I dati biomentrici ed il GDPR

Il trattamento dei dati biometrici e il rispetto delle norme sulla privacy

Cosa sono i dati biometrici

Quando nel maggio 2018 è entrato in vigore il famoso regolamento europeo su privacy e dati, il GDPR, tra le categorie di dati regolamentate da esso ve ne una in particolare molto in uso ed in via di espansione, i dati biometrici.
Questi dati hanno applicazione in molti settori, soprattutto dove la sicurezza è importante, come ad esempio il settore bancario.

I dati biomentrici vengono usati da anni nel settore informatico, ma se ci pensiamo bene fanno parte della nostra vita quotidiana con un oggetto a cui teniamo molto, il nostro smartphone.
Infatti molti smartphone per accedere al sistema danno la possibilità di usare l’impronta digitale, che è appunto un dato biometrico univoco, che solo noi possiamo dare.

I dati biometrici sono quindi quelle informazioni personali e univoche che fanno riferimento alle nostre caratteristiche fisiche e di comportamento, rendendo così la nostra identificazione più precisa.
E proprio qui sta il punto, i dati biometrici ci identificano, ma se finiscono in cattive mani?
E in un mondo in cui la privacy è diventata sempre più un problema e anche sempre più difficile da mantenere, come vengono gestiti questi dati?

Ecco il motivo per cui nel GDPR vi è una sezione dedicata la trattamento dei dati biometrici, per garantire la privacy dei proprietari.

I dati biometrici sono molti, sono tutte quelle caratteristiche univoche di una persona, dall’impronta digitale al naso storto, dal tono di voce all’impronta del piede, ed anche a come firmiamo, ma questo punto merita un approfondimento.

Tra i dati biometrici troviamo infatti anche quelli usati per abbinare univocamente un soggetto alla sua firma quando vengono usati appositi strumenti per la firma grafometrica, come ad esempio la velocità di firma, la pressione che esercitiamo e altri ancora.
I dati raccolti sono dati biometrici e vengono indicati nel GDPR come “dati personali ottenuti da un trattamento tecnico specifico, relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica e che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.

Firma grafometrica, dati biometrici e Gdpr

La firma grafometrica, che ricordiamo essere una firma elettronica avanzata (FEA), è riconosciuta in Europa tramite il Regolamento europero 679/2016 ed è la forma elettronica della firma tradizionale (firma autografa), quella svolta sui documenti cartacei.
Per applicare una firma grafometrica è necessario che vi sia innanzitutto uno schermo touch, quasi sempre un tablet, sul quale viene visualizzato il documento da firmare tramite una particolare penna o pennino.

Quando si appone la firma grafometrica un software rileva alcuni dati biometrici per identificare il firmatario in maniera univoca, come velocità e accelerazione di scrittura e la pressione esercitata con il pennino.

Il grande vantaggio della firma grafometrica è la comodità di poter firmare documenti a distanza, se si è in possesso del kit lo si può fare anche da casa, per cui la firma di contratti o documenti diventa più semplice ed immediata.

Ma dal punto di vista della privacy, come devono essere trattati i dati biometrici rilevati?
Esistono molte regole per normare la firma grafometrica, ed anche il GDPR prevede delle indicazioni apposite, in particolare all’articolo 9 si legge che il trattamento di questi dati, qualora si voglia identificare univocamente una persona fisica è espressamente vietato, a meno che non vi sia un esplicito consenso.

Ecco infine una sintesi sul consenso al trattamento dei dati biometrici del paragrafo 2 articolo 9 del GDPR:

  • Il soggetto firmatario ha dato autorizzazione preventiva (es.firma di contratti).
  • Il trattamento è reso necessario dalla sicurezza collettiva o per motivi di interesse pubblico.
  • Il soggetto è impossibilitato a prestare il proprio consenso ed è necessario per tutelare i suoi interessi.
  • In caso di un procedimento giudiziario.
  • Per motivi di sicurezza sanitaria pubblica, nell’atto di prevenzione e controllo di malattie.