Peculiarità dei dati biometrici e tutela della privacy
di Raffaele Riccio
Premessa
Ormai da diversi anni nei contesti aziendali, dalle realtà più piccole ai grandi gruppi societari, si assiste all’utilizzo sempre più diffuso di tecnologie il cui funzionamento è basato sull’impiego di dati biometrici. Si pensi, solo per citare gli esempi più comuni, al ricorso alle impronte digitali, ai segnali vocali, alle strutture venose delle dita e delle mani, alla struttura vascolare della retina e alla forma dell’iride, alla topografia della mano e alle caratteristiche del volto, alla firma grafometrica: tutti questi dati costituiscono strumenti di autenticazione individuale e di accesso ai dispositivi elettronici (il sensore di riconoscimento dell’impronta digitale integrato in vari modelli di smartphone), ai locali aziendali e agli ambienti protetti (aperture di serrature e uffici tramite scansione della forma dell’iride della persona che vi accede, utilizzo di macchinari pericolosi) o, diversamente, sono impiegati per la sottoscrizione di documenti informatici in totale sicurezza.
Spesso attenti solo a riconoscere gli indubbi vantaggi – in termini di sicurezza – garantiti da simili meccanismi, non ci si rende conto, tuttavia, che tali sistemi determinano l’acquisizione e la conservazione di numerosi dati personali e, anzi, di categorie peculiari di dati relativi alla persona, definiti tecnicamente “biometrici”, sottoposti a una specifica disciplina normativa, soprattutto a seguito delle novità legislative più recenti (Regolamento europeo 2016/679 e D.lgs. 196/2003, novellato dal D.lgs. 101/2018).
La presenza di una specifica regolamentazione è stata determinata dalla necessità di apprestare cautele per il corretto utilizzo di tali dati, allo scopo di evitare pregiudizi in danno di soggetti interessati da possibili abusi o violazioni[1]. Infatti, i rischi connessi al trattamento di tali tipologie di dati sono tali da generare anche gravi ripercussioni sulla sfera personale degli interessati: basti pensare alle conseguenze derivanti dall’improprio utilizzo dei suddetti dati in caso di furto dell’identità biometrica o di falsificazione biometrica.
I dati biometrici: definizioni, disciplina giuridica e questioni interpretative
Prima del GDPR non esisteva una specifica definizione normativa concernente i dati biometrici. Tuttavia, già dal 2014 il Garante per la protezione dei dati personali, sollecitato numerose volte su interpello di vari titolari del trattamento, è intervenuto sulla materia non solo con provvedimenti di verifica preliminare volti a vietare o ad ammettere i trattamenti aventi a oggetto le suddette categorie di dati ma, più concretamente, attraverso la delineazione di un quadro disciplinare di riferimento unitario[2], enucleando terminologie essenziali, caratteristiche e proprietà comuni dei dati biometrici, princìpi generali e adempimenti giuridici, ciclo di vita e analisi dei rischi connessi al trattamento di tali dati nonché misure di sicurezza per la loro protezione[3]. Difatti l’Autorità Garante aveva già preso atto della crescente diffusione e dell’utilizzo di dati biometrici, soprattutto per operazioni di accertamento dell’identità personale in vari contesti.
Ancor prima, invece, il WP29 definiva già i dati biometrici come dati ricavati da “proprietà biologiche, aspetti comportamentali, caratteristiche fisiologiche, tratti biologici o azioni ripetibili laddove tali caratteristiche o azioni sono tanto proprie di un certo individuo quanto misurabili, anche se i metodi usati nella pratica per misurarli tecnicamente comportano un certo grado di portabilità”[4].
Per la prima volta quindi si concepisce che, in concreto, la raccolta di questi particolari dati è possibile ricorrendo all’impiego di sistemi informatici di riconoscimento biometrico, basati essenzialmente sul funzionamento di due meccanismi: un hardware di acquisizione del dato biometrico in sé e, successivamente, un software capace di analizzare i dati raccolti, confrontandoli con quelli acquisiti e conservati in precedenza e, quindi, in grado di ricondurre il dato ad una persona determinata e di riconoscerla da tali informazioni.
