Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

GDPR

Trattamento dati biometrici a Scuola: limiti e garanzie per gli utenti

Parametri e obblighi che ogni scuola dovrebbe valutare nell’introduzione di tecnologie biometriche come il riconoscimento facciale, alla luce dei divieti introdotti dal Gdpr e delle limitatissime possibilità offerte dal Garante privacy

10 Mag 2019
Graziano Garrisi

Privacy Consultant e Responsabile della Protezione dei Dati, Responsabile Gruppo di ricerca «Privacy e Data Protection» del MODiCT, socio fondatore dello spin-off “Liquid Law”

Rossella Lozito

Avvocato specializzato in diritto delle nuove tecnologie e Data Protection Officer


Il nuovo Regolamento europeo sulla privacy impone una seria riflessione sull’introduzione delle tecnologie biometriche, in particolare il riconoscimento facciale, nelle scuole.

L’obiettivo di questa nostra riflessione è rappresentato dall’indagine e successiva individuazione delle concrete possibilità di utilizzo del riconoscimento facciale, fermi restando i divieti e i paletti sanciti dal Gdpr, alla luce delle seppur flebili possibilità offerte dal Garante privacy.

Ricordiamo infatti che l’Autorità Garante ha già manifestato il divieto assoluto “dell’introduzione sistematica, generalizzata e indifferenziata per tutte le PA di sistemi di rilevazione biometrica…”[1], tuttavia, prevedendo delle limitatissime ipotesi di deroga solo “in presenza di fattori di rischio specifici o in presenza di particolari presupposti, quali la dimensione dell’ente, il numero di dipendenti coinvolti e contesto ambientale”.

La definizione di dati biometrici nel Gdpr

Con l’entrata in vigore della normativa di matrice europea, meglio conosciuta come GDPR o Reg. UE 2016/679, insieme all’incessante sviluppo della tecnologia e alla sua applicazione nei vari contesti sociali, è diventato sempre più frequente il ricorso all’utilizzo di strumenti in grado di rilevare i cosiddetti dati biometrici delle persone.

Il Regolamento UE, all’art. 4, definisce dati biometrici quei “dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quale l’immagine facciale o i dati dattiloscopici”.

Il Considerando 51 del GDPR ricorda che: «Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. Tra tali dati personali dovrebbero essere compresi anche i dati personali che rivelano l’origine razziale o etnica, essendo inteso che l’utilizzo dei termini «origine razziale» nel presente regolamento non implica l’accettazione da parte dell’Unione di teorie che tentano di dimostrare l’esistenza di razze umane distinte.

Il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione di una persona fisica.

Tali dati personali non dovrebbero essere oggetto di trattamento, a meno che il trattamento non sia consentito nei casi specifici di cui al presente regolamento, tenendo conto del fatto che il diritto degli Stati membri può stabilire disposizioni specifiche sulla protezione dei dati per adeguare l’applicazione delle norme del presente regolamento ai fini della conformità a un obbligo legale o dell’esecuzione di un compito di interesse pubblico o per l’esercizio di pubblici poteri di cui è investito il titolare del trattamento.

Oltre ai requisiti specifici per tale trattamento, dovrebbero applicarsi i principi generali e altre norme del presente regolamento, in particolare per quanto riguarda le condizioni per il trattamento lecito. È opportuno prevedere espressamente deroghe al divieto generale di trattare tali categorie particolari di dati personali, tra l’altro se l’interessato esprime un consenso esplicito o in relazione a esigenze specifiche, in particolare se il trattamento è eseguito nel corso di legittime attività di talune associazioni o fondazioni il cui scopo sia permettere l’esercizio delle libertà fondamentali».

I limiti all’utilizzo dei dati biometrici

Svolta questa necessaria premessa sulla individuazione e qualificazione del termine “dato biometrico” occorre esaminare, in particolare, come e quali limiti si pongano nell’utilizzo dei medesimi e quali siano i confini dispositivi dettati dalla normativa europea per apprestare la tutela dei dati acquisiti con l’utilizzo di nuove tecnologie che prevedano l’utilizzo di tali dati.

