Consulenza
Checkup aziendale
Contenzioso
Formazione
La raccolta dei dati biometrici è un’attività che viene spesso svolta dalle imprese per ottenere vantaggi commerciali di vario tipo. Questi, infatti possono essere utilizzati per rendere più sicuro un servizio, per renderlo più rapido ed efficiente, oppure, in altri casi, per meri fini di marketing, ad esempio nell’ambito delle pubblicità personalizzate.
Il trattamento dei dati biometrici, tuttavia, viene sottoposto ad una tutela più rigida rispetto agli altri dati personali, tantoché rientra tra quelle tipologie di dati che il GDPR definisce come “dati particolari”. La regola generale che il GDPR, al paragrafo 1 dell’art. 9, dedica ai dati biometrici stabilisce infatti che il trattamento di dati biometrici intesi a identificare in modo univoco una persona è vietato. Dettato questo principio, il GDPR indica poi una serie di casi nei quali il trattamento, a determinate condizioni, è comunque consentito.
Per quanto attiene al trattamento di dati biometrici per fini commerciali, sussiste solamente una base giuridica che ne consente il trattamento, e cioè il consenso esplicito dell’interessato: “a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1;”
Il dato biometrico è sottoposto a delle limitazioni particolari in ragione della sua natura e del suo possibile utilizzo.
Il GDPR ha stabilito il requisito del consenso esplicito in ragione della forte ingerenza che tale tipologia di dati può avere nei confronti dell’interessato se non gestiti con modalità adeguate. I rischi che possono derivare da una loro cattiva gestione sono facilmente percepibili se ci si sofferma su cosa effettivamente si intende con tale termine. Al riguardo, il GDPR, all’art. 4, li definisce come “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.
Il punto chiave della definizione sta nella possibilità di identificare univocamente un soggetto.
Questo aspetto deve essere tenuto ben presente quando si trattano dati per fini commerciali: non solo perché, come indicato, trattare dati biometrici comporta degli adempimenti ulteriori rispetto alle altre tipologie di dato personale, ma anche perché, talvolta, capita che le imprese trattino dati che seppur sembrano essere qualificabili come dati biometrici, in realtà non lo sono, così che il titolare del trattamento si sobbarca di oneri che, in realtà, non sarebbero necessari, come, ad esempio l’obbligo di predisporre un registro dei trattamenti e di svolgere una DPIA.
Un caso simile al precedente è stato trattato dal Garante Privacy Italiano nel 2017 (v. verifica preliminare – Riconoscimento via webcam dei partecipanti a corsi di formazione in diretta streaming – 26 luglio 2017), quando il GDPR non era ancora entrato in vigore ma la definizione di dati biometrici coincideva con quella attualmente prevista. Il Garante, in quel caso, aveva specificato che la raccolta delle foto del viso dei partecipanti ad una conferenza online, scattate nel corso della stessa e finalizzate a verificare l’effettiva presenza dei partecipanti a mezzo di un confronto tra le immagini raccolte e quella presente sulla loro carta d’identità, non era qualificabile come trattamento di dati biometrici.
Il concetto chiave, anche qui, stava nella circostanza che i dati raccolti erano delle mere fotografie, che non sono poi state successivamente elaborate tecnicamente per estrapolarne informazioni che permettessero l’identificazione univoca della persona. Le fotografie e i video non costituisco, infatti, un dato biometrico. In linea generale, i dati biometrici per essere definibili come tali devono, infatti, passare per due fasi: 1) la raccolta del dato attraverso un hardware, fotografia, video, scan delle impronte digitali; 2) e la successiva elaborazione a mezzo di un software apposito che, attraverso l’elaborazione di tali, li rende idonei a identificare univocamente la persona.
I dati biometrici permettono l’identificazione del soggetto anche a distanza di anni. Una semplice immagine o video del volto di una persona, viceversa, deve essere considerato come dato personale.
Il consenso dell’interessato, affinché sia valido, deve essere espresso con un atto libero, specifico, informato e inequivocabile.
Se trattiamo dati biometrici, dobbiamo, quindi, essere certi che il consenso esplicito dell’interessato sia stato ottenuto correttamente. Al riguardo, con riferimento al requisito di consenso “libero”, è interessante notare che l’European Data Protection Board, con le “Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679”, ha specificato in quali casi il consenso dato dall’interessato è considerabile, effettivamente, come manifestato in modo “libero”.
Come regola generale, il GDPR stabilisce che se l’interessato non dispone di una scelta effettiva o si sente obbligato ad acconsentire oppure subirà conseguenze negative se non acconsente, il consenso ottenuto in tal modo non sarà valido.
Un esempio è quello di un’applicazione mobile per il fotoritocco che richieda agli utenti di attivare la localizzazione GPS per l’utilizzo dei suoi servizi. L’applicazione comunica agli utenti che utilizzerà i dati raccolti per finalità di pubblicità comportamentale. In questo caso, né la geolocalizzazione né la pubblicità comportamentale online sono necessarie per la prestazione del servizio di fotoritocco e vanno oltre la fornitura del servizio principale. Poiché gli utenti non possono utilizzare l’applicazione senza acconsentire a tali finalità, il consenso non può essere considerato liberamente espresso.
Per giustificare la “libertà” del consenso, sempre l’European Data Protection Board, nelle linee guida menzionate, ha specificato che non è sufficiente dimostrare che il servizio offerto, e per il quale si è richiesto il consenso al trattamento dei dati personali, viene offerto anche da un altro operatore del mercato che non richiede il trattamento di tali dati. Una presunta “libertà” nella scelta, fondata sull’esistenza di un’opzione alternativa offerta da un terzo non è conforme al regolamento poiché dipenderebbe dagli altri operatori del mercato e dal fatto che l’interessato ritiene che i servizi offerti dall’altro titolare del trattamento siano effettivamente equivalenti. Il ricorso a tale argomentazione da parte del titolare del trattamento, pertanto, non sarebbe conforme al GDPR, e comporterebbe l’invalidità dei consensi raccolti.
In conclusione
La raccolta di dati biometrici, soprattutto se per fini commerciali, richiede una preliminare analisi delle caratteristiche di tali dati, i quali potrebbero, in realtà, non essere qualificabili come dati biometrici.
In secondo luogo, sarà importante verificare che i consensi al trattamento di tali dati soddisfino tutti i requisiti richiesti dalla normativa privacy – atto libero, specifico, informato e inequivocabile – pena l’invalidità dei consensi raccolti.