Premessa
L’utilizzo di dispositivi e tecnologie per l’accertamento dell’identità personale nell’ambito dell’erogazione di servizi ovvero per il controllo degli ingressi a locali aziendali risulta essere una prassi diffusa.
Se è vero che l’adozione di sistemi biometrici basati sull’elaborazione dell’impronta digitale e della topografia della mano può essere consentita per limitare l’accesso ad aree e locali ritenuti sensibili in cui è necessario assicurare elevati e specifici livelli di sicurezza è pur vero che tale trattamento implica un trattamento di dati personali. Infatti, il Regolamento (UE) 679/2016 definisce i dati biometrici come “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.
Tali dati rientrano nella categoria di dati c.d. particolari, rispetto ai quali la normativa impone una specifica attenzione, pertanto è necessario porre molta attenzione alla tutela dei dati personali quando si effettua un trattamento di dati biometrici.
Ai fini della effettuazione dell’operazione di trattamento concernenti dati biometrici “privacy compliant” è necessario fondare il trattamento sui principi della Privacy by design e Privacy by default: il primo prescrive che la protezione dei dati debba avvenire fin dalla progettazione; il secondo principio statuisce che per impostazione predefinita vanno trattati solo ed esclusivamente i dati necessari al raggiungimento dello scopo evitando di raccogliere dati personali superflui. Inoltre, ai fini della implementazione di un sistema di riconoscimento biometrico, è necessario che il Titolare del trattamento individui una precisa base giuridica e che lo stesso predisponga adeguate ed indonee misure di sicurezza. Ed è questo il primo requisito per definire il trattamento del dato biometrico legittimo.
Si arriva così al secondo requisito di legittimità per il trattamento di dati biometrici: la valutazione di impatto. La normativa in materia di protezione e tutela dei dati personali, infatti statuisce – all’art. 35 del GDPR – che quando un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del trattamento effettua, prima del trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. La valutazione di impatto è essenziale perché serve a capire la necessarietà e la proporzionalità del trattamento. In particolare, bisogna prevedere in anticipo quali possono essere – in astratto – le conseguenze sui diritti e libertà delle persone fisiche interessate e adottare misure volte alla mitigazione del rischio. Di conseguenza la valutazione di impatto è obbligatoria per i Titolari del trattamento che sfruttano tecnologie biometriche.
Ulteriore requisito di fondamentale importanza è la sussistenza di una informativa chiara, precisa e soprattutto comprensibile all’interessato mediante la quale è informato – tra le altre – dell’effettuazione di tale trattamento, della condizione di legittimità, dei dati trattati, delle modalità di effettuazione del trattamento e delle tempistiche della conservazione.
In conclusione, sebbene i sistemi di riconoscimento biometrico costituiscano una adeguata misura di sicurezza volta a presidiare gli accessi ad “aree aziendali sensibili” richiedono tanto l’adozione di elevate cautele per prevenire possibili pregiudizi a danno degli interessati, con particolare riguardo a condotte illecite che determinino l’abusiva ricostruzione dell’impronta e la sua ulteriore utilizzazione quanto una accurato bilanciamento degli interessi in gioco onde valutare la necessità e la proporzionalità del trattamento ed il rispetto della cogente normativa in materia di protezione e tutela dei dati personali.
Hai bisogno di aiuto? Noi saremo lieti di aiutarTi a trovare la soluzione per la Tua realtà.
Contattaci