Nel provvedimento del 12 novembre 2014 il Garante obbligava i Titolari del trattamento di dati biometrici a presentare all’Autorità una richiesta di verifica preliminare (per valutare l’eventuale adozione di cautele particolari per questo genere di trattamenti che presentano rischi specifici), così come previsto altresì dal vecchio art. 17 D.lgs. 196/2003, nonché a effettuare la notificazione ai sensi degli artt. 37, co. 1, lett a) e 38[5], a eccezioni di alcuni casi di esonero dal suddetto obbligo in ragione dell’esiguità dei danni a essi correlati. In particolare, per l’utilizzo di dati biometrici per finalità di autenticazione informatica, controllo di accesso fisico ad aree sensibili o determinati servizi o per la sottoscrizione di documenti informatici, infatti, sarebbe stato necessario il rispetto di specifiche prescrizioni tassativamente previste dal Garante.
L’arrivo del GDPR e del successivo decreto italiano di adeguamento (D.lgs. 101/2018) hanno introdotto significative novità in materia e, soprattutto, non semplici norme transitorie per la regolamentazione della disciplina tra vecchia e nuova normativa.
In particolare, il Regolamento europeo 2016/679 per la prima volta ha formalizzato all’art. 4, par. 1, n. 14[6]una definizione normativa e comunitaria di “dati biometrici”, sostanzialmente riprendendo le preesistenti definizioni di carattere a-normativo. Inoltre, l’art. 9 GDPR prevede un vero e proprio regime giuridico specifico per i dati biometrici, ricompresi nella più ampia categoria delle categorie particolari di dati personali (ex dati sensibili)[7]. L’art. 9, par. 1 GDPR dispone – come regola generale – il divieto di trattamento di dati biometrici disponendo subito dopo, tuttavia, una serie di tassative eccezioni, elencate esaustivamente nel par. 2 del medesimo articolo. Il consenso dell’interessato costituisce la prima e più importante base di legittimità del trattamento di dati biometrici.
Il D.lgs. 101/2018 prevede una disciplina ancor più specifica mediante l’introduzione del nuovo art. 2septiesdel D.lgs. 196/2003 chelegittima il trattamento dei dati biometrici non solo nel rispetto di quanto disposto dal Regolamento ma anche in conformità a future “misure di sicurezza” che saranno disposte dal Garante con provvedimenti biennali (par. 2 – 5).
Tuttavia, l’art. 22, comma 11 D.lgs. 101/2018 (disposizioni transitorie) precisa che fino a quando non saranno adottate le future e nuove misure di sicurezza del Garante (ex art. 2septies, D.lgs. 196/2003) dovranno applicarsi le norme del vecchio Codice privacy[8], “in quanto compatibili con il Regolamento”.
Il problema interpretativo, ora, nasce proprio dalla valenza da attribuire alla disposizione normativa appena citata la quale, stando ad un’interpretazione letterale, sembrerebbe legittimare una “ultravigenza” delle disposizioni codicistiche del 2003 a scapito, tuttavia, della palese abrogazione regolamentare delle disposizioni contenute negli artt. 17 e 37 del vecchio Codice.
A parere di chi scrive, in ossequio al principio di primautèdel diritto comunitario e, per di più, di un Regolamento europeo direttamente applicabile, gli artt. 17 e 37 del vecchio Codice privacy, non possono più applicarsi e, dunque, i relativi adempimenti (verifica preliminare e notificazione al Garante) non sono più necessari per qualsiasi trattamento di dati biometrici.
Tuttavia, garantita la vigenza dei provvedimenti del Garante compatibilmente con le disposizioni del Regolamento (art. 22, comma 4, D.lgs. 101/2018) e, quindi, anche del provvedimento generale in tema di biometria, può certamente dirsi che sui Titolari interessati al trattamento di dati biometrici incombono ancora alcuni adempimenti fondamentali: il Garante, infatti, continua a vincolare i Titolari a comunicare tutte le violazione di dati o gli incidenti informatici d’impatto significativo sui sistemi biometrici entro e non oltre le 24 ore dalla conoscenza del fatto. Inoltre, i Titolari sono tutt’oggi obbligati a fornire agli interessati un’idonea informativa esplicativa delle modalità e delle finalità di utilizzo dei dati biometrici. È opportuno dare sempre evidenza, inoltre, che trattamento di tali dati deve avvenire nel rispetto dei princìpi di liceità, necessità e proporzionalità.
