Sintesi
L’utilizzo dei dati biometrici nei sistemi digitali — dal riconoscimento facciale alle impronte digitali — si sta affermando nei processi di autenticazione e identificazione in numerosi settori legati al controllo degli accessi, sia in ambito privato (bancario, governativo, immobiliare e ricettivo) sia pubblico.
Apprezzati per i vantaggi in termini di sicurezza e semplificazione operativa, i dati biometrici richiedono tuttavia particolare attenzione sotto il profilo normativo. La compliance è richiesta innanzitutto con il GDPR, cui si affianca anche l’AI Act per i profili di rischio derivanti dall’impiego dell’intelligenza artificiale.
In questa sede sarà chiarito il concetto di dato biometrico nel GDPR, anche alla luce della recente sentenza della Corte di giustizia UE del 19 marzo 2026, n. 371, che ha ribadito come la raccolta di dati biometrici da parte delle autorità di polizia, anche nell’ambito di indagini penali, sia legittima solo se strettamente necessaria e adeguatamente motivata.
I dati biometrici nel GDPR
Il GDPR (Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, Regolamento generale sulla protezione dei dati) pone al centro della biometria l’identificazione univoca. L’art. 4, n. 14, definisce infatti i dati biometrici come dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca.
Più specificatamente, i “dati biometrici” sono quella particolare categoria di “dati personali” (definiti come “qualsiasi informazione riguardante una persona fisica identificata o identificabile”, anche indirettamente “con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;” GDPR 4.1) che siano “ottenuti da un trattamento tecnico specifico”, “relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica” e che “ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici” (GDPR 4.14).
Anche le fotografie possono costituire dati biometrici, ma solo se sono “trattate attraverso un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione di una persona fisica” (GDPR, Considerando 51). Per esempio, non è un “dato biometrico” una foto ricordo, ma possono esserlo lo sblocco biometrico dello smartphone o i sistemi di autenticazione sicura e identificazione tramite riconoscimento facciale (selfie/video), oppure sistemi di videosorveglianza intelligenti utilizzati dalle banche o telecamere di sicurezza che utilizzano il riconoscimento facciale in tempo reale per identificare soggetti presenti in una lista, ricorrenti nel settore Hospitality, o ancora sistemi di controllo accessi aziendale che stanno progressivamente sostituendo i tradizionali badge. Ne consegue che, se un sistema non è finalizzato né idoneo all’identificazione univoca, non effettua matching con template o database e non abilita funzioni di autenticazione, il trattamento di immagini del volto non può ritenersi automaticamente riconducibile, in senso stretto, a un trattamento di dati biometrici quale categoria particolare di dati personali (GDPR, Art. 9). Ciò non esclude l’applicabilità del GDPR al trattamento, rispetto al quale devono comunque essere valutati, caso per caso, profili quali la base giuridica, la proporzionalità, gli obblighi di trasparenza e, ove necessario, la conduzione di una DPIA.
Anche il trattamento dei dati biometrici deve avvenire nel rispetto dei principi fondamentali previsti in generale dal GDPR (minimizzazione dei dati, limitazione della finalità, integrità e riservatezza, nonché accountability del titolare). Ne consegue che il ricorso a tecnologie biometriche deve risultare necessario, proporzionato e adeguato rispetto alla finalità perseguita. Ad esempio, l’utilizzo del riconoscimento facciale per consentire l’accesso a un’applicazione, laddove sia sufficiente un sistema di autenticazione meno invasivo quale password o PIN, può determinare profili di non conformità rispetto ai principi di proporzionalità e minimizzazione (GDPR, Art. 5). A tali obblighi si aggiunge la disciplina per le categorie particolari di dati personali, tra le quali rientrano i dati biometrici (GDPR, Art. 9).
Caratteristiche dei dati biometrici
I dati biometrici sono caratterizzati da unicità, in quanto idonei a identificare in maniera univoca e inequivocabile l’identità dell’interessato mediante caratteristiche fisiche, fisiologiche o comportamentali, e da immutabilità, poiché, a differenza di credenziali modificabili quali password o codici PIN, non sono suscettibili di sostituzione o modifica in caso di compromissione o utilizzo illecito.
Vengono impiegati solitamente ai fini dell’autenticazione dell’identità dell’interessato, ad esempio per l’accesso a sistemi o servizi digitali, oppure come oggetto di confronto con banche dati o archivi biometrici finalizzati all’identificazione univoca della persona, o ancora per attività di analisi, profilazione o classificazione delle caratteristiche fisiche, fisiologiche o comportamentali dell’individuo.
In tali ipotesi, il trattamento presenta un livello di rischio elevato per i diritti e le libertà fondamentali dell’interessato, richiedendo pertanto specifiche garanzie di sicurezza e compliance, posto che l’eventuale accesso non autorizzato, la diffusione o il trattamento illecito di questa tipologia di dati lo espongono a criticità serie quali il furto d’identità, frode informatica e compromissione permanente della sfera personale e digitale.
