Notizia originaria pubblicata in questa rivista il 04 aprile 2024: le modifiche odierne sono evidenziate in corsivo e sottolineato – Il Garante Privacy, con provvedimento del n. 179 del 21 marzo 2024, ha rivolto un avvertimento ad una fondazione che opera in criptovalute e ne promuove lo sviluppo, affermando che eventuali progetti basati sulla scansione dell’iride per verificare l’identità degli utenti (nel caso specifico utilizzata per lo scambio di criptovalute), implementati in Italia, violerebbero il GDPR, con le conseguenze di carattere sanzionatorio previste dalla normativa.
L’art. 4 punto 14) del GDPR definisce nello specifico dati biometrici “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.
La scansione dell’iride e la creazione del c.d. IrisCode, pertanto, rientrerebbe nella definizione di dato biometrico.
L’art. 9 del Regolamento impone un divieto generale al trattamento, tra gli altri, anche dei dati biometrici intesi a identificare in modo univoco una persona fisica, salvo le deroghe previste al successivo par. 2 e, in particolare, alla lett. a) che fa riferimento all’esplicito consenso dell’interessato.
Inoltre il successivo par. 4 prevede che gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute.
In attuazione di tale ultima disposizione, il Codice sulla protezione dei dati personali ha espressamente previsto una ipotesi di trattamenti di dati biometrici, con riferimento agli obblighi dell’art. 32 del Regolamento, che ne ammette l’utilizzo con riguardo esclusivamente alle procedure di accesso fisico e logico ai dati da parte dei soggetti autorizzati (art. 2-septies, comma 7).
Il Garante si era già espresso, in passato, nelle Linee Guida n. 3/2019 e 05/2022, in matria di dati biometrici, affermando che il loro uso, in particolare il riconoscimento facciale, comporta maggiori rischi per i diritti degli interessati: il ricorso a tali tecnologie dovrebbe pertanto avvenire nel dovuto rispetto dei principi di liceità, necessità, proporzionalità e minimizzazione dei dati sanciti nel GDPR.
Inoltre, i titolari del trattamento dovrebbero in primo luogo valutare l’impatto sui diritti e sulle libertà fondamentali e considerare mezzi meno intrusivi per raggiungere il legittimo scopo del rispettivo trattamento, poiché il trattamento dei dati biometrici, in ogni circostanza, costituisce di per sé un’ingerenza grave.
Nel caso specifico il Garante, in base alle informazioni inviate dalla società, ha valutato che il trattamento dei dati biometrici è basato sul presupposto giuridico del consenso degli interessati, che viene richiesto a fronte di una informativa che, allo stato, tuttavia, secondo il Garante, non risulta fornire informazioni circa i rischi legati al trattamento di tale tipologia di dati.
In sostanza, gli utenti non risultano avere a disposizione sufficienti informazioni per garantire loro una piena consapevolezza circa i rischi elevati collegati al trattamento dei propri dati biometrici (nel caso di specie la scansione dell’iride): in tale contesto di scarsa trasparenza, il consenso per il trattamento dei dati biometrici degli interessati non potrebbe soddisfare i requisiti richiesti dal GDPR e, pertanto, non potrebbe costituire una adeguata base giuridica del trattamento.
A ciò si aggiunge che tale consenso parrebbe condizionato, in quanto ad esso è correlata la promessa di ricevere gratuitamente token gratuiti da parte del titolare del trattamento.
Infine, nel caso specifico, i rischi elevati del trattamento risultano ulteriormente amplificati, secondo il Garante, dall’assenza di filtri per impedire l’accesso all’applicazione ai minori di età di 18 anni.
Il provvedimento del Garante è in corso di pubblicazione nella Gazzetta Ufficiale.
L’avvertimento in oggetto è stato pubblicato nella Gazzetta Ufficiale n. 82 dell’8 aprile 2024.