Norma cardine, a tal proposito, risulta essere l’art. 9 del Reg. UE 2016/679, il quale al paragrafo 1, statuisce in linea di principio un divieto generale nel trattamento dei “dati biometrici intesi ad identificare in modo univoco una persona fisica”.

Il divieto posto dal legislatore europeo è indice della particolare delicatezza dei dati trattati e soprattutto della necessità di salvaguardare e di evitare che il trattamento dei medesimi generi danni in capo ai soggetti interessati, dovuti ad una loro indebita utilizzazione.

I dati biometrici sono infatti, per loro natura, direttamente, univocamente e in modo tendenzialmente stabile nel tempo, collegati all’individuo ed in particolare possono denotare la profonda relazione tra corpo, comportamento e identità della persona. L’indebita utilizzazione di questi dati o l’utilizzo di misure di protezione non adeguate potrebbe quindi generare gravi rischi per i diritti e le libertà delle persone, come ad esempio rischi di controllo sociale, di usi discriminatori, di furto di identità biometrica, di falsificazione della stessa ed anche di scarsa accuratezza del riconoscimento stesso.

Le deroghe al divieto di trattamento dei dati biometrici

Tuttavia, il legislatore, al paragrafo 2 dell’art. 9 prevede le seguenti ipotesi di deroga al suddetto divieto:

  1. quando l’interessato ha prestato il proprio consenso.
  2. quando il trattamento è necessario per assolvere gli obblighi in materia di diritto del lavoro e della sicurezza sociale e protezione sociale,
  3. il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
  4. il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato;
  5. il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;
  6. il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
  7. il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato;
  8. il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;
  9. il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale;
  10. il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’articolo 89, paragrafo 1, sulla base del diritto dell’Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

Quanto testé rappresentato è stato rinforzato dal D.Lgs 101/2018, il quale, benché prescriva il divieto di trattamento dei dati biometrici, all’art 2 septies legittima in Italia il trattamento dei dati biometrici non solo nel rispetto di quanto disposto dal Regolamento, ma anche in conformità a future “misure di sicurezza” che saranno disposte dal Garante con provvedimenti biennali (par. 2 – 5).

Procedure di fruizione dei dati biometrici

L’utilizzo dei dati biometrici è fruibile secondo due procedure. La prima consiste nel riconoscimento biometrico basato su una verifica biometrica che, attraverso il confronto tra il campione biometrico rilevato di volta in volta ed il modello già memorizzato, verifica la corrispondenza con l’identità dichiarata; il secondo, invece, poggia le sue basi su l’identificazione biometrica: ovvero, nel caso di specie, il sistema alla base permette un confronto tra tutti i dati memorizzati e disponibili al fine di individuare l’identità del soggetto.

Quanto testé rappresentato presuppone la rilevazione e la successiva acquisizione della caratteristica biometrica attraverso i dispositivi all’uopo utilizzabili per raccogliere una rappresentazione digitale della caratteristica biometrica e, cioè trasformare il dato puro (sia esso una impronta digitale, una fotografia del viso, una registrazione della voce) nel campione biometrico, dal quale può essere costruito il modello biometrico.

Il riconoscimento biometrico diventa concreto solo attraverso la comparazione tra il campione rilevato e il modello biometrico conservato in un data base (centralizzato) oppure nel medesimo dispositivo di rilevazione sui cui avviene il confronto.

La biometria in ambito scolastico

Tra le varie tecniche e soluzioni di rilevamento di dati biometrici, il riconoscimento facciale rientra tra quelle utilizzate per ricondurre alcune specifiche caratteristiche fisiche, in particolare del volto di un soggetto alla sua univoca identificazione o autenticazione, attraverso l’abbinamento delle medesime a modelli archiviati in un database.

