La questione relativa ai rischi per i diritti e le libertà individuali dei trattamenti che coinvolgono i dati biometrici è sempre più attuale, soprattutto in ragione dello sviluppo dei sistemi di intelligenza artificiale e di riconoscimento facciale. La ricostruzione del quadro regolatorio per il trattamento di tale categoria di dati è decisiva, al fine di comprendere non soltanto in quali casi sarà possibile far ricorso a tali tecnologie ma anche quali sono gli adempimenti necessari per garantire il rispetto della normativa in materia di dati personali (ad es. DPIA).
Qualora si adottino tecnologie avanzate e innovative come quelle relative al riconoscimento facciale, la protezione dei dati personali non può essere considerata un mero esercizio documentale ma deve essere presa in considerazione sin dalla fase di progettazione del prodotto, al fine di assicurare il rispetto della normativa e minimizzare i rischi per i diritti e le libertà dei soggetti interessati.
Il riconoscimento facciale, linee guida europee
Nelle recenti linee guida del Consiglio d’Europa, elaborate a gennaio 2021 all’interno del framework della Convenzione 108, il riconoscimento facciale viene definito come il trattamento automatico delle immagini digitali contenenti i volti degli individui per l’individuazione o la verifica di tali individui utilizzando template facciali[1].
In via generale (nonostante l’esistenza di diverse tecniche e processi, in continua evoluzione) il processo sotteso alle tecnologie di riconoscimento facciale si compone di diverse fasi: l’acquisizione della immagine del volto e la sua trasformazione digitale, il riconoscimento della presenza di un volto dell’immagine, la normalizzazione dell’immagine e l’estrazione di determinate caratteristiche al fine della costruzione di un template[2]. Tale template potrà poi essere usato a fini di comparazione.
Solitamente, il riconoscimento facciale può essere utilizzato per tre tipologie diverse di processi, in ragione della specifica finalità perseguita: la verifica (cd. comparazione a uno a uno), l’identificazione (cd. comparazione uno a molti) e la categorizzazione (cd. abbinamento delle caratteristiche)[3].
- Nella verifica, l’immagine di un soggetto viene comparata con il template che si presume appartenere alla stessa persona fisica (si pensi, ad esempio, alle tecnologie utilizzate per il controllo degli accessi o i controlli degli aeroporti). In tal caso il trattamento non richiede necessariamente la conservazione centralizzata dei template che possono, al contrario, essere depositati in un documento/dispositivo nella disponibilità degli interessati;
- Nella identificazione, il template ricavato dall’immagine facciale di una persona fisica è confrontato con quelli conservati in un database, al fine di verificare se è contenuto in esso o di raffrontarlo con altre immagini in esso contenute. In tali casi la tecnologia restituisce una percentuale della comparazione che indica la probabilità che due immagini siano riferite alla stessa persona (si pensi ad alcuni servizi online che riconoscono automaticamente i soggetti rappresentati in un’immagine);
- Nella categorizzazione, le tecnologie di riconoscimento facciale sono utilizzate al fine di analizzare le caratteristiche di un individuo e, in taluni casi, profilarlo sulle base delle caratteristiche estratte (es. sesso, età). Sebbene la finalità principale in questi casi non sia l’identificazione, quest’ultima può essere inferita, in particolare nei casi in cui è possibile l’interconnessione con altri dati.
La definizione dei dati biometrici e il quadro normativo ai sensi del GDPR
Le immagini facciali utilizzate ai fini del riconoscimento facciale rientrano all’interno della categoria dei dati biometrici.
Ai sensi dell’art. 4 del Regolamento 679/2016 (GDPR), sono “dati biometrici” i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche o fisiologiche di una persona fisica che ne consentono o confermano l’identificazione univoca, quali, appunto, l’immagine facciale. Tali dati, quando “tesi a identificare in modo univoco una persona fisica”, rientrano nelle “categorie particolati di dati” di cui all’art. 9 del GDPR e sono sottoposti a divieto di trattamento in assenza di una delle condizioni ivi elencate (es. consenso ovvero, quando previsto per legge, necessità di interesse pubblico o necessità in ragione di obblighi o diritti in materia di diritto del lavoro e della sicurezza sociale e protezione sociale).
