Dati biometrici: il ruolo del GDPR nel trasferimento dei dati personali

L’uso crescente di software di proctoring per il controllo remoto degli esami è un fenomeno ormai costante nel mondo dell’istruzione. Tuttavia, ciò che si pone come strumento di garanzia per la serietà delle prove, può trasformarsi in un complicato labirinto dove la protezione dei dati personali è spesso messa a rischio. Sul punto, un’ordinanza della Corte di Cassazione ha riacceso i riflettori sulle implicazioni del GDPR nell’ambito del trattamento e del trasferimento dei dati biometrici, fornendo una bussola per orientarsi tra i requisiti di legge e le problematiche etiche.

Caso giuridico

Il caso nasce dalla contestazione del Garante per la protezione dei dati personali contro un’istituzione universitaria, colpevole, secondo l’Autorità, di non aver rispettato le normative sul trattamento dei dati biometrici durante lo svolgimento degli esami. La Corte di Cassazione, con la sua ordinanza, ha analizzato il funzionamento di un software di proctoring adottato dall’università, che utilizzava riconoscimento facciale e registrazioni video per monitorare gli studenti.

Secondo il Garante, questo sistema configurava una violazione delle norme europee in quanto trattava dati biometrici in modo non conforme, senza garanzie adeguate per il loro trasferimento negli Stati Uniti. La Corte ha sottolineato come il GDPR preveda che i dati biometrici, tra le categorie speciali di dati, siano soggetti a tutele molto rigorose e utilizzabili solo con determinate finalità, come l’interesse pubblico rilevante o il consenso esplicito dell’interessato.

CORSO DI FORMAZIONE: AI ACT E GDPR-COME GARANTIRE LA CONFORMITÀ A IMPRESE E ORGANIZZAZIONI

Le normative europee sull’intelligenza artificiale e la protezione dei dati, come l’AI Act e il GDPR, stanno diventando sempre più rilevanti per le imprese e le organizzazioni che utilizzano tecnologie avanzate. Per essere conformi, è essenziale adottare misure specifiche e aggiornarsi sulle ultime disposizioni legislative. Il corso di formazione di Maggioli Editore, tenuto da esperti  come Luca Bolognini, Michele Iaselli e Luisa Annamaria Di Giacomo, offre un’opportunità unica per comprendere appieno i requisiti normativi e imparare come implementare pratiche adeguate. Attraverso esempi concreti e un approccio pratico, i partecipanti potranno acquisire competenze strategiche per garantire la conformità alle normative e gestire responsabilmente i dati, assicurando al contempo una maggiore tutela per i loro clienti e stakeholder.

 

Dati biometrici e trattamento

Ma cosa sono davvero i dati biometrici e perché suscitano tanta attenzione? Si tratta di informazioni che riguardano caratteristiche fisiche o comportamentali uniche, come le impronte digitali o, come in questo caso, le registrazioni facciali. Il GDPR, all’art. 9, classifica questi dati come “sensibili”, quindi soggetti a un trattamento limitato e a specifiche condizioni di utilizzo.

Nell’analizzare il caso, la Cassazione ha chiarito che la semplice raccolta di immagini e video non si configura automaticamente come trattamento di dati biometrici. Tuttavia, quando queste registrazioni vengono utilizzate per analizzare e monitorare comportamenti, come nel caso di un software di proctoring, il GDPR pretende regole molto precise. Il trattamento di tali dati, ha stabilito la Corte, deve rispondere al principio di minimizzazione: solo le informazioni strettamente necessarie devono essere raccolte, conservate e protette con misure di sicurezza appropriate.

Potrebbe interessarti anche:

Digital Services Act e Digital Markets Act 2024: nuove regole UE

Il  trasferimento internazionale: le clausole contrattuali standard bastano?

Un nodo importante affrontato dalla sentenza riguarda il trasferimento dei dati biometrici verso Paesi terzi. Nel caso di specie, la Corte di Cassazione ha richiamato la decisione “Schrems II”, che ha annullato il Privacy Shield e ha costretto le aziende a ricorrere alle clausole contrattuali standard (SCC) per trasferire dati personali al di fuori dell’Unione Europea.

Ma la domanda è: bastano le SCC per garantire una protezione adeguata?

La Corte ha risposto con un secco “no”. Le SCC, infatti, non sono un lasciapassare automatico. In assenza di misure supplementari, queste clausole rischiano di essere una protezione formale e poco efficace. In questo caso, la Corte ha evidenziato come fosse essenziale che l’università integrasse le SCC con garanzie ulteriori, come la cifratura dei dati e limitazioni all’accesso, per assicurare un livello di protezione equiparabile a quello europeo.

La responsabilità dei titolari del trattamento

Un altro aspetto su cui la Cassazione ha riflettuto è il principio di responsabilizzazione o “accountability”. Troppo spesso, infatti, i titolari del trattamento sottovalutano l’importanza di dimostrare, documentare e garantire la conformità al GDPR. La Corte ha ricordato che adottare misure di sicurezza e valutazioni di impatto sulla protezione dei dati  non è solo un obbligo di legge, ma un dovere morale verso gli utenti.

Per i software di proctoring, quindi, non basta dire che il sistema è sicuro: occorre dimostrare che lo è attraverso controlli, pseudonimizzazione e privacy by design. Il rischio, altrimenti, è di esporsi a sanzioni che, oltre a essere pesanti dal punto di vista economico, compromettono la reputazione dell’istituzione.

Conclusioni

In definitiva, il proctoring è uno strumento prezioso per garantire la correttezza delle prove, ma non può prescindere da un approccio consapevole e rispettoso delle normative sulla privacy. Le istituzioni che intendono adottare tali tecnologie devono farsi carico non solo degli adempimenti formali, ma anche di politiche di trattamento dei dati all’insegna della trasparenza e della sicurezza.

Corte di Cassazione- Sez. I.- ord. n. 12967 del 13-05-2024


Iscriviti alla newsletter per poter scaricare gli allegati

ISCRIVITI

Grazie per esserti iscritto alla newsletter. Ora puoi scaricare il tuo contenuto.

SCRIVI IL TUO COMMENTO

Scrivi il tuo commento!
Per favore, inserisci qui il tuo nome

sette − 2 =

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.