L’EVOLUZIONE DELL’IDENTIFICAZIONE BIOMETRICA NELL’ERA DIGITALE

L’identità personale ha subito una trasformazione radicale nell’era dell’intelligenza artificiale, evolvendosi da concetto astratto a dato tecnicamente processabile e algoritmicamente classificabile. Le caratteristiche fisiche, fisiologiche e comportamentali uniche di ogni individuo – dalle impronte digitali ai pattern dell’iride, dalla geometria del volto alle microespressioni emotive – sono diventate non solo strumenti di identificazione, ma veri e propri marcatori per la categorizzazione biometrica automatizzata.

Questa rivoluzione tecnologica ha suscitato la massima attenzione delle autorità di protezione dati, portando a un corpus normativo articolato che include il GDPR (Reg. UE 2016/679) e l’AI Act europeo (Reg. UE 2024/1689).

IL QUADRO NORMATIVO ITALIANO: IL PROVVEDIMENTO DEL GARANTE N. 513 DEL 12 NOVEMBRE 2014

Premessa e ratio dell’intervento

Il Garante italiano, con il Provvedimento generale prescrittivo n. 513 del 12 novembre 2014, ha stabilito un quadro unitario di misure per conformare i trattamenti di dati biometrici alla disciplina sulla protezione dei dati personali. Tale intervento riflette la consapevolezza che i dati biometrici sono per loro natura direttamente, univocamente e in modo tendenzialmente stabile nel tempo, collegati all’individuo.

Il Provvedimento parte dalla considerazione che i dati biometrici rientrano pienamente nell’ambito del Codice Privacy, essendo “informazione concernente una persona fisica identificata o identificabile”, e che le operazioni su essi compiute con strumenti elettronici sono a tutti gli effetti trattamenti soggetti alla disciplina sulla protezione dei dati personali.

Definizione operativa e terminologia

Il Garante considera dati biometrici, coerentemente con i pareri del Working Party Article 29, “i campioni biometrici, i modelli biometrici, i riferimenti biometrici e ogni altro dato ricavato con procedimento informatico da caratteristiche biometriche che possa essere ricondotto, anche tramite interconnessione ad altre banche dati, a un interessato individuato o individuabile”.

Questa definizione sottolinea l’importanza del “trattamento tecnico specifico“: non è la caratteristica fisica in sé a costituire dato biometrico tutelato, ma quella caratteristica isolata e resa fruibile attraverso uno specifico processo di elaborazione tecnologica.

DAL GDPR ALL’AI ACT: EVOLUZIONE DEL PARADIGMA NORMATIVO

Convergenze e divergenze definitorie

L’AI Act riprende sostanzialmente la definizione di dato biometrico contenuta nel GDPR (art. 4, n. 14), qualificandoli come “dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica, che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.

Questa continuità formale nasconde però un cambio di paradigma significativo. Mentre il GDPR e il Provvedimento del Garante del 2014 si concentravano sulla protezione del dato in quanto tale e sulle modalità tecniche del trattamento, l’AI Act sposta l’attenzione sulla finalità del trattamento, introducendo la distinzione tra:

• Identificazione biometrica: riconoscimento automatizzato per determinare l’identità confrontando dati biometrici con banche dati.
• Autenticazione biometrica: verifica dell’identità per accedere a servizi o dispositivi, quando la finalità è confermare che una persona è chi dice di essere (come lo sblocco degli smartphone).
• Categorizzazione biometrica: assegnazione di persone a categorie specifiche sulla base dei loro dati biometrici, che pone rischi ancora maggiori per la dignità personale.

IL CASO CLEARVIEW AI: PARADIGMA DEL WEB SCRAPING ILLECITO

Il caso Clearview AI rappresenta uno spartiacque fondamentale per comprendere i confini normativi del trattamento di dati biometrici. Nel febbraio 2022, il Garante italiano ha sanzionato la società americana per 20 milioni di euro, contestando un “vero e proprio monitoraggio biometrico anche di persone che si trovano nel territorio italiano“.

