CARTE BIOMETRICHE E SERVIZI PUBBLICI: VIOLANO IL GDPR?

Nel contesto europeo, l'uso dei dati biometrici per accedere ai servizi pubblici sta sollevando crescenti dubbi di legittimità alla luce del Regolamento Generale sulla Protezione dei Dati (GDPR). Un caso recente in Irlanda ha posto seri interrogativi sul trattamento delle informazioni biometriche da parte delle pubbliche amministrazioni. Ma cosa dice il GDPR e quali sono i rischi?

Cos'è successo in Irlanda?Il Dipartimento per la Protezione Sociale irlandese è stato oggetto di un'indagine da parte della Data Protection Commission, che ha rilevato gravi violazioni del GDPR nell'uso delle tecnologie di riconoscimento facciale per l’emissione delle carte dei servizi pubblici. Tali strumenti, basati su foto e software di confronto facciale (“Safe 2”), erano utilizzati per verificare l’identità dei cittadini.

Quali sono le violazioni riscontrate?

1.     Mancanza di base giuridica valida per il trattamento dei dati biometrici (art. 9 GDPR);

2.     Conservazione indebita di dati sensibili senza un adeguato scopo;

3.     Scarsa trasparenza nei confronti degli interessati;

4.     DPIA (valutazione d’impatto) carente, inadeguata a descrivere la portata del trattamento.

I dati biometrici possono essere usati per i servizi pubblici?Solo in presenza di una delle condizioni di liceità previste dall’art. 9 par. 2 GDPR, come il consenso esplicito o motivi di interesse pubblico rilevante. Inoltre, devono essere rispettati i principi di necessità, proporzionalità e minimizzazione dei dati.

Cosa rischiano le amministrazioni che usano impropriamente dati biometrici?Sanzioni pecuniarie fino a 20 milioni di euro o fino al 4% del fatturato annuo mondiale (art. 83 GDPR), oltre a possibili contenziosi civili da parte degli interessati per illeciti nel trattamento.

Perché l’Irlanda è spesso al centro delle indagini GDPR?Molte grandi aziende tecnologiche – come Meta, Google, Apple, TikTok – hanno scelto di stabilire in Irlanda le loro sedi europee per motivi fiscali e normativi. Secondo il principio del "one-stop-shop" del GDPR (art. 56), spetta dunque all’autorità irlandese (DPC) vigilare sul rispetto della normativa per tutte queste realtà. Tuttavia, l’autorità ha mostrato di essere attiva anche nei confronti delle istituzioni pubbliche, come nel caso della carta dei servizi biometrici, dimostrando che anche gli enti governativi possono incorrere in violazioni sistemiche.

Quali alternative sono possibili?Tecnologie meno invasive e sistemi di identificazione che non richiedano il trattamento di categorie particolari di dati, nel rispetto del principio di “privacy by design”.

ConclusioniL’utilizzo dei dati biometrici nella PA richiede estrema cautela e un approccio rigoroso alla compliance normativa. L’episodio irlandese rappresenta un campanello d’allarme per tutti i soggetti pubblici europei, chiamati a rivedere i propri sistemi di identificazione in ottica di tutela dei diritti fondamentali.

Per approfondire, contattaci: Studio Legale Avv. Maria Bruschi – www.avvocatobruschi.it – info@avvocatobruschi.itSeguici per altri aggiornamenti in materia di privacy e digitalizzazione nella PA.