In tal senso, dunque, affinché si possa parlare di dati biometrici devono essere presenti contemporaneamente tre fattori:
- la natura dei dati che devono riguardare caratteristiche fisiche (come appunto gli elementi che compongono il volto);
- la presenza di un trattamento tecnico specifico;
- la finalità di identificazione univoca dell’interessato[4].
Il considerando 51 del GDPR, in particolare, precisa che non tutte le fotografie rientrano nella categoria dei dati biometrici. Affinché ciò avvenga è, infatti, necessario che il trattamento sia effettuato attraverso un processo tecnico specifico che consenta l’identificazione univoca o l’autenticazione di una persona fisica.
I dati biometrici sono, inoltre, uno degli aspetti nei quali il GDPR lascia spazio agli Stati Membri per l’introduzione di misure ulteriori. Infatti, il D.lgs. 196/2003 (Codice Privacy) all’art. 2 septies prevede la necessità di conformarsi a specifiche misure di garanzia disposte dal Garante, con cadenza almeno biennale, che dovrebbero dettare le misure di sicurezza, ivi comprese le tecniche di cifratura e di pseudonomizzazione, le misure di minimizzazione, le specifiche modalità per l’accesso selettivo ai dati e per rendere le informazioni agli interessati, nonché le eventuali altre misure necessarie a garantire i diritti degli interessati.
La differenza tra sistemi di riconoscimento facciale (face recognition) e rilevazione dei volti (face detection)
Nel 2017 il Garante si era trovato a decidere su un sistema di “totem” presso una stazione ferroviaria che, nel mostrare messaggi pubblicitari, utilizzava un sistema di individuazione dei volti di coloro che si trovavano di fronte a esso, al fine di raccogliere dati di audience e valutare l’efficacia delle comunicazioni pubblicitarie. Tale precedente è, in particolare, utile alla distinzione tra sistemi di “face detection” e sistemi di “face recognition”. In particolare, nel caso di specie, il sistema era configurato unicamente per determinare la presenza di un volto umano nell’area ripresa, con tempi di cancellazione pressoché immediati, senza l’implementazione di sistemi in grado di identificare il volto dell’individuo attraverso dati biometrici e al solo fine di effettuare l’analisi c.d. anonimizzata dell’audience pubblicitaria. In tale circostanza, dunque, il Garante, in considerazione dell’assenza di rilevazioni biometriche, aveva riconosciuto la liceità del trattamento, prescrivendo, tuttavia, la presentazione di una informativa in forma semplificata attraverso cartelli sintetici posizionati nelle vicinanze del totem e l’esecuzione di un monitoraggio almeno semestrale delle misure di sicurezza adottate.
La necessità della valutazione di impatto (DPIA) per i sistemi di riconoscimento facciale
Ai sensi dell’art. 35 del GDPR quando l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, sarà necessaria una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. In questo senso, più innovativa sarà la tecnologia adottata più si renderà necessaria una valutazione di impatto preventiva, anche in considerazione dei rischi che emergono dalle asimmetrie informative.
In tema di riconoscimento facciale, inoltre, il Garante, ai sensi dell’art. 35 co. 4 del GDPR ha individuato, trai trattamenti da sottoporre a valutazione di impatto, i trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento[5].
Pertanto, le tecnologie che riguardano sistemi di riconoscimento facciale dovranno solitamente essere sottoposte a una previa valutazione di impatto (DPIA) sulla protezione dei dati personali.
Aspetti da considerare nella DPIA relativi alle tecnologie di riconoscimento facciale
Ai sensi dell’art. 35 del GDPR, la valutazione di impatto (DPIA) dovrebbe contenere, almeno:
a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento;
b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
c) una valutazione dei rischi per i diritti e le libertà degli interessati;
d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità alla normativa in materia di protezione dei dati personali.
