Privacy dei Dati Biometrici: impronte digitali, riconoscimento facciale e scansione dell’iride

di Mattia Caiazza

Negli ultimi anni, da quando Apple per prima con il suo iPhone 5s diffuse il TouchID (lo sblocco del telefono tramite impronta digitale), sempre più compagnie telefoniche si sono servite dei così detti dati biometrici per l’autenticazione dei propri dispositivi elettronici.
Le impronte digitali non sono però gli unici dati biometrici ad assumere rilevanza: ultimamente si stanno infatti diffondendo sempre più software e hardware che utilizzano il riconoscimento facciale, la scansione dell’iride oppure la struttura del palmo della mano.
I dati biometrici rientrano quindi senza alcun dubbio nella categoria dei dati personali e, in quanto tali, sono sottoposti a regolamentazione normativa per quanto riguarda il loro utilizzo e la loro tutela.

La definizione di tali dati, da un punto di visto giuridico, può trovarsi all’art. 4(14) della General Data Protection Regulation (c.d. “GDPR”), atto normativo che, in maniera innovativa, definisce appunto i “dati biometrici” come: “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.
Il trattamento tecnico di cui parla l’art. 4 avviene in due fasi: nella prima un apposito lettore acquisisce il dato (impronta digitale, scansione della retina, conformazione del palmo); nella seconda fase, una componente software confronta il dato appena analizzato con quelli raccolti in precedenza e verifica che corrisponda ad una determinata persona.
Il funzionamento del riconoscimento del dato biometrico permette di introdurre la prima questione in fatto di privacy: ciò che viene salvato dal lettore, per poi essere confrontato ad ogni successivo tentativo di accesso, non è una fotografia o una scansione, ad esempio, dell’impronta digitale, bensì una rappresentazione matematica (l’utilizzo di un’immagine renderebbe infatti più semplice la sottrazione o la riproduzione del dato sensibile). Oltre a questo primo accorgimento, un ulteriore gradino verso la sicurezza si raggiunge in quanto il fornitore del servizio non registra né salva da nessuna parte il dato raccolto tramite il lettore.
Se da un lato l’utilizzo dei dati biometrici come password di accesso ai propri dispositivi permette agli utenti una maggiore sicurezza, in quanto risulta molto più difficile accedere senza permesso ad un telefono o computer protetto da riconoscimento facciale o scansione dell’impronta digitale rispetto allo stesso dispositivo protetto da una semplice password, dall’altro richiede anche una maggior tutela poiché si tratta di dati molti sensibili, “unici”, che possono essere utilizzati per identificare in maniera precisa la persona fisica alla quale appartengono.
Proprio per la delicatezza e l’importanza che questi dati hanno, la normativa in questione (art. 9 paragrafo 1 del GDPR) stabilisce che “È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.”

Deroghe al generale divieto di trattamento

Nonostante un generale divieto di trattamento, la norma continua, al paragrafo 2, con l’elencazione di una serie di situazioni che permettono di agire in deroga al primo paragrafo e che vale la pena analizzare nello specifico; è possibile agire in deroga quando:
1. l’interessato stesso ha autorizzato il trattamento per una o più finalità specifiche (ad esempio nei casi dell’identificazione tramite impronta digitale), tranne nei casi in cui la legge non gli permette di disporre dei propri dati;
2. il trattamento è necessario in ambito lavorativo o della sicurezza sociale e collettiva;
3. l’utilizzo di questi dati è necessario per la protezione di un interesse considerato vitale dell’interessato o altra persona fisica, oppure quando questi si trova nell’impossibilità materiale o giuridica di prestare il proprio consenso;
4. l’utilizzo si ritiene necessario in un procedimento giudiziario o per esercitare, accertare o difendere un proprio diritto;
5. vengono rilevati particolari motivi d’interesse pubblico, previamente previsti normativamente, e tali motivi devono essere proporzionati alla finalità perseguita e devono essere presenti delle misure di sicurezza adeguate per la tutela dei diritti fondamentali del soggetto a cui i dati appartengono;
6. il trattamento è necessario per motivi di sicurezza sanitaria pubblica, controllo e prevenzione di malattie trasmissibili e per la tutela di gravi minacce per la salute delle persone fisiche;
7. il trattamento dei dati biometrici può portare ad una migliore efficienza della sanità pubblica, anche in situazione che non vengono ritenute gravi.

Nonostante queste (molte) deroghe, è bene ricordare che i dati biometrici, come tutti gli altri dati sensibili, sono tutelati in via indiretta anche dall’art. 30 (obbligo di predisporre un registro dei trattamenti) e dall’art. 35 (predisposizione di una valutazione dell’impatto sul trattamento dei dati), così che, in caso vengono utilizzati, siano comunque sottoposti ad una disciplina particolarmente tutelante per l’interessato e soprattutto, siano corredati da strumenti che permettano di valutarne rispettivamente la corretta mappatura e utilizzo e il loro impatto in termini di rischio dei cittadini dell’Unione Europea.

In conclusione, la privacy dei dati biometrici viene tutelata in primo luogo da un generale divieto di trattamento, permettendo la loro diffusione solo in determinate ipotesi previste dal legislatore, così da permetterne sì la circolazione ma allo stesso tempo tutelando i diretti interessati.
Bisogna comunque tenere sempre in considerazione che si tratta di dati molto sensibili, che permettono (come da definizione normativa) di identificare in maniera univoca una persona e per i quali una tutela normativa precisa e che permetta un loro utilizzo protetto è necessaria, soprattutto in considerazione del fatto che è evidente la loro prossima diffusione in ogni settore e nella vita di tutti i giorni.


Autore