NEWS

Adottate le Linee Guida sul riconoscimento facciale: gli impatti per i Data Protection Officer

In data 12 maggio 2022 lo European Data Protecion Board ha adottato due linee guida di grande interesse. La prima, numerata 04/2022, “on calculation of administrative fines under the GDPR”, riguarda le regole che le autorità di controllo devono applicare per definire le sanzioni che esse possono comminare nell’ambito dei loro poteri. La seconda, numerata 05/2022, è dedicata alle regole relative all’uso delle tecnologie di riconoscimento facciale, valutate con riferimento ai poteri delle autorità di law enforcement.

Franco Pizzetti

(Nella foto: Francesco Pizzetti, Presidente emerito del Garante per la protezione dei dati personali. Ha guidato l'Autorità dal 2005 al 2012)

Merita dire subito che questo secondo documento tiene conto in primo luogo della Direttiva UE 2016/650 “relativa alla protezione delle persone fisiche con riguardo ai trattamenti di dati personali da parte delle autorità competenti a fini di prevenzione, di indagine, accertamento e prevenzione di reati o di esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati”, letta ovviamente anche alla luce del GDPR.

Pur riferendosi entrambe le linee guida direttamente all’attività delle autorità di controllo e iscrivendosi dunque nell’ambito della tutela da parte dello EDPB della omogeneità del mercato digitale e della applicazione delle regole comuni che lo disciplinano, non vi è dubbio che quella di maggior interesse è la seconda relativa al corretto utilizzo dei dati biometrici nell’ambito del sindacato che spetta in ultima analisi proprio alle autorità di protezione dati assicurare in via primaria e anche nell’ambito dei loro poteri di vigilanza e controllo.

Tuttavia, come si cercherà di dimostrare, questa linea guida contiene numerose affermazioni che interessano direttamente anche i Data Protection Officer che operano presso imprese e pubbliche amministrazioni.Ad essi spetta infatti in prima battuta verificare la correttezza di ogni eventuale modalità di raccolta, trattamento e conservazione di immagini facciali da parte della impresa o dell’ente presso i quali essi prestino servizio e che, operando come provider, raccolgono e utilizzano i dati di riconoscimento facciale.

Del resto i punti e le affermazioni contenute in questo documento che interessano direttamente i DPO sono numerose, a partire dal fatto che nell’Allegato II relativo alle figure che devono essere prese in considerazione relativamente ai diversi soggetti che possono intervenire nei percorsi relativi alla raccolta trattamento e conservazione dei dati di riconoscimento facciale è specificamente indicata la figura del “Database Manager”, considerato come il soggetto al quale compete assicurare la correttezza della raccolta e della conservazione dei dati di riferimento conservati nei database dell’azienda o dell’autorità di enforcement. A questo soggetto spetta anche la responsabilità relativa alla cancellazione dei dati dopo che sia scaduto il termine per le loro conservazione. Si tratta dunque di una figura importante, alla quale spetta di definire anche quando e in quali circostanze le immagini facciali possono essere archiviate e come esse debbano esser conservate, compresi i tempi di conservazione” (cfr. Annexe II, punto 1, ultimo paragrafo).

È chiaro dunque che laddove il data processor faccia ampio uso di dati di riconoscimento facciale e ne conservi una grande quantità, il DPO per primo dovrà segnalare che è necessario nominare una figura apposita o conferire un apposito incarico, quello appunto del Database Manager. Con questa figura poi il DPO dovrà ovviamente dialogare costantemente e la sua attività dovrà essere vigilata dal DPO stesso, se necessario anche attraverso una modifica delle specificazioni e delle mansioni in esso contenute che riguardano appunto l’attività del DPO.

Lo European Data Protection Board è il Comitato Europeo per la protezione dei dati di cui fanno parte tutti i Garanti Privacy dell'UE

Ma oltre a questo aspetto, peraltro assai importante perché testimonia il moltiplicarsi costante di nuove figure coinvolte nei trattamenti dati, anche oltre il ben più noto Data Protection Officer, quello che interessa delle linee guida in esame sono i principi generali relativi appunto al riconoscimento facciale e ai dati relativi.

Innanzitutto va sottolineato che esse specificano subito che i dati relativi al riconoscimento facciale sono dati personali e dati biometrici, e come tali devono essere considerati ai sensi dell’art. 3/13 della Direttiva (UE) 2016/680 del 27 aprile 2016. Specifica, infatti, l’art.3/13 di questa Direttiva che i dati biometrici sono “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”. Proprio perché dati personali, dunque, i dati biometrici e i relativi trattamenti impattano direttamente sui diritti fondamentali contenuti nella Carta dei diritti UE (andando dunque anche oltre alla tutela della privacy).

