Regolamento GDPR e tutela della privacy dei dati biometrici in Italia
adv

Cosa è cambiato nella regolamentazione dei dati biometrici dopo il recepimento in Italia del regolamento  GDPR

La diffusione di telecamere, lettori di impronte digitali e sensori per il monitoraggio del battito cardiaco e della pressione ci ha abituato alla presenza di devices in grado di memorizzare i nostri dati biometrici, ma è tutto lecito e sereno?

Il riconoscimento biometrico

La “biometria” è lo studio delle caratteristiche biofisiche degli esseri umani. Un sistema di riconoscimento biometrico definisce quindi un apparato in grado di identificare gli individui in base alle loro caratteristiche.

Praticamente ogni moderno pc portatile o smartphone è dotato di un lettore di impronta digitale, oppure di un software di riconoscimento del volto. Le nuove tecnologie per il riconoscimento biometrico non si limitano a queste applicazioni, ma stanno prendendo piede anche in settori importanti quali il controllo accessi a luoghi fisici: aree riservate di aeroporti, laboratori, zone speciali di siti industriali, edifici, aziende, installazioni militari.

Funzionamento dei sistemi

I dati biometrici sono tratti distintivi che rendono uniche le persone e fanno sì che vengano riconosciute in modo univoco. Principali esempi sono la dimensione dell’iride, la conformazione della retina, le impronte digitali, le linee della mano, la fisionomia del volto ed il DNA.

Il funzionamento di tali sistemi si fonda su una componente hardware ed una software.

La prima è costituita da un rilevatore di impronte digitali o da uno scanner della retina, ad esempio, che ha il compito di acquisire il dato biometrico; la seconda utilizza complessi algoritmi e spesso anche intelligenza artificiale, per analizzare i dati raccolti con i sensori e confrontarli con i databases delle identità censite.

Il riconoscimento permette poi l’accesso in base alle specifiche autorizzazioni.

Dati biometrici e privacy

Il trattamento dei dati biometrici è questione delicata, proprio perché attiene alla sfera personale ed individuale, la cosiddetta privacy.

I sistemi oggi disponibili sono talmente sofisticati da poter desumere patologie mediche da attributi fisici, come nel caso dei sistemi di riconoscimento biometrico che utilizzano il pattern delle vene e sono in grado di individuare malattie cardiovascolari.

I potenziali danni derivanti dalla divulgazione di malattie (ad esempio al datore di lavoro o alla assicurazione) sono enormi, pertanto il rischio di utilizzo improprio dei dati biometrici deve essere assolutamente evitato.

A tutela del corretto trattamento dei dati biometrici, è stato pensato il General Data Protectioni Regulation, meglio noto come GDPR, Regolamento dell’Unione Europea in materia di trattamento dei dati personali e privacy.

Regolamento GDPR e dati biometrici

Già dall’art. 9 è vietato il trattamento dei dati biometrici, salvo espressa autorizzazione dell’interessato. Ulteriori deroghe sono consentite solo nell’ambito lavorativo ed in quello della sicurezza collettiva. Ovviamente sono esclusi i vincoli in caso di procedimento giudiziario.

Riconoscimento facciale con telecamere

La tutela della privacy a mezzo del GDPR prevede che chi transita in un luogo con riconoscimento facciale a mezzo attrezzature di videosorveglianza venga preventivamente avvertito della presenza del sistema. Ancora non è sufficiente, in quanto il titolare del trattamento delle immagini ha l’obbligo di effettuare la valutazione di impatto sulla protezione dei dati (Data Protection Impact Assessment), documento di valutazione preventiva dei rischi cui sono esposti gli individui che entrano nel raggio d’azione delle telecamere. Nel documento devono essere analizzate le tipologie di trattamenti, le finalità e le accortezze assunte per limitare il riconoscimento al minimo indispensabile per lo specifico utilizzo. È quindi compito del titolare del trattamento individuare le misure tecnico-organizzative atte a ridurre al minimo accettabile il rischio di utilizzo scorretto.

Ove risultasse che il trattamento dei dati espone a rischi relativamente elevati gli utenti, interviene l’obbligo di interpello preventivo del Garante nazionale della Privacy.