Il modello di business controverso: Clearview AI, una società con sede legale negli Stati Uniti, operante nel settore IT quale fornitore di software di riconoscimento facciale, aveva dichiarato il possesso di un database di oltre 10 miliardi di immagini di volti estratte tramite web scraping da fonti pubbliche (social media, siti di informazione, video online). Il servizio, grazie a sistemi di intelligenza artificiale, consentiva la creazione di profili basati sui dati biometrici estratti dalle immagini, arricchiti da metadati come titolo, geolocalizzazione e pagina web di pubblicazione.

Tra le violazioni contestate:

• Assenza di base giuridica: il trattamento di dati biometrici e di geolocalizzazione avveniva senza adeguata base giuridica. Il legittimo interesse della società non può giustificare un trattamento così invasivo.
• Violazione del principio di trasparenza: mancata informativa adeguata agli utenti sulla raccolta e l’utilizzo dei loro dati.
• Violazione della limitazione delle finalità: utilizzo dei dati per scopi diversi rispetto a quelli per cui erano stati pubblicati online.
• Applicabilità territoriale del GDPR: il Garante ha chiarito che non è necessario avere clienti europei per essere soggetti al GDPR; è sufficiente che i dati utilizzati siano di persone europee.

Con questo Provvedimento il web scraping fino ad allora collocato in una “zona grigia”, è stato dichiarato ufficialmente illegale.

Aspetto tecnico cruciale: le fotografie raccolte non costituiscono di per sé dati biometrici. Lo diventano quando sottoposte al trattamento vettoriale tramite algoritmi di machine learning che trasforma le immagini in rappresentazioni matematiche confrontabili. Solo all’esito di questo processo possiamo essere certi di trovarci in presenza di dati biometrici soggetti alla disciplina più stringente dell’art. 9 GDPR.

L’EVOLUZIONE TECNOLOGICA: DALLA BIOMETRIA STATICA ALL’AI EMOTIVA

Generazioni di sistemi biometrici

Biometria di prima generazione: sistemi basati su impronte digitali e topografia della mano. Il Provvedimento del Garante del 2014 individua proprio queste caratteristiche come quelle ammissibili per la maggior parte dei casi d’uso (autenticazione informatica, controllo accessi, usi facilitativi).

Biometria fisiologica avanzata: include riconoscimento dell’iride, della retina, geometria facciale.

Biometria comportamentale: analisi di pattern dinamici come emissione vocale (ammessa dal Garante solo in combinazione con altri fattori di autenticazione e con accorgimenti anti-registrazione), digitazione, andatura, gestualità.

Biometria emotiva: sistemi di Automatic Face Emotion Recognition (FER) che analizzano microespressioni per inferire stati emotivi, stress, potenziale inganno. L’AI Act dedica particolare attenzione a questi sistemi, vietandone l’uso nei luoghi di lavoro e negli istituti di istruzione.

Il riconoscimento delle emozioni

Il caso dell’Autorità ungherese (Provv. n. 85-3/2022) che ha sanzionato un istituto finanziario per l’analisi emotiva delle telefonate del servizio clienti e nello specifico, per violazione del principio di trasparenza, esemplifica i rischi. Il sistema, analizzava voce, pause e numero di interlocutori tramite machine learning per individuare lo “stato emozionale” e selezionare clienti insoddisfatti da richiamare.

APPLICAZIONI LEGITTIME

Le quattro finalità ammesse dal Garante italiano

Il Provvedimento del 2014 individua quattro ambiti di utilizzo che, rispettando specifiche prescrizioni tecniche, sono esonerati dall’obbligo di verifica preliminare:

1. 1. 1. Autenticazione informatica

         Utilizzo di impronte digitali o emissione vocale per l’accesso a banche dati e sistemi informatici con particolari profili di rischio, incluse infrastrutture critiche informatiche (D.M. 9 gennaio 2008).