Proprio questo spinge lo EDPB, che pure riconosce che le autorità di law enforcement possono aver bisogno, in base ai casi di cui si occupano, di ricorrere anche al riconoscimento facciale e al trattamento di dati biometrici per proteggere la società dal terrorismo o da altri pericoli particolarmente elevati, a fissare alcuni punti fermi che si impongono anche alla autorità di enforcement e quindi, a maggior ragione, a operatori privati e pubblici che, sula base di leggi che lo consentano esplicitamente, utilizzino dati biometrici per fini relativi alla loro attività istituzionale o imprenditoriale.

Innanzitutto queste linee guida riconfermano, anche con riguardo alle autorità di enforcement, che vi sono casi di uso del riconoscimento facciale che comportano rischi troppo elevati per poter esser ammissibili. Dunque, e non poteva essere diversamente, lo EDPB riconferma quanto già detto nel Parere congiunto adottato insieme allo EDPS nel 2021 (cfr. EDPB e EDPS, Joint Opinion 5/2021). Fra questi usi vietati, che costituiscono una sorta di linea rossa non superabile, vi sono le raccolte da remoto di dati biometrici operate in spazi pubblici, che, per le modalità adottate e, in primo luogo, per la mancanza di adeguata informativa, comportino una inammissibile intrusione nella vita privata e aprano la strada alla società della sorveglianza.

Questi trattamenti (in questo caso questa modalità di raccolta) sono – viene ribadito­­­ - vietati. Allo stesso modo è riconfermato il divieto di archiviare i dati biometrici in cluster costruiti sula base di elementi etnici, di genere, di orientamenti sessuali o politici.

Viene riconfermato inoltre, che è vietato il trattamento di dati biometrici al fine di individuare stati emozionali così come in via generale è vietato raccogliere dati biometrici sulla base delle fotografie e delle rappresentazioni facciali reperibili in rete, specialmente quando l’uso di queste tecniche vada oltre lo stato di stretta necessità come previsto dalle leggi della Unione.

Le Linee Guida EDPB 05/2022 sono dediicate alle regole relative all’uso delle tecnologie di riconoscimento facciale

Le linee guida in questione, inoltre, sono particolarmente interessanti anche perché precisano che la tecnologia del riconoscimento facciale ricomprende un ampio spettro di tecnologie diverse, basate tutte sul processare dati biometrici per identificare un individuo in base al suo stato fisico, psicologico o comportamentale. Vi sono però anche elementi comuni a tutte queste tecnologie che merita tenere presenti.

Uno di questi è esse che si basano tutte sull’utilizzazione di parametri (templates) biometrici estratti da dati biometrici conservati in appositi database biometrici.

Il secondo elemento comune è che sono tutte tecnologie di carattere probabilistico, basate cioè sul trattamento di grandi quantità di dati analizzati attraverso l’uso di algoritmi che devono essere appositamente allenati, come avviene anche quando si intende fare uso di tecnologie di Intelligenza Artificiale.

Di qui la necessità che chi tratta dati biometrici nell’ambito di queste tecnologie si assuma la responsabilità di verificare la correttezza e l’esattezza dei dati trattati anche per l’allenamento degli algoritmi e verifichi – e sia responsabile - del corretto “allenamento” degli algoritmi stessi.

Dunque, come precisano queste linee guida al paragrafo 2, dedicato appunto alla tecnologia utilizzata, il riconoscimento facciale si basa su due step di un procedimento complesso:

il primo step riguarda la raccolta dei dati biometrici e di riconoscimento facciale e la loro trasformazione in templates; il secondo riguarda invece l’individuazione e il riconoscimento facciale operato attraverso la comparazione del campione con uno o molti altri campioni conservati negli data base che devono avere anche un elevato livello di sicurezza rispetto ad accessi illeciti. Livelli sui quali ovviamente le autorità di controllo devono vigilare costantemente.

Importante anche la specificazione che il riconoscimento facciale può adempiere a due funzioni diverse.

- La prima: la autenticazione dell’identità di una persona per verificare che la identità da questa dichiarata sia esatta (in questo caso siamo di fronte a una identificazione one-to-one).

- Il secondo caso riguarda la identificazione di una persona nell’ambito di un gruppo individuato in base a una specifica area o a uno specifico database (in questo caso siamo di fronte a una identificazione one-to-many).

In entrambi i casi comunque il riconoscimento facciale si basa su confronto tra templates: per questo la identificazione ha sempre carattere probabilistico e per questo porta anche a stabilire se la probabilità di identificazione della persona è elevata o bassa.

