Stabilire se una fotografia sia o non sia un dato biometrico non è una mera questione teorica. Si tratta di un problema concreto che può dare luogo a notevoli conseguenze pratiche.

Chiunque abbia un po’ di dimestichezza con la materia della protezione dei dati personali sa che un dato biometrico è soggetto a una disciplina particolare rispetto ai dati personali comuni. Ricondurre la fotografia nella giusta categoria è quindi fondamentale per capire quali regole e divieti trovino applicazione nel singolo caso concreto.

In questo articolo cercheremo di fare un po’ di chiarezza e di dare alcune indicazioni utili per comprendere quando una fotografia debba essere trattata come dato biometrico.

Il dato biometrico: teoria …

Come detto, il dato biometrico costituisce una categoria particolare di dato personale che è soggetta a una disciplina specifica.

Per capire cosa sia il dato biometrico è necessario partire dall’art. 4, par. 1, n. 14) del Regolamento Ue 2016/679 (GDPR), che contiene una definizione puntuale di questo concetto. Sono qualificati come dati biometrici “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.

In astratto, quindi, il dato biometrico per essere definito tale dovrebbe:

  • essere ottenuto da un trattamento tecnico specifico;
  • riguardare le caratteristiche fisiche, fisiologiche o comportamentali di una data persona fisica;
  • consentire, attraverso il trattamento, di giungere all’identificazione univoca o all’autenticazione di tale persona fisica.

L’art. 9, par. 1, GDPR vieta, di regola, il trattamento di qualsiasi dato biometrico. La ragione di questa limitazione è facilmente intuibile e consiste nell’elevato rischio di pregiudizi ai diritti e alle libertà fondamentali delle persone fisiche.

… e pratica

Sono previste però delle eccezioni a tale divieto di trattamento, tra le quali possiamo ricordare soprattutto le seguenti:

  • l’interessato presta il proprio consenso esplicito al trattamento di un dato biometrico per una o più finalità specifiche e tale trattamento è adeguato, pertinente e non eccedente rispetto a dette finalità. Vi rientrano anche le ipotesi di consenso espresso mediante un’azione positiva inequivocabile, come ad esempio nel caso in cui l’interessato chieda di far apporre la gigantografia della propria impronta digitale sul cofano della Porsche appena acquistata.
  • il dato biometrico è reso manifestamente pubblico dall’interessato. Questo accade ogni qualvolta l’interessato pubblichi, ad esempio, sui social networks una fotografia o una registrazione audio da cui possano essere desunti dati particolari che lo identificano inequivocabilmente (es. forma del viso, iride, timbro e tono della voce).

In questi casi eccezionali (previsti dall’art. 9 del GDPR), tra i quali rientrano anche quelli appena citati, è consentito effettuare il trattamento di un dato biometrico.

Inoltre, l’art. 2 septies, D.lgs. 101/2018 (Codice Privacy) impone che il trattamento del dato biometrico sia conforme alle misure di garanzia disposte dal Garante italiano con provvedimento apposito, adottato con cadenza biennale, che tenga conto delle migliori prassi applicative e dell’evoluzione scientifica e tecnologica relativa al settore interessato.

Se volessimo fare degli esempi concreti di dato biometrico potremmo citare l’impronta digitale – usata spesso per sbloccare smartphone e altri devices o quale terzo fattore di autenticazione, come spiegato in questo articolo sui rischi di sim swap e smishing -, la conformazione del volto o dell’iride, la retina, il timbro e la tonalità della voce.

La fotografia come dato biometrico

Anche la fotografia rappresenta un dato biometrico?

La risposta è….

Premettiamo che la raccolta, la registrazione, la conservazione e in generale l’utilizzo di un’immagine (quindi anche di una fotografia) configura un trattamento di dati personali.

Tuttavia, la fotografia “rientra nella definizione di dati biometrici (soltanto) quando è trattata attraverso un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione di una persona fisica” secondo il Considerando 51 del GDPR.

La differenza tra le ipotesi in cui una fotografia vale come dato biometrico e quelle in cui la fotografia integra un mero dato personale è quindi netta, ma sottile. Per semplificare:

  1. quando la fotografia è scattata con un dispositivo tecnico che permette di identificare chiaramente una data persona fisica, o di confermarne l’identità, rappresenta un dato biometrico;
  2. quando la fotografia è scattata in assenza di questi presupposti integra un mero dato personale.

La differenza tra le due alternative non è di poco conto e dà luogo a conseguenze rilevanti.

Nella prima ipotesi, il trattamento del dato biometrico consistente nell’uso della fotografia è ammesso nelle sole ipotesi previste dall’art. 9, par. 2, GDPR, alcune delle quali già ricordate sopra.