         Base giuridica: bilanciamento di interessi (art. 24, comma 1, lett. g) Codice Privacy) senza necessità di consenso, data l’esistenza di specifiche esigenze di sicurezza. In ambito pubblico, vale il perseguimento delle finalità istituzionali.

         Tra le prescrizioni tecniche principali:

         • solo impronte digitali (con rilevamento della vivezza) o emissione vocale (in combinazione con altri fattori);
         • cancellazione immediata dei dati grezzi dopo la loro trasformazione in modelli biometrici;
         • conservazione separata dei riferimenti biometrici dai dati identificativi.
      2. Controllo di accesso fisico ad aree “sensibili”

         Impronte digitali o topografia della mano per limitare l’accesso ad aree con elevati livelli di sicurezza, come:

         • aree destinate ad attività riservate con personale selezionato;
         • utilizzo di macchinari pericolosi che richiedono particolare destrezza.

         Base giuridica: bilanciamento di interessi per soggetti privati, finalità istituzionali per enti pubblici.

         Caratteristiche peculiari: possibilità di conservazione del riferimento biometrico su smart card certificate nell’esclusiva disponibilità dell’interessato, oppure su dispositivi-lettori o controller di varco con misure di sicurezza rafforzate.

      3. Usi facilitativi

         Impronte digitali o topografia della mano per semplificare l’accesso ad aree pubbliche (biblioteche) o private (aree aeroportuali riservate) o a servizi.

         Base giuridica: consenso effettivamente libero degli interessati, con obbligo di prevedere sistemi alternativi non biometrici.

         Principio fondamentale: la messa a disposizione di modalità alternative garantisce l’effettiva libertà del consenso, evitando che la scelta biometrica diventi de facto obbligatoria.

      4. Sottoscrizione di documenti informatici

         Firma grafometrica per soluzioni di firma elettronica avanzata, finalizzata a contrastare frodi, furti di identità e rafforzare garanzie di autenticità e integrità dei documenti.

         Base giuridica: consenso effettivamente libero con disponibilità di sistemi alternativi (cartacei o digitali) di sottoscrizione.

         Particolarità tecniche:

         • procedimento abilitato previa identificazione del firmatario;
         • nessun dato biometrico persiste all’esterno del documento sottoscritto;
         • dati memorizzati nel documento in forma cifrata con crittografia a chiave pubblica.

VANTAGGI OPERATIVI, VULNERABILITÀ TECNICHE E PRESCRIZIONI DI SICUREZZA

I sistemi biometrici offrono vantaggi significativi in termini di sicurezza (unicità e immutabilità delle caratteristiche, eliminazione dei rischi legati alle password) ed efficienza operativa (riduzione dei tempi di autenticazione, automatizzazione dei processi).

Tuttavia, presentano rischi rilevanti per i diritti fondamentali, tra i quali: l’irreversibilità dei dati compromessi (che richiede notifica al Garante entro 24 ore), il pericolo di sorveglianza pervasiva e monitoraggio di massa (come nel caso Clearview AI, vietato dall’AI Act) e la discriminazione algoritmica con tassi di errore differenziati per gruppi demografici.

Per mitigare queste vulnerabilità, il Garante prescrive misure di sicurezza stringenti: rilevamento della vivezza (liveness detection), crittografia rafforzata, cancellazione immediata dei dati grezzi dopo la trasformazione in modelli biometrici, segregazione dei dati, divieto di archivi centralizzati (preferendo modelli distribuiti su smart card o dispositivi locali) e conservazione temporale limitata con cancellazione automatica.

