Dati genetici e biometrici, manca all’appello l’intervento del Garante

Il GDPR prevede anche “misure di garanzia” per il trattamento dei dati genetici, biometrici e relativi alla salute in ambito sanità digitale.

Vediamo il quadro in Italia in attesa che il Garante proceda alle valutazioni del caso per chiudere questo passaggio.

Dati biometrici e genetici, il tema della definizione

Negli ultimi anni si sente parlare sempre più spesso di dati genetici e biometrici per il loro peculiare utilizzo nel mondo della ricerca scientifica e nel più grande universo del progresso tecnologico^[1], e a causa del veloce sviluppo dei suddetti campi, risulta difficile definirli.

Nel contesto italiano è stata fornita, nel febbraio 2007, una prima definizione di dati genetici dall’Autorità Garante per la protezione dei dati personali, d’ora in avanti anche Autorità Garante, il quale aveva stabilito che è dato genetico «il dato che, indipendentemente dalla tipologia, riguarda la costituzione genotipica di un individuo, ovvero i caratteri genetici trasmissibili nell’ambito di un gruppo di individui legati da vincoli di parentela»^[2]. Già il Consiglio d’Europa nel 1997 nella Raccomandazione n. R(97)5^[3] e l’Unesco nel 2003 nella Dichiarazione internazionale sui dati genetici umani, del 16 ottobre 2003, avevano provveduto ad elaborare una propria definizione in merito, le quali, anche se divergenti, presentavano delle caratteristiche comuni.

L’incertezza definitoria era presente anche per i dati biometrici, poiché differenti definizioni erano state fornite dal Comitato nazionale per la bioetica nel 2010^[4], il Gruppo di lavoro WP29 e dalla stessa Autorità Garante per la protezione dei dati personali nel 2014^[5].

Solamente con il testo del Regolamento UE 2016/679 si è avuta una definizione giuridica di dati genetici e dati biometrici. L’art. 4.13 e 4.14 definisce, infatti, dati genetici “i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione”, e dati biometrici “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.

Categorie particolari di dati nel GDPR

La normativa comunitaria, oltre a fornire una precisa definizione, ricomprende anche il trattamento dei dati genetici e biometrici nelle disposizioni di cui all’art. 9, rubricato “Trattamento di categorie particolari di dati personali”. Oltre alle loro specificità, i dati in questione hanno delle caratteristiche tali da identificare in modo univoco una persona fisica^[6].

L’unicità di tali dati permette che il loro impiego possa rendere più semplice il vivere quotidiano, si pensi ad esempio all’utilizzo dei dati biometrici per l’accesso a luoghi di lavoro riservati^[7] oppure al loro utilizzo come misura di sicurezza per i dispositivi elettronici (sbloccare lo smartphone e/o il tablet con l’impronta digitale e/o attraverso il riconoscimento facciale). Però, attraverso l’adozione illimitata di tali comportamenti gli stessi interessati potrebbero diventare insensibili agli effetti che il trattamento dei dati particolari possa avere sulla loro vita, perché sono solo ed immediatamente evidenti le agevolazioni nella quotidianità^[8].

I dati genetici e biometrici nel GDPR

Nelle operazioni di trattamento dei dati genetici e biometrici è necessario e doveroso che il titolare del trattamento consideri l’applicazione dei principi di necessità, proporzionalità e minimizzazione dei dati, esplicitamente previsti dall’art. 5 del GDPR e valuti quali sono le misure tecniche e di sicurezza da applicare, affinché sia garantita una adeguata protezione dei dati^[9].

In virtù di quanto previsto dal Codice privacy novellato, il trattamento dei dati genetici e biometrici può avvenire se il trattamento è conforme alle regole deontologiche e alle misure di garanzia disposte dall’Autorità Garante, ossia di strumenti di soft law introdotti dal legislatore italiano in virtù della riserva a lui riconosciuta con specifico riferimento alle categorie particolari di dati.

Nel concreto si tratta di linee guida, autorizzazioni e provvedimenti che determinano il corretto e lecito trattamento di tali dati particolari ed individuano anche le misure di sicurezza che devono essere adottate^[10]. Bisogna considerare che l’osservanza delle regole deontologiche è fondamentale per la liceità e la correttezza del trattamento dei dati personali quindi una loro violazione comporta l’illiceità del trattamento delle categorie particolari di dati personali, tra i quali i dati genetici e biometrici.

In merito all’adozione delle misure di garanzia, l’Autorità Garante dovrà necessariamente tener conto dello stato dell’arte, dell’evoluzione tecnologica e scientifica e dell’orientamento europeo, in particolare considerando le linee guida e le raccomandazioni adottate dal Comitato europeo per la protezione dei dati, sempre nel rispetto del principio della libera circolazione dei dati nell’Unione europea^[11].

