Dati biometrici fra disciplina del GDPR e evoluzioni legislative recenti

di Lavinia Vizzoni -

I dati biometrici nel contesto del GDPR
Una sotto-categoria di dati che fra le categorie particolari di dati ex art. 9 GDPR occupa una posizione ancor più delicata è quella dei dati biometrici.
Si tratta di dati soggetti, nonostante l’estrema particolarità, a una pluralità di trattamenti, non sempre percepibili con chiarezza dall’interessato: anche all’interno della smart home, basti pensare alle soluzioni che prevedono che la relativa attivazione e/o operatività dipenda dal comando vocale: dagli smart speaker che si accendono pronunciando semplici parole convenzionali e rispondono alle richieste formulate vocalmente dall’utente; o agli impianti, in uso presso soggetti pubblici come privati, dotati di software di riconoscimento facciale.
Ancora, un esempio di particolare attualità riguarda i sistemi di body scanner che potrebbero andare incontro ad un’applicazione accelerata – ma non per questo necessariamente giustificata – anche in ambito lavorativo, nel più ampio contesto delle misure di contenimento del contagio da Covid-19, con conseguente necessità di rilevare una serie di parametri che attengono alla persona del lavoratore, in primis la temperatura corporea.
I dati biometrici sono una tipologia di dati personali connotata da peculiarità intrinseche, sul piano etico prima che giuridico. Solo nei dati biometrici si verifica infatti quella sostanziale coincidenza fra persona e dato, che rende il corpo del soggetto strumento per la sua identificazione, con le conseguenti possibili incidenze sull’identità stessa della persona. Anche la loro conformazione in termini di dati personali è del tutto peculiare: i dati biometrici vengono infatti raccolti all’esito di uno specifico processo tecnico che ricava il dato dalle caratteristiche del soggetto. Inoltre, poiché i dati biometrici coincidono, in effetti, con delle caratteristiche uniche del soggetto, essi sono i soli dati personali a consentire un’identificazione univoca della persona.
Sul piano normativo, non a caso i dati biometrici sono considerati dal GDPR una delle “categorie particolari di dati”. In materia di trattamento degli stessi, si rinvengono novità sostanziali nel nuovo testo normativo: l’art. 9, 1° c., GDPR, stabilisce infatti che in linea generale è vietato il trattamento anche di “dati biometrici intesi ad identificare in modo univoco una persona fisica”.
La disciplina del GDPR si presenta dunque come particolarmente rigida, sancendo un generale divieto di trattamento; anche se, al contempo, il comma 2 della norma in questione consente il trattamento in presenza di una delle condizioni ivi indicate, fra cui rientra, in primis, la prestazione del consenso esplicito dell’interessato al trattamento. Le ipotesi derogatorie di cui al comma 2 dell’art. 9 GDPR sono peraltro caratterizzate da una certa varietà applicativa: in tal modo il divieto generale di trattamento dei dati biometrici a scopo protettivo dell’interessato viene adeguatamente contemperato con le esigenze di circolazione dei dati personali.
A riprova della delicatezza di tali dati, l’ultimo comma della norma consente agli Stati membri la possibilità di “mantenere o introdurre ulteriori condizioni, comprese limitazioni”, con riguardo al loro trattamento.
Accogliendo questa possibilità, l’art. 2-septies del d.lgs. n. 101/2018 conferma che i dati genetici, biometrici e relativi alla salute possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 dell’art. 9 GDPR e in conformità alle misure di garanzia disposte dal Garante con apposito provvedimento che, adottato con cadenza biennale, dovrà tenere conto non solo delle migliori prassi applicative, ma anche dell’evoluzione scientifica e tecnologica di volta in volta intervenuta nel settore oggetto delle misure. Ai sensi dell’art. 22 delle disposizioni transitorie e finali del medesimo decreto, le disposizioni del Codice privacy relative al trattamento di dati genetici, biometrici o relativi alla salute continuano a trovare applicazione, in quanto compatibili con il GDPR sino all’adozione delle suddette misure di garanzia. La disciplina piuttosto restrittiva del GDPR e del correlativo decreto di adeguamento ben si spiega alla luce della peculiarità dei dati biometrici, e delle correlative potenzialità, in termini di rischio, per quanto attiene alla dignità stessa della persona.
In effetti, da un lato, i sistemi di riconoscimento biometrico possono senz’altro contribuire ad incrementare, per l’utente, il livello di sicurezza nell’utilizzo dei dispositivi elettronici: si pensi, ad esempio, all’utilizzo della firma grafometrica per autorizzare lo svolgimento di operazioni allo sportello bancario; oppure alla semplificazione delle procedure per attestare il consenso informato del paziente, con notevole riduzione di costi, come accade nel caso di all’acquisizione del consenso informato in ambito diagnostico. In generale, le tecnologie biometriche apportano consistenti vantaggi pratici, poiché consentono il riconoscimento automatizzato dei soggetti e incentivano la semplificazione di una pluralità di procedure, anche nell’esercizio delle attività quotidiane.
Dall’altro lato, però, i rischi che si profilano per l’interessato, connessi ad un utilizzo illegittimo o inappropriato dei dati biometrici, divengono particolarmente consistenti: dai pericoli connessi al furto di identità, ai rischi correlati all’idoneità, propria delle tecniche biometriche, di consentire rilevazioni a distanza degli interessati, o di rappresentare la base per trattamenti discriminatori.
Viene meno, invece, nell’attuale assetto normativo, l’obbligo di notifica preventiva al Garante ex art. 37 cod. privacy; ciò d’altronde è pienamente conforme all’ottica propria dal GDPR, incentrata sull’accountability dei soggetti coinvolti nel trattamento dei dati personali, e dunque sugli obblighi di adozione, da parte di questi, di idonee misure di sicurezza.
Il titolare del trattamento, in primis, assumerà dunque le sue determinazioni autonomamente, senza necessità, salvi casi particolari, di effettuare notifiche preventive al Garante, e le verifiche dell’Autorità eventualmente si collocheranno in fase successiva, ex post. Il quadro normativo si arricchisce poi ulteriormente con la previsione dell’obbligo di predisporre un registro dei trattamenti (art. 30 GDPR) e dell’obbligo di svolgere una valutazione d’impatto sulla protezione dei dati (art. 35 GDPR), quest’ultimo a sua volta strettamente connesso – ma non coincidente – con l’obbligo di adottare ogni misura adeguata per limitare i possibili danni, tramite un’accurata valutazione del rischio: obblighi di cui è verosimile ipotizzare l’attivazione in caso di trattamento di dati biometrici.

