Dati biometrici in primo piano nello scenario tecnologico. Fa da trampolino l’ampia diffusione nei dispositivi come smartphone e tablet di software che consentono l’accesso alle relative funzioni attraverso i dati biometrici del riconoscimento facciale o delle impronte digitali o dell’iride. Ma il loro utilizzo da parte degli enti pubblici è sempre lecito, anche in presenza di esigenze di sicurezza? Il GDPR ci dice di no. Vediamo i conflitti che possono generarsi.
Il GDPR prevede il divieto di trattamento dei dati biometrici all’art. 9, paragrafo 1. D’altra parte, per tutta una serie di casi specifici, stabilisce sempre l’art. 9 al paragrafo 2, che il trattamento dei dati biometrici è consentito quando l’interessato ha prestato il proprio consenso esplicito oppure quando il trattamento è effettuato nell’ambito di rapporti di lavoro e di previdenza o nell’ambito di un procedimento giudiziario, ovvero per motivi di particolare interesse pubblico, quando l’utilizzo di tali dati è proporzionato alla finalità perseguita.
Un’ampia deroga al trattamento dei dati biometrici è prevista, poi, per il settore della sanità pubblica, quando vi sono finalità di sicurezza sanitaria, per il controllo e l’allerta, per la prevenzione o il controllo di malattie trasmissibili e, in generale, per tutelarsi da altre minacce gravi alla salute delle persone.
Dati biometrici: paletti e deroghe al trattamento
Per il nostro Garante Privacy il trattamento dei dati sulla salute è consentito in alcuni casi specifici individuati al Parag. 4 dell’art. 9 del GDPR laddove si prevede che, con riferimento al trattamento di dati genetici, biometrici o relativi alla salute, i singoli Stati possano mantenere o introdurre ulteriori condizioni e limitazioni. Nel nostro ordinamento con il D.Lgs. 101/2018 è stato previsto che spetta al Garante completare l’individuazione dei presupposti di liceità dei suddetti trattamenti, adottando specifiche misure di garanzia e promuovendo l’adozione di regole deontologiche ex artt. 2-septies e 2-quater del Codice Privacy e con il provvedimento n. 9091942 il Garante ha evidenziato che il consenso vale esclusivamente per i trattamenti strettamente afferenti alla finalità.
La decisione del Garante Italiano è in linea, sul tema della finalità del trattamento dei dati biometrici, con le decisioni del Garante privacy svedese che recentemente ha multato il Comune di Skellefteå per la somma di 200.000 SEK (circa 20.000 euro) per avere utilizzato la tecnologia di riconoscimento facciale per monitorare la frequenza degli studenti a scuola. Per il garante svedese la scuola ha “trattato” illegalmente dati biometrici sensibili in violazione dell’Art. 5 del Regolamento sulla protezione dei dati perché non ha effettuato un’adeguata valutazione dell’impatto, e non ha inteso consultare preventivamente l’Autorità Garante svedese.
La scuola aveva motivato che la consultazione preventiva era stata omessa in quanto aveva basato il trattamento dei dati biometrici sul consenso degli interessati, ma, ha ritenuto l’Autorità Garante che il consenso non è più clausola generale per trattare qualsiasi tipologia perché il consenso non è base giuridica valida dato il chiaro squilibrio tra l’interessato e il responsabile del trattamento.
I dati biometrici sono dati personali particolari che, come tali, sono estremamente meritevoli di protezione e il Garante ha ritenuto violato l’art. 5 del GDPR in quanto il trattamento dei dati biometrici degli studenti si configura come invasivo della loro integrità personale, non conforme al principio di “minimizzazione”, in quanto con il rilevamento biometrico erano state assunte informazioni personali superiori a quelle necessarie per lo scopo dichiarato, ossia il mero controllo di presenza.
Sblocca cantieri e GDPR, il punto di “scontro”
La questione si pone anche nel nostro ordinamento, non solo per il programmato controllo dei dipendenti pubblici, da parte del Dipartimento della funzione pubblica, già ritenuto esorbitante dal nostro Garante nazionale, ma anche rispetto agli ultimi provvedimenti varati dal Parlamento.
Il primo di questi provvedimenti è la Legge 14 giugno 2019, n. 55 – meglio conosciuta come “sblocca cantieri” – che per la parte relativa alla videosorveglianza a tutela dei minori e anziani prevede, all’art. 5 septies che, al fine di assicurare la più ampia tutela a favore dei minori nei servizi educativi per l’infanzia e nelle scuole dell’infanzia statali e paritarie, presso il Ministero dell’interno è istituito un fondo di 5 milioni di euro per l’anno 2019 e 15 milioni di euro per ciascuno degli anni dal 2020 al 2024, finalizzato all’erogazione a favore di ciascun comune delle risorse finanziarie occorrenti per l’installazione di sistemi di videosorveglianza a circuito chiuso presso ogni aula di ciascuna scuola nonché per l’acquisto delle apparecchiature finalizzate alla conservazione delle immagini per un periodo temporale adeguato.
L’esigenza di sicurezza è stata replicata a favore delle persone ospitate nelle strutture socio-sanitarie e socio-assistenziali per anziani e persone con disabilità con finanziamenti finalizzati all’installazione di sistemi di videosorveglianza a circuito chiuso presso ogni struttura nonché per l’acquisto delle apparecchiature volte alla conservazione delle immagini per un periodo temporale adeguato. Altro provvedimento è quello del c.d. “decreto sicurezza bis” decreto-legge 14 giugno 2019, n. 53 convertito in legge 8 agosto 2019, n. 77 che all’art. 9, in materia di protezione di dati personali e di intercettazioni, ha ripristinato l’articolo 57 del decreto legislativo 30 giugno 2003, n. 196, fino al 31 dicembre 2019, laddove era stato abrogato, a decorrere dall’8 giugno 2019, dall’articolo 49, comma 2, del decreto legislativo 18 maggio 2018, n. 51.
GDPR e dati biometrici: Italia, Svezia e Grecia
Nella situazione attuale, quindi, il provvedimento censurato dal Garante Svedese, costituisce un precedente per le attività dei Comuni italiani in tema di videosorveglianza nelle scuole e nelle strutture socio-sanitarie e socio-assistenziali per anziani in quanto l’utilizzo dei dati biometrici violerebbe l’art. 9 del GDPR, poiché sarebbe fatto senza un’idonea base giuridica e finalità di trattamento e violerebbe gli artt.35 e 36 del GDPR perché non rispetterebbe la valutazione d’impatto e, all’esito, la preventiva necessaria consultazione dell’Autorità Garante che in tema di dati biometrici è obbligatoria. A questa decisione ha fatto poi eco l’altro provvedimento, pure di recente adottato, dal Garante Ellenico che ha multato un’azienda per 150.000 euro, applicando lo stesso principio dell’art. 5 del GDPR, in quanto era stato richiesto il consenso al trattamento dei dati biometrici dei dipendenti.
In conclusione il principio desumibile da questi primi tre passaggi, nell’ordine il parere del Garante Italiano e le decisioni di quelli Svedese ed Ellenico, è che le Pubbliche amministrazioni, nel caso specifico i Comuni, non possono effettuare trattamenti dei dati biometrici dei lavoratori, degli utenti di alcuni servizi come quello scolastico o socio sanitario o socio assistenziale basandoli sul consenso ma devono correttamente individuare la relativa fonte giustificativa della finalità del trattamento.
