Oggi le nuove tecnologie legate al settore dell’informazione e della comunicazione permettono di eseguire con facilità trattamenti tecnici su immagini da cui è possibile ricavare dati biometrici volti a identificare in maniera inequivocabile una persona fisica.

Banalmente le impronte digitali sono diventate uno strumento di uso comune per l’attivazione di dispositivi elettronici e smartphone.

Più recente è invece l’impiego di tecnologie dedicate al riconoscimento facciale e della struttura vascolare dell’occhio o del palmo delle mani, così come alla scansione dell’iride.

Questi strumenti garantiscono un valore aggiunto in termini di sicurezza: oggi infatti è possibile assistere all’impiego massiccio del riconoscimento facciale nel contrasto della criminalità e nelle indagini giudiziarie.

Tuttavia l’utilità non prescinde da eventuali criticità legate all’affidabilità di tali sistemi e a quelli che possono essere i rischi per la privacy dei cittadini, ancor di più se l’impiego dei dati biometrici avviene nel contesto scolastico.

Lo stesso Garante della Privacy ha infatti posto il divieto assoluto “dell’introduzione sistematica, generalizzata e indifferenziata per tutte le Pubbliche Amministrazioni di sistemi di rilevazione biometrica…”, prevedendo solo limitatissime ipotesi di deroga “in presenza di fattori di rischio specifici o in presenza di particolari presupposti, quali la dimensione dell’ente, il numero di dipendenti coinvolti e il contesto ambientale”.

Che cosa sono i dati biometrici e quali sono le limitazioni per il loro utilizzo

Con l’entrata in vigore del GDPR, unitamente al crescente sviluppo della nuove tecnologie e alle relative applicazioni all’interno dei vari contesti sociali, sempre più frequente è divenuto l’impiego di strumenti in grado di rilevare i dati biometrici.

L’art. 4 del Regolamento Europeo definisce i dati biometrici “dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quale l’immagine facciale o i dati dattiloscopici”.

A fronte di tale definizione, è utile esaminare quali siano i limiti legati all’utilizzo degli stessi, e quali le disposizioni della normativa europea.

L’art. 9 del GDPR, al par.1, stabilisce un divieto generale nel trattamento dei “dati biometrici intesi ad identificare in modo univoco una persona fisica”.

I dati biometrici sono infatti per loro natura – direttamente, univocamente, e in modo stabile nel tempo – collegati all’individuo, e in particolare possono indicare la relazione tra corpo, comportamento e identità del soggetto.

L’indebito utilizzo degli stessi (o l’uso di misure di protezione inadeguate) potrebbe quindi dare adito a rischi di notevole entità per i diritti e le libertà delle persone, quali ad esempio l’uso discriminatorio dei dati e furti di identità.

Deroghe al divieto di trattamento dei dati biometrici

Sono previste dal legislatore – e precisamente sancite dal par. 2 dell’art. 9 del GDPR – le seguenti deroghe al divieto sopracitato.

L’utilizzo dei dati biometrici è consentito nei seguenti casi:

  • Quando l’interessato ha prestato il proprio consenso
  • Quando il trattamento dei dati biometrici si rivela necessario per assolvere gli obblighi in materia di diritto del lavoro e della sicurezza sociale e protezione sociale
  • Quanto il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica, qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso
  • Quando il trattamento è effettuato con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro, a condizione che il trattamento riguardi unicamente soggetti che abbiano regolari contatti con la stessa, e a condizione che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato
  • Quando trattamento coinvolge dati personali resi manifestamente pubblici dall’interessato
  • Quando il trattamento si rivela necessario per accertare, esercitare o difendere un diritto in sede giudiziaria, o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali
  • Quando il trattamento è necessario per motivi di interesse pubblico nella tutela dei diritti fondamentali e degli interessi dell’interessato
  • Quando il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, fatte salve le condizioni e le garanzie esplicitate al par. 3
  • Quando il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri
  • Quando il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica, o a fini statistici, in conformità dell’art. 89, par. 1

Il D.Lgs 101/2018 legittima il trattamento dei dati biometrici in Italia nel rispetto di quanto disposto dal Regolamento Europeo, ma anche in conformità alle future “misure di sicurezza” che saranno disposte dal Garante con provvedimenti biennali.

Il futuro: trattamento dei dati biometrici in ambito scolastico

Tra le soluzioni volte al rilevamento di dati biometrici, il riconoscimento facciale è tra quelle più utilizzate per ricondurre alcune specifiche caratteristiche fisiche – in particolare il volto di un soggetto – alla propria univoca identificazione o autenticazione, mediante l’abbinamento delle suddette a modelli archiviati all’interno di un database.

La tecnologia biometrica a scansione facciale, grazie alla sua versatilità, può essere integrata ovunque sia presente un banale dispositivo fotografico.

Appare dunque interessante la possibilità dell’utilizzo della stessa quale soluzione biometrica applicata al mondo scolastico, ambito in cui il percorso di digitalizzazione si sta sviluppando in modo inarrestabile.

Il tutto ovviamente previa verifica dei presupposti sanciti dalla legge, e a seguito dell’adozione delle tutele necessarie per il trattamento dei dati acquisiti.

L’impiego dei dati biometrici impone infatti, oltre alla presenza dei presupposti legittimanti la deroga, anche un imprescindibile requisito, rappresentato dal rispetto del principio di proporzionalità di ogni categoria di dati trattati con la finalità del rispettivo trattamento.

Qualora la scuola in futuro dovesse ricorre a nuove soluzioni tecnologiche particolarmente invasive che comportano il trattamento di dati biometrici, secondo quanto impone il Regolamento Europeo dovrà valutare imprescindibili parametri ed obblighi quali:

  • Valutare l’impatto del trattamento effettuato sui diritti e le libertà delle persone, con l’obbligo di giustificare la necessità del trattamento, documentando le misure adottate per la tutela dei dati personali raccolti
  • Applicare il principio di “privacy by design” al software utilizzato allo scopo, definendo ruoli e responsabilità mediante la nomina del fornitore quale responsabile esterno del trattamento
  • Rispettare principio di “privacy by default” per quanto concerne l’accesso agli strumenti o, in caso di necessità, ai dati biometrici resi accessibili solo ad un numero di soggetti limitati
  • Adottare una specifica procedura nell’ambito dell’utilizzo del riconoscimento facciale per assolvere all’obbligo di notifica delle eventuali violazioni di dati personali (data breach) all’Autorità e ai soggetti interessati al trattamento
  • Predisporre specifiche informative privacy che contengano un chiaro riferimento a questa nuova modalità di trattamento
  • Individuare la base giuridica e una serie di finalità che legittimino il trattamento di dati biometrici
  • Adottare misure di sicurezza idonee e adeguate, che siano in grado di garantire riservatezza, integrità e disponibilità dei dati personali e biometrici degli studenti