Consulenza e formazione. Dal 1995 un punto di riferimento per aziende e professionisti.

Magazine

Dati biometrici e privacy: gli obblighi del GDPR

Dati biometrici e privacy: gli obblighi del GDPR

Con l'entrata in vigore del GDPR, i dati biometrici figurano come una delle diverse tipologie trattate all'interno del Regolamento sulla privacy.

L'evolversi delle tecnologie, in particolare negli ultimi anni, ha reso sempre più evidente la necessità di avere un riferimento normativo su questa tematica: impronte digitali, riconoscimento facciale o vocale, firma grafometrica... sono tutti casi di dati biometrici, spesso utilizzati come strumenti di autenticazione e accesso a dispositivi o ad aree riservate.

Dunque, cosa prevede la legge in materia di privacy e trattamento di questi dati? Ecco i principali aspetti da tenere in considerazione.

Dati biometrici: cosa sono

Per capire cosa siano i dati biometrici, vediamo innanzitutto qual è la definizione fornita dal Regolamento UE 2016/679 (GDPR).

All'art. 4 (comma 1, punto 14), essi vengono descritti come "dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici".

I casi in cui è possibile trovare tali peculiarità sono diversi, e possono riguardare sia la sfera privata che quella lavorativa.

Ad oggi, per esempio, le azioni che è possibile compiere con il proprio smartphone grazie a dati biometrici (come impronte digitali, riconoscimento facciale o vocale) sono davvero moltissime: dallo "sblocco" del dispositivo stesso, alla conferma di acquisto di un prodotto o servizio, fino all'accesso a una particolare area riservata di una piattaforma (come quella del proprio home banking).

In realtà, sistemi di riconoscimento biometrico possono essere anche quelli che prendono in esame altri elementi, come la retina, il colore e la dimensione dell'iride, la sagoma della mano, le strutture venose, la forma dell'orecchio e molto altro ancora.

Questi dati possono essere utilizzati per l'autenticazione anche in ambito lavorativo: ad esempio, per l'accesso a particolari documenti o a locali protetti, per l'attivazione di macchinari specifici o, in alcuni casi, anche per limitare l'assenteismo e verificare che i dipendenti siano effettivamente presenti sul posto di lavoro.

Trattamento dei dati biometrici e privacy: cosa dice il GDPR

I dati biometrici, nel GDPR, vengono affrontati all'art. 9, che si occupa più in generale del "Trattamento di categorie particolari di dati personali".

Nel comma 1 si parte dal presupposto che è vietato il trattamento dei dati personali "che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale" oltre ai "dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona".

Subito dopo, però, vengono specificate le casistiche per le quali non si applica questo divieto, ovvero quelle in cui:

  1. l'interessato ha prestato il proprio consenso al trattamento di tali dati personali per una o più finalità specifiche;
  2. il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale;
  3. il trattamento è necessario per tutelare un interesse vitale dell'interessato o di un'altra persona fisica, qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso;
  4. il trattamento è effettuato, nell'ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l'associazione o l'organismo a motivo delle sue finalità e che i dati personali non siano comunicati all'esterno senza il consenso dell'interessato;
  5. il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato;
  6. il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni;
  7. il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti dell'interessato;
  8. il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali;
  9. il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici;
  10. il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.

Dati biometrici e privacy: la normativa italiana

Il D.lgs. 101/2018 è il decreto di adeguamento del GDPR alla legge italiana, grazie al quale è stato aggiornato il "Codice in materia dei dati personali" (D.Lgs. 196/2003).

Nello specifico, l'articolo 2-septies affronta proprio il tema delle "Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute": di fatto, vengono confermate le condizioni inserite nel Regolamento Europeo (quelle elencate nel paragrafo precedente) con l'aggiunta di qualche specifica ulteriore.

Il trattamento dei dati biometrici, infatti, deve non solo rispettare quanto previsto dal GDPR ma anche essere conforme alle "misure di garanzia" disposte dal Garante per la privacy. Come riportato al comma 2, “Il provvedimento che stabilisce le misure di garanzia di cui al comma 1 è adottato con cadenza almeno biennale” e deve tenere in considerazione:

  • linee guida, raccomandazioni e prassi in materia di protezione e dati personali;
  • evoluzione scientifica e tecnologica avvenuta nel settore oggetto delle misure;
  • interesse alla libera circolazione dei dati personali nel territorio dell’Unione europea.

Se vuoi approfondire altre tematiche legate al GDPR e alla protezione dei dati personali, scopri di più sul registro delle attività di trattamento oppure contattaci per una consulenza specifica relativa alla tua azienda.


banner ebook studio essepi 


mario-gelao-studioessepi"  

Scritto da: Mario Gelao


Consulente specializzato in prevenzione e sicurezza su lavoro, amante di lettura, cinema e disegno.





Chiamaci

045 8621499