Definizione del trattamento di dati biometrici: l’interpretazione estensiva del Garante e della Corte di Cassazione
A cura di Fabrizio Di Geronimo
Introduzione
Al termine di una controversa vicenda giurisdizionale, con ordinanza n. 12967/2024[1], la Corte di Cassazione ha adottato un orientamento estensivo circa il trattamento di dati biometrici ai sensi dell’articolo 9 Regolamento (UE) 2016/679 (“GDPR” o “Regolamento”), confermando un precedente provvedimento del Garante per la protezione dei dati personali[2] (“Garante” o “Autorità”).
Definiti dal Regolamento come “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”[3], i dati biometrici rientrano, come noto, tra le categorie particolari di dati personali, sottoposti a una protezione maggiorata in virtù proprio della loro sensibilità per l’interessato e le possibili conseguenze che potrebbero derivare da un loro illegittimo trattamento. Per tale motivo, il loro trattamento è generalmente vietato, salvo che sussista una delle condizioni previste dall’articolo 9, par. 2, GDPR[4].
Peraltro, per la loro natura altamente tecnologica, i dati biometrici pongono da sempre un’enorme complessità interpretativa, anche solo nel definire se sia o meno in corso un trattamento di dati biometrici, complessità che è andata crescendo di pari passo con la progressiva diffusione di sistemi di raccolta di dati biometrici, anche a causa dell’incorporazione in dispositivi commerciali di largo consumo.
Tale complessità interpretativa ha richiesto, non a caso, già nel 2014, un intervento del Garante italiano[5] e poi un riconoscimento da parte dello stesso legislatore europeo, che ha ribadito, nel considerando 51 del GDPR, come, ad esempio, il “trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando siano trattate attraverso un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione di una persona fisica.”[6]
Peraltro, anche il D.lgs. 196/2003, come novellato dal D.lgs. 101/2018 s.m.i. (“Codice Privacy”), tenendo in considerazione la natura altamente tecnologica dei dati in esame – e l’inevitabile impatto in termini di protezione degli interessati – rimetteva al Garante l’elaborazione di misure di garanzia per il loro trattamento, da aggiornarsi peraltro, proprio in virtù della forte evoluzione tecnologica, biennalmente in considerazione “dell’evoluzione scientifica e tecnologica”[7].
Tale complessità interpretativa, e le importanti conseguenze che ne conseguono in termini, da un lato, di protezione dei dati personali e, dall’altro, della possibilità di utilizzare strumenti e software commerciali ormai altamente diffusi, è stato oggetto della vicenda in esame.
Il procedimento innanzi al Garante per la protezione dei dati personali
Con il Provvedimento 317/2021, Garante comminava a una università privata italiana (“Università”) il pagamento di una sanzione di €200.000 per, tra l’altro, la violazione della normativa vigente in materia di trattamento di dati biometrici tramite l’utilizzo di un sistema di proctoring.
Nell’ambito del contesto emergenziale dell’epidemia da Covid-19, l’Università aveva adottato, al fine di consentire il continuo e regolare svolgimento delle prove di esame nel contesto pandemico, e di assicurare l’equità di giudizio e il corretto svolgimento delle prove, un sistema di proctoring (Respondus), in grado di identificare e segnalare eventuali comportamenti sospetti nell’ambito dello svolgimento dell’esame.
Nel dettaglio, il sistema (i) identificava, all’inizio della prova, ciascuno studente per il tramite di un operatore umano, senza quindi l’utilizzo di dati biometrici, (ii) nell’ambito dello svolgimento dell’esame, catturava le immagini video e lo schermo dello studente, contrassegnando con dei flag le attività sospette, tra cui lo sguardo rivolto lontano dallo schermo, l’inquadratura solo parziale del viso, l’assenza del video, il tentativo di aprire altre finestre, un calo della connessione, (iii) inviava al docente supervisore i video con le segnalazioni di potenziali violazioni al fine di rimettere a quest’ultimo la decisione finale circa l’eventuale commissione di una violazione.
Sebbene, come ribadito dall’Università nel corso dell’istruttoria, il software non era “in grado di confrontare in maniera univoca il volto dello studente e la fotografia del documento mostrato”[8], e non creava un modello biometrico del singolo studente per eventuali “match” in fase di revisione, l’Autorità ha ritenuto che esso comportasse un trattamento di dati biometrici, pur rilevando come Respondus “non confronti l’immagine del volto con altre immagini presenti in propri database e in database esterni, ovvero non effettui una identificazione (1 a molti) o verifica biometrica (uno a uno)”[9].
Nell’interpretazione offerta dall’Autorità, infatti, la sola “raccolta, elaborazione e analisi del video prodotto dal software tramite un algoritmo di intelligenza artificiale al fine di produrre i flag”, comportando dei “confronti finalizzati al riconoscimento dell’individuo (verifica dell’identità, nel caso in esame) […] automatizzati mediante l’ausilio di appositi strumenti software o hardware” era da considerarsi un trattamento di dati biometrici.
In tale contesto, stante l’impossibilità, rilevata dall’Autorità, di far ricorso alla base giuridica del consenso per l’assenza del requisito di libertà a causa dello squilibrio docente-studente, l’unica base giuridica che avrebbe potuto legittimare tale trattamento era da individuarsi, ai sensi del combinato disposto degli articoli 9, par. 2, lett. g), GDPR e 2-sexies, D.lgs. 196/2003, in una disposizione normativa che specificasse i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato[10]; tuttavia, come rilevato dallo stesso Garante, all’epoca non sussisteva alcuna legge con tali caratteristiche idonee ad autorizzare il trattamento di dati biometrici nel caso di specie.
