Il numero di dispositivi in grado di trattare dati biometrici è aumentato negli ultimi anni ad una velocità vertiginosa: dagli smartphone alla videosorveglianza intelligente con funzionalità di riconoscimento, passando per i wearable device, sempre più strumenti sono in grado di rilevare caratteristiche fisiche, fisiologiche o comportamentali che consentono l’identificazione univoca degli interessati. Ma quali sono i requisiti che un titolare deve soddisfare per poter raccogliere e trattare tali tipi di dati?
Questo trattamento pone il titolare di fronte a diverse criticità: prima tra tutte, l’individuazione della corretta base giuridica da applicare, ma anche la ponderazione dell’effettiva necessità e proporzionalità del trattamento, in considerazione della sua estrema invasività e dell’(in)accuratezza dei risultati prodotti. Se infatti i processi di autenticazione all’accesso basati su password hanno un’accuratezza del 100% (la password inserita da uno specifico user può essere corretta, e l’accesso consentito, oppure non corretta, e l’accesso negato), lo stesso non vale per i sistemi biometrici, che possono presentare un numero – seppure residuale – di falsi positivi, falsi negativi e possono “confondersi” qualora sussistano determinate condizioni esterne.
Da diversi dati biometrici è possibile, inoltre, dedurre anche l’origine razziale o etnica o lo stato di salute di un individuo, ulteriori dati di natura particolare, elementi che acuiscono il rischio del trattamento senza che a ciò si accompagni una garanzia di una maggiore efficacia nei risultati attesi.
Infine, le conseguenze di un breach di dati biometrici sarebbero potenzialmente gravissime: bisogna infatti considerare che al contrario delle password tradizionali, un dato biometrico non può essere modificato né cancellato.
Dati biometrici, il quadro normativo europeo ed italiano
Entrando nel merito dell’inquadramento normativo dei dati biometrici, pare opportuno ricordare che l’articolo 9(1) GDPR prevede un divieto generale di trattamento di tale tipologia di dati, tutela rafforzata prevista in ragione della loro natura particolare, alla quale è possibile derogare solo in presenza di specifiche eccezioni. Si tratta dei casi derogatori in cui sussistono sia una valida base giuridica ai sensi dell’art. 6 del GDPR sia una delle condizioni di cui all’art. 9(2) GDPR. Le più significative tra le condizioni individuate, per un titolare privato, sono il consenso dell’interessato, l’assolvimento degli obblighi e l’esercizio dei diritti del titolare o dell’interessato in materia di diritto del lavoro, ed infine i motivi di interesse pubblico rilevante. Gli Stati membri hanno inoltre facoltà di introdurre ulteriori condizioni, anche limitative.
Le criticità del trattamento basato sul consenso esplicito
Fondare il trattamento dei dati biometrici sul consenso esplicito ex art. 9(2) lett. a GDPR solleva non poche difficoltà, in particolare nel contesto di un rapporto di lavoro – in considerazione dello squilibrio di poteri tra le parti e della presunta soggezione del dipendente al titolare-datore di lavoro, che minerebbero l’effettiva libertà del consenso. La posizione espressa dall’Autorità Garante italiana sul tema ribadisce che il consenso dei dipendenti non costituisce di regola un valido presupposto di liceità per il trattamento di dati personali effettuato in ambito lavorativo.
Nelle sue linee guida sul consenso al trattamento dei dati biometrici l’EDPB assume una posizione analoga, sostenendo però che qualora sia possibile dimostrare la libera prestazione di detto consenso, e l’assenza di conseguenze pregiudizievoli per il lavoratore nel caso di rifiuto, la base giuridica consensuale potrebbe essere ritenuta idonea anche nel contesto lavorativo. Tuttavia, in quest’ultimo caso, il dubbio che ci si pone è come sia possibile dimostrare l’effettiva necessità e proporzionalità del trattamento quando per garantire la libera prestazione del consenso dovrebbe essere assicurata un’alternativa all’interessato (v. ad esempio la posizione della CNIL sul tema dell’accesso biometrico del lavoratore). Al contrario, nei casi in cui non fosse oggettivamente possibile individuare un’alternativa idonea attraverso il ricorso a mezzi meno intrusivi, verrebbe meno il presupposto dell’effettiva possibilità di scelta, e dunque la libertà del consenso – requisito essenziale ai sensi del GDPR.
