia, dall’altro lato, trattandosi di dati molto particolari, potrebbero configurarsi dei gravi rischi per l’interessato, connessi ad un’indebita o non autorizzata utilizzazione degli stessi, al di fuori degli scopi specifici per i quali sono stati acquisiti dal sistema.
Per queste ragioni, il GDPR, all’art. 9, paragrafo 1, stabilisce che in linea generale è vietato il trattamento di “dati biometrici intesi ad identificare in modo univoco una persona fisica”. Si introduce così, per i dati biometrici, una disciplina normativa particolarmente rigida, caratterizzata da un generale divieto di trattamento. D’altra parte, come per gli altri dati personali rientranti nella precedente definizione di “dati sensibili”, tale netta presa di posizione viene ammorbidita al ricorrere di una serie di casi ben precisi.
È sempre l’art. 9 del GDPR, infatti, al paragrafo 2, a stabilire che il trattamento dei dati biometrici è consentito quando si verifica, ad esempio, una delle seguenti ipotesi:
- quando l’interessato ha dato il proprio consenso esplicito al trattamento dei dati personali per uno o più specifici utilizzi, come avviene per il caso dell’autenticazione tramite impronta digitale o della firma grafometrica in banca (e sempre che la legge, nazionale od europea che sia, non vieti comunque il trattamento di tali dati per determinate finalità);
- quando tale trattamento è effettuato nell’ambito di rapporti di lavoro e di previdenza;
- quando l’impiego di questi particolari dati personali si rende necessario per proteggere un interesse vitale dell’interessato o di un’altra persona fisica, quando il soggetto cui i dati si riferiscono si trova in una situazione di incapacità, fisica o giuridica, di prestare direttamente il proprio consenso per tale utilizzo;
- nell’ambito di un procedimento giudiziario e, in particolare, per accertare, esercitare o difendere un diritto, tanto in sede amministrativa quanto stragiudiziale;
- per motivi di particolare interesse pubblico, previsti dalla legge, e purché l’impiego di dati biometrici risulti proporzionato alla finalità perseguita, rispetti il diritto alla protezione dei dati e siano comunque previste delle misure di sicurezza appropriate per tutelare i diritti fondamentali e gli interessi del soggetto cui questi dati si riferiscono;
- nel settore della sanità pubblica, per finalità di sicurezza sanitaria, per il controllo e l’allerta, per la prevenzione o il controllo di malattie trasmissibili e, in generale, per tutelarsi da altre minacce gravi alla salute delle persone. Peraltro, l’utilizzo dei dati biometrici in simili ipotesi può essere effettuato per generali scopi connessi alla tutela della salute, che non comprendono solo gravi circostanze, ma anche la migliore gestione della sanità pubblica e dei servizi di assistenza sanitaria, in particolare per assicurare la qualità e l’economicità delle procedure per meglio soddisfare le richieste di prestazioni e servizi nell’ambito dell’assistenza sanitaria in favore dei cittadini.
Considerazioni
Appare evidente e comprensibile l’attenzione che il legislatore europeo ha riservato a questa particolare e delicata tipologia di dati personali, dando loro una rilevanza specifica all’interno della generale categoria dei “dati sensibili”, stando alle definizioni del Codice della Privacy (tra i quali rientrano i dati personali idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale di una persona, i dati genetici, e quelli relativi alla salute, alla vita sessuale o all’orientamento sessuale di una persona). Ciò è confermato dalla previsione contenuta nel GDPR di una disciplina particolarmente tutelante e fondata su una serie di adempimenti obbligatori nei casi in cui oggetto del trattamento siano dati rientranti in una delle categorie particolari appena menzionate, quali ad esempio l’obbligo di predisporre un registro dei trattamenti (art. 30 del GDPR) e di svolgere una valutazione d’impatto sulla protezione dei dati (art. 35).
D’altra parte, le varietà delle ipotesi derogatorie sopra esaminate, in cui il GDPR permette che il generale divieto di utilizzo dei dati biometrici possa essere superato, consente di chiarire che nelle intenzioni del legislatore europeo un conto è richiedere la predisposizione di sistemi rigidi di tutela (che si vuole partano dall’origine del trattamento e sono descritti attraverso i principi di privacy by design e privacy by default) e un conto è permettere l’utilizzo e la circolazione dei dati personali.
Nell’ottica del GDPR, infatti, è proprio grazie ad un più efficiente ed efficace sistema di protezione dei dati personali in ogni fase di trattamento, strutturato già prima che i dati vengano raccolti, che la loro circolazione può trovare maggiore spazio e un impiego più proficuo. Per tali motivi, anche con riguardo ai dati biometrici, il GDPR si preoccupa di creare una solida struttura di cautele sulla base delle quali consente poi di procedere all’utilizzo (adeguatamente protetto) di una tipologia di dati la cui possibile applicazione ed utilità è assolutamente evidente.
Dott.ssa Myriam Mazzonetto – Avv. Cristina Brilli