Il trattamento dei dati biometrici secondo il GDPR
I dati biometrici consentono e confermano l’identificazione univoca di una persona. Il GDPR da estrema attenzione al loro trattamento in quanti i rischi ad essi correlati sono molto elevati. I dati possono infatti venire persi, trafugati o utilizzati in modo erroneo.
Analizziamo al meglio insieme quali sono condizioni e adempimenti necessari per une gestione ottimale!
Che cosa sono i dati biometrici
- impronte digitali;
- conformazione fisica dell’iride o della retina;
- timbro e tonalità di voce.
- acquisire dati;
- procedere ad un’analisi tramite confronto con dati già acquisiti e conservati;
- identificare la persona a cui appartengono.
Dati biometrici: come si è espresso in tutela il GDPR
- interessato dia il proprio consenso esplicito;
- motivi di interesse pubblico previsti dalla legge;
- trattamento necessario per assolvere gli obblighi in materia di diritto del lavoro, della sicurezza sociale e protezione sociale;
- accertare o difendere un diritto in ambito di un procedimento giudiziario;
- finalità politiche, filosofiche, religiose o sindacali;
- impiego di dati per proteggere un interesse vitale dell’interessato o di un’altra persona fisica;
- trattamento effettuato sotto la responsabilità di un professionista soggetto al segreto professionale;
- protezione da gravi minacce per la salute o finalità di medicina preventiva;
- trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;
- archiviazione nel pubblico interesse di ricerca scientifiche o storiche a fini statistici.
Un trattamento legittimo
L’uso di questa categoria di dati è molto incoraggiato, perché eleva il livello di sicurezza dei servizi. Necessario, d’altro lato non provocare rischi o pregiudizi per i soggetti interessati al trattamento. Ad esempio, il furto di un dato biometrico causa potenziali danni notevoli. Il sistema di autenticazione e univoco. Un errato trattamento di dati può causare danni permanenti alla persona fisica interessata compromettendo:
- onore;
- reputazione;
- integrità fisica;
- interessi economici.
Come abbiamo analizzato precedentemente, ala base del trattamento dei dati biometrici deve esserci una precisa base giuridica. Ma questo è solo il primo requisito per definirne un trattamento legittimo. È infatti necessario tenere in considerazione ogni caso concreto e valutare se ci sono alternative al trattamento ugualmente efficaci ma meno invasive.
Facciamo un esempio pratico per comprendere al meglio. Un problema da poco risolto è quello a riguardo delle modalità di rilevamento delle presenze in Pubblica Amministrazione. Si volevano utilizzare i dati biometrici per rilevare la presenza o meno dei dipendenti sul luogo di lavoro. L’Autorità Garante ha però vietato il trattamento in quanto sussistono modalità alternative meno invasive per perseguire il medesimo interesse. Siamo parlando dell’utilizzo di badge da timbrare in entrata ed uscita.
Obiettivi, vantaggi e lati ombra
Il dato biometrico, ove correttamente trattato, è estremamente utile come strumento di prevenzione frodi e accessi abusivi. Il suo obiettivo è infatti proprio quello di garantire maggiore sicurezza. Come tutte le tecnologie odierne ha però i suoi lati ombra e causare danni alle persone. Gli errori del software possono avere conseguenze indelebili per la vita di una persona.
Un altro rischio è quello di discriminazioni. Tanto che il Consiglio d’Europa ha ritenuto necessario prescrivere delle Linee guida sul riconoscimento facciale. Il fine quello di tutelare i diritti e le libertà fondamentali della persona. Le tecnologie invasive devono infatti essere utilizzate con tutte le cautele necessarie. IL GDPR prevede alcune disposizioni volte ad evitare errori e conseguenti pregiudizi alle persone.
Il secondo requisito di legittimità per il trattamento di dati biometrici è infatti la valutazione di impatto. Quando un trattamento presenta rischi elevati per diritti e libertà dei singoli è necessario effettuare precedentemente una valutazione d’impatto.La valutazione di impatto è essenziale perché serve a capire la necessarietà e la proporzionalità del trattamento.
L’ultimo requisito necessario è quello relativo alla esistenza di una informativa chiara, precisa e comprensibile. Il trattamento deve essere supportato da adeguate e specifiche misure di sicurezza tecniche e organizzative adeguate al rischio.