Capiamo cosa sono i dati biometrici e cosa hanno a che fare con la privacy

I dati biometrici, la loro raccolta e il loro utilizzo, sono una delle tematiche più sensibili di questo nuovo millennio. Una delle domande più importanti relativamente ai dati biometrici è come si trattano a seconda dei diversi ambiti, quindi, e fin dove ci si può spingere nella loro raccolta per gli scopi più disparati. Un esempio: Fino a che punto è giusto usare il riconoscimento facciale contro i furti nei negozi?, una domanda che ci siamo fatti spesso negli ultimi anni  – anche e soprattutto in relazione all’Italia che sfruttando notizie provenienti dall’estero -.

Di riconoscimento biometrico abbiamo parlato, all’inizio di quest’anno, anche con il fisico e divulgatore scientifico Giorgio Sestili. Partiamo dal presupposto – per spiegare cosa sono i dati biometrici e scendere nel merito di come vengono gestiti e regolamentati – che la definizione dati biometrici è contenuta nel regolamento europeo (GDPR) all’art. 4, par. 1, n. 14 ed è la seguente: «Dati personali ottenuti da un trattamento tecnico specifico, relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica e che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici». Detta in parole più semplici, i dati biometrici sono tutti quei dati personali relativi a caratteristiche fisiche, fisiologiche e comportamentali dell’individuo.

LEGGI ANCHE >>> Il bilancio dei primi quattro anni di GDPR

Cosa sono i dati biometrici nello specifico: qualche esempio

La definizione di dato biometrico può risultare un tantino fumosa per chi non ha familiarità con questo tipo di linguaggio e – leggendo un articolo come questo – sta provando ad acquisire conoscenze base sui dati biometrici. Partiamo da qualche esempio specifico per chiarire, mano a mano che ne parliamo, che cosa sono i dati biometrici: l’impronta digitale, per esempio, è quel dato biometrico che utilizziamo per sbloccare i nostri smartphone. Stesso discorso per la conformazione di mani, volti, iride o retina (tutti dati che possono essere utilizzati per il riconoscimento facciale che sblocca un dispositivo mobile).

Anche timbro e tonalità della voce di ognuno di noi rientrano tra i dati biometrici. Come vengono raccolti i dati biometrici? Esistono hardware e software appositamente creati per acquisire informazioni e analizzarle confrontandole con dati precedentemente acquisiti e ancora presenti in un database poiché conservati. Nel caso specifico del riconoscimento facciale o dell’impronta usati per sbloccare un telefono, questi dati dovrebbero essere immagazzinati dallo smartphone e non condividi con il produttore. Ecco, quindi, come ogni smartphone è in grado di riconoscere la persone a cui deve dare accesso.

Come vengono ottenuti i dati biometrici e come si distinguono dai dati personali?

Per il trattamento dei dati biometrici occorre chiamare in causa nuovamente il Regolamento generale sulla protezione dei dati. Della regolamentazione dei dati biometrici si parla in più di un articolo: c’è l’articolo 9 – quello che sancisce una speciale tutela normativa di questa tipologia di informazioni se vengono usati per l’identificazione univoca o per l’autenticazione di una persona fisica – e c’è, scendendo nello specifico del riconoscimento facciale, l’articolo 51 del GDPR. In particolar modo, l’articolo afferma che «il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione di una persona fisica».

Ciò significa che, salvo specifici casi, i dati biometrici vengono tutelati come i normali dati personali. Questo porta a una distinzione ben precisa tra quello che è un dato biometrico, ovvero impronta digitale o impronta del volto sottoposti a trattamento – e quello che ne è fonte, ad esempio la foto. La foto diventa dato biometrico se è soggetta a un rilevamento automatizzato per estrapolare caratteristiche fisiche di un individuo, quindi. Si può quindi parlare di dati biometrici, in sintesi, non solo quando qualche parte del corpo viene catturata ma quando è presente un sistema software o hardware che verifica l’identità in modo automatizzato. La foto postata sul social non è un dato biometrico, qualora questa foto venga ulteriormente trattata per ottenere informazioni relative lo specifico viso e il soggetto ritratto, allora sì (di recente, l’Illinois ha riconosciuto un risarcimento ai cittadini i cui volti sono stati oggetto del riconoscimento facciale di Facebook affinché il sistema suggerisse il nome della persona da taggare).

Come vengono trattati?

Se da un lato il dato biometrico può essere utilizzato per riconoscere in maniera univoca una persona creando servizi per le persone sicuri, dall’altro il rischio di abuso delle informazioni relative ai soggetti del trattamento è dietro l’angolo. Partiamo dal presupposto che il trattamento dei dati biometrici deve necessariamente avvenire in maniera conforme alle misure di garanzie disposte tramite provvedimento dal D.lgs 101 del 2018, tale legge di adeguamento del Codice Privacy al GDPR. Occorre tenere conto, nel trattamento, di evoluzione scientifica e tecnologica al fine di garantire la migliore prassi applicativa in quel preciso momento.

Il trattamento dei dati biometrici è possibile quando l’interessato fornisce un consenso esplicito e, comunque, in tutta una serie di casi ampiamente regolamentati – come, per esempio, nell’ambito delle attività di garanzia operate da fondazioni, associazioni e organismi senza scopo di lucro per finalità a loro proprie -. L’utilizzo di dati  biometrici, inoltre, è regolato anche sfruttando il criterio di proporzionalità.

La necessità – quando si parla di dati biometrici – è che le varie legislazioni intervengano in maniera univoca e senza incertezza poiché, come sottolineato, la misura e gli scopi con cui questi dati vengono raccolti e trattati può andare a interferire con le libertà fondamentali delle persone. Parlando poi di dati biometrici e privacy, occorre tenere presente – come ha sottolineato il divulgatore esperto di temi digitali che abbiamo scelto di intervistare in precedenza – che  «uno dei problemi maggiori è capire dove vanno a finire i nostri dati biometrici. Sono contenuti solo in un dispositivo oppure vanno sul cloud o in rete? I temi legati alla privacy e al riconoscimento biometrico sono quelli classici: dove vanno i nostri dati? Come vengono utilizzati? Per quanto tempo vengono conservati?».

Si tratta di informazioni che chiunque disponga e possa accedere in qualsiasi modo a dati di questo tipo deve chiarire in maniera inequivocabile.