Cos’è un trattamento dati biometrici secondo la Cassazione
Anche se il GDPR è abbastanza chiaro ne definire il trattamento di dati biometrici come ““i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici“, (art. 4 par 1, num 14) restano sempre aree grigie di interpretazione. In particolare un software utilizzato da un’Università per controllare eventuali comportamenti anomali durante l’esame da remoto. E’ evidente che, non essendovi un docente in presenza a controllare, non è difficile usare un secondo dispositivo per cercare le risposte, oppure avere un esperto nella stanza per suggerire le risposte. L’ateneo si è quindi dotato di un software che avrebbe dovuto rilevare e segnalare comportamenti anomali. Dal Garante i Tribunali vi sono stati pareri diversi circa il fatto che l’approccio costituisse o meno trattamento dei dati personali, posto che non vi era analisi facciale o si cercasse una corrispondenza tra il viso e il candidato, già identificato da un operatore umano. Alla fine la Corte di Cassazione ha ritenuto che si trattasse di trattamento di dati biometrici, pur non acquisendo “caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica“.