BASI GIURIDICHE: DAL CONSENSO AL BILANCIAMENTO DEGLI INTERESSI

Il superamento del paradigma del solo consenso

Il quadro normativo italiano, anticipando l’approccio dell’AI Act, distingue chiaramente tra diverse basi giuridiche a seconda della finalità:

• Bilanciamento di interessi (art. 24, comma 1, lett. g) Codice Privacy): per autenticazione informatica e controllo accessi ad aree sensibili, il trattamento può avvenire senza consenso, in ragione del legittimo interesse perseguito dal titolare e delle specifiche esigenze di sicurezza commisurate ai rischi incombenti sui dati o sui sistemi. In ambito pubblico, vale il perseguimento delle finalità istituzionali.
• Consenso libero ed effettivo: per usi facilitativi e firma grafometrica, è indispensabile il consenso dell’interessato. L’effettiva libertà è garantita dall’obbligo di prevedere sistemi alternativi non biometrici.
• Interesse vitale: applicabile quando il trattamento è necessario per proteggere interessi vitali dell’interessato o di terzi (art. 9.2.c GDPR).
• Motivi di interesse pubblico rilevante: per finalità di sicurezza pubblica, prevenzione di frodi, gestione delle frontiere.

ACCOUNTABILITY E VALUTAZIONE D’IMPATTO

Il Garante impone per tutti i trattamenti biometrici esonerati dalla verifica preliminare l’obbligo di predisporre una relazione tecnica che descriva gli aspetti tecnici e organizzativi delle misure implementate, valuti la necessità e proporzionalità del trattamento, e venga aggiornata con verifica annuale per l’intero periodo di esercizio del sistema. A questa si affiancano due strumenti complementari di valutazione: la DPIA (Data Protection Impact Assessment) ex art. 35 GDPR, obbligatoria per trattamenti ad alto rischio e focalizzata sulla protezione dei dati personali (descrizione del sistema, valutazione di necessità e proporzionalità, identificazione dei rischi e misure di mitigazione), e la FRIA (Fundamental Rights Impact Assessment) ex art. 27 AI Act, orientata all’impatto sui diritti fondamentali in senso ampio, che analizza specificamente le categorie di persone interessate, i rischi per gruppi vulnerabili, le misure da adottare in caso di concretizzazione dei rischi e l’impatto su diritti quali non discriminazione, dignità e libertà.

RACCOMANDAZIONI OPERATIVE PER UNA GESTIONE RESPONSABILE DEI DATI BIOMETRICI

Per le organizzazioni che trattano dati biometrici, l’approccio corretto non può limitarsi alla mera conformità formale: è necessario adottare un modello proattivo e aggiornato, in grado di integrare le prescrizioni del Garante Privacy con il quadro europeo più ampio, incluso l’AI Act.

In primo luogo, è fondamentale verificare se il trattamento rientra in uno dei quattro casi previsti di esonero dalla verifica preliminare. Anche in presenza di esonero, tuttavia, devono essere rispettate tutte le prescrizioni tecniche specifiche, dalla sicurezza dei dispositivi alla cancellazione dei dati. È obbligatorio predisporre una relazione che dimostri la necessità e proporzionalità del trattamento, da aggiornare almeno una volta l’anno.

Le organizzazioni devono distinguere con chiarezza tra identificazione, autenticazione e categorizzazione e documentare in modo preciso le finalità, evitando usi secondari o estensioni non autorizzate. È inoltre essenziale verificare l’applicabilità dei divieti introdotti dall’AI Act, ad esempio contro il web scraping indiscriminato, la categorizzazione per caratteristiche sensibili o il riconoscimento emotivo in contesti come scuole e luoghi di lavoro.

Proprio il tema del web scraping richiede particolare attenzione dopo il caso Clearview: è vietata la raccolta massiva di immagini o dati biometrici da fonti pubbliche senza una base giuridica solida. Anche nei casi in cui i dati siano apparentemente “pubblici”, è indispensabile verificare le finalità originarie della loro pubblicazione, ottenere il consenso specifico ove necessario, e predisporre sistemi che ne garantiscano la provenienza lecita.

