2020-01-Mondo-Privacy-Riconoscimento-facciale-dati-biometrici

Privacy e biometria: il riconoscimento facciale e vocale

Il tempo è tiranno. Si sa! La frenesia degli eventi e soprattutto dei cambiamenti nonché lo spasmodico utilizzo di nuove tecnologie ci porta a concepire il tempo come un bene tanto prezioso quanto labile.

I mezzi che utilizziamo per assumere decisioni devono quindi stare al passo con la tecnologia e con i tempi  dettati dalla società odierna, dai mass media, dai colossi aziendali tra cui Google, Apple, Microsoft e Facebook.

Che cosa ci permette di fare il riconoscimento facciale o vocale?

  • Sbloccare il nostro smartphone;
  • Scaricare un App;
  • Accedere ad aree riservate

Niente più perdite di tempo per inserire PIN o password combinati alla username. Meglio fornire i nostri dati biometrici affinché il semplice sguardo o il timbro vocale possano agevolmente permetterci di chattare, lavorare o giocare. 

Ma qual è il prezzo da pagare? Dove vanno a finire e come vengono trattati i nostri dati biometrici? Ve lo siete mai chiesti?

Che cos’è il dato biometrico?

Il dato biometrico è quel dato personale particolare (sensibile) in grado di identificare univocamente una persona, mediante l’utilizzo di mezzi tecnici in grado di analizzare caratteristiche fisiche, fisiologiche o comportamentali (art. 4 del GDPR).

Il dato biometrico rientra nella più ampia categorie dei dati personali particolari disciplinati dall’art. 9 del GDPR che, per definizione, afferiscono la sfera più intima di un soggetto.

L’impronta digitale, la retina dell’occhio, il colore e la dimensione dell’iride, la fisionomia del volto, il timbro vocale ne sono degli esempi.

Tra dati biometrici e GDPR 

L’importanza e la conseguente necessità di tutela e protezione dei dati biometrici è stata colta dal Gruppo di lavoro ex art. 29 (oggi European Data Protection Board) e dal Garante Privacy, ancora prima del Regolamento Europeo.

Con il provvedimento 513 del 12 novembre 2014 e le relative linee guida,  il Garante ha tentato di fornire “un primo quadro unitario di misure e accorgimenti di carattere tecnico, organizzativo e procedurale per accrescere i livelli di sicurezza dei trattamenti biometrici”.

Dal 2014 ad oggi ci sono stati degli ulteriori passi in avanti.

Il Regolamento 2016/679 ha fornito una definizione propria di dato biometrico (art. 4 del GDPR), ha stabilito casi specifici in presenza dei quali è possibile trattare dati particolari (tra cui rientrano i dati biometrici – art. 9 del GDPR) ed ha individuato, seppur in modo generico,  le misure di sicurezza.

In aggiunta, l’art. 2 septies del D.lgs 196/2003, così come modificato dal D.lgs 101/2018, ha preannunciato che i dati biometrici dovranno essere trattati in base alle misure di sicurezza che saranno disposte dal Garante con provvedimenti biennali. In attesa, restano valide le generiche misure di sicurezza del GDPR e del Codice Privacy (purché compatibili).

Andando ad approfondire l’analisi delle misure di sicurezza da adottare per proteggere correttamente i dati biometrici forniti è necessario assumere un approccio basato sul rischio (risk approach).

L’identificazione facciale e vocale rappresentano alcuni dei sistemi di autenticazione al pari della password, seppur con differenze in termini di rischi legati alla riservatezza, smarrimento, furto, dimenticanza e alterazioni accidentali.

Tra queste misure si può citare sicuramente la pseudonimizzazione che comporta la separazione dei dati identificativi degli utenti da quelli biometrici; utilizzo di strumenti crittografici e database cifrati; accesso ristretto alle solo personale adibito al trattamento che dovrà essere debitamente istruito (art. 29 del GDPR) e adeguatamente valutato assumendo la qualifica di Amministratore di Sistema.

Non dimentichiamo poi, oltre alla valutazione dei rischi, la necessità di una ponderata e minuziosa valutazione della necessità e proporzionalità del trattamento (che impone la raccolta dei soli dati necessari in funzione del trattamento svolto) nonché la necessità di stabilire i termini di conservazione dei dati e di cancellazione.

A che cosa bisogna fare attenzione quando si parla di dati biometrici

Un occhio di riguardo deve aversi anche in ordine alla base giuridica su cui basare il trattamento di dati biometrici.

Occhio ad avvalersi impropriamente del legittimo interesse o del consenso poiché potrebbero risultare inadeguati o insufficienti.

Ne è un esempio il caso della scuola svedese sanzionata per 20 mila euro per aver richiesto il consenso ai genitori degli studenti necessario ad introdurre un sistema di riconoscimento facciale al fine di verificarne la presenza a scuola.

L’impatto sociale è sempre più prorompente. Lo testimoniano le parole della Vicepresidente Jourová ed il Commissario Reynders che, nella giornata di ieri dedicata alla protezione dei dati, affermano “I dati stanno diventando sempre più importanti per l’economia e la vita quotidiana”.

Mondo Privacy ne è ben consapevole!

Hai bisogno di supporto per tutelare i tuoi dati personali e quelli della tua azienda? Contattaci!

Graziella G

About Graziella G

Laureata in legge, Graziella si è specializzata nell’ambito della protezione dei dati. Grazie ad un approccio legale è in grado di offrire soluzioni e risposte puntuali, precise e sempre al passo con i continui cambiamenti normativi. Al contempo, forte della quotidiana esperienza sul campo, ha la capacità di coniugare un approccio pragmatico, in linea con le esigenze del Cliente.