Tra i dati disciplinati e protetti dal GDPR c’è una categoria particolare e in forte ascesa che merita un approfondimento. Il suo utilizzo, infatti, sta crescendo e i campi di applicazione sono sempre più numerosi e vari: dal settore bancario a quello sanitario, dal mondo dell’automotive fino agli ultimissimi progetti di Industry 4.0.
Di cosa stiamo parlando?
Dei dati biometrici, cioè di tutte quelle informazioni che si riferiscono alle caratteristiche fisiologiche e comportamentali di una persona e ne permettono l’identificazione univoca.
A quali condizioni il GDPR permette di utilizzare di dati biometrici e in che modo?
Dati Biometrici: esempi e funzionamento
La specifica conformazione di una mano o di un volto, la rappresentazione dettagliata dell’iride o della retina, o ancora la tonalità e il timbro di voce, l’impronta digitale, la camminata o il modo in cui firmiamo con i nuovi dispositivi di firma grafometrica. Sono tutte caratteristiche fisiche specifiche di ogni singolo individuo, capaci di distinguerlo e differenziarlo da tutti gli altri.
Tecnicamente questi dati vengono definiti biometrici. L’art. 4, paragrafo 1, n.14) del GDPR li indica come quei “dati personali ottenuti da un trattamento tecnico specifico, relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica e che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.
La loro raccolta avviene attraverso tecnologie diverse e sempre in evoluzione, quasi sempre collegate a strumenti informatici che gestiscono il riconoscimento in due fasi distinte.
Nella prima interviene la componente hardware che effettua fisicamente il riconoscimento biometrico. L’esempio più classico è quello del sensore per il riconoscimento dell’impronta digitale: da anni diffusissimo nei sistemi di sicurezza delle banche, è una funzione che ormai troviamo in molti dispositivi, primo fra tutti il nostro smartphone.
Nella seconda fase viene utilizzata la componente software che permette di utilizzare il dato come strumento di riconoscimento. Attraverso l’impiego di algoritmi matematici, i dati raccolti vengono analizzati e confrontati con quelli acquisiti in precedenza. In questo modo è possibile attribuire il dato ad una determinata persona.
Iscriviti alla Newsletter per ricevere il Privacy Digest che include un riepilogo bisettimanale degli ultimi articoli del Blog e le ultime novità di UTOPIA.
Dati biometrici e privacy secondo il GDPR
È indubbio che i sistemi di riconoscimento biometrico abbiano portato dei benefici in termini di sicurezza a tutti coloro che li utilizzano. Basti pensare alla firma grafometrica per autorizzare lo svolgimento di diverse operazioni allo sportello bancario, che scongiura falsificazioni e associa la firma in modo univoco al titolare.
Oltre ai numerosi vantaggi, si devono considerare anche i possibili rischi per il soggetto coinvolto. I dati ottenuti tramite riconoscimento biometrico, infatti, potrebbero essere utilizzati al di fuori degli scopi per i quali essi sono stati acquisiti.
Per questa ragione il GDPR ha previsto la loro raccolta secondo metodologie precise e regole severe, prevedendo anche un divieto di trattamento generico, flessibile se si verificano alcune condizioni.
Infatti, l’art.9, paragrafo 2, stabilisce che il trattamento dei dati biometrici è consentito solamente in questi casi:
- l’interessato ha autorizzato il trattamento per una o più finalità specifiche (ad esempio nei casi dell’identificazione tramite impronta digitale), tranne nei casi in cui la legge non gli permette di disporre dei propri dati;
- il trattamento è necessario in ambito lavorativo o della sicurezza sociale e collettiva;
- l’utilizzo di questi dati è necessario per la protezione di un interesse considerato vitale dell’interessato o altra persona fisica, oppure quando questi si trova nell’impossibilità materiale o giuridica di prestare il proprio consenso;
- l’utilizzo si ritiene necessario in un procedimento giudiziario o per esercitare, accertare o difendere un proprio diritto;
- vengono rilevati particolari motivi d’interesse pubblico, previamente previsti normativamente, e tali motivi devono essere proporzionati alla finalità perseguita. In questo caso devono essere presenti delle misure di sicurezza adeguate per la tutela dei diritti fondamentali del soggetto a cui i dati appartengono;
- il trattamento è necessario per motivi di sicurezza sanitaria pubblica, controllo e prevenzione di malattie trasmissibili e per la tutela di gravi minacce per la salute delle persone fisiche;
- il trattamento dei dati biometrici può portare ad una migliore efficienza della sanità pubblica, anche in situazione che non vengono ritenute gravi.
Vuoi approfondire la delicata tematica dei dati biometrici? Contattaci subito, i nostri esperti sono a tua disposizione.