In ogni caso la facial recognition è una parte di un ampio spettro di tecniche basate sul trattamento di immagini, anche se la sola raccolta di immagini e la loro conservazione non può essere considerata “riconoscimento facciale” essendo solo la premessa di questo.

Quello che è certo è che il riconoscimento facciale può essere usato per il perseguimento di un ampio spettro di finalità quali l’accesso a un servizio commerciale, a un luogo fisico, a uno spazio pubblico.

Allo stesso modo può essere utilizzato rispetto a un ampio spettro di soggetti diversi quali i clienti di un servizio, gli impiegati di magazzino o altri soggetti coinvolti in attività amministrative o legali.   

Quello che è molto interessante è che le linee guida in esame sottolineano che gli scopi del riconoscimento faciali possono essere molteplici e ricoprire un ampio ventaglio di usi ma resta centrale, anche per valutare la legittimità in concreto dei singoli trattamento: a) la valutazione del grado di controllo che gli interessati hanno (o che è a essi assicurato) rispetto alla utilizzazione dei dati che li riguardano; b) i mezzi su cui gli interessati possono contare per evitare un controllo sull’uso dei loro dati: c) le conseguenze che gli interessati possono subire; d) la scala dei trattamenti previsti.

In sostanza a chi intende utilizzare tecnologie di riconoscimento facciale si chiede una attenta e rafforzata valutazione dei rischi che questi trattamenti possono comportare per gli interessati ed è sulla base di questa valutazione che le autorità devono esercitare il loro controllo sia per verificare le misure di sicurezza adottate, che il grado di informativa assicurata agli interessati che i mezzi di controllo messi a disposizione di questi.

Esplicitamente ed esemplificativamente le Linee Guida al punto 17 del paragrafo 2.2 sottolineano la grande differenza di rischi che intercorre tra trattamenti di riconoscimento dei dati facciali operati attraverso l’uso di templates conservati su devices che restano nel possesso degli interessati come gli smartphones e le smartcards o attraverso l’utilizzazione di campioni conservati dai providers dei servizi forniti, per non parlare del largo spetro di diversi modi di utilizzazione e di trattamento che si collocano tra questi due estremi.

E’ chiaro che la valutazione dei rischi dunque costituisce un elemento essenziale della attività di trattamento dei dati collegata alla facial recognition ed è sull’esito di queste valutazioni che dovrà essere valutata dalle autorità la esaustività delle misure di sicurezza adottate, la completezza dell’informativa data agli interessati e l’efficacia delle modalità messe a disposizione degli interessati per poter esercitare adeguatamente il controllo sull’uso di dati che li riguardino per attività di riconoscimento facciale.

Si potrebbe andare ancora molto oltre perché le linee guida sono molto dense e dettagliate, potendo far uso anche dell’esperienza accumulata negli anni dalle autorità per la privacy in ordine all’uso delle foto degli interessati raccolte e utilizzate per le più diverse finalità e con le più diverse tecniche.

Il cuore di queste linee guida consiste però nel sottolineare ancora una volta come l’evoluzione in atto delle tecnologie a disposizione delle imprese relativamente ai trattamenti dei dati che possono riguardare gli utenti o i destinatari dei loro servizi o i loro dipendenti e clienti sia sempre più ampia e veloce.

Ovvio che questo significa che i Data Protection Officer devono necessariamente dedicare molta attenzione a queste evoluzioni e tenersi assolutamente aggiornati ai cambiamenti in atto e alle loro conseguenze in materia di trattamento dei dati, personali e no.

Il costante aumento delle linee guida adottate dallo EDPB o dallo EDPS o da entrambi questi soggetti è la conferma di tutto questo, così come è la conferma del fatto che l’attività dei DPO è sempre più impegnativa e richiede nozioni costantemente aggiornate,

Ovvio dunque che anche il ruolo di questa figura e il suo stesso trattamento economico e professionale è destinato a mutare nel tempo. Ma proprio per questo Federprivacy si sente sempre più impegnata a fornire ai DPO servizi e supporti all’altezza dei tempi e dei loro mutamenti.

Note Autore

Francesco Pizzetti Francesco Pizzetti

Professore ordinario di diritto costituzionale a Torino e docente alla Luiss. Presidente Autorita' Garante per la protezione dei dati personali dal 18 aprile 2005 al 17 giugno 2012.

Prev La ISO/IEC 27701:2019: la lettura della norma sulla gestione della privacy attraverso le ricorrenze
Next Dall'European Data Protection Board le Linee Guida 04/2022 con l'obiettivo di armonizzare le sanzioni per le violazioni del Gdpr

Camera dei Deputati: Artificial intelligence e sostenibilità

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy