Dati Biometrici

Il trattamento dei dati biometrici secondo il GDPR

I dati biometrici consentono e confermano l’identificazione univoca di una persona. Il GDPR da estrema attenzione al loro trattamento in quanti i rischi ad essi correlati sono molto elevati. I dati possono infatti venire persi, trafugati o utilizzati in modo erroneo.

Analizziamo al meglio insieme quali sono condizioni e adempimenti necessari per une gestione ottimale!

Indice
Master in Criminologia
Diventa Criminologo e iscriviti all'Albo
Scopri di più

Che cosa sono i dati biometrici

Il regolamento europeo (GDPR) definisce i dati biometrici in quanto:
dati personali ottenuti da un trattamento tecnico specifico, relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica. Ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”. 
 
Come è dunque evidente i dati biometrici analizzano le caratteristiche di tipo fisico, fisiologico o comportamentale legati ad un singolo. Attraverso questo trattamento la persona è individuabile in modo univoco.
Essi rientrano nella categoria di dati personali soggetti a trattamento speciale.
 
Per comprendere al meglio che cosa sono, alcuni esempi di dati biometrici sono:
  • impronte digitali;
  • conformazione fisica dell’iride o della retina;
  • timbro e tonalità di voce. 
Per raccogliere tali dati si utilizzano componenti hardware e software che hanno il compito di:
  • acquisire dati;
  • procedere ad un’analisi tramite confronto con dati già acquisiti e conservati;
  • identificare la persona a cui appartengono.
Si possono considerare dati biometrici ai sensi del GDPR, e quindi soggetti alla tutela normativa, solo se tramite il loro trattamento si può giungere all’identificazione univoca della persona. In caso contrario sono tutelati come normali dati personali. 
Occorre che la verifica dell’identità sia automatizzata, tramite l’ausilio di appositi strumenti. Ad esempio, foto o video online non configurano tale trattamento.
 

Dati biometrici: come si è espresso in tutela il GDPR

L’Autorità Garante si è espressa in proposito della tutela dei dati biometrici. Ha inoltre stabilito che i dati acquisiti per il riconoscimento via webcam non valgono come biometrici e non richiedono particolari cautele. È infatti necessario distinguere tra il dato biometrico e la fonte dello stesso.
 
Come abbiamo precedentemente accennato, i dati biometrici sono a trattamento speciale. Il GDPR ne vieta il trattamento se volto a identificare in modo univoco una persona fisica. Fatta la regola, esistono le eccezioni, è infatti permesso il trattamento ove:
  • interessato dia il proprio consenso esplicito;
  • motivi di interesse pubblico previsti dalla legge;
  • trattamento necessario per assolvere gli obblighi in materia di diritto del lavoro, della sicurezza sociale e protezione sociale;
  • accertare o difendere un diritto in ambito di un procedimento giudiziario; 
  • finalità politiche, filosofiche, religiose o sindacali;
  • impiego di dati per proteggere un interesse vitale dell’interessato o di un’altra persona fisica;
  • trattamento effettuato sotto la responsabilità di un professionista soggetto al segreto professionale;
  • protezione da gravi minacce per la salute o finalità di medicina preventiva;
  • trattamento riguarda dati personali resi manifestamente pubblici dall’interessato; 
  • archiviazione nel pubblico interesse di ricerca scientifiche o storiche a fini statistici.
Il trattamento di questi dati deve sempre avvenire in conformità alle misure di garanzie disposte dal Garante.

Un trattamento legittimo

L’uso di questa categoria di dati è molto incoraggiato, perché eleva il livello di sicurezza dei servizi. Necessario, d’altro lato non provocare rischi o pregiudizi per i soggetti interessati al trattamento. Ad esempio, il furto di un dato biometrico causa potenziali danni notevoli. Il sistema di autenticazione e univoco. Un errato trattamento di dati può causare danni permanenti alla persona fisica interessata compromettendo:

  • onore;
  • reputazione;
  • integrità fisica;
  • interessi economici.

Come abbiamo analizzato precedentemente, ala base del trattamento dei dati biometrici deve esserci una precisa base giuridica. Ma questo è solo il primo requisito per definirne un trattamento legittimo. È infatti necessario tenere in considerazione ogni caso concreto e valutare se ci sono alternative al trattamento ugualmente efficaci ma meno invasive.

Facciamo un esempio pratico per comprendere al meglio. Un problema da poco risolto è quello a riguardo delle modalità di rilevamento delle presenze in Pubblica Amministrazione. Si volevano utilizzare i dati biometrici per rilevare la presenza o meno dei dipendenti sul luogo di lavoro. L’Autorità Garante ha però vietato il trattamento in quanto sussistono modalità alternative meno invasive per perseguire il medesimo interesse. Siamo parlando dell’utilizzo di badge da timbrare in entrata ed uscita.

Obiettivi, vantaggi e lati ombra

Il dato biometrico, ove correttamente trattato, è estremamente utile come strumento di prevenzione frodi e accessi abusivi. Il suo obiettivo è infatti proprio quello di garantire maggiore sicurezza. Come tutte le tecnologie odierne ha però i suoi lati ombra e causare danni alle persone. Gli errori del software possono avere conseguenze indelebili per la vita di una persona.

Un altro rischio è quello di discriminazioni. Tanto che il Consiglio d’Europa ha ritenuto necessario prescrivere delle Linee guida sul riconoscimento facciale. Il fine quello di tutelare i diritti e le libertà fondamentali della persona. Le tecnologie invasive devono infatti essere utilizzate con tutte le cautele necessarie. IL GDPR prevede alcune disposizioni volte ad evitare errori e conseguenti pregiudizi alle persone. 

Il secondo requisito di legittimità per il trattamento di dati biometrici è infatti la valutazione di impatto. Quando un trattamento presenta rischi elevati per diritti e libertà dei singoli è necessario effettuare precedentemente una valutazione d’impatto.La valutazione di impatto è essenziale perché serve a capire la necessarietà e la proporzionalità del trattamento.

L’ultimo requisito necessario è quello relativo alla esistenza di una informativa chiara, precisa e comprensibile. Il trattamento deve essere supportato da adeguate e specifiche misure di sicurezza tecniche e organizzative adeguate al rischio.

Scopri i nostri Master e corsi di alta formazione
Master in Cyber Criminologia
Scopri il Master online riconosciuto MIUR
Scopri di più
Esperto in Bullismo e Cyberbullismo
Scopri il Master online riconosciuto Miur
Scopri di più
Condividi su
Facebook
LinkedIn
Email
WhatsApp
Scritto da
Picture of Sara Elia
Sara Elia
Copywriter, content creator & SEO specialist freelance. Turin based, London lover.
Categorie
Categorie
Iscriviti alla newsletter

Ricevi i nostri migliori articoli, contenuti gratuiti, offerte riservate e tanto altro!

google news

Ricevi le nostre notizie da Google News

Seguici