La Corte di Giustizia dell’Unione Europea ha chiarito un punto chiave nel dibattito sul trattamento dei dati sensibili: i Paesi membri possono conservare i dati biometrici e genetici di persone sospettate o accusate di reati, ma solo se la legge impone verifiche regolari sulla loro necessità. La decisione, emessa il 20 novembre 2025 nella causa C-57/23, segna una svolta per chi si occupa di diritto digitale e per tutte le organizzazioni che utilizzano tecnologie di riconoscimento facciale o sistemi di accesso basati su parametri fisici.
Corte UE e conservazione dei dati biometrici
Secondo la Corte, la direttiva 2016/680 non vieta la raccolta e la conservazione generalizzata di dati biometrici o genetici, purché il diritto nazionale preveda controlli periodici e criteri chiari sulla durata del trattamento. La sentenza nasce da un caso ceco, in cui un funzionario pubblico aveva contestato la conservazione delle proprie impronte digitali e del profilo genetico dopo una condanna penale. I giudici di Lussemburgo hanno confermato che gli Stati membri possono prevedere la conservazione di tali dati anche in modo esteso, a condizione che le autorità dimostrino la stretta necessità di mantenerli. Non è obbligatorio fissare un termine massimo, ma è essenziale riesaminare regolarmente ogni archivio per verificarne la legittimità.
La pronuncia sottolinea che la “sorveglianza” dei dati deve essere costante e documentata. Non basta raccoglierli, occorre dimostrare perché restano utili. È un principio che traduce in pratica l’equilibrio tra sicurezza pubblica e tutela della vita privata, valori che nell’era digitale devono convivere. La Corte sembra dire che la fiducia non nasce dalla limitazione della tecnologia, ma dalla capacità di governarla con regole trasparenti.
Implicazioni per aziende e privacy
Per le imprese e le pubbliche amministrazioni che adottano soluzioni biometriche, la decisione impone un cambio di prospettiva. Occorre aggiornare i registri dei trattamenti, definire policy di conservazione più precise e introdurre audit periodici per verificare la necessità di ogni dato conservato. Anche chi utilizza strumenti di autenticazione tramite volto o impronta digitale dovrà documentare la proporzionalità e la finalità del trattamento. In mancanza di controlli regolari, persino un uso legittimo può trasformarsi in una violazione dei principi di necessità e minimizzazione.
La sentenza, pur riferendosi alle forze di polizia, offre una guida utile anche al settore privato: non vieta la tecnologia, ma obbliga alla responsabilità. La privacy non è un ostacolo all’innovazione, ma il suo presupposto più solido.
La pronuncia della Corte UE conferma quindi che la sicurezza e la privacy non devono essere viste come opposte, ma come elementi che si rafforzano a vicenda. Ogni dato conservato è un impegno nel tempo, e il diritto europeo chiede che sia trattato con la stessa attenzione con cui è stato raccolto.