Né il difetto di base giuridica, in merito al trattamento dei dati biometrici, può essere superato dal consenso dei dipendenti posto che, come peraltro ribadito di recente dal Garante (da ultimo, provv. n. 35 del 13 febbraio 2020, doc. web n. 9285411) non costituisce, di regola, un valido presupposto di liceità per il trattamento dei dati personali in ambito lavorativo, indipendentemente dalla natura pubblica o privata del datore di lavoro (cons. n. 43; art. 4, punto 11), e art. 7, par. 3 e 4, del Regolamento; v., l’orientamento consolidato in sede europea, Gruppo di lavoro “Articolo 29”, Parere 2/2017 sul trattamento dei dati sul posto di lavoro, WP 249, p. 7 e 26 e Linee Guida sul consenso ai sensi del Regolamento UE 2016/679- WP 259- del 4 maggio 2020).
Altre deroghe al divieto di trattamento
Per quanto concerne invece l’art. 9(2) lett. b GDPR, che consente l’effettuazione dei trattamenti necessari dei dati biometrici per assolvere gli obblighi ed esercitare i diritti specifici del titolare o dell’interessato in materia di diritto del lavoro, l’attività sarà consentita solo nella misura in cui autorizzata dal diritto dell’Unione o degli Stati membri, qualora sussistano garanzie appropriate a tutela dei diritti e degli interessi dell’interessato. Potrebbero dunque emergere in tal senso specifici profili connessi alla sicurezza nell’utilizzo di macchinari pericolosi sui quali sia installato un sistema di riconoscimento biometrico al fine di impedirne l’utilizzo a soggetti non autorizzati.
I motivi di interesse pubblico rilevante ex art. 9(2) lett g GDPR, sono stati articolati dal legislatore nazionale nell’art. 2-sexies del novellato codice privacy, che delimita i presupposti di legittimità del trattamento dei dati biometrici ai soli casi nei quali sussista una specifica previsione normativa che individui puntualmente i requisiti che dovranno essere soddisfatti per poter fondare il trattamento sulla detta base giuridica.
Dati biometrici, quando si possono usare secondo la disciplina italiana
La disciplina italiana, di cui all’art. 2-septies del Codice Privacy, conferma che i dati biometrici possono essere trattati solo in presenza di una delle condizioni di cui all’art. 9(2) GDPR e integra le previsioni del Regolamento, richiedendo anche la conformità del trattamento alle Misure di garanzia disposte dal Garante.
Tali misure risultano ad oggi ancora in corso di elaborazione, essendo stato segnalato l’avvio dei lavori per la predisposizione del provvedimento nella Relazione annuale del 2019 dell’Autorità, tra gli interventi programmatici prioritari.
Lo stesso articolo 2-septies introduce poi la possibilità di utilizzare i dati biometrici con riguardo alle procedure di accesso fisico e logico ai dati da parte dei soggetti autorizzati, nel rispetto delle dette misure di garanzia e dei principi in materia di protezione dei dati personali. Il trattamento di dati biometrici è inoltre espressamente ammesso per procedure di accesso fisico a luoghi di custodia di dati genetici e di campioni biologici.
I casi esclusi del Garante Privacy italiano
Va infine ricordato che, sebbene non si riscontrino indicazioni in tal senso all’interno del Regolamento, l’Autorità italiana ha escluso esplicitamente che i dati biometrici possano essere trattati sulla base del legittimo interesse del titolare (Provvedimento 22 febbraio 2018, recante “Indicazioni preliminari di cui in motivazione volte a favorire la corretta applicazione delle disposizioni del Regolamento (UE) 2016/679)”.
In attesa dell’adozione delle misure di garanzia da parte del Garante, l’articolo 22 c. 11 del d.lgs. 101/2018 sembra suggerire la possibilità di continuare ad utilizzare i dati biometrici in conformità alle Linee guida sulla biometria adottate nel 2014, adattando la base giuridica a quella indicata dal Regolamento (UE) 2016/679. L’articolo 22 c. 11, infatti, prevede espressamente che per il trattamento dei dati biometrici e genetici, le norme esistenti continuano a trovare applicazione in quanto compatibili, sino all’adozione delle misure di garanzia da parte del Garante.
L’invasività del trattamento e la tecnologia utilizzata richiedono, inoltre, lo svolgimento di una Valutazione d’impatto (DPIA) ai sensi dell’art. 35 GDPR, al fine di valutare e minimizzare i rischi connessi al trattamento, in ossequio ai principi di minimizzazione e proporzionalità del trattamento.
