Per molto tempo abbiamo associato la biometria quasi esclusivamente al riconoscimento facciale: un volto, un confronto con un database, un’identità restituita dal sistema. Oggi, però, questo schema non basta più. Sempre più tecnologie cercano di stabilire non chi siamo, ma di dedurre come stiamo: se siamo attenti, stressati, coinvolti, affaticati. Ed è qui che il diritto incontra una svolta: il problema non è soltanto l’identificazione, ma anche l’inferenza.

La biometria continua a essere evocata come sinonimo di riconoscimento facciale in senso stretto, cioè di identificazione o autenticazione di una persona tramite confronto con un database. Ma questa lettura rischia ormai di essere troppo restrittiva.

Oggi, infatti, i fornitori di sistemi di video analytics avanzata, behavioural analysis, emotion recognition o affective computing precisano di non effettuare “facial recognition” e di non memorizzare alcun “biometric ID”, perché le immagini elaborate non consentirebbero l’identificazione univoca dell’interessato.

Il punto, però, è che tali sistemi possono comunque acquisire ed elaborare immagini del volto, feature facciali, micro-espressioni o altri segnali fisici e comportamentali per ricavarne output riferibili alla persona: ad esempio, indicatori di stress, attenzione, carico cognitivo, emozioni o intenzioni.

È qui che si colloca ora il vero nodo giuridico. La questione non è soltanto stabilire se un sistema sia in grado di dirci chi è una persona, ma se, attraverso l’elaborazione di segnali tratti dal volto o dal comportamento, sia in grado di dirci qualcosa sulla persona stessa. In altri termini, il vero spartiacque non è più soltanto l’identità, ma l’inferenza.

Il confine tra GDPR e AI Act

Nel GDPR il baricentro della biometria resta l’identificazione univoca. L’art. 4, n. 14, definisce infatti i dati biometrici come dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca.

Ne consegue che, se un sistema non è finalizzato né idoneo all’identificazione univoca, non effettua matching con template o database e non abilita funzioni di autenticazione, il trattamento di immagini del volto non può ritenersi automaticamente riconducibile, in senso stretto, a un trattamento di dati biometrici quale categoria particolare di dati personali ex art. 9 GDPR. Questo, però, non significa che il trattamento esca dal GDPR: restano ancora da valutare, caso per caso, ad esempio base giuridica, proporzionalità, trasparenza, nei casi più delicati, DPIA.

L’AI Act, invece, si muove – a nostro avviso – su un piano definitorio non del tutto coincidente. L’art. 3, n. 34, definisce i dati biometrici come dati personali risultanti da uno specifico trattamento tecnico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica, quali le immagini facciali o i dati dattiloscopici, senza richiedere, nella definizione, il riferimento all’identificazione univoca che compare invece espressamente nell’art. 4, n. 14, del GDPR.

La differenza non è marginale: nell’AI Act il trattamento di segnali biometrici rileva anche quando serve non a identificare una persona, ma a classificarla o a inferire qualcosa su di essa (cfr. le European Policy Guidelines on AI and Algorithm-Driven Discrimination del Consiglio d’Europa, dicembre 2025, che segnalano espressamente come la definizione di biometric data contenuta nell’AI Act differisca da quella prevista dal GDPR).

La nozione di “identificazione biometrica” diventa così soltanto una delle possibili applicazioni del più ampio trattamento di dati biometrici.

Per l’interprete oggi è quindi utile distinguere tre piani: l’input, la funzione e l’output. L’input può essere un volto o una voce; la funzione può essere identificare o inferire; l’output può essere un nome oppure un punteggio, un’allerta, un presunto stato emotivo. È questa distinzione che spiega perché GDPR e AI Act si tocchino, ma non coincidano.

Una scelta condivisibile, ma non del tutto lineare

Sul piano di fondo, questa evoluzione normativa è, a nostro avviso, comprensibile. Sarebbe artificioso limitare la biometria al solo terreno dell’identificazione, quando molte soluzioni di AI utilizzano volto, voce o comportamento per classificare o valutare le persone.

Il problema, quindi, non è tanto l’estensione concettuale in sé, quanto il modo in cui essa è stata costruita. Il Considerando 14 dell’AI Act richiama la nozione del GDPR, ma dentro un impianto che in realtà le attribuisce un raggio più ampio. Il legislatore europeo avrebbe potuto, e forse dovuto, essere più esplicito.

Analoga incertezza emerge dal Considerando 18, che prova a delimitare la nozione di emotion recognition escludendo la mera rilevazione di espressioni o movimenti immediatamente evidenti, salvo che tali segnali siano utilizzati per identificare o inferire emozioni o intenzioni. La ratio si comprende, ma l’applicazione concreta resta meno lineare di quanto il testo lasci intendere.

Su questo terreno, inoltre, non c’è solo un problema di privacy. C’è anche un problema di affidabilità: molte di queste tecnologie si presentano come strumenti capaci di leggere stati interiori complessi a partire da segnali esteriori, ma è proprio qui che si concentrano i dubbi più seri.

Cosa cambia, in concreto, per imprese, provider e deployer

Il primo effetto pratico è che non basta più fermarsi alle etichette commerciali del fornitore. Espressioni come no biometric ID, no facial recognition o GDPR compliant, prese isolatamente, dicono troppo poco.

Occorre chiedersi se il sistema acquisisca immagini facciali o feature del volto, se elabori micro-espressioni, se generi output riferibili a singoli soggetti, anche solo transitoriamente, se conservi frame, clip, log o metadati e se preveda moduli opzionali di facial recognition. In materia di biometria, il lessico commerciale non può quindi sostituire l’analisi concreta del funzionamento del sistema.

Il secondo effetto è che il rapporto tra GDPR e AI Act non alleggerisce il quadro, ma moltiplica i livelli di attenzione. Anche quando non si ricade automaticamente nell’art. 9 GDPR, resta necessario individuare, tra gli altri, una base giuridica adeguata ex art. 6 GDPR, verificare necessità e proporzionalità del trattamento e, nei casi a rischio elevato, svolgere una DPIA ex art. 35 GDPR. Sul versante AI Act, poi, i sistemi che utilizzano input biometrici per inferire emozioni o intenzioni possono rilevare sia ai fini dei divieti, sia ai fini della classificazione come high-risk, sia in termini di trasparenza.

Considerazioni conclusive

La domanda da porsi, dunque, non è soltanto: “il sistema fa riconoscimento facciale oppure no?”. La domanda da porsi potrebbe essere: quali segnali raccoglie il sistema, che cosa ne deduce e con quali effetti sulla persona?

Il diritto europeo ha colto che la biometria non coincide più soltanto con l’identificazione; anche se non sempre è riuscito a tradurre questa intuizione in un impianto normativo altrettanto lineare. Ed è proprio in questo scarto che si colloca oggi il confine più delicato della biometria tra GDPR e AI Act.

Forse è questo il punto da tenere fermo: la biometria non è soltanto una tecnologia dell’identità, ma sempre più una tecnologia dell’interpretazione.  E quando una macchina non si limita a dire “sei tu”, ma pretende anche di dire “sei fatto così”, il rischio cambia. Profondamente. Si passa dal riconoscere una persona, ma attribuirle un significato. Ed è su questo terreno che l’interprete è chiamato a misurarsi davvero con la tecnologia, guardando al suo funzionamento concreto, agli output che produce e agli effetti che è in grado di determinare.