Dati biometrici e GDPR: divieti e deroghe

Dati biometrici e GDPR: divieti e deroghe
Tra i dati disciplinati e protetti dal GDPR c’è una categoria particolare e in forte ascesa che merita di essere trattata a parte. Il suo utilizzo, infatti, sta crescendo e registrando un’ampia diffusione in ambiti di diversa natura: dal settore bancario a quello sanitario, dal mondo dell’automotive fino agli ultimissimi progetti di Industry 4.0.
Di cosa stiamo parlando?
Dei dati biometrici ovviamente, di quelle informazioni che si riferiscono alle caratteristiche fisiologiche e comportamentali di una persona e ne permettono l’identificazione univoca.
In questo articolo scopriremo cosa sono e a quali condizioni il GDPR ne consente l’utilizzo.

Dati biometrici: esempi e funzionamento

La specifica conformazione di una mano o di un volto, la rappresentazione dettagliata dell’iride o della retina, o ancora la tonalità e il timbro di voce, ma anche l’impronta digitale, la camminata o il modo in cui firmiamo con i nuovi dispositivi di firma grafometrica: sono caratteristiche fisiche di ogni individuo, capaci di distinguerlo e differenziarlo da tutti gli altri.

Tecnicamente questi dati vengono definiti biometrici. L’art. 4, paragrafo 1, n.14) del GDPR li indica come quei “dati personali ottenuti da un trattamento tecnico specifico, relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica e che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.

La loro raccolta avviene attraverso processi tecnologici precisi e nella maggior parte dei casi necessitano l’utilizzo di strumenti informatici di riconoscimento in due fasi distinte.

Nella prima interviene una componente hardware, responsabile del riconoscimento biometrico. L’esempio più classico e ricorrente è quello del sensore per il riconoscimento dell’impronta digitale: da anni è diffusissimo nei sistemi di sicurezza delle banche, ma non solo.

Nella seconda viene utilizzato un software che permette di utilizzare il dato come strumento di riconoscimento. Questo consente, attraverso l’impiego di algoritmi matematici, di analizzare i dati raccolti e di confrontarli con quelli acquisiti in precedenza. In questo modo è possibile attribuire il dato raccolto ad una determinata persona.


I dati biometrici secondo il GDPR

È indubbio che i sistemi di riconoscimento biometrico abbiano portato dei benefici in termini di sicurezza a tutti i soggetti che per diversi ragioni li utilizzano.

I vantaggi sono molto chiari. Basti pensare alla firma grafometrica per autorizzare lo svolgimento di diverse operazioni allo sportello bancario. Questo scongiura falsificazioni e conduce in modo univoco la firma al suo unico titolare.

Però accanto ai benefici potrebbero concretizzarsi anche dei rischi per il soggetto coinvolto dal riconoscimento biometrico in tutti i casi in cui questi dati (potenzialmente capaci di identificare in modo univoco una persona fisica) vengano utilizzati al di fuori degli scopi per i quali essi sono stati acquisiti.

Per questa ragione il GDPR ha improntato la loro raccolta ad una disciplina severa che vede come protagonista un generale divieto di trattamento che viene stemperato e ammorbidito al ricorrere di una serie di ipotesi ben precise.

Infatti, l’art.9, paragrafo 2, stabilisce che il trattamento dei dati biometrici è consentito solamente al verificarsi delle seguenti situazioni:

  • l’interessato stesso ha autorizzato il trattamento per una o più finalità specifiche (ad esempio nei casi dell’identificazione tramite impronta digitale), tranne nei casi in cui la legge non gli permette di disporre dei propri dati.
  • il trattamento è necessario in ambito lavorativo o della sicurezza sociale e collettiva.
  • l’utilizzo di questi dati è necessario per la protezione di un interesse considerato vitale dell’interessato o altra persona fisica, oppure quando questi si trova nell’impossibilità materiale o giuridica di prestare il proprio consenso.
  • l’utilizzo si ritiene necessario in un procedimento giudiziario o per esercitare, accertare o difendere un proprio diritto.
  • vengono rilevati particolari motivi d’interesse pubblico, previamente previsti normativamente, e tali motivi devono essere proporzionati alla finalità perseguita e devono essere presenti delle misure di sicurezza adeguate per la tutela dei diritti fondamentali del soggetto a cui i dati appartengono.
  • il trattamento è necessario per motivi di sicurezza sanitaria pubblica, controllo e prevenzione di malattie trasmissibili e per la tutela di gravi minacce per la salute delle persone fisiche.
  • il trattamento dei dati biometrici può portare ad una migliore efficienza della sanità pubblica, anche in situazione che non vengono ritenute gravi.


Se vuoi approfondire la delicata tematica dei dati biometrici non esitare a contattarci. Noi ci siamo.

data-breach
 Torna alle news

Inizia con un account gratuito

Crea il tuo account personale in meno di un minuto e scopri tutte le potenzialità di UTOPIA. Tutto incluso e senza alcuna limitazione, gratuitamente, per 14 giorni.

Cliccando il pulsante si accettano le condizioni di trattamento
Iscrizione effettuata con successo!
Si è verificato un errore imprevisto durante l'iscrizione. Riprova...