Dati biometrici e lavoro: rilevazione degli accessi dei dipendenti
L’EDPS (European Data Protection Supervisor, Autorità indipendente europea per la protezione dei dati) ha considerato non conforme al principio di proporzionalità l’utilizzo dei dati biometrici dei propri lavoratori per finalità di controllo degli accessi e degli orari di lavoro: ciò in ragione del fatto che la medesima finalità poteva essere soddisfatta attraverso modalità altrettanto efficaci e meno invasive (sign-in, fogli di presenza, utilizzo dei badge). Non è infatti sufficiente interrogarsi in astratto sull’accuratezza del dispositivo, ma è indispensabile valutare la necessità e la proporzionalità del trattamento, al fine di confermarne la liceità.
L’utilizzo di dati biometrici nel contesto lavorativo è stato in passato autorizzato in determinati casi dal Garante Privacy italiano nel proprio Provvedimento generale prescrittivo in tema di biometria, tenuto conto delle finalità e del contesto del trattamento ed in particolare per presidiare l’accesso a locali di particolare criticità in relazione alle attività svolte. Secondo gli esempi dell’Autorità stessa, in caso di processi produttivi pericolosi, sottoposti a segreti di varia natura, o tutela di locali destinati alla custodia di beni, documenti segreti o riservati o oggetti di valore (ad esempio, banche o aeroporti).
Un ulteriore profilo di liceità era stato inoltre individuato in altra sede dall’Autorità in relazione al trattamento attuato al fine di controllare la presenza sul luogo di lavoro e l’osservanza degli orari da parte di dipendenti in regime alternativo alla detenzione, al fine di preservare la società da possibili responsabilità ed in ragione del particolare contesto socio-economico ad elevato rischio di criminalità organizzata.
Dati biometrici e rilevazione delle presenze nella PA
Nella già richiamata Relazione annuale del 2019, è stato poi oggetto di analisi da parte dell’Autorità il trattamento dei dati biometrici contestuale all’utilizzo di sistemi di videosorveglianza per finalità di rilevazione delle presenze dei dipendenti pubblici (misure di contrasto dell’assenteismo), in merito al quale venivano espresse diverse riserve da parte del Garante. Si richiedeva infatti di evitare l’uso simultaneo di più sistemi di rilevazione e di adottare misure biometriche solo nel caso in cui altri sistemi di rilevazione non risultassero adeguati, legando inoltre l’adozione di tali tecnologie a specifici fattori di rischio o particolari presupposti, in ragione dell’invasività dei sistemi di controllo di natura biometrica – ciò al fine di evitarne l’attuazione a prescindere da qualsiasi esigenza concreta e specifica in tal senso.
In conclusione, nella Relazione il Garante segnalava che allo stato attuale il quadro normativo non consente al datore di lavoro il trattamento dei dati biometrici dei dipendenti per la finalità di rilevazione delle presenze: l’utilizzo di un sistema biometrico è infatti una misura che, soprattutto in assenza di particolari esigenze di sicurezza o di elevati rischi che giustifichino il passaggio dall’utilizzo del badge all’utilizzo del riconoscimento biometrico per accedere agli edifici di pertinenza aziendale, sembra preferibile evitare, in un’ottica di proporzionalità del trattamento.
Sanzionata un’azienda sanitaria provinciale italiana
Tale impostazione è stata confermata dal Garante anche in un recente provvedimento sanzionatorio, emesso nei confronti di un ente che effettuava trattamenti di dati biometrici in maniera non conforme alle previsioni normative.
L’azienda sanitaria provinciale (ASP) di Enna è stata infatti sanzionata per un importo di 30.000 euro per l’illecito utilizzo di un sistema di rilevazione delle presenze, strutturato in modo tale da trattare l’impronta digitale di oltre 2000 dipendenti e collaboratori dell’ASP. Nel caso di specie, l’Autorità ha ritenuto carente la base giuridica a legittimazione del trattamento.
