Riconoscimento facciale: cosa prevede il GDPR?
Videosorveglianza con riconoscimento facciale: cosa prevede il GDPR.
In Italia, il tema della videosorveglianza con riconoscimento facciale è tanto attuale quanto controverso. Su questa specifica tecnologia si incrociano normative approvate in tempi differenti, con finalità differenti e con premesse eterogenee. Il Provvedimento del Garante della Privacy in tema di videosorveglianza è di circa dieci anni fa. La tecnologia allora in commercio non era nemmeno paragonabile a quella odierna e possiamo dire che, da questo punto di vista, è trascorso un secolo. Invece, il Regolamento Europeo in tema di protezione dati personali n. 679/2016 (il cui acronimo è GDPR – General Data Protection Regulation, divenuto operativo a partire dal 25 maggio 2018) non tratta direttamente l’argomento della videosorveglianza, ma stabilisce i criteri e linee guida da applicarsi anche al riconoscimento facciale.
Le linee guida del GDPR semplicemente stabiliscono che è il Garante Privacy che, caso per caso, si esprime in via preliminare per dare il suo consenso all’utilizzo di telecamere con software di riconoscimento facciale a bordo e, più in generale, per dare il suo consenso a tutti i trattamenti che potrebbero comportare un rischio elevato per la protezione dei dati personali – compresa la biometria – secondo il consueto strumento del “parere preliminare” che, si badi bene, presuppone una formale richiesta da parte di chi intende compiere il trattamento in questione. Ma vediamo quando e perché il Garante ha dato il suo assenso e quando e perché, invece, non lo ha dato.
Videosorveglianza con face detection: quando il Garante Privacy ha detto sì
Una società pubblica che gestisce aeroporti in Italia, il 20 settembre 2016 ha presentato all’Autorità Garante una richiesta di verifica preliminare per l’istallazione, presso l’Aeroporto di Roma Fiumicino, di un sistema di rilevazione delle immagini dotato di software di riconoscimento facciale tramite confronto con le immagini rilevate in due punti successivi.
Tale sistema viene utilizzato “per monitorare il numero dei passeggeri transitanti presso punti critici” dell’aeroporto quali, in primo luogo, le aree relative al controllo dei passaporti cui, in un secondo tempo, si aggiungerebbero anche le aree controllo di sicurezza, le aree di imbarco, le aree check-in e tutte zone in cui l’impiego di altri sistemi di controllo continuo non risulterebbe idoneo al raggiungimento della finalità prefissata.
Si tratterebbe, più specificamente, di un impianto di monitoraggio code attraverso il calcolo dei tempi di percorrenza e attesa, realizzato allo scopo di migliorare quei “servizi al pubblico volti ad accrescere la sicurezza degli utenti”, così come richiesto dagli standard internazionali di qualità indicati dall’Airport Council International.
In particolare, tale monitoraggio, effettuando una verifica dell’affollamento di una determinata area mediante telecamere con riconoscimento facciale, permette anche di migliorare la gestione delle emergenze, della sicurezza e della prevenzione antincendio, in accordo con gli standard di sicurezza, con l’ulteriore obiettivo di agevolare un confronto con la Polizia di frontiera per eventuali interventi operativi, organizzativi e strutturali.
La Società ha altresì riferito che nessun sistema alternativo alla predetta soluzione tecnologica è risultato idoneo a conseguire le finalità prefissate.
Con riferimento all’aspetto tecnico del sistema, è stato precisato che l’impianto di videosorveglianza è dotato di un software di riconoscimento facciale capace di:
codificare le immagini immediatamente dopo la loro acquisizione tramite la creazione di un template biometrico “non riconducibile alla persona”
criptare le immagini con algoritmi di cifratura avanzati
registrare il predetto template in un database di storage, senza alcuna possibile associazione con i nominativi dei passeggeri o con la loro carta di imbarco
Al riguardo, è stato precisato che il sistema sarebbe in grado di effettuare la cancellazione automatica delle immagini, immediatamente dopo la generazione del template, conservato invece per il tempo medio di permanenza in coda del singolo passeggero, con la conseguenza di utilizzare, allo scopo, dati relativi a persone non identificabili (cfr. nota del 8 novembre 2016).
A sostegno della richiesta, la Società ha evidenziato che il sistema progettato avrebbe il pregio di monitorare in modo efficace i tempi di coda, permettendo di seguire (anonimamente) il singolo passeggero dall’entrata all’uscita del percorso scelto (ad esempio ai controlli passaporti) e calcolare così il tempo di attraversamento della coda.