La tecnologia biometrica a scansione facciale, grazie alla sua versatilità, può essere integrata ovunque si trovi una macchina fotografica moderna, e da ciò ne discende la vasta gamma di applicazioni in cui la stessa può essere utilizzata.

Di particolare interesse risulta indagare la possibilità – qualora vi fosse – dell’utilizzo del riconoscimento facciale quale soluzione biometrica all’interno dello scenario nazionale e se, nello specifico, la stessa possa essere utilizzata in ambito scolastico, ove il percorso di digitalizzazione e l’utilizzo di nuove tecnologie informatiche ha avviato un’evoluzione inarrestabile, il tutto previa verifica dei presupposti di legge e adozione delle necessarie tutele in ordine al trattamento dei dati acquisiti.

L’impiego della biometria richiede, infatti, oltre che la presenza dei presupposti legittimanti la deroga, un ulteriore e fondamentale requisito rappresentato dal rispetto del principio di proporzionalità di ogni categoria di dati trattati con la finalità del rispettivo trattamento.

Biometria e firma grafometrica a scuola

Già in passato, sotto la vigenza della precedente normativa italiana in materia di protezione dei dati, l’Autorità Garante aveva delineato un quadro unitario di misure e accorgimenti di carattere tecnico, organizzativo e procedurale per mantenere alti livelli di sicurezza nell’utilizzo di particolari tipi di dati biometrici, semplificando altresì alcuni adempimenti[2].

Il “Provvedimento generale prescrittivo in tema di biometria” del 12 novembre 2014 costituisce ancora oggi un valido set di regole e prescrizioni che possono tornare utili ai fini dell’introduzione di tali tecnologie all’interno delle scuole.

In tale provvedimento, l’Autorità Garante ha ribadito con forza il rispetto del principio di necessità, pertinenza e non eccedenza (o di minimizzazione) nella raccolta e utilizzo dei dati biometrici (ben definiti, tra l’altro, nell’Allegato A “Linee Guida in materia di riconoscimento biometrico e firma grafometrica”), in base ai quali i titolari del trattamento che vogliano utilizzare tali sistemi di rilevazione devono raccogliere un numero limitato di informazioni (anche nella modalità di costruzione del campione e del modello biometrico), escludendo l’acquisizione di dati ultronei e non necessari per il conseguimento della finalità perseguita.

In quattro contesti specifici, poi, è stata esclusa la presentazione del vecchio (e oramai abrogato) istituto della verifica preliminare (oggi – forse – riconducibile a quello della “consultazione preventiva” conseguente alla valutazione di impatto sulla protezione dei dati), che riguardava:

  1. l’autenticazione informatica;
  2. il controllo di accesso fisico ad aree “sensibili” dei soggetti addetti e all’utilizzo di apparati e macchinari pericolosi;
  3. l’uso dell’impronta digitale o della topografia della mano a scopi facilitativi;
  4. la sottoscrizione di documenti informatici.

Nell’ottica della semplificazione degli adempimenti, è importante sottolineare come sia stato precisato già all’epoca che, oltre all’esonero dall’obbligo di verifica preliminare, alcuni trattamenti potevano essere effettuati anche senza il consenso dell’interessato e quindi in applicazione di un altro fondamento di liceità del trattamento (ciò, ad esempio, vale per l’autenticazione informatica o per il controllo degli accessi fisici ad aree sensibili, trattamenti effettuati sotto il legittimo interesse del Titolare del Trattamento o per la sottoscrizione di documenti informatici in ambito pubblico)[3].

Come rispettare le norme con la biometria a scuola

Orbene quanto sin qui detto, insieme al recente intervento del Garante che sembrerebbe lasciare un minimo margine di manovra sull’utilizzabilità dei dati biometrici, costituisce il substrato necessario per vagliare le concrete possibilità di utilizzare la rilevazione biometrica ed in particolar modo il riconoscimento facciale quale strumento tecnologico in ambito scolastico.