Il ciclo di vita dei dati biometrici nell’interpretazione del Tribunale di Milano e della Corte di Cassazione
A seguito dell’impugnazione della decisione dell’Autorità da parte dell’Università, il Tribunale di Milano accoglieva parzialmente il ricorso riconoscendo l’assenza di un trattamento di dati biometrici.
Il ragionamento del Tribunale prendeva le mosse dalle Linee-guida in materia di riconoscimento biometrico e firma grafometrica del Garante, individuando le seguenti quattro fasi del ciclo di vita dei dati biometrici: prima fase, consistente nel rilevamento delle caratteristiche biometriche; seconda fase, finalizzata all’acquisizione del campione biometrico; terza fase, relativa all’estrazione dei tratti biometrici e la costituzione del c.d. modello biometrico da conservare per la fase di confronto; quarta fase, del confronto (o del match), nella quale il modello biometrico viene confrontato con le effettive caratteristiche dell’individuo consentendo l’identificazione univoca della persona.
Ebbene, secondo il Tribunale di Milano, sarebbe stata proprio l’assenza di quest’ultima fase a mancare nel caso in esame, giustificando la conclusione circa l’assenza di un trattamento di dati biometrici. Il software Respondus non effettuava infatti alcun confronto tra le caratteristiche dell’individuo acquisite via video e un campione precedentemente raccolto, lasciando invece al docente ogni valutazione (anche) in merito all’eventuale identificazione univoca della persona.
Ancora diversa l’interpretazione della Corte di Cassazione, che riprendeva il ragionamento sulle quattro fasi del trattamento biometrico offerta dal Tribunale, ma cassava la sentenza impugnata confermando di fatto le conclusioni del Garante circa la sussistenza di un trattamento dati biometrici tramite il software Respondus.
Nell’interpretazione della Suprema Corte, infatti, la c.d. quarta fase del trattamento biometrico era soddisfatta dall’utilizzo di Respondus, che effettuava una identificazione (i.e., match) “nel corso di tutta la ripresa, sulla scorta della elaborazione informatica dei dati di volta in volta acquisiti ed elaborati mediante la creazione di flag relativi ai comportamenti anomali, che possono riguardare anche la conferma della corrispondenza identitaria della persona ripresa in video con quella dello studente da esaminare, proprio perché già identificato dall’Università”[11]. In tal senso, il controllo finale da parte del docente non sarebbe sufficiente a escludere un precedente trattamento automatizzato dei dati biometrici tramite Respondus, in quanto l’identificazione sufficiente a realizzare tale trattamento di dati biometrici era già effettuata nella stessa fase di segnalazione e inoltro al docente.
Conclusione
La vicenda giurisdizionale analizzata ha messo in luce le complesse sfide interpretative che ancora riguardano la stessa definizione di trattamento di dati biometrici, con le evidenti conseguenze che ne derivano in termini, sia di possibilità per le imprese, sia di tutela dei diritti degli interessati. Nonostante l’assenza della capacità di acquisire “caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica”[12] tali da consentirne o confermarne “l’identificazione univoca”, il sistema di proctoring adottato dall’Università è stato infatti ritenuto dal Garante, e successivamente dalla Corte di Cassazione, un trattamento di dati biometrici, in contrasto con quanto invece affermato dal Tribunale di Milano, secondo il quale mancava il requisito di matching proprio di tali trattamenti.
Se sicuramente il principio elaborato dalla Suprema Corte[13] contribuirà almeno in parte a definire, in modo estensivo, il trattamento di dati biometrici, resta da auspicarsi che l’Autorità fornisca ulteriori chiarimenti finalizzati a delimitare in modo più preciso quando si ricada in un trattamento di dati biometrici. Un’occasione per tali chiarimenti potrebbe essere costituita dalle misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute richieste, biennalmente, dall’articolo 2-septies D.lgs. 196/2003, come novellato dal D.lgs. 101/2018, e finora non ancora adottate.
[1] Cass. Civ., sez. I, ord. 13/05/2024, n. 12967.
[2] Garante, Ordinanza ingiunzione nei confronti di Università Commerciale “Luigi Bocconi” di Milano, 16 settembre 2021, doc. web. 9703988.
[3] Articolo 4, par. 1, num. 14), GDPR. Vd. anche ISO/IEC 2382-37 “Information technology — Vocabulary — Part 37: Biometrics”.
[4] Art. 9, par. 1, GDPR.
[5] Garante, Provvedimento generale prescrittivo in tema di biometria, 12 novembre 2014, doc. web. n. 3556992.
[6] Considerando 51, GDPR.
[7] Art. 2-septies Codice Privacy.
[8] Garante, Ordinanza ingiunzione nei confronti di Università Commerciale “Luigi Bocconi” di Milano, 16 settembre 2021, doc. web. 9703988.
[9] Ibidem.
[10] Art. 2-sexies Codice Privacy.
[11] Cass. Civ., sez. I, ord. 13/05/2024, n. 12967, par. 3.4.
[12] Articolo 4, par. 1, num. 14), GDPR.
[13] «In tema di trattamento dei dati personali, ai sensi dell’art.9 del Reg (UE) 2016/679, ricorre un trattamento di dati biometrici, come definiti dall’art. 4, n.14 del Regolamento 2016/679, quando i dati personali sono ottenuti mediante un trattamento tecnico automatizzato specifico, realizzato con un software che, sulla base di riprese e analisi delle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica, le elabora, evidenziando comportamenti o elementi anomali, e che perviene a un esito conclusivo, costituito da una elaborato video/foto che consente (o che conferma) l’identificazione univoca della persona fisica, restando irrilevante la circostanza che l’esito finale del trattamento sia successivamente sottoposto alla verifica finale di una persona fisica»[13]. Cass. Civ., sez. I, ord. 13/05/2024, n. 12967, par. 3.5.