Sul fronte della sicurezza, è obbligatorio dotarsi di procedure per rilevare e gestire tempestivamente eventuali violazioni dei dati biometrici. In caso di data breach, la comunicazione deve avvenire entro 24 ore al Garante, utilizzando i modelli ufficiali. Il personale coinvolto va adeguatamente formato su questi obblighi.

La gestione dei dati biometrici richiede competenze interdisciplinari: servono giuristi esperti in protezione dei dati e regolamentazione AI, tecnici specializzati in sicurezza e crittografia, data scientists in grado di monitorare e mitigare bias nei sistemi biometrici, ed esperti di etica per valutare l’impatto sui diritti fondamentali.

Infine, è auspicabile un dialogo costante con le autorità di controllo: interagire in modo trasparente con il Garante, partecipare alle consultazioni pubbliche e attivare la verifica preliminare nei casi critici non solo aiuta a prevenire sanzioni, ma contribuisce a costruire un rapporto di fiducia anche con gli interessati.

DATI BIOMETRICI E PERSONALITÀ DELL’INDIVIDUO

L’idea che il volto rifletta la personalità – come una “finestra dell’anima” – può affascinare, ma non coglie il vero problema. Il vero rischio non è capire chi siamo dal volto, ma come i dati facciali vengono usati.

Le tecnologie biometriche, infatti, possono:

• Manipolare l’identità, ad esempio tramite deepfake, creando false rappresentazioni di una persona.
• Ridurre l’individuo a un profilo standardizzato, utile solo a fini commerciali o di controllo.
• Discriminare, deducendo dal volto caratteristiche personali come etnia o orientamento sessuale.

È fondamentale distinguere tra identificazione (riconoscere una persona attraverso i dati biometrici) e identità (insieme di esperienze e relazioni che definiscono una persona). Ridurre la prima alla seconda è pericoloso, perché svuota la persona della sua complessità.

Anche il diritto interviene su questo punto. Il trattamento dei dati biometrici – che possono rivelare informazioni sensibili – deve rispettare la dignità, la libertà e il diritto a non essere discriminati. Sono principi sanciti dalla Costituzione (artt. 2, 3 e 13) e dal GDPR, che considera questi dati particolarmente delicati.

In breve, il problema non è solo tecnico, ma profondamente umano e giuridico: la persona non può essere ridotta a una serie di dati. Va tutelata nella sua interezza.

CONCLUSIONI

Il successo dell’ecosistema biometrico dipenderà dalla capacità del settore di sviluppare una cultura della responsabilità che vada oltre la mera compliance normativa. Le organizzazioni dovranno abbracciare principi di trasparenza, inclusività e rispetto della dignità umana, considerando l’impatto sociale dei loro sistemi.

L’evoluzione verso sistemi biometrici più sofisticati e pervasivi richiede un dibattito pubblico informato e una governance multi-stakeholder che coinvolga non solo tecnici e giuristi, ma anche eticisti, sociologi, rappresentanti della società civile e, soprattutto, gli interessati stessi.

La sfida è costruire un ecosistema di fiducia dove l’innovazione tecnologica non solo rispetti i diritti fondamentali, ma li rafforzi, contribuendo a una società più sicura, inclusiva e rispettosa della diversità umana. In questa nuova geografia dell’identità personale, ogni pixel facciale, ogni battito cardiaco, ogni microespressione diventa parte di un dialogo più ampio sulla natura dell’essere umano nell’era dell’intelligenza artificiale.

Solo attraverso questo approccio olistico, che integra le prescrizioni tecniche del Garante del 2014, i principi del GDPR e le innovazioni dell’AI Act, sarà possibile navigare la complessità del presente e costruire un futuro dove tecnologia e umanità convergano verso il bene comune, preservando ciò che di più prezioso caratterizza ogni essere umano: la propria irriducibile e dignitosa unicità.

 

Articolo a cura del Team Governance, Risk and Compliance
Consulthink S.p.A.
info[@]consulthink.it

Leggi gli altri articoli nella ExperThinkers Room