Posto che il rispetto della previa acquisizione del consenso si pone come condizione di liceità indispensabile e inderogabile per il trattamento dei suddetti dati, come e quando può dirsi, altrettanto soddisfatto il principio di proporzionalità del dato biometrico acquisito rispetto al fine che si vuole raggiungere?

Ed ancora, quali potrebbero essere i fini da considerare quali parametri tali per cui la non eccedenza del dato risulti soddisfatta?

Tra i fini che potrebbero potenzialmente assurgere nell’alveo di quelli idonei a superare positivamente il giudizio del rispetto del principio di proporzionalità potrebbero ricondursi: quello dell’appello effettuato tramite riconoscimento facciale per ridurre i casi di dispersione scolastica (soprattutto in contesti ambientali fortemente caratterizzati da cointeressenze di ambienti criminali), oltre che quello di semplificazione dei processi e delle attività amministrative tipiche delle scuole assolvibile attraverso l’introduzione di nuovi strumenti tecnologici.

Per realizzare ciò, tuttavia, è fondamentale il rispetto del principio di data protection by design e default nello sviluppo della soluzione tecnologica e l’adozione di misure di minimizzazione e protezione dei dati adeguate al contesto di utilizzo e, soprattutto, è necessario condurre preliminarmente all’inizio del trattamento una “valutazione d’impatto sulla protezione dei dati personali” ai sensi dell’art. 35 del GDPR. Mentre in passato per ricorrere all’utilizzo di tali tecnologie era necessario effettuare una verifica preliminare all’Autorità Garante (ex art. 17 D.Lgs. 196/2003, oramai abrogato), oggi la liceità del trattamento e l’adozione di specifiche misure di sicurezza e di garanzia (finalizzate ad abbassare i rischi – comunque alti – sul trattamento di tali dati) da applicare in relazione all’utilizzo di tali tecnologie sono lasciate alla discrezionalità del Titolare del trattamento (ovvero di ogni singola scuola); solo laddove il rischio dovesse restare “alto” si dovrà procedere con la consultazione preventiva al Garante per la protezione dei dati personali.

L’attuazione in concreto delle medesime misure di garanzia potrebbe aversi, oltre che con la raccolta del consenso degli interessati, anche attraverso l’utilizzo di tecnologie che consentano di costruire campioni biometrici che non consentono di ricostruire l’impronta digitale o l’immagine del viso dell’interessato (con conseguente inutilizzabilità dei vettori se non in presenza di un database di immagini) o di cancellare i dati biometrici acquisiti per il riconoscimento nelle immediatezze, in quanto la creazione di una banca di dati biometrici centralizzata e permanente non risulta necessaria a priori per questa finalità.

Inoltre, si ritiene necessario l’uso di protocolli sicuri nel trasferimento dei dati, utilizzo di cifratura sui data base e la riconduzione della soluzione tecnologica nel perimetro della norma ISO/IEC 27001 a garanzia della sicurezza delle informazioni. Fondamentale sarà, poi, l’adesione facoltativa (da parte dei genitori) al servizio di appello tramite riconoscimento facciale, potendo l’alunno, specie se minore, restare identificabile con modalità tradizionali.

Così concepita, l’identificazione facciale potrebbe trovare accoglimento, poiché sarebbe in grado di soddisfare le due esigenze della protezione dei dati personali: da un lato sarebbe garantito il presupposto di liceità attraverso il consenso espresso del singolo di essere identificato a partire da caratteristiche univoche del viso che gli appartengono. Dall’altro, progettando un sistema correttamente implementato e privacy by design, dovrebbe garantire che l’identificazione del soggetto sottoposto a rilevamento abbia un’elevata probabilità di corrispondenza, onde evitare che vengano messi a disposizione i dati biometrici (volti nel caso di specie) di soggetti terzi dalle caratteristiche similari.

Biometria, privacy e scuole: i punti chiave in sintesi

Riassumendo, il nuovo Regolamento europeo sulla privacy impone una seria riflessione nell’introduzione di tecnologie biometriche nelle scuole e, pertanto, ogni scuola dovrebbe valutare almeno i seguenti parametri e obblighi:

  1. l’utilizzo della tecnologia del riconoscimento facciale impone l’obbligo di valutare l’impatto del trattamento effettuato sui diritti e le libertà delle persone (risk analisys e data protection impact assessment), con il connesso obbligo di giustificare la necessità del trattamento e di documentare le misure adottate per la tutela dei dati;
  2. diventa fondamentale l’applicazione del principio della “privacy by design alla soluzione software adottata e definire e ruoli e responsabilità mediante la nomina del fornitore quale responsabile esterno del trattamento (nomina che dovrebbe avvenire mediante contratto o altro atto giuridico, che imponga a tale soggetto esterno il rispetto degli obblighi previsti dall’articolo 28 del GDPR e specificamente rivolti ai responsabili del trattamento)[4];
  3. diventa necessario il rispetto del principio della “privacy by default nell’accesso agli strumenti o, in caso di necessità, ai dati biometrici (in modo che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica);
  4. a fronte dell’eliminazione dell’obbligo di notificazione dei trattamenti (sostituita dall’obbligo di tenuta della adeguata documentazione) e della sostituzione della “verifica preliminare” (ex art. 17 D.Lgs. 196/2003) con l’obbligo di “consultazione preventiva” (ex art. 34 del GDPR), potrebbe essere opportuno un eventuale intervento dell’Autorità Garante qualora, a fronte di un elevato rischio rilevato sul trattamento dei dati personali degli studenti, la scuola non abbia adottato le misure organizzative e di sicurezza adeguate a mitigare tale rischio;
  5. diventa obbligatorio adottare una specifica procedura, nell’ambito dell’utilizzo della soluzione tecnologica del riconoscimento facciale, per assolvere all’obbligo di notifica delle eventuali violazioni di dati personali (data breach) all’Autorità e agli interessati al trattamento;
  6. la scuola deve predisporre specifiche informative privacy, con specifico riferimento a questa nuova modalità di trattamento (fornendo evidenza anche dell’ambito di circolazione dei dati, qualora ad esempio il fornitore della soluzione software utilizzi la tecnologia “cloud” per lo storage dei dati);
  7. per il trattamento dei dati biometrici occorre individuare la base giuridica (consenso) e una serie di finalità che ne legittimino il trattamento;
  8. occorre adottare misure di sicurezza idonee e adeguate[5] (da documentare), che possano garantire riservatezza, integrità e disponibilità dei dati degli studenti.

_________________________________________________________________

  1. Audizione 6 febbraio presso le commissioni riunite I (affari costituzionali) e XI (lavoro ) della Camera dei deputati
  2. Argomento, per nulla nuovo al Garante, che è stato inizialmente oggetto di pareri specifici da parte del “Working party Article 29” (che vede quali suoi componenti i vari garanti europei) e successivamente di numerose verifiche preliminari, a seguito delle quali il Garante ha impartito precise istruzioni sul trattamento dei dati biometrici.
  3. Diversamente, per la sottoscrizione di documenti informatici in ambito privato o per l’utilizzo di impronte digitali e della topografia della mano a scopi facilitativi, il consenso rimane comunque il fondamento di liceità corretto, perché dipendente dalla esclusiva volontà dell’interessato.
  4. Il produttore della soluzione software adottata dalle scuole deve essere parte diligente nel farsi carico delle obbligazioni derivanti dal GDPR.
  5. L’articolo 32 del Regolamento 679/2016, infatti, impone una specifica responsabilità in capo al Titolare del trattamento, il quale è tenuto ad adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio connesso al trattamento dei dati personali.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3