Definizione e disciplina nel GDPR

686 _{WP29, parere 4/2007, cit., 8; DUCATO,I dati biometrici, cit., 1302.}

687 _{“Peculiarità dei dati biometrici è che li si può considerare sia come contenuto delle informazioni su una particolare persona}

(Tizio ha queste impronte digitali), sia come elemento atto a stabilire un collegamento tra un’informazione e una persona (questo oggetto è stato toccato da qualcuno che ha queste impronte digitali e queste impronte corrispondono a Tizio; quindi questo oggetto è stato toccato da Tizio)”, WP29, parere 4/2007, cit., 2; BOLOGNINI,PELINO,Dato personale e trattamento, cit., 54;

DUCATO,I dati biometrici, cit., 1302.

688 _{Art. 29 WP, Parere 3/2012 sugli sviluppi nelle tecnologie biometriche, cit., 9.}

689 _{A titolo esemplificativo si v. EDPS, Parere sulla proposta di decisione del Consiglio sull’istituzione, l’esercizio e l’uso di}

del sistema di informazione Schengen di seconda generazione (SIS II) (COM(2005)230 defin.).

690 _{Ibidem; DUCATO,I dati biometrici, cit., 1303.}

691 _{“Biometric data uniquely identifying a person”, art.6, Convenzione 108+; ROUVROY, “Of Data and Men”: Funda-}

mental Rights and Freedoms in a World of Big Data, cit., 27.

692 _{Riguardo alla finalità identificativa, Ducato precisa che “la definizione del WP29 non fa riferimento espressamente}

ala finalità identificativa. Tuttavia, sia l’ambito del documento di lavoro del 2003 che del parere 3/2012 è quello dell’impiego delle tecnologie biometriche proprio nel campo dell’identificazione e autenticazione. Il riferimento, pertanto, è ricavabile dall’ambito applicativo dei due documenti”. Cfr. DUCATO,I dati biometrici, cit., 1304 (nota 88).

Sull’interpretazione giuridica della nozione di dato biometrico ora descritta si innesta l’articolo 4.1.14 del Regolamento, che per la prima volta presenta un’esplicita definizione: “«dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici”.

Il legislatore europeo riprende così i punti essenziali già emersi in precedenza in via interpretativa. L’informazione deve essere relativa alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica. Tuttavia, questo è criterio necessario, ma non suffi- ciente: tale informazione deve essere ottenuta attraverso uno specifico procedimento che comporti l’identificazione o verificazione univoca dell’individuo. In continuità con quanto già teorizzato negli anni precedenti, il dato biometrico è tale solo se deriva dall’elaborazione di un sistema biometrico e se presenta una finalità identificativa o di verifica693 (in cui è con- testualizzato il trattamento)694_{. In merito all’inciso finale relativo all’immagine facciale e ai}

dati dattiloscopici, si deve richiamare il considerando 51 del GDPR, che porta l’esempio concreto delle fotografie, le quali saranno da considerarsi dato biometrico solo “quando sa- ranno trattate attraverso un dispositivo tecnico specifico che consente l'identificazione univoca o l'autentica- zione di una persona fisica”.

Pertanto, alla luce della definizione del Regolamento, gli elementi che connotano il dato biometrico possono essere così schematizzati695_{: (i) tipologia di utilizzo: impiego come}

identificativi esclusivi; (ii) funzione: identificazione e autenticazione; (iii) fonte: caratteristiche fisiche, fisiologiche o comportamentali della persona; (iv) oggetto: informazioni uniche sulla persona da cui sono estratte, ottenute con particolari tecniche di misurazione e analisi ma- tematica.

Per quanto riguarda la collocazione sistematica del dato biometrico, il Regolamento lo riconduce tra le categorie particolari di dati ex articolo 9696, il quale, però, non si limita a richiamare la nozione ex articolo 4.1.14, bensì specifica che il dato biometrico dovrà essere inteso “a identificare in modo univoco una persona fisica”697_{. In tal modo, la tutela propria delle ca-}

693 _{L’inciso “confermano l’identificazione” corrisponde alla nozione tecnica di verifica: “biometric verification: process of}

confirming a biometric claim through biometric comparison”, si v. punto 3.8.3, ISO/IEC 2382-37:2017. Il legislatore

preferisce al termine “autenticazione” quello di “conferma dell’identificazione”, pur introducendo un elemen- to di ambiguità al considerando 51 dove torna a far riferimento all’autenticazione. Cfr. Ibidem, 1308

694 _{Ibidem, 1309.}

695 _{Si riprende il modello utilizzato in BOLOGNINI,PELINO,Dato personale e trattamento, cit., 70.}

696 _{Per la disciplina riservata dal Regolamento alle categorie particolari di dati si v. Capitolo 1, paragrafi 1.5,}

1.6, 1.6.1.

