Come abbiamo scritto in alcuni post sul tema, la posizione del Garante Privacy italiano sull’utilizzo dei dati biometrici risulta chiara.
A livello europeo, invece, la situazione è più complessa, sia dal punto di vista pratico che normativo, e interessa trasversalmente Stati, settori economici e principi costituzionali.
I dati biometrici, infatti, offrono vantaggi che vanno ben oltre la semplice comodità d’uso. Il loro utilizzo consente un livello di sicurezza superiore rispetto ai tradizionali sistemi di autenticazione basati su password o codici PIN. Grazie alla loro unicità e immutabilità nel tempo, sono strumenti quasi impossibili da falsificare o riprodurre, almeno con le tecnologie attuali. Per questi motivi essi hanno trovato applicazioni efficaci in diversi ambiti:
- nel settore bancario, la biometria permette transazioni sicure e immediate tramite il riconoscimento dell’impronta digitale o del volto. Queste soluzioni hanno fornito anche una risposta efficace ai sempre più frequenti tentativi di frode informatica, riducendone significativamente i rischi;
- nel settore sanitario, l’utilizzo dei dati biometrici consente l’identificazione sicura dei pazienti, garantendo che le cure mediche vengano somministrate alla persona corretta e riducendo in tal modo gli errori sanitari;
- nella gestione delle frontiere questa tipologia di controlli ha reso possibili progressi significativi, come l’adozione del nuovo Sistema di Ingresso/Uscita (EES) dell’Unione Europea. Operativo dal novembre 2024, usa i dati biometrici per registrare automaticamente i movimenti dei cittadini di paesi terzi, dando luogo a controlli più efficienti e sicuri alle frontiere.
D’altro canto, la massiccia diffusione di tecnologie biometriche, oltre ai vantaggi suddetti, porta con sé anche delle complessità legate al diritto alla privacy e alla dignità personale. I dati trattati, infatti, sono particolarmente sensibili e una loro violazione comporta generalmente conseguenze piuttosto gravi. Anche in assenza di violazioni, un loro utilizzo sconsiderato può delineare scenari pericolosi. Il riconoscimento facciale , ad esempio, permette di dedurre informazioni quali l’etnia, lo stato di salute e alcune predisposizioni genetiche, dando luogo ad una profilazione che potrebbe essere utilizzata per scopi discriminatori o anche solo per un controllo a distanza senza consenso.
L’approccio dell’Europa all’utilizzo dei dati biometrici
L’Unione Europea, nel suo complesso, ha adottato un approccio “possibilista” rispetto all’impiego della biometria, caratterizzato dal principio di divieto generale con eccezioni specifiche. L’articolo 9 del GDPR, infatti, proibisce l’utilizzo di dati biometrici, riconoscendone la natura particolarmente sensibile, ma prevede deroghe in casi specifici, principalmente quando si configura il consenso esplicito dell’interessato.
Tuttavia, questo approccio ha assunto contorni anche molto diversi nei vari Stati membri. La Germania ha sviluppato un sistema di identità digitale basato su carte d’identità elettroniche con chip certificati, favorendo la sicurezza tecnologica e l’interoperabilità. La Spagna ha adottato il sistema Cl@ve per l’accesso ai servizi pubblici, che integra il Documento Nacional de Identidad electronico. La Francia ha scelto un approccio particolarmente severo, basato sul rigido rispetto dei principi di proporzionalità e necessità.
La posizione del Garante Privacy italiano
In Italia, il Garante per la Protezione dei Dati Personali ha assunto una posizione piuttosto rigida nei confronti dei dati biometrici, ribadendo negli anni un orientamento che favorisce la tutela dei diritti fondamentali rispetto alle esigenze operative delle organizzazioni.
I recenti provvedimenti confermano questa posizione. L’ultimo di questi è il caso della sanzione di 4.000 euro comminata ad un’istituto di istruzione di Tropea che impiegava un sistema di rilevazione presenze del personale amministrativo basato sulla lettura delle impronte digitali. Seppure in presenza del consenso dei dipendenti, il Garante ha ritenuto che l’utilizzo dei dati biometrici non fosse proporzionato a causa dell’invasività di tali forme di verifica e delle implicazioni derivanti dalla particolare natura del dato.
Un approccio così rigoroso, anche se mira a tutelare la sfera più personale e intima delle persone, rischia di compromettere obiettivi di sicurezza altrettanto legittimi e di ostacolare l’efficienza operativa di aziende strategiche. Nei sistemi di controllo accessi di infrastrutture critiche o nei processi di autenticazione dei servizi finanziari del settore bancario, l’impossibilità di usare sistemi biometrici si traduce in livelli di sicurezza significativamente inferiori.
Limiti e opportunità della posizione italiana
Una delle questioni più complesse nella regolamentazione dei dati biometrici riguarda l’identificazione di un’adeguata base giuridica per il loro trattamento.
Il consenso degli interessati, pur rappresentando la base giuridica più ovvia, presenta alcuni limiti significativi, soprattutto in ambito lavorativo. Qui, infatti, il consenso del dipendente non può ritenersi realmente spontaneo vista l’asimmetria del rapporto di lavoro.
In assenza di altre basi giuridiche, molte applicazioni legittime della biometria diventano inapplicabili. Risulta dunque necessario un intervento del legislatore che colmi questo vuoto normativo e dia delle indicazioni a cui conformarsi.
In attesa che venga delineato un quadro normativo di riferimento, rimane la necessità di trovare un equilibrio tra innovazione tecnologica e tutela della privacy.
L’adozione di un approccio basato sul rischio, che consideri non solo la protezione dei dati, ma anche il contesto, le finalità perseguite, le misure di sicurezza impiegate e gli effetti reali sui diritti degli interessati, potrebbe rappresentare una soluzione. In tal modo si riuscirebbe a fare una distinzione tra le situazioni ad alto rischio, che richiedono un atteggiamento restrittivo, e quelle a basso rischio, che potrebbero godere di un regime più flessibile.
L’utilizzo dei dati biometrici rappresenta indubbiamente una delle sfide più complesse dell’attuale panorama giuridico. Accantonare il problema non soddisfa in alcun modo le richieste sempre più stringenti che provengono dal mondo del lavoro. Sarà necessario colmare quanto prima il vuoto normativo creatosi, intervenendo con competenza tecnica, visione strategica ma, soprattutto, la volontà di raggiungere un risultato che soddisfi l’interesse generale della società digitale.
