Il trattamento di dati biometrici dopo il decreto di adeguamento al Gdpr del Codice Privacy
Domani, 19 settembre, entrerà in vigore il Dlgs n. 101/2018, che detta disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento Ue 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
Posto che l'articolo 9, paragrafo 4, del Gdpr prevede che gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati biometrici, il Legislatore nazionale ha stabilito, con il nuovo art. 2-septies del Codice Privacy, come modificato dal Dlgs n. 101/2018, le misure di garanzia per il trattamento dei dati biometrici.
Alla luce della nuova normativa, i dati in questione possono essere oggetto di trattamento in presenza di una delle seguenti condizioni di cui al paragrafo 2 del medesimo articolo 9 del Regolamento e in conformità alle misure di garanzia disposte dal Garante con provvedimento adottato con cadenza almeno biennale e tenendo conto:
a) delle linee guida, delle raccomandazioni e delle migliori prassi pubblicate dal Comitato europeo per la protezione dei dati e delle migliori prassi in materia di trattamento dei dati personali;
b) dell'evoluzione scientifica e tecnologica nel settore oggetto delle misure;
c) dell'interesse alla libera circolazione dei dati personali nel territorio dell'Unione europea.
Le misure di garanzia dovranno essere adottate avendo riguardo alle specifiche finalità del trattamento, potranno individuare ulteriori condizioni sulla base delle quali il trattamento di tali dati sia consentito e dovranno individuare le misure di sicurezza, ivi comprese quelle tecniche di cifratura e di pseudonimizzazione, le misure di minimizzazione, le specifiche modalità per l'accesso selettivo ai dati e per rendere le informazioni agli interessati, nonché le eventuali altre misure necessarie a garantire i diritti degli interessati.
La norma stabilisce, inoltre, che, nel rispetto dei principi in materia di protezione dei dati personali, è ammesso l'utilizzo dei dati biometrici con riguardo alle procedure di accesso fisico e logico ai dati da parte dei soggetti autorizzati, nel rispetto delle misure di garanzia sopracitate.
L'articolo 22 del Dlgs n. 101/2018, al comma 11, stabilisce che le disposizioni del Codice Privacy relative al trattamento di dati biometrici continuano a trovare applicazione, in quanto compatibili con il Regolamento UE 2016/679, sino all'adozione delle sopracitate misure di garanzia.
Alla luce di quanto sopra al momento ci si chiede se, quindi, sia da ritenere ancora del tutto valido il “Provvedimento generale prescrittivo in materia di biometria” adottato dal Garante per la protezione dei dati personali il 12 novembre 2014, cui sono allegate le “Linee Guida in materia di riconoscimento biometrico e firma grafometrica” e da cui emerge un quadro semplificato per alcune specifiche tipologie di trattamento tra cui, in ambito lavorativo, viene in rilievo:
1. l'autenticazione tramite impronta digitale o emissione vocale per l'accesso a banche dati e sistemi informatici, in relazione alla quale il trattamento dei dati può essere effettuato anche senza il consenso dell'utente;
2. il trattamento delle caratteristiche dell'impronta digitale o della topografia della mano per consentire l'accesso ad aree e locali ritenuti “sensibili”, oppure per consentire l'utilizzo di apparati e macchinari pericolosi ai soli soggetti qualificati. Anche tale trattamento può essere realizzato senza il consenso dell'utente.
Più nello specifico, ci si chiede se sia ancora possibile effettuare tali trattamenti senza consenso proprio perché l'articolo 9 del Gdpr, al già citato paragrafo 2, stabilisce che il trattamento dei dati biometrici è consentito quando si verifica una delle specifiche ipotesi ivi elencate fra cui, con riferimento al caso specifico:
- quando l'interessato dia il proprio consenso esplicito;
- quando tale trattamento sia necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale;
- quando l'impiego di tali dati personali si rende necessario per proteggere un interesse vitale dell'interessato o di un'altra persona fisica, quando il soggetto cui i dati si riferiscono si trova in una situazione di incapacità, fisica o giuridica, di prestare direttamente il proprio consenso per tale utilizzo;
- quando il trattamento sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
- per motivi di interesse pubblico rilevante che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato.
Ad ogni modo si rammenta che, nel caso in cui il trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, è obbligatorio effettuare una valutazione d'impatto ex articolo 35 del Gdpr e, qualora a seguito della valutazione d'impatto si ritenesse di non essere in grado di porre in essere misure adeguate per attenuare il rischio, ci si dovrà rivolgere al Garante attraverso lo strumento della consultazione preventiva ex articolo 36 del Regolamento.
Con riferimento, infine, all'annuncio dell'attuale ministro della Pubblica amministrazione di utilizzare le impronte digitali per combattere l'assenteismo nella Pa, si rappresenta che già in diverse occasioni il nostro Garante aveva dichiarato inammissibile rilevare le presenze con l'utilizzo di dati biometrici – anche quando si trattava di un sistema di rilevazione di riconoscimento dell'impronta digitale in cui l'immagine acquisita dal terminale dell'impronta veniva memorizzata solo per il tempo necessario a creare una stringa di caratteri numerici ed immediatamente distrutta, posto che dalla stringa non era poi possibile ricostruire l'immagine dell'impronta digitale – perché, nel caso di specie, il trattamento dei dati biometrici non era conforme ai principi di necessità e proporzionalità del vecchio Codice Privacy, atteso che esistono modalità alternative per accertare con rigore l'identità dei dipendenti, ma meno problematiche per la dignità degli stessi.
In relazione ai principi di cui al Regolamento UE 2016/679 ci si chiede se tale rilevamento sia, adesso, conforme al principio di minimizzazione dei dati in virtù del quale i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.
Ad ogni modo il Ddl concretezza dovrà preliminarmente essere valutato dal Garante Privacy e questa sarà, probabilmente, l'occasione per sciogliere i vari dubbi in materia.