Ai sensi del considerando 90, in particolare, dovrebbero essere individuate le fonti di rischio, la loro natura, nonché la loro probabilità e gravità tenendo in considerazione il contesto del trattamento, la finalità, gli interessati coinvolti e le caratteristiche della tecnologia adottata.
È bene evidenziare che la valutazione di impatto sui rischi dovrebbe essere svolta dalla prospettiva degli interessati, prendendo in considerazione gli impatti potenziali sui loro diritti e sulle loro libertà.
Sebbene la valutazione di impatto vada redatta tenendo in considerazione caratteristiche e rischi specifici derivanti dal trattamento, nell’ambito dei sistemi di riconoscimento facciale è possibile individuare alcuni punti critici che richiedono una particolare attenzione. La DPIA dovrà, dunque, affrontare e valutare questi aspetti rappresentando o pianificando, se del caso, l’adozione di misure idonee ad affrontare i rischi specifici individuati.
Necessità e proporzionalità
La valutazione di impatto dovrebbe, in primo luogo, giustificare il ricorso al riconoscimento biometrico, in ragione della particolare finalità perseguita.
Inoltre, il titolare del trattamento dovrebbe valutare la proporzionalità del trattamento e la sua conformità al principio di minimizzazione.
In particolare, il trattamento dovrebbe essere limitato ai soli dati strettamente necessari al raggiungimento della finalità evitando l’acquisizione di dati eccedenti e che potrebbero consentire inferenze ulteriori sull’individuo. Per tale ragione, la raccolta di altri dati biometrici, in aggiunta a quelli trattati per il riconoscimento facciale, dovrebbe essere valutata con particolare attenzione.
Esistenza di una valida base giuridica
In particolare, è necessario che la base giuridica sia individuata in modo specifico per il trattamento che si vuole porre in essere, tenendo in considerazione il contesto e la finalità perseguita.
Infatti, nel contesto delle tecnologie di riconoscimento facciale, non dovrebbe considerarsi accettabile il trattamento ulteriore di dati, raccolti per altre finalità, con lo scopo di costituire database di dati grezzi o di template.
Inoltre, è bene ricordare che nei casi (invero, piuttosto frequenti) in cui il trattamento dei dati debba basarsi sul consenso dell’interessato, ai sensi dell’art. 9.2(b), il titolare dovrà garantire che questo ultimo sia effettivamente rispondente ai requisiti dell’art. 4 e 7 del GDPR.
Particolare attenzione dovrà, in particolare, essere riposta nella valutazione della libertà del consenso in ragione dello specifico contesto e della esistenza di effettive scelte alternative per l’interessato (ad esempio, nel caso di trattamenti per l’accesso a luoghi o servizi, la possibilità di autenticarsi con altri mezzi).
Limitazione dei tempi di conservazione
La limitazione dei tempi di conservazione è fondamentale nel caso di trattamenti di dati biometrici.
Con particolare riferimento ai trattamenti volti all’identificazione e verifica dell’interessato tramite riconoscimento facciale, bisognerebbe prevedere non soltanto la pronta cancellazione delle immagini grezze utilizzate per la costruzione dei template ma anche dei dati di raffronto raccolti che non hanno restituito corrispondenza. Anche a seguito di una corrispondenza rilevata, inoltre, è opportuno che il titolare definisca tempi di cancellazione immediati o molto ridotti.
A tal proposito, è opportuno tenere in considerazione che la conservazione dei dati grezzi è un fattore di rischio molto più elevato rispetto alla conservazione dei template in quanto, mentre la riconduzione di un template a un individuo richiede operazioni tecnologiche più complesse, i dati grezzi possono essere utilizzati direttamente per costruire database con elevati rischi di profilazione e discriminazione per gli individui.
Trasparenza
Il trattamento che deriva dal riconoscimento facciale può porsi come particolarmente intrusivo per gli interessati, soprattutto se questi ultimi non sono pienamente consapevoli delle modalità di trattamento dei propri dati personali. È, pertanto. necessario garantire che gli interessati siano adeguatamente informati dei trattamenti, nel rispetto, innanzitutto, dei requisiti di cui agli art. 13 e 14 del GDPR.
