059.69.51.21
info@studiopederzoli.it

Stampa & Eventi

Consulenza del Lavoro Consulenza Legale Privacy e GDPR Compliance Stampa
Studio Pederzoli

Controllo accessi biometrico e GDPR: cosa fare

Uno dei concetti principali a fondamento del GDPR è quello di “privacy by design”, il quale richiede al titolare del trattamento dei dati di pensare un sistema di sicurezza dei dati medesimi in un’ottica che ne preveda la protezione fin dalla sua progettazione. Pertanto, qualora si voglia installare un nuovo sistema tecnologico (come un rilevatore di impronta digitale) nella propria azienda, occorre svolgere un’analisi preventiva sul tipo di trattamento conseguente e, nel caso il nuovo trattamento “presenti un rischio elevato per i diritti e le libertà dell’interessato“, svolgere la DPIA.

Sul punto si è espresso il Gruppo di Lavoro art. 29, un organismo consultivo e indipendente, istituito dall’art. 29 della Direttiva 95/46 del Parlamento europeo e del Consiglio relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, con le Linee-guida in materia di valutazione di impatto sulla protezione dei dati (WP248).

 

Quando è richiesta la DPIA?

Le tipologie di trattamenti da sottoporre a DPIA (Valutazione d’Impatto) sono le seguenti:

  1. La valutazione, inclusa la profilazione, relativa ad aspetti personali, al fine di analizzare o prevedere “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato” (ad es. una società che realizza profili comportamentali o di marketing in base all’uso e alla navigazione condotta sul proprio sito);
  2. Un trattamento automatizzato che ha effetti giuridici o che incidono in modo analogo significativamente sull’interessato, che può comportare, ad esempio, l’impossibilità di avvalersi un bene o servizio (ad es. screening dei clienti di una banca);
  3. L’utilizzo sistematico di dati per l’osservazione, monitoraggio o controllo degli interessati. Rientrano in tale casistica i trattamenti di metadati in ambito telecomunicazioni, banche, etc., effettuati non solo per la profilazione dell’utente, ma anche per ragioni organizzative, di previsione di budget, di upgrade tecnologico, miglioramento rete, antispam, sicureza, etc.
  4. Il trattamento (anche su larga scala) di dati particolari (ex dati sensibili) e giudiziari;
  5. Il trattamento effettuato nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo a sistemi di videosorveglianza e geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti;
  6. Il trattamento di dati di minori;
  7. Il trattamento effettuato mediante tecnologie innovative (ad es. IoT, sistemi di intelligenza artificiale, etc.);
  8. Il trattamento che comporta lo scambio tra diversi titolari di dati su larga scala;
  9. Il trattamento effettuato mediante interconnessione, combinazione o raffronto di informazioni, compreso il trattamento che prevede l’incrocio di dati di consumo di beni digitali con dati di pagamento;
  10. Il trattamento sistematico di dati biometrici;
  11. Il trattamento sistematico di dati genetici.

 

Che cosa sono i “dati biometrici”?

dati biometrici riguardano gli attributi fisici e comportamentali delle persone, come il colore e la dimensione dell’iride e della retina, le impronte digitali, le linee della mano, la fisionomia del volto e la forma dell’orecchio. Tra i dati biometrici di tipo comportamentale, figurano, invece, il timbro della voce, l’andatura e lo stile della scrittura.

 

Che cosa si intende per “tecnologie innovative”?

Per “tecnologie innovative” si intendono i nuovi sviluppi della conoscenza tecnologica nel mondo in generale e l’utilizzo di tali strumenti può far scattare la necessità di effettuare una DPIA. Questo perché l’utilizzo di tali tecnologie può comportare nuove forme di raccolta e utilizzo dei dati con un rischio elevato per i diritti e le libertà degli individui. Le conseguenze personali e sociali dell’implementazione di una nuova tecnologia potrebbero essere sconosciute e una DPIA può aiutare il responsabile del trattamento a comprendere un controllo di tali rischi.

Ma le “tecnologie innovative” non sono solo le tecnologie all’avanguardia. Se un titolare del trattamento modifica la tecnologia già utilizzata ed esistente adottando nuove modalità di utilizzo, ciò potrebbe comportare rischi elevati che, a meno che non venga eseguita una DPIA, potrebbero non essere identificati e trattati.

 

Stando a quanto rilevato, dunque, nel caso in cui un titolare del trattamento voglia procedere all’utilizzo di impronte digitali / sistemi a riconoscimento facciale per rilevare le presenze dei dipendenti o rilevare la temperatura corporea, occorre riconoscere che quello che si vuole utilizzare è un vero e proprio sistema biometrico e, come tale, è tenuto a rispondere agli adempimenti indicati sopra.

Tags:

Lascia un commento