Il divieto di utilizzo dei dati biometrici e la sentenza Corte Giustizia UE
I dati biometrici rientrano tra le “categorie particolari di dati personali” (dati “sensibili”), il cui trattamento è vietato, salvo il ricorrere di specifiche condizioni (GDPR, art. 9).
Ad esempio, qualora l’interessato abbia prestato il proprio consenso esplicito (art. 9.2, lett. a) oppure il trattamento sia necessario per motivi di interesse pubblico (art. 9.2, lett. g).
Emblematica, sul punto, la recente sentenza della Corte di giustizia UE, sez. V, 19/03/2026, n. 371, che decide su una vicenda del maggio 2020 in cui una persona — sottoposta a fermo di polizia a Parigi per aver organizzato una manifestazione senza preavviso e per altri comportamenti ritenuti illeciti — rifiutava di sottoporsi a rilievi segnaletici (dattiloscopici e fotografici).
La Corte ribadisce che la raccolta di dati biometrici da parte delle autorità di polizia nell’ambito di indagini penali costituisce trattamento di dati sensibili ai sensi della direttiva (UE) 2016/680 e può essere disposta solo ove strettamente necessaria e adeguatamente motivata.
La Corte esclude la legittimità di rilievi segnaletici sistematici e generalizzati, chiarendo che il mero sospetto di reato non basta a giustificare acquisizioni fotografiche o dattiloscopiche. Ogni provvedimento deve indicare, sia pure sinteticamente, le ragioni concrete della misura, così da consentire all’interessato l’effettivo esercizio del diritto di difesa e di ricorso.
Ne consegue l’incompatibilità con il diritto Ue di normative nazionali che prevedano automatismi applicativi privi di valutazione individualizzata. La sanzione penale per il rifiuto del rilievo resta ammissibile solo se la misura rimane conforme ai principi di necessità e proporzionalità sanciti dalla Carta dei diritti fondamentali dell’Unione europea.
Principali situazioni operative a rischio
Dal punto di vista applicativo, il trattamento dei dati biometrici presenta profili di particolare criticità in diverse ipotesi operative, che includono data breach ad alto impatto con effetti potenzialmente irreversibili, furto di identità digitale e accessi abusivi a sistemi e servizi.
Nei sistemi di autenticazione biometrica (impronte digitali, riconoscimento facciale), l’utilizzo per l’accesso a dispositivi o servizi comporta rischi elevati legati alla conservazione dei template biometrici, i quali, in caso di violazione, non possono essere modificati o sostituiti come le credenziali tradizionali, con conseguente necessità di adeguate misure tecniche e organizzative (GDPR, Art. 32).
Analoghe criticità si riscontrano nei sistemi di identificazione basati su database centralizzati, in cui il confronto con archivi biometrici aumenta l’esposizione ad accessi non autorizzati, data breach e attacchi informatici, incidendo sui principi di sicurezza e correttezza del trattamento (GDPR, Art. 5 e 32).
Particolarmente sensibili risultano inoltre i sistemi di sorveglianza e monitoraggio biometrico, inclusi quelli di videosorveglianza intelligente e controllo automatizzato degli accessi (GDPR, Art. 9 e 35).
Infine, l’utilizzo dei dati biometrici per finalità ulteriori, quali profilazione o analisi comportamentale, determina un ulteriore incremento del rischio.
Conseguenze, sicurezza avanzata, Cybersecurity e DPIA obbligatoria
Le conseguenze di una mancata compliance spaziano dall’applicazione delle sanzioni previste dal GDPR alla responsabilità civile derivante dal trattamento illecito dei dati personali e ai relativi obblighi risarcitori in favore dell’interessato, senza contare gli eventuali risvolti penali.
Ciò in quanto, a differenza dell’uso di credenziali tradizionali, il danno derivante dalla violazione di dati biometrici è difficilmente mitigabile. Nell’offrire assistenza relativa al trattamento dei dati biometrici è necessario porre l’attenzione sulla natura immutabile del dato, che impone misure di Cybersecurity quali cifratura, pseudonimizzazione, protezione dei template e access control (GDPR, Art. 32).
L’utilizzo di sistemi biometrici comporta, di fatto, la necessità di effettuare una valutazione d’impatto sulla protezione dei dati (DPIA), in particolare quando il trattamento riguarda attività di identificazione biometrica, monitoraggio sistematico degli interessati o impiego di tecnologie innovative, incluse soluzioni basate su intelligenza artificiale. La DPIA costituisce pertanto uno strumento essenziale per valutare i rischi connessi al trattamento e individuare le misure idonee a garantire la conformità normativa e la tutela dei diritti degli interessati (GDPR, Art. 35).