132

tegorie particolari di dati sembra accordata ai dati biometrici solo parzialmente sulla base della finalità per cui sono impiegati, lasciando fuori, ad esempio, quelli destinati alla verifica dell’identificazione o a finalità di ricerca698_{. Eppure, una simile lettura della norma sembra}

non prendere in considerazione l’essenza stessa del dato biometrico, ossia la sua connatura- ta attitudine identificativa: anche se trattato per finalità diverse, ciò non elimina la sua po- tenzialità identificativa né il rischio di un possibile riutilizzo a questo fine699_{. Tale discorso}

assume rilievo ancor maggiore se riferito ai pericoli relativi ai possibili esiti di processi deci- sionali automatizzati basati sui dati biometrici - si pensi agli esempi già ampiamente analiz- zati di price discrimination e behavioural discrimination basati sull’inferenza di emozioni e dati sa- nitari a partire dall’analisi della voce dell’utilizzatore di un assistente vocale700_{. Dal momento}

che il fine del legislatore è quello di tutelare con maggior intensità l’interessato in caso di rischi significativi per i suoi diritti e libertà fondamentali, parrebbe opportuno estendere ai dati biometrici così come definiti all’articolo 4.1.14 la protezione assicurata alle categorie particolari di dati, indipendentemente dalle finalità per cui sono utilizzati701_.

Al fine di ottenere un quadro completo della disciplina riservata al trattamento di dati biometrici, devono essere presi in considerazione anche gli interventi a livello nazionale ad opera del Garante e del legislatore. Nel primo caso, l’articolo 35.4 del Regolamento dispone che l’autorità di controllo rediga, renda pubblico e comunichi al Comitato europeo per la protezione dei dati un elenco delle tipologie di trattamento soggette a valutazione d’impatto. Il Garante italiano in un primo momento aveva incluso nella lista i trattamenti sistematici di dati biometrici senza ulteriori specificazioni702_{; in risposta alla comunicazione}

dell’elenco, tuttavia, il Comitato europeo ha osservato che il trattamento di dati biometrici per se non implica necessariamente un rischio elevato per i diritti e le libertà fondamentali dell’interessato, e ha precisato che “the processing of biometric data for the purpose of uniquely iden- tifying a natural person in conjunction with at least one other criterion requires a DPIA to be carried

698 _{DUCATO,I dati biometrici, cit., 1311.} 699 _Ibidem.

700 _{Cfr. Capitolo 2, paragrafi 2.2, 2.3.}

701 _{L’opportunità di un’interpretazione teleologica piuttosto che letterale è sottolineata da Ducato, si v. DUCA-}

TO,I dati biometrici, cit., 1321. Un’interpretazione differente (ma con i medesimi esiti) è supportata da alcuni

autori che vedono nella finalità di identificazione univoca della persona fisica (ex articolo 9.1) un riferimento al concetto di riconoscimento biometrico che comprende tanto l’identificazione quanto la verifica dell’identità. Cfr. C.JASSERAND, Legal Nature of Biometric Data: From Generic Personal Data to Sensitive Data, in

European Data Protection Law Review, Vol. 2, No. 3., 297-311 (2016), disponibile al sito:

https://www.researchgate.net/publication/308890225_Legal_Nature_of_Biometric_Data_From_'Generic'_P ersonal_Data_to_Sensitive_Data'.

702 _{Garante per la Protezione dei Dati Personali, Allegato 1, Elenco delle tipologie di trattamenti, soggetti al}

meccanismo di coerenza, da sottoporre a valutazione d’impatto ai sensi dell’art.35, comma 4, del Regolamen- to (UE) n.2016/679, 11 ottobre 2018, in G.U. n. 269 del 19 novembre 2018, doc. web n. 9058979.

out”703. Recependo tali indicazioni, il Garante ha chiarito che la valutazione d’impatto dovrà essere compiuta laddove i dati biometrici siano trattati per identificare univocamente una persona fisica704_.

Il legislatore nazionale, invece, è intervenuto in forza dell’articolo 9.4 del Regolamen- to secondo cui “gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limita- zioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute”. Così, l’articolo 2-septies del Codice Privacy dispone che il trattamento dei dati biometrici sarà ammesso qualora ricorra una delle condizioni di cui all’articolo 9.2 del GDPR, e in ogni ca- so dovrà conformarsi alle misure di garanzia predisposte dal Garante con apposito provve- dimento705_{, che sarà adottato con cadenza almeno biennale e a seguito di consultazione}

pubblica706_{. Le misure di garanzia così adottate potranno individuare ulteriori condizioni}

idonee a legittimare il trattamento e stabiliranno le misure di sicurezza per garantire i diritti dell’interessato707_{. Infine, il comma 7 prevede che, “nel rispetto dei principi in materia di protezio-}

ne dei dati personali, con riferimento agli obblighi di cui all'articolo 32 del Regolamento, è ammesso l'uti- lizzo dei dati biometrici con riguardo alle procedure di accesso fisico e logico ai dati da parte dei soggetti au- torizzati, nel rispetto delle misure di garanzia di cui al presente articolo”. Dall’articolo 2-septies del Codice Privacy, dunque, emerge nuovamente l’ambivalenza del dato biometrico, dato parti- colare che richiede specifiche misure di sicurezza, ma anche potenziale misura di sicurezza esso stesso.