Dati biometrici e lavoratori
Come accennato, una delle precipue declinazioni relative all’impiego dei dati biometrici riguarda il contesto lavorativo.
Effettivamente, la prassi dimostra già che numerose tecnologie della c.d. Industria 4.0 si fondino sul proprio trattamento di dati biometrici. Sono state così sviluppate soluzioni che, per quanto futuristiche appaiano, sono già una realtà e vengono attualmente utilizzate in ambienti industriali tecnologicamente progrediti, nel contesto di una vera e propria smart factory .
Rientrano nel novero di siffatte soluzioni i dispositivi di robotica indossabile, quali gli esoscheletri per applicazioni industriali volti ad aumentare le capacità operative dei lavoratori che svolgono attività manuali e di movimentazione; o le smart suit  delle tute realizzate anche tramite scansioni del corpo del lavoratore; così come le postazioni di lavoro auto-adattive, strutturate sulla base delle caratteristiche proprie di chi è chiamato ad utilizzare quelle postazioni, anche in termini di condizioni fisiche e di affaticamento.
A maggior ragione, di fronte all’utilizzo di tecnologie tanto invasive, che implicano il coinvolgimento della persona in sé – e tenendo in ulteriore considerazione del fatto che i soggetti interessati sono lavoratori – si impone un accurato bilanciamento degli interessi in gioco onde valutare la necessità e la proporzionalità del trattamento di dati biometrici, che attribuisca il giusto peso alla valutazione dei rischi inerenti quei trattamenti . Il che, sul versante tecnico, può indurre ad aderire a soluzioni quali la pseudonimizzazione, l’anonimizzazione successiva dei dati biometrici trattati, o la limitazione inerente ai tempi di conservazione degli stessi .
D’altronde, la riflessione in materia di dati biometrici, ancora una volta dei lavoratori, è alimentata anche dal dibattito politico e dalla evoluzioni legislative più recenti.
L’art. 2 della legge del 19 giugno 2019, n. 56, di conversione del c.d. “Ddl. concretezza”, pur reclamando il rispetto dei principi di proporzionalità, non eccedenza e gradualità detta infatti “Misure per il contrasto all’assenteismo”, nell’ambito delle quali, ai fini della verifica dell’osservanza dell’orario di lavoro, è previsto che i datori di lavoro pubblici introducano congiuntamente “sistemi di verifica biometrica dell’identità e di videosorveglianza degli accessi”. Ai sensi dell’art. 2 stesso sarà un decreto del Presidente del Consiglio dei ministri ad individuare le modalità attuative di trattamento dei dati biometrici, previo parere del Garante stesso.
Il parere sullo schema di DPCM è stato reso dall’Autorità in data 19 settembre 2019 (provvedimento n. 167). Come già nel parere relativo al Ddl concretezza (11 ottobre 2018, provvedimento n. 464), le perplessità sollevate dal Garante si appuntano sull’impiego non alternativo bensì simultaneo, ed anche obbligatorio, di due sistemi distinti di verifica del rispetto dell’orario di lavoro (la raccolta di dati biometrici e la videosorveglianza); il che porta a ritenere che la soluzione adottata eccedente rispetto alle finalità perseguite. Viene pertanto evidenziata la dubbia compatibilità con la disciplina europea e nazionale in materia di protezione dei dati personali e prospettata l’esigenza di modificare la disposizione di cui all’articolo 2 della legge 56/2019.
Ancora, l’Autorità garante detta qualche indicazione generale, che risulta significativa sul più ampio versante degli obblighi a cui il titolare è tenuto a conformarsi laddove tratti dati biometrici. In tal senso, si sottolinea l’obbligo di fornire un’idonea informativa agli interessati, che enunci le cautele adottate (es. l’assenza di centralizzazione dei dati) e i tempi di conservazione dei dati. Ancora, stante il “rischio elevato” che presentano tali trattamenti, si evidenzia la necessità per il titolare di provvedere ad effettuare una valutazione di impatto (art. 35 GDPR) prima dell’attivazione del sistema prescelto.
Appaiono in ogni caso confermati l’estrema attualità e rilievo del dibattito in corso in materia di dati biometrici.