Misure di garanzia, serve consultazione pubblica

Inoltre, considerata la particolarità dei dati genetici e biometrici, le misure di garanzie dovranno essere sottoposte a consultazione pubblica per permettere alle categorie interessate di offrire dei suggerimenti pratici e/o delle peculiarità rispetto alle diverse possibilità di trattamento dei dati in questione. È infatti previsto il parere del Ministero della salute e del Consiglio superiore di Sanità qualora il trattamento avesse le finalità di prevenzione, diagnosi e cura.

Rispetto al contenuto, le misure di garanzia oltre ad essere soggette ai principi generali del trattamento sanciti dal GDPR dovrebbero stabilire ulteriori condizioni che ne consentono il trattamento.

Un’ultima considerazione riguarda l’utilizzo del trattamento dei dati biometrici per l’accesso fisico e logico ad aree riservate. Il legislatore italiano, infatti, stabilisce che ciò possa avvenire purché tali operazioni di trattamento avvengano secondo legge, ossia, che siano presenti misure di sicurezza adeguate a tutelare le identità delle persone fisiche alle quali tali caratteristiche biometriche e quindi tali dati siano riferite.

Il testo del Codice privacy novellato recepisce appieno la logica del GDPR poiché è evidente il lavoro proattivo del titolare che deve compiere le valutazioni rispetto all’impiego delle misure di sicurezza. Ad oggi non è presente un riferimento preciso, infatti bisognerà attendere che l’Autorità Garante lavori nel concreto per sapere quale sarà il contenuto delle stesse misure di garanzia previste all’art. 2- septies del Codice privacy^[12].

1. A. Iannuzzi e F. Filosa, Il trattamento dei dati genetici e biometrici, in S. Scagliarini (a cura di), Il “nuovo” codice in materia di protezione dei dati personali. La normativa italiana dopo il d. lgs. 101/2018, Giappichelli, Torino, 2019 e in Dirittifondamentali.it -Fascicolo 2/2019. ↑
2. Autorizzazione al trattamento dei dati genetici, 22 febbraio 2007, doc. web n. 1389918, reperibile su www.gpdp.it e pubblicato in Gazzetta Ufficiale n. 65 del 19 marzo 2007. ↑
3. Raccomandazione n. R (97) 5 del Comitato dei ministri agli stati membri, relativa alla protezione dei dati sanitari, (adottata dal Comitato dei ministri il 13 febbraio 1997). ↑
4. Secondo il Comitato Nazionale per la Bioetica, la biometria, e quindi i dati biometrici sono considerati una nuova tecnica «di identificazione o “misurazione” dell’essere umano attraverso la rilevazione di determinate caratteristiche fisiche e comportamentali che vengono tradotte in sequenze matematiche e conservate in banche dati elettroniche». ↑
5. L’Autorità Garante nelle Linee guida in materia di riconoscimento biometrico e firma grafometrica, ha ripreso la descrizione di dati biometrici fornita nel Parere 3/2012 del Gruppo di lavoro WP29, identificando i dati biometrici quelli ricavati da «proprietà biologiche, aspetti comportamentali, caratteristiche fisiologiche, tratti biologici o azioni ripetibili laddove tali caratteristiche o azioni sono tanto proprie di un certo individuo quanto misurabili, anche se i metodi usati nella pratica per misurarli tecnicamente comportano un certo grado di probabilità». ↑
6. Art. 9, par. 1, del GDPR. ↑
7. Autorità Garante per la protezione dei dati personali, Linee guida in materia di riconoscimento biometrico e firma grafometrica, allegato A al Provvedimento del Garante del 12 novembre 2014, reperibile in www.gpdp.it, doc web n. 3563006. ↑
8. A. Iannuzzi, F. Filosa, op. cit. ↑
9. La valutazione in questione deve essere compiuta dal titolare del trattamento, il quale, nel rispetto del principio di accountability, deve essere il grado di proteggere i dati dal momento della progettazione del trattamento, Privacy by Design, così come disciplinato dall’art. 25 del GDPR. ↑
10. A. Iannuzzi, F. Filosa, op. cit. ↑
11. Il testo del GDPR, esplicitando già nel titolo della normativa europea la libera circolazione dei dati, non vuole essere restrittivo, ma mira a garantire la tutela dei dati anche in un contesto più ampio, quale potrebbe essere quello internazionale. ↑
12. L. Greco, Sanità e protezione dei dati personali, in G. Finocchiaro (a cura di), La protezione dei dati personali in Italia: Regolamento UE n. 2016/679 e d. lgs. 10 agosto 2018, n. 101, Bologna, Zanichelli, 2019. ↑