Gli obblighi connessi al trattamento di dati biometrici

Quando la fotografia integra un dato biometrico il titolare, prima di effettuare il trattamento, deve necessariamente fare una valutazione di impatto di tali trattamenti sulla protezione dei dati personali degli interessati (DPIA).

Altro aspetto da tenere in considerazione quando si effettua il trattamento di un dato biometrico (fotografia) è il grado di chiarezza e comprensibilità dell’informativa. E’ importante che l’interessato sia informato sui propri diritti e sulle finalità per cui è utilizzata la fotografia, ossia è eseguito il trattamento del dato biometrico.

Infine, il trattamento avente ad oggetto una fotografia – quando integra un dato biometrico –  impone al titolare di adottare misure tecniche di sicurezza (es. crittografia e altre tecnologie di protezione) e tecnologiche (es. sistemi di disaster recovery) adeguate al rischio specifico.

Nella seconda ipotesi, ossia quando la fotografia non integra un dato biometrico, la disciplina applicabile è quella prevista per il trattamento di qualsiasi dato personale.

Fotografia: quando costituisce un dato biometrico?

I settori in cui l’uso della fotografia si interseca con il trattamento del dato biometrico sono davvero tanti. Tra questi possiamo ricordare:

  1. l’autenticazione per l’accesso ai dispositivi elettronici.

Si tratta del caso di fotografia come dato biometrico forse più noto. Il cosiddetto “Face Id” è sempre più usato per sbloccare il proprio smartphone o accedere ai devices personali.

  1. il settore assicurativo, soprattutto ai fini del calcolo della prospettiva di vita dell’assicurato e la conseguente determinazione del premio applicabile.

In tali ipotesi – ancora sperimentali – sistemi di intelligenza artificiale scansionano la fotografia del volto dell’assicurato per stimarne l’invecchiamento (e quindi la prospettiva di vita futura) grazie a un algoritmo di age-estimation.

  1. la video content analysis, ossia la videosorveglianza “intelligente” basata sull’uso di sistemi di intelligenza artificiale che consentono di monitorare, analizzare e archiviare i fotogrammi video (fotografie) ripresi dalle telecamere di videosorveglianza senza la necessità di un intervento umano.
  2. il controllo degli accessi in determinati luoghi per fini di sicurezza. In questi casi, l’accesso ai luoghi – da parte del solo personale autorizzato – è consentito previa fotografia del volto e, eventualmente, body scan.

Fotografia del viso: tra face detention e face recognition

L’implementazione di sistemi di intelligenza artificiale ha permesso un’ulteriore evoluzione nell’utilizzo della fotografia come (eventuale) dato biometrico.

Le tecniche di machine learning, abbinate a sensori visivi e di movimento, permettono oggi di rilevare la presenza di un volto umano nei pressi di un dispositivo di rilevazione e di riconoscere la persona a cui tale volto appartiene.

Si parla rispettivamente di face detention e di face recognition per indicare le  due ipotesi.

  • La Face Detection è semplicemente un’applicazione delle tecniche di computer vision al riconoscimento del volto umano. Data una fotografia o un’immagine (rilevata autonomamente con sensori visivi e di movimento), la macchina è in grado di stabilire se in essa è presente un viso umano, la sua posizione ed estensione.

Tale tecnica è spesso utilizzata per misurare l’audience pubblicitaria generata dai messaggi di marketing tramite dispositivi promozionali del tipo “digital signage” (totem).

  • La Face Recognition consiste, invece, nel trattamento automatizzato di immagini digitali contenenti volti allo scopo di identificarli, verificarne l’identità o categorizzarli (questa è la definizione elaborata dal WP29 nella Opinion 02/2012).

La fotografia del volto come dato biometrico

La differenza tra le due fattispecie sopra menzionate, apparentemente banale, assume in realtà una notevole importanza pratica. Tale distinzione è stata messa in chiaro anche in un recente caso affrontato dal Garante per la protezione dei dati personali italiano.

Nella face recognition il trattamento del dato personale (consistente nell’utilizzo della fotografia) è finalizzato al riconoscimento di una data persona fisica. Il processo è compiuto grazie all’ausilio di strumenti di automazione hardware e software.

In queste ipotesi ci troviamo chiaramente di fronte a una fotografia intesa come dato biometrico.

Al contrario, nella face detection non c’è un’identificazione univoca della persona fisica che si trova nei pressi del sistema di rilevazione. Qui il software non è in grado di identificare il passante tramite le sue caratteristiche anatomiche. L’eventuale fotografia del viso “raccolta” dal dispositivo non integra quindi un dato biometrico ma, al più, un mero dato personale.

Soltanto nella prima ipotesi, ma non nella seconda, il trattamento del dato personale consistente nell’utilizzo della fotografia del volto della persona fisica è soggetto alle garanzie e limitazioni previste per il trattamento dei dati biometrici sopra ricordate.