La verifica dell’identità del dipendente e la trasmissione del numero di matricola, della data e dell’ora di timbratura della presenza al sistema di gestione preposto risultavano inoltre secondo il parere del Garante finalità palesemente sproporzionate rispetto alla tipologia e alla quantità di dati personali raccolti attraverso il confronto tra il modello biometrico precedentemente registrato in forma crittografata sul badge dell’utente e l’impronta digitale raccolta al momento del rilevamento della presenza. Altri sistemi, meno invasivi della raccolta dei dati biometrici, avrebbero potuto assicurare una verifica altrettanto attendibile delle presenze e degli orari lavorativi dei dipendenti, rendendo superfluo il trattamento di dati biometrici.
Farebbero eccezione, per l’Autorità, esclusivamente delle limitate ipotesi nelle quali – sussistendo obbiettive e documentate esigenze – il contesto socio-economico di riferimento renderebbe assolutamente indispensabile l’effettuazione del trattamento mediante la raccolta di dati biometrici per assicurare il perseguimento della finalità determinata.
Il Garante ha inoltre confermato l’inammissibilità di una base giuridica consensuale nel caso di specie: ciò in ragione del richiamato squilibrio di poteri nel rapporto dipendente-datore di lavoro.
Il trattamento di dati biometrici nei provvedimenti di altre Autorità europee
L’UODO (Urzędu Ochrony Danych Osobowych, Autorità polacca per la protezione dei dati), l’Autoriteit Persoonsgegevens (Paesi Bassi) e l’AEPD hanno avuto modo di approfondire il delicato tema del trattamento di dati biometrici, rispettivamente nel contesto di un provvedimento sanzionatorio, un avviso formale e di accertamenti nei confronti di società che hanno effettuato tale attività.
In particolare, il caso polacco ha riguardato il trattamento di dati biometrici di bambini, da parte di una scuola, per la verifica dell’avvenuto pagamento del servizio di ristorazione: all’ingresso della mensa scolastica, un lettore biometrico verificava l’identità degli alunni e la loro idoneità a fruire del servizio. Sebbene il trattamento avvenisse sulla base del consenso dei genitori, e nonostante fosse possibile in caso di dissenso avvalersi di un metodo di identificazione alternativo, l’Autorità ha ritenuto che il trattamento fosse illegittimo: ciò in quanto non essenziale per il raggiungimento della finalità, ma anzi del tutto sproporzionato.
L’Autorità olandese ha invece pronunciato un formal warning nei confronti di un supermercato, che aveva installato un sistema di videocamere con riconoscimento facciale finalizzato alla tutela del personale e alla prevenzione di furti all’interno dei propri centri. Il sistema era connesso ad un database di volti di persone “bandite” dal negozio: il suo corretto funzionamento richiedeva una rapida scansione dei volti di tutti i clienti che entravano nel negozio. Escludendosi l’applicabilità della base giuridica consensuale – alla quale il titolare del supermercato aveva provato ad appigliarsi sostenendo che i clienti erano avvisati all’ingresso del negozio, ma inidonea in ragione del fatto che un silenzio non può costituire consenso, tantomeno esplicito – l’Autorità ricordava come nella disciplina nazionale le uniche altre eccezioni al divieto di trattamento di dati biometrici fossero la necessità di autenticazione e la finalità di sicurezza, ma solo nella misura in cui sussistesse un interesse pubblico sostanziale. L’unico esempio fornito dalla legge olandese in tal senso è legato alla sicurezza di impianti nucleari – ambito evidentemente molto più critico.
Infine, anche l’AEPD spagnolo ha segnalato degli accertamenti in corso in merito ad un analogo trattamento, attuato da una nota catena di supermercati che si è avvalsa di tecnologie di ultima generazione per tutelare l’integrità del proprio patrimonio aziendale.
Conclusioni: sui dati biometrici occorre cautela
La valutazione della legittimità di un trattamento di dati biometrici, nell’attesa della pubblicazione delle Misure di garanzia da parte del Garante, deve essere effettuata con estrema cautela: in primo luogo, attraverso un’accurata ponderazione in merito all’effettiva sussistenza in capo al titolare di un’idonea base giuridica per l’effettuazione del trattamento, che tenga conto della reale necessità, proporzionalità e adeguatezza dello stesso, nonché tramite l’implementazione di misure di sicurezza atte a tutelare i dati raccolti. Le ipotesi in cui tali condizioni si verificano sembrano essere ad oggi un numero esiguo.
Si ricorda infine che i trattamenti di dati biometrici per il riconoscimento facciale anche mediante sistemi di videosorveglianza sono stati individuati tra i profili di interesse generale nel perimetro dell’attività ispettiva del Garante per il primo semestre del 2021.
