Privacy e dati biometrici, spunti di riflessione di Andrea Savoia e Silvia Fumagalli Con sentenza n. 25686 del 15 ottobre 2018 la Corte di Cassazione ha affermato che il sistema di una società, la quale utilizza dati biometrici della mano per la rilevazione delle presenze dei propri dipendenti, configura un “trattamento di dati” che deve sottostare alle prescrizioni del Codice Privacy (con i relativi adempimenti previsti dalla precedente normativa). La citata sentenza, sebbene pronunciata con riferimento alla normativa precedente all’entrata in vigore del Regolamento (UE) n. 679/2016 e del D.Lgs. 101/2018 di adeguamento al GDPR del Codice Privacy, è un ottimo spunto per analizzare la disciplina dei dati biometrici i quali vengono sempre più spesso utilizzati non solo per gli strumenti informatici personali, ma anche per quelli lavorativi. Ai sensi del Regolamento UE 679/2016, il trattamento dei dati biometrici è ora generalmente vietato, a meno che non si verifichi una delle ipotesi espressamente previste dall’art. 9 par. 2 del Regolamento, tra le quali l’autorizzazione dell’interessato al trattamento per un finalità specifica, ipotesi che possono essere ulteriormente implementate dagli Stati membri. In considerazione della nuova normativa, il legislatore nazionale ha così stabilito (art. 2 septies Codice Privacy introdotto dal D.Lgs. 101/2018) che i dati biometrici possono essere oggetto di trattamento in presenza di uno dei casi di cui al paragrafo 2 dell’art. 9 GDPR ed in conformità alle misure di garanzia disposte dal Garante, nel rispetto di quanto previsto dall’articolo medesimo. Il provvedimento che stabilisce le misure di garanzia è adottato con cadenza almeno biennale, tenendo conto: a) delle linee guida, delle raccomandazioni e delle migliori prassi pubblicate dal Comitato europeo per la protezione dei dati e delle migliori prassi in materia di trattamento dei dati personali; b) dell’evoluzione scientifica e tecnologica nel settore oggetto delle misure; c) dell’interesse alla libera circolazione dei dati personali nel territorio dell’Unione europea. Alla luce delle nuove disposizioni, occorre prestare molta attenzione all’utilizzo dei dati biometrici nell’attesa di un eventuale intervento del Garante che confermi o meno la validità del Provvedimento generale prescrittivo in tema di biometria del 2014, che può comunque essere un primo spunto di esame.
