Fotografie sono dati biometrici?

Perché è importante definire se e quando le foto possano essere considerate dati biometrici? perché il trattamento di dati biometrici su larga scala comporta tra le altre cose l’applicazione degli artt. 35 (Valutazione d’impatto) e 37 ( designazione responsabile del trattamento dei dati -DPO).

Ai sensi dell’art 4 GDPR si intendono per dati biometrici: l’insieme dei dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici; ad esempio, lo sono l’impronta digitale, la registrazione del timbro vocale, l’immagine facciale.

Ed è proprio tale ultima fattispecie che fa sorgere il dubbio: la foto che ritrae un volto può essere considerata dato biometrico? a chiarire la questione viene in aiuto la lettura del considerando 51 al GDPR:

“Il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione di una persona fisica”

Sarà quindi necessario valutare le modalità con cui tali fotografie vengono acquisite e soprattutto a quali trattamenti successivi vengono sottoposte: solo nel caso in cui vengano utilizzare per individuare in modo automatico i dati identificativi di un soggetto, potranno essere considerate dati biometrici, dovendo in caso contrario essere considerate dati personali non particolari. Il Garante richiamando una precedente opinione del WP29 n 2/2012 parla proprio di differenza necessaria tra dato biometrico e fonte dello stesso, intendendo per la seconda proprio quella immagine che solo eventualmente può essere oggetto di rilevamento automatizzato delle caratteristiche fisiche e fisionomiche atte a individuare in modo automatico la persona fisica ritratta e quindi a diventare dato biometrico

Provvedimento Garante webcam_26.6.17

Giovanni Brancalion Spadon

Giovanni Brancalion Spadon

Nato a Venezia, ha studiato presso l’Università di Bologna e presso l’UCLA California, è iscritto all’Albo Avvocati di Venezia dal 2004. Dopo la laurea ha conseguito un master in Diritto delle Nuove Tecnologie, uno in Diritto Ambientale e uno in Diritto d’Autore e dello spettacolo e si è specializzato in Blockchain Technologies presso il Massachusetts Institute of Technology (MIT) di Boston. Docente presso la Business School dell’Università Ca’Foscari di Venezia, collabora con istituti di formazione per le materie connesse al diritto delle nuove tecnologie, alla privacy e alla blockchain e relative applicazioni, all’amministrazione digitale; è consulente di P.A. per la digitalizzazione e l'adeguamento GDPR. Socio fondatore di Porto4, è dedicato principalmente ai programmi 4ANALYSIS - analisi strategica d'Impresa, 4 GDPR  e 4FORMAZIONE - per la diffusione della cultura legale nelle imprese. Da oltre 15 anni opera nel diritto delle nuove tecnologie, industriale, d’autore e societario. E’ interessato ai processi d’innovazione in ogni ambito, appassionato d’arte contemporanea e insegna teatro.