Nella Gazzetta Ufficiale di oggi, 8 aprile 2024, è stato pubblicato il provvedimento del Garante Privacy n. 179 del 21 marzo 2024, in cui il Garante ha emesso un avvertimento nei confronti di una fondazione che opera nel settore delle criptovalute e ne promuove lo sviluppo. Il Garante ha affermato che eventuali progetti basati sulla scansione dell’iride per verificare l’identità degli utenti (utilizzata nel caso specifico per lo scambio di criptovalute) attuati in Italia violerebbero il Regolamento Generale sulla Protezione dei Dati (GDPR), comportando sanzioni previste dalla normativa.
Il GDPR, all’art. 4, punto 14, definisce i dati biometrici come «dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici». La scansione dell’iride e la creazione del cosiddetto IrisCode rientrano quindi nella definizione di dato biometrico.
L’art. 9 del GDPR impone un divieto generale al trattamento dei dati biometrici finalizzati all’identificazione univoca di una persona fisica, salvo alcune eccezioni previste nel paragrafo 2, in particolare la lettera a), che consente il trattamento se c’è il consenso esplicito dell’interessato. Tuttavia, il paragrafo 4 consente agli Stati membri di introdurre ulteriori condizioni, comprese limitazioni, riguardanti il trattamento dei dati biometrici.
Nel rispetto di questa disposizione, il Codice sulla protezione dei dati personali prevede espressamente la possibilità di trattare dati biometrici esclusivamente per le procedure di accesso fisico e logico ai dati da parte dei soggetti autorizzati, secondo quanto previsto dall’art. 2-septies, comma 7, del Codice.
Il Garante aveva già espresso le sue preoccupazioni riguardo al trattamento dei dati biometrici nelle Linee Guida n. 3/2019 e 05/2022, sostenendo che l’uso di queste tecnologie, in particolare il riconoscimento facciale, comporta maggiori rischi per i diritti degli interessati. Quindi, l’uso di queste tecnologie deve rispettare i principi di liceità, necessità, proporzionalità e minimizzazione dei dati stabiliti dal GDPR.
Inoltre, i titolari del trattamento devono valutare l’impatto sui diritti e sulle libertà fondamentali e considerare metodi meno intrusivi per raggiungere gli scopi del trattamento, poiché il trattamento dei dati biometrici costituisce di per sé un’ingerenza significativa.
Nel caso specifico, il Garante ha valutato che il trattamento dei dati biometrici si basa sul consenso degli interessati, ma l’informativa fornita non sembra specificare adeguatamente i rischi associati a tale tipo di trattamento. Di conseguenza, gli utenti potrebbero non avere sufficienti informazioni per fornire un consenso informato, e quindi il consenso stesso potrebbe non essere valido secondo il GDPR.
Inoltre, il consenso sembra essere condizionato dalla promessa di ricevere token gratuiti da parte del titolare del trattamento, il che potrebbe compromettere ulteriormente la sua validità. Il Garante ha anche evidenziato che la mancanza di filtri per impedire l’accesso ai minori di 18 anni aumenta il rischio associato al trattamento.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Verso una regolamentazione consapevole: analisi del Codice di Buone Pratiche sull’intelligenza artificiale generale - Novembre 15, 2024
- L’armonizzazione degli standard per l’AI Act: verso una conformità normativa sicura e affidabile - Ottobre 31, 2024
- Consultazione della Commissione Europea sull’accesso ai dati delle piattaforme - Ottobre 29, 2024
- Sanzione del Garante Privacy a Postel S.p.A.: prevenzione e corretta segnalazione della violazione in caso di data breach - Ottobre 23, 2024
- Sul valore probatorio delle firme elettroniche nel processo - Ottobre 18, 2024