Classificazioni
Stando alle classificazioni dell’Autorità, le caratteristiche biometriche possono essere biologiche (tratti fisiologici) o comportamentali (azione e atteggiamenti), traccianti (impronta digitale) e non traccianti (struttura venosa del dito); inoltre esse sono connotate da univocità e universalità, ma sono soggette a decadimento, alterazioni accidentali o lesioni.
I processi di riconoscimento biometrico
Nella maggior parte dei casi i dati biometrici sono impiegati per le procedure di riconoscimento biometrico basate su una verifica biometrica o su un’identificazione biometrica: nel primo caso (più semplice), il sistema effettua un confronto tra il modello biometrico rilevato di volta in volta e quello già memorizzato e corrispondente all’identità dichiarata; nel secondo caso, invece, il sistema confronta il modello rilevato con tutti i modelli disponibili per individuare l’identità del soggetto. In ogni caso, il sistema di riconoscimento biometrico avviene su base statistica. Inoltre, il processo di trattamento biometrico inizia con la rilevazione e la relativa acquisizione della caratteristica biometrica attraverso sensori o dispositivi ad hoc (scanner per il rilevamento delle impronte, tablet per l’acquisizione delle firme grafometriche, webcam e microfoni incorporati in smartphone o computer portatili). Sostanzialmente ciò che viene acquisito, in concreto, è una rappresentazione digitale della caratteristica biometrica e, cioè, il campione o modello biometrico. Il riconoscimento biometrico vero e proprio, infine, è reso possibile grazie alla presenza di banche dati centralizzate che conservano i suddetti campioni oppure per mezzo dei medesimi dispositivi di rilevazione sui quali avviene il confronto i quali, a loro volta, potranno trovarsi nella esclusiva disponibilità del Titolare del trattamento o nella disponibilità diretta dell’interessato (smart card, token).
In conclusione, è opportuno che chiunque si accinga a trattare dati biometrici rispetti e adotti tutte le attuali misure di sicurezza, non solo organizzative ma anche tecniche, per garantire un adeguato livello di sicurezza, compatibile con la peculiarità di tale tipologia di dati. A titolo esemplificativo e non esaustivo, sarebbe preferibile l’utilizzo di strumenti tecnici di rilevamento dei dati biometrici che: richiedano la cooperazione consapevole dell’interessato (i cosiddetti sistemi biometrici interattivi); utilizzino la minor quantità possibile di informazioni; abbiano la capacità di cifrare i dati al momento della loro acquisizione; garantiscano un’adeguata protezione dei dati in fase di conservazione dei database e la loro cancellazione definitiva trascorso il termine necessario per l’espletamento delle finalità previste.
[1]Mazzonetto M., Brilli C., L’utilizzo di dati biometrici e la tutela della privacy, in www.dirittodellinformatica.it, 4 maggio 2018.
[2]Garante per la protezione dei dati personali, Provvedimento generale prescrittivo in tema di biometria – 12 novembre 2014 – doc. web. n. 3556992.
[3]Garante per la protezione dei dati personali, Linee-Guida in materia di riconoscimento biometrico e firma grafometrica – Allegato A al Provvedimento del 12 novembre 2014.
[4]Per approfondimenti sul tema, anche a livello comunitario, si veda anche: Working Party Article 29 (WP29), Parere 3/2012 sugli sviluppi nelle tecnologie biometriche, WP193, adottato il 27 aprile 2012.
[5]Gli artt. 17, 37, 38 del D.lgs. 196/2003 sono stati abrogati dal D.lgs. 101/2018.
[6]Si riporta integralmente il testo: “…i dati personali ottenuti da un trattamento tecnico e specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.
[7]Sciaudone R, Caravà E., Nel settore sanitario i dati genetici e biometrici rientrano tra quelli sensibiliin Privacy – La nuova disciplina europea – Guida Normativa, Il Sole 24 ore, p. 109 ss.
[8]Così, da ultimo, anche: Moriggi A., Riconoscimenti facciale e privacy: tra dati biometrici e consenso”, 4 febbraio 2019, disponibile sul sito www.cyberlaws.it
Autore
