Complice l’utilizzo di tecnologie di ultima generazione e dell’Intelligenza Artificiale, il riconoscimento facciale, attraverso telecamere intelligenti e altri dispositivi tecnologici, viene sempre di più utilizzato in Italia e nel mondo per tracciare i dati