Riconoscimento facciale negli aeroporti: le persone dovrebbero avere il massimo controllo sui loro dati biometrici
Nel corso della sua ultima sessione plenaria, l'EDPB ha adottato un parere sull'uso delle tecnologie di riconoscimento facciale da parte degli operatori aeroportuali e delle compagnie aeree per razionalizzare il flusso di passeggeri negli aeroporti. Il suddetto parere di cui all'articolo 64, paragrafo 2, su richiesta dell'autorità francese per la protezione dei dati, affronta una questione di portata generale e produce effetti in più di uno Stato membro.
Il presidente dell'EDPB Anu Talus ha dichiarato: "Sempre più operatori aeroportuali e compagnie aeree di tutto il mondo stanno sperimentando sistemi di riconoscimento facciale che consentono ai passeggeri di passare più facilmente attraverso i vari punti di controllo. È importante essere consapevoli del fatto che i dati biometrici sono particolarmente sensibili e che il loro trattamento può creare rischi significativi per le persone. La tecnologia di riconoscimento facciale può portare a falsi negativi, pregiudizi e discriminazioni. L'uso improprio dei dati biometrici può anche avere gravi conseguenze, come la frode di identità o l'impersonificazione. Pertanto, esortiamo le compagnie aeree e gli operatori aeroportuali a optare per modi meno intrusivi per semplificare i flussi di passeggeri, quando possibile. Secondo l'EDPB, le persone fisiche dovrebbero avere il massimo controllo sui propri dati biometrici."
Il parere analizza la compatibilità del trattamento con il principio di limitazione della conservazione (articolo 5, paragrafo 1, lettera e), RGPD), il principio di integrità e riservatezza (articolo 5, paragrafo 1, lettera f), RGPD), la protezione dei dati fin dalla progettazione e per impostazione predefinita (articolo 25, RGPD) e la sicurezza del trattamento (articolo 32, RGPD). Il rispetto di altre disposizioni del RGPD, anche per quanto riguarda la liceità del trattamento, non rientra nell’ambito di applicazione del presente parere.
Nell'UE non esiste un obbligo giuridico uniforme per i gestori aeroportuali e le compagnie aeree di verificare che il nome sulla carta d'imbarco del passeggero corrisponda al nome sul loro documento d'identità, e ciò può essere soggetto alle leggi nazionali. Pertanto, qualora non sia richiesta alcuna verifica dell'identità dei passeggeri con un documento d'identità ufficiale, tale verifica con l'uso di dati biometrici non dovrebbe essere effettuata, in quanto ciò comporterebbe un trattamento eccessivo dei dati.
Nel suo parere l'EDPB ha preso in considerazione la conformità del trattamento dei dati biometrici dei passeggeri con quattro diversi tipi di soluzioni di archiviazione, che vanno da quelle che conservano i dati biometrici solo nelle mani della persona a quelle che si basano su un'architettura di archiviazione centralizzata con modalità diverse. In tutti i casi dovrebbero essere trattati solo i dati biometrici dei passeggeri che si iscrivono attivamente e acconsentono a partecipare.
L'EDPB ha rilevato che le uniche soluzioni di archiviazione che potrebbero essere compatibili con il principio di integrità e riservatezza, la protezione dei dati fin dalla progettazione e per impostazione predefinita e la sicurezza del trattamento, sono le soluzioni in base alle quali i dati biometrici sono conservati nelle mani dell'individuo o in una banca dati centrale, ma con la chiave di crittografia esclusivamente nelle loro mani. Queste soluzioni di archiviazione, se implementate con un elenco di garanzie minime raccomandate, sono le uniche modalità che controbilanciano adeguatamente l'intrusività del trattamento offrendo alle persone il massimo controllo.
L'EDPB ha rilevato che le soluzioni basate sull'archiviazione in una banca dati centralizzata all'interno dell'aeroporto o nel cloud, senza le chiavi di crittografia nelle mani dell'individuo, non possono essere compatibili con i requisiti di protezione dei dati fin dalla progettazione e per impostazione predefinita e, se il titolare del trattamento si limita alle misure descritte negli scenari analizzati, non sarebbero conformi ai requisiti di sicurezza del trattamento.
Per quanto riguarda il principio della limitazione della conservazione, i titolari del trattamento devono assicurarsi di avere una giustificazione sufficiente per il periodo di conservazione previsto e limitarlo a quanto necessario per lo scopo proposto.
Successivamente, le autorità di protezione dei dati hanno adottato una relazione sul lavoro della task force ChatGPT. Questa task force è stata creata dall'EDPB per promuovere la cooperazione tra le autorità di protezione dei dati che indagano sul chatbot sviluppato da OpenAI.
La relazione fornisce pareri preliminari su alcuni aspetti discussi tra le autorità di protezione dei dati e non pregiudica l'analisi che sarà effettuata da ciascuna autorità di protezione dei dati nelle rispettive indagini in corso.
Analizza diversi aspetti relativi all'interpretazione comune delle disposizioni applicabili del GDPR pertinenti per le varie indagini in corso, quali:
- liceità della raccolta di dati di formazione ("web scraping"), nonché del trattamento dei dati per l'input, l'output e la formazione di ChatGPT.
- equità: garantire il rispetto del GDPR è una responsabilità di OpenAI e non degli interessati, anche quando le persone inseriscono dati personali.
- trasparenza e accuratezza dei dati: il titolare del trattamento dovrebbe fornire informazioni adeguate sulla natura probabilistica dell'output di ChatGPT e fare esplicito riferimento al fatto che il testo generato può essere distorto o composto.
- La relazione sottolinea che è imperativo che gli interessati possano esercitare efficacemente i loro diritti.
I membri della task force hanno inoltre sviluppato un questionario comune come possibile base per i loro scambi con l'IA aperta, pubblicato in allegato alla relazione.
Inoltre, l'EDPB ha deciso di elaborare orientamenti sull'IA generativa, concentrandosi come primo passo sulla raccolta dei dati nel contesto della formazione sull'IA.
Infine, l'EDPB ha adottato una dichiarazione sul "pacchetto accesso ai dati finanziari e pagamenti" della Commissione (che comprende le proposte di regolamento sul quadro per l'accesso ai dati finanziari (FIDA), sul regolamento sui servizi di pagamento (PSR) e sulla direttiva sui servizi di pagamento 3 (PSD3)).
L'EDPB prende atto delle relazioni del Parlamento europeo sulle proposte FIDA e PSR, ma ritiene che, per quanto riguarda la prevenzione e l'individuazione delle operazioni fraudolente, nel meccanismo di monitoraggio delle operazioni della proposta PSR dovrebbero essere incluse ulteriori garanzie in materia di protezione dei dati. È importante garantire che il livello di interferenza con il diritto fondamentale alla protezione dei dati personali delle persone interessate sia necessario e proporzionato all'obiettivo di prevenire le frodi nei pagamenti.
Fonte: European Data Protection Board