Nuovi strumenti tecnologici e trattamento dei dati biometrici

La Corte di Cassazione, con sentenza n. 12967 del 13 maggio 2024, si è espressa sul trattamento dei dati biometrici.

1. La Corte di Cassazione sul trattamento dei dati biometrici

Con ordinanza n. 12967 del 13 maggio 2024 la Cassazione, I Sez. Civ., ha stabilito che “in tema di trattamento dei dati personali, ai sensi dell’art. 9 del Reg (UE) 2016/679, ricorre un trattamento di dati biometrici, come definiti dall’art. 4, n. 14 del Regolamento 2016/679, quando i dati personali sono ottenuti mediante un trattamento tecnico automatizzato specifico, realizzato con un software che, sulla base di riprese e analisi delle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica, le elabora, evidenziando comportamenti o elementi anomali, e che perviene a un esito conclusivo, costituito da una elaborato video/foto che consente (o che conferma) l’identificazione univoca della persona fisica, restando irrilevante la circostanza che l’esito finale del trattamento sia successivamente sottoposto alla verifica finale di una persona fisica”.
In altri termini, ad avviso della Suprema Corte, non è legittima l’elaborazione e la selezione del materiale video e fotografico quando non è circoscritta alla funzione di mera documentazione dell’attività compiuta, nel caso di specie di una prova di esame, perché finisce per integrare un autonomo e articolato trattamento dei dati biometrici ad opera dello stesso software e non di semplici dati personali.

2. I fatti di causa

La controversia aveva ad oggetto l’utilizzo da parte di un’università italiana di un programma finalizzato ad accertare eventuali scorrettezze da parte degli studenti, nell’ambito dello svolgimento degli esami a distanza, mediante la cattura di immagini e di video (compresa la schermata dello studente), al fine di individuare eventuali comportamenti insoliti o sospetti tramite la registrazione video e istantanee scattate a intervalli casuali, così da poter tenere traccia di comportamenti anomali.

3. Le regole di condotta poste a fondamento di un lecito utilizzo dei dati biometrici

La Suprema Corte, nell’ordinanza in commento, si concentra sull’individuazione delle regole di condotta che il titolare del trattamento deve osservare ove quest’ultimo abbia ad oggetto dati personali e, in specie, quella particolare categoria nota come “dati biometrici”, i quali sono quei dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici.
In linea generale il trattamento avente ad oggetto fotografie non costituisce in sé un trattamento concernente categorie particolari di dati personali, ma si configura come un trattamento di dati biometrici quando le fotografie stesse siano trattate attraverso un dispositivo tecnico specifico, che consenta l’identificazione univoca o l’autenticazione di una persona fisica.
Tale conclusione poggia sulla circostanza che, nel caso di specie, le riprese video e le foto catturate dal software impiegato dall’Università non erano volte esclusivamente a documentare la prova di esame, ma erano più specificamente funzionali ad individuare (per poi farne oggetto di una possibile segnalazione) gli eventuali comportamenti anomali tenuti dagli studenti nel corso dello svolgimento dell’esame.
In ragione, quindi, dell’attività realizzata dal programma, la Suprema Corte ha ritenuto che la stessa integrasse un autonomo e articolato trattamento di dati biometrici, acquisiti ed elaborati dallo stesso software; e ciò anche in considerazione della capacità del “software” di consentire (o confermare) l’identità della persona fisica esaminata. L’esito di detta elaborazione era, poi, sottoposto all’attività di verifica da parte del docente in funzione della valutazione della regolarità della prova (circostanza ritenuta dalla S.C. inidonea a negare la qualificazione del trattamento in oggetto come avente ad oggetto dati biometrici).
Posta tale premessa, l’ordinanza “de qua” rileva come la dettagliata normativa euro-unitaria in tema di tutela della “privacy” richieda, ai fini della liceità del trattamento dei dati biometrici, non solo che lo stesso si fondi sul consenso personalmente espresso dall’interessato o su ragioni di rilevante interesse pubblico, essendo altresì necessario – come evidenziato dalle Linee Guida dell’European Data Protection Board (EDPB) n. 3/2019 – che il ricorso a tecnologie biometriche sia rispettoso dei principi di liceità, necessità, proporzionalità e minimizzazione dei dati personali. In altri termini, sui titolari del trattamento ricadrebbe sempre l’obbligo di valutare preliminarmente l’impatto di quest’ultimo sui diritti e sulle libertà fondamentali, così da poter individuare (per poi prediligere) quei mezzi che si rivelano in concreto meno intrusivi della sfera giuridica privata. Un’attenzione specifica è riservata, quindi, alla tutela degli interessi dei destinatari, ma più in generale alla garanzia dei diritti fondamentali.
In questo contesto, l’intervento del Garante per la Protezione dei Dati Personali – Privacy (che ha dato avvio alla pronuncia della Corte di Cassazione) si giustifica, quindi, nell’ottica di un impegno volto alla salvaguardia delle libertà fondamentali degli individuai, soprattutto in considerazione della concreta assenza di specifiche misure di garanzia. In questo senso, alla prestazione del consenso al trattamento non può sicuramente attribuirsi un’efficacia legittimante “senza limiti”, rimanendo imprescindibile l’attività di valutazione dell’incidenza del trattamento sulla sfera di dignità della persona umana, da proteggere mediante l’adozione di adeguate misure di sicurezza e la “massimizzazione” dei limiti di utilizzazione dei dati biometrici.

4. I rischi del trattamento dei dati biometrici

La decisione della Corte si inserisce, pertanto, in un contesto di rigorosità del trattamento, derivante da un divieto generale di uso dei dati biometrici, che costituisce un principio di massima adottato dal legislatore europeo. Il pericolo sotteso all’ingerenza degli strumenti tecnologici è chiaramente l’instaurazione di una “società della sorveglianza”, che finisce per rappresentare l’esito di quella “sorveglianza liquida” prefigurata da Bauman e Lyon [1]. Il problema di fondo che si pone in maniera impellente è dato dal fatto che ormai la generalizzazione della circolazione delle informazioni personali non riguarda solamente gli Stati, ma interessa in modo particolare i grandi attori economici e politici globali, sempre più proiettati a realizzare, nel contesto di una sorta di “dittatura dell’algoritmo”, una forma maggiormente invasiva di controllo delle informazioni, in chiave predittiva, all’interno di un corto circuito che unisce la logica del mercato con la logica della sicurezza.
Di conseguenza si pone la necessità di predisporre freni strutturali all’uso delle informazioni raccolte e nello specifico alla possibilità di sfruttare sistemi di elaborazione dei dati biometrici, che in apparenza appaiono finalizzati a ragioni di sicurezza, ma che in prospettiva possono determinare la configurazione del complesso di abitudini, stili ed interessi capaci di identificare il modo di essere dei singoli individui [2].

5. Questioni di attualità

Le questioni diventano ancora più impellenti in considerazione del fatto che i dati biometrici possono essere ormai recuperati facilmente senza il coinvolgimento del soggetto interessato, e perfino senza che ne abbia alcuna consapevolezza. Senza contare la diffusa opportunità di sfruttamento della “biometria soft”, ovvero di tecniche biometriche non indirizzate direttamente all’identificazione univoca di una persona, ma utilizzabili per altri fini. Di fronte a queste innovazioni tecnologiche la normativa comunitaria e nazionale inizia ad apparire non pienamente adeguata, poiché sembra lasciare spazi di manovra fino ad ora non prevedibili e a non misurare in modo idoneo la relazione intercorrente tra i protagonisti del trattamento dei dati personali. Acquista, così, pieno significato l’attenzione particolare dimostrata dal Garante nazionale per la privacy nei riguardi di quelle attività che, usando i dati biometrici, possano mettere in pericolo la protezione della persona umana. Basti pensare ai recenti provvedimenti sanzionatori adottati il 22 febbraio 2024 [3] nei confronti di cinque società per il trattamento di dati biometrici dei lavoratori attraverso l’impiego di sistemi di riconoscimento facciale per il controllo delle presenze sul posto di lavoro. Si intendono, quindi, inviare segnali precisi in ordine ad un atteggiamento restrittivo, che conferma ed integra gli interventi normativi del legislatore italiano, grazie ai quali si pongono confini ben definiti, non valicabili, anche per ciò che concerne l’utilizzo di big data analytics per organizzare procedure di selezione e reclutamento dei lavoratori [4].

6. Alcune considerazioni conclusive

L’incessante sviluppo degli strumenti tecnologici apre la strada a pericoli sempre più ampi di abusi dei dati personali più sensibili, mascherati spesso da esigenze di sicurezza pubblica o di salvaguardia personale. Non è mancato, però, chi ha evidenziato come il progresso tecnico possa favorire la ricerca di soluzioni di piena garanzia per la rilevazione dei dati biometrici. Il riferimento immediato è al sistema di privacy preserving, capace di impedire l’identificazione del soggetto e di assicurare l’anonimizzazione dei dati [5]. Deve continuare a permanere, però, un controllo stringente sulle tecniche di raccolta dei dati e soprattutto sui conseguenti processi di conservazione e utilizzazione, nella consapevolezza che nelle società democratiche è assolutamente vitale ribadire come la tutela della dignità e della libertà della persona umana costituisca il fondamento della comunità politica. E in questa prospettiva la decisione della Corte di Cassazione rappresenta un sigillo essenziale ad ogni forma di deriva mercantile o securitaria.

Vuoi ricevere aggiornamenti costanti?

Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!

Note