Per ogni fila sono predisposte due telecamere con riconoscimento facciale, a inizio e a fine di ogni singolo percorso, in modo tale che, al termine del tratto da percorrere, sia possibile effettuare il match tra i dati rilevati.
Le immagini acquisite tramite la telecamera verrebbero conservate per gli istanti strettamente necessari alla loro codifica in template biometrico, il quale non sarebbe più riconducibile a dati personali.
Il template, dunque, estrapolerebbe solamente i tratti salienti del volto e, inoltre, non permetterebbe la ricostruzione di quest’ultimo partendo dal codice numerico.
Il sistema conserva il dato generato fino al momento in cui il passeggero, a fine coda, verrebbe ripreso da una seconda telecamera dotata dello stesso software di riconoscimento facciale, che effettua una seconda codifica dell’immagine generando un secondo template biometrico.
Il Garante Privacy sa che la liceità del sistema deve essere valutata sul piano della conformità ai princìpi di necessità, proporzionalità, finalità e correttezza, tenendo conto della peculiarità dell’attività svolta dalla Società nel sito in questione.
Dall’istruttoria condotta, dall’esame della documentazione acquisita agli atti e dalle valutazioni tecniche svolte, risulta che il trattamento oggetto dell’istanza, ove svolto nei termini e con le modalità indicate, oltre che nel rispetto delle prescrizioni di seguito formulate, può ritenersi lecito.
Il trattamento che la Società intende svolgere vuole contribuire a migliorare quei “servizi al pubblico volti ad accrescere la sicurezza degli utenti”, permettendo anche di migliorare la gestione delle emergenze, della sicurezza e della prevenzione antincendio e di agevolare un confronto con la Polizia di frontiera per eventuali interventi operativi, organizzativi e strutturali presso l’aeroporto.
Il sistema appare conforme al principio di necessità, che impone, sul piano generale, di configurare i sistemi informativi riducendo al minimo l’utilizzo di dati personali e identificativi.
Al riguardo, vale osservare che il sistema previsto non è destinato all’identificazione dei passeggeri, ma a un mero raffronto di volti, con l’obiettivo di individuare lo stesso passeggero che transita in due punti successivi di osservazione al fine di misurare l’afflusso di passeggeri, provvedendo al loro conteggio nelle fasi di accodamento in aerostazione.
Videosorveglianza con riconoscimento facciale: quando il Garante Privacy ha detto no
Considerato che il GDPR si applica in tutto lo Spazio Economico Europeo, per approfondire un caso in cui il Garante ha proibito e sanzionato le telecamere con riconoscimento facciale, non si può non citare quello avvenuto in Svezia pochi mesi fa.
Ribadisco che, in assenza di espresse pronunce del Garante Privacy italiano, questo precedente è da considerarsi valido e vincolante anche in Italia.
Orbene, un Istituto scolastico ha introdotto un sistema di face detection degli studenti per verificarne l’orario di ingresso/uscita e la presenza nell’edificio.
In seguito a una segnalazione, il Garante Privacy svedese ha inviato degli ispettori, di fronte ai quali i responsabili dell’istituto scolastico si sono difesi dichiarando che tutti gli studenti avevano “espresso il proprio consenso”.
Il Garante Privacy ha considerato sproporzionato l’utilizzo del dato biometrico, eccessivo lo strumento utilizzato e che comunque, per i minori, il consenso doveva essere espresso dal genitore e, quindi, ha sanzionato la scuola con 10.000,00 euro, imponendo di smantellare il detto impianto di videosorveglianza.
Tornando in Italia, invece, nel 2016 il Garante Privacy ha sanzionato una società fornitrice di servizi di comunicazione elettronica per un motivo assai curioso: non avere adottato strumenti di tracciatura biometrica.
Difatti, questa società, essendo soggetta alla severa normativa della gestione del traffico telefonico e telematico, doveva in ogni momento poter garantire la sicurezza dei dati trattati e quindi adottare un sistema di riconoscimento biometrico per il proprio personale addetto.
In seguito a un’ispezione della Guardia di Finanza, Nucleo Speciale Privacy, invece, è emerso che la cosiddetta strong autentication imposta dalla severa normativa di riferimento (provvedimento 17 gennaio 2008 “Sicurezza dei dati di traffico telefonico e telematico” pubblicato in G.U. n. 30, 5 febbraio2008) veniva disapplicata per mancanza di funzionamento del sistema di riconoscimento biometrico. La detta società ha ricevuto una sanzione di euro 10.000,00 e le è stato imposto di ripristinare il sistema di tracciamento biometrico.
(Federico Leone)