Il progresso tecnologico ha consentito di realizzare mezzi di riconoscimento estremamente efficaci – se pure non infallibili[1] – fondati sull’utilizzo di elementi biometrici e destinati a essere impiegati in ambiti anche diversi dall’attività di contrasto al crimine e dalle indagini giudiziarie. Con riguardo a quest’ultimo aspetto, sappiamo che il trattamento di dati biometrici ha trovato applicazione in taluni casi tratteggiati dal Garante per la protezione dei dati personali nel proprio provvedimento del 2014[2], per i quali la stessa autorità ha ritenuto di esonerare i titolari del trattamento dalla procedura di verifica preliminare, prevista dall’art. 17 del previgente Codice, articolo abrogato dal d.lgs. 101/2018[3].

Sul versante del mercato, l’opportunità di utilizzo dei dati biometrici non è sfuggita alle aziende – in particolare, quelle attive nel settore retail – che con l’adozione di sistemi di e-payment di tipo biometrico intendono perseguire obiettivi di efficienza che, in tal modo, vengono conseguiti con la riduzione dei tempi di transazione e, nel caso della grande distribuzione, con l’eliminazione dell’attività delle tradizionali casse[4]. Sotto altro profilo, va osservato come l’impiego dei predetti sistemi implichi un trattamento di dati, segnatamente dati delle carte di credito – che potremmo etichettare come di natura “particolarmente personale” – e dati biometrici che rappresentano determinati ‘tratti’ degli acquirenti (impronte digitali, geometria della mano, struttura del volto) volti a identificarli univocamente ai fini di un corretto addebito della spesa.

Peraltro, nei casi di applicazione del Gdpr, l’adozione dei sistemi biometrici di pagamento pone una questione di enforcement riguardante la base giuridica del trattamento nella prospettiva in cui detti sistemi dovessero sostituire i tradizionali metodi di scambio tra prodotto e moneta (che non implicano trattamenti di dati biometrici), in tal modo divenendo l’unica modalità di pagamento, senza la quale cioè la transazione non potrebbe aver luogo; prospettiva che sembra prendere forma alla luce sia degli investimenti sostenuti da imprese attive in internet e nel fintech sia delle previsioni degli analisti sugli sviluppi di mercato dei sistemi biometrici[5]. Alla luce di questa traiettoria evolutiva, se da un lato il trattamento di dati personali associato alla nuova modalità di e-payment si renderebbe necessario per un legittimo interesse economico dell’azienda (titolare del trattamento) nonché per l’esecuzione della transazione con l’acquirente (l’interessato), così ipotizzando l’applicazione delle basi giuridiche di cui agli articoli 6.1.f) e 6.1.b)[6] del regolamento, dall’altro la stessa modalità deve tener conto che i dati biometrici ricadono nelle categorie particolari di dati personali di cui all’art. 9 del Gdpr, il cui trattamento, in partenza vietato dall’art. 9.1, trova una legittimazione se ricade tra le eccezioni previste all’art. 9.2. Il quadro normativo, dunque, giustifica il trattamento di dati biometrici per finalità economiche e di transazione in presenza di un consenso delle persone interessate. A tal riguardo, nel citato provvedimento in materia di utilizzo dei dati biometrici[7] il Garante ha sottolineato come i soggetti privati e gli enti pubblici economici devono, di regola, acquisire il consenso informato dell’interessato, che deve essere sempre revocabile e libero, vale a dire scevro da eventuali pressioni o condizionamenti esercitati dal titolare del trattamento; il che implica, nel caso specifico, la possibilità per gli interessati di fruire di sistemi alternativi di pagamento meno invasivi della sfera privata rispetto a quelli basati su dati biometrici[8]. Si deve pertanto concludere che, con riguardo a innovazioni di processo che implicano trattamenti di dati estremamente personali come quelli biometrici, il meccanismo normativo operi un bilanciamento di interessi – che, dunque, non è lasciato al titolare del trattamento e alle logiche di accountability – a favore dei diritti e libertà degli interessati che prevede nel consenso libero (oltre che specifico e informato) – e, conseguentemente, nella possibilità di effettuare il pagamento senza per questo sacrificare dati sensibili – l’unico fondamento di legittimità.

[1] La fallibilità dei sistemi di riconoscimento biometrico è legata alla possibilità che nelle persone avvengano mutamenti, interni o dovuti a fattori esterni, delle parti fisiche interessate. Sull’argomento, tra i numerosi contributi, si veda N. Tilli, Il rapporto tra biometria e privacy tra necessità di controllo pubblico e tutela della libertà individuale, www.novastudia.com › uploads › media › BIOMETRIA_I

[2] Cfr. Garante per la protezione dei dati personali, Provvedimento generale prescrittivo in tema di biometria. (Provvedimento n. 513/2014), in G.U. n. 280 del 2 dicembre 2014. I trattamenti interessati dal provvedimento del Garante sono quelli legati (i) all’autenticazione informatica, (ii) al controllo dell’accesso fisico ad aree ‘sensibili’ dei soggetti addetti e all’utilizzo di apparati e macchinari pericolosi, (iii) all’uso dell’impronta digitale o della topografia della mano a scopi facilitativi e (iv) alla sottoscrizione di documenti informatici.

[3] È appena il caso di ricordare che alla luce dell’abrogazione dell’art. 17 del d.lgs.196/2003, la legittimità dei trattamenti riferiti ai predetti casi va valutata in relazione alla compatibilità del provvedimento n. 513/2014 con il Gdpr e il d.lgs. 101/2018, come previsto dall’art. 22, c. 4 del d.lgs. 101/2018.

[4] Secondo il quotidiano New York Post, Amazon sta sperimentando un innovativo sistema di pagamento che usa la scansione della mano per identificare l’utente e addebitare i pagamenti sulla sua carta di credito. È una nuova forma di pagamento che la stessa Amazon intende introdurre nei propri punti vendita per eliminare le file alle casse, e che potrebbe rivoluzionare l’intero settore retail.

[5] Cfr. P. Licata, Riconoscimento facciale, un futuro in chiaroscuro. Serve più attenzione alla privacy, in https://www.digital4.biz/executive/innovation-management/riconoscimento-facciale-privacy/

[6] Invero, l’applicazione della base giuridica di cui all’art. 6.1.b) trova giustificazione solo nei casi in cui vengono forniti servizi biometrici che necessitano, cioè, di un trattamento di dati di natura biometrica. Al riguardo, cfr. Gruppo di lavoro art. 29 per la protezione dei dati, Parere 3/2012 sugli sviluppi delle tecnologie biometriche, 27 aprile 2012.

[7] Cfr. Garante per la protezione dei dati personali, Provvedimento n. 513/2014, cit., Allegato A, Linee-guida in materia di riconoscimento biometrico e firma grafo metrica, in G.U. n. 280 del 2 dicembre 2014.

[8] Cfr. Gruppo di lavoro art. 29 per la protezione dei dati, Parere 3/2012, cit., in cui il board sottolinea come l’accesso a un servizio alla sola condizione di fornire i propri dati biometrici dimostri che il consenso non è fornito in modo libero e dunque non può essere considerato un motivo di liceità.