In questo senso, in linea con le raccomandazioni fornite dall’EDPB nelle Linee Guida 3/2019 sul trattamento dei dati attraverso dispositivi video, la trasparenza potrebbe essere offerta, oltre che con l’informativa estesa, anche adottando segni grafici o informative semplificate che possano essere facilmente fruibili dagli interessati.
Accuratezza
Garantire la qualità e l’accuratezza dei dati raccolti e trattati è di fondamentale importanza quando si utilizzano tecnologie di riconoscimento facciale, al fine di mitigare e minimizzare i rischi per i diritti e le libertà degli interessati.
Pertanto è necessario, ad esempio, che la valutazione di impatto tenga in considerazione l’efficacia dell’algoritmo (es. le percentuali di falsi positivi/falsi negativi) e la sua affidabilità con riferimento ai diversi interessati coinvolti (si pensi, ad esempio, all’opportunità di valutare che l’algoritmo funzioni in modo adeguato per tutti i generi, per tutte l’età e per tutti i gruppi etnici).
In particolare, tale aspetto diventa ancora più cruciale quando, in presenza delle relative condizioni di legittimità, viene svolto un trattamento decisionale automatizzato (art. 22 GDPR).
La valutazione circa la qualità e l’accuratezza dei dati dovrebbe prendere in considerazione, inoltre, il ciclo di vita dei dati raccolti e l’opportunità di rinnovare le immagini acquisite, trascorso un determinato periodo di tempo dalla raccolta.
Le misure di sicurezza e la DPIA nel riconoscimento facciale
Le misure di sicurezza rappresentano, senza dubbio, il cuore di una valutazione di impatto.
È opportuno che queste ultime, in linea con l’art. 32 del GDPR, siano definite, in ottica di accountability, tenendo in considerazione le finalità perseguite, lo specifico contesto del trattamento, gli interessati coinvolti e i rischi identificati. Le misure di sicurezza adottate dovrebbero essere anche valutate periodicamente al fine di valutare la loro adeguatezza alle mutevoli minacce.
Tra le misure di sicurezza minime, anche sulla base delle indicazioni dell’EDPB e del Garante, vi sono la cifratura del template, la segregazione dei dati, la definizione di misure per la rilevazione delle frodi (ad esempio, mediante l’associazione di codici di integrità ai dati) e l’utilizzazione di canali di comunicazione cifrati in fase di trasmissione dei dati.
Inoltre, in caso di database centralizzati, dopo averne valutato la necessità e la proporzionalità, il titolare del trattamento dovrà assicurarsi che siano adottate opportune misure di controllo e registrazione degli accessi anche da parte di coloro che vi accedono per svolgere operazioni tecniche e di manutenzione.
Oltre alle misure di sicurezza puramente tecniche la DPIA dovrebbe includere una descrizione delle misure organizzative adottate come, ad esempio, l’esistenza di adeguate procedure interne. Tali procedure interne, in particolare, dovrebbero prevedere audit periodici nonché lo svolgimento di adeguati training alle funzioni aziendali coinvolte nel trattamento relativo al riconoscimento facciale.
Misure per garantire l’esercizio dei diritti degli interessati
Sarà opportuno descrivere le modalità con le quali gli interessati potranno esercitare i loro diritti, ivi incluso l’accesso ai dati a loro riconducibili (es. template).
La DPIA dovrebbe concludersi con una valutazione circa l’eventuale presenza di rischi residui e l’opportunità di una consultazione preventiva con l’autorità di controllo competente.
Da ultimo, è opportuno sottolineare che la valutazione di impatto è un adempimento “dinamico” che può richiedere successive revisioni e che dovrebbe essere accompagnato da un processo interno volto a documentare e definire ruoli e responsabilità dei soggetti coinvolti (ad esempio, responsabili del prodotto, responsabili della sicurezza, ufficio legale, DPO).
La privacy by design e by default nella fase di progettazione del prodotto
Come si è detto, già in fase di progettazione e sviluppo delle tecnologie di riconoscimento facciale i produttori dovrebbero assicurare l’adozione di misure idonee a garantire la tutela dei dati personali.
In tal senso, i titolari del trattamento che acquisiscono da terzi prodotti o servizi relativi a tecnologie di riconoscimento facciale dovrebbero svolgere un’accurata valutazione preventiva circa le loro caratteristiche, anche in relazione alle caratteristiche privacy by design e by default dell’architettura (es. impostazioni dei tempi di conservazione dei dati) e dovrebbero includere nei contratti previsioni contrattuali adeguate ad assicurare il rispetto dei principi generali in materia di protezione dei dati personali.
In particolare, i produttori delle strumentazioni utilizzate per il riconoscimento facciale dovrebbero fornire ai titolari del trattamento ogni informazione utile alla valutazione di impatto.
Conclusioni
Tecnologie particolarmente avanzate come quelle relative al riconoscimento facciale pongono numerosi rischi per i diritti e le libertà degli interessati, in ragione della unicità delle caratteristiche biometriche. In particolare, tali tecnologie possono essere particolarmente intrusive, consentendo di raccogliere e dedurre numerose informazioni anche attraverso l’interconnessione con altri dati, ovvero permettendo forme di controllo pervasive. Inoltre, dal momento che dalle caratteristiche biometriche è possibile ricavare dati relativi allo stato di salute, al genere o all’etnia di appartenenza, il trattamento di tali dati può presentare anche rischi concreti di discriminazione degli individui.
Ulteriori rischi per gli interessati possono scaturire dalla possibilità di falsi positivi o falsi negativi, in ragione del livello di accuratezza offerto dal sistema di riconoscimento biometrico.
Il riconoscimento facciale è un tema particolarmente attuale e delicato, come dimostra la recente proposta di Regolamento sull’intelligenza artificiale che vieterebbe l’utilizzo di sistemi di identificazione biometrica da remoto in real time per finalità di giustizia negli spazi pubblicamente accessibili (salvo specifiche eccezioni).
Allo stesso tempo, tuttavia, le tecnologie che si basano sull’utilizzo di dati biometrici (come il riconoscimento facciale) sono risorse importanti per garantire la sicurezza di accessi e transazioni. In tale contesto, gli strumenti offerti dalla normativa in materia di protezione dei dati personali (e, in particolare, la valutazione di impatto sul trattamento dei dati personali DPIA) lungi dall’essere ostacoli o meri adempimenti burocratici possono essere degli insostituibili alleati per assicurare, già in fase di progettazione e pianificazione di tali strumenti, un elevato livello di affidabilità e sicurezza e per dimostrare la conformità alla normativa applicabile.
Note
- Guidelines on Facial Recognition, Consultative Comittee of the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data Convention 108, T-PD(2020)03rev4 28 January 2021 ↑
- Opinione dell’Art 29 WP 2/2012 sul riconoscimento facciale nei servizi online e mobili (snonggetto di endorsement dall’EDPB) e Linee Guida in materia di riconoscimento biometrico e firma grafometrica rilasciati dal Garante allegato al Provvedimento generale prescrittivo in tema di biometria – 2014 https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3556992 ↑
- Facial recognition technology: fundamental rights considerations in the context of law enforcement, European Union Agency for Fundamental Rights, https://fra.europa.eu/sites/default/files/fra_uploads/fra-2019-facial-recognition-technology-focus-paper-1_en.pdf ↑
- EDPB, Linee Guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video (29 gennaio 2020) https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201903_video_devices_it.pdf ↑
- Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto (Pubblicato sulla Gazzetta Ufficiale Serie Generale n. 269 del 19 novembre 2018)
https://www.garanteprivacy.it/documents/10160/0/ALLEGATO+1+Elenco+delle+tipologie+di+trattamenti+soggetti+al+meccanismo+di+coerenza+da+sottoporre+a+valutazione+di+impatto.pdf/b9ceefa9-dd65-df86-fed4-df3c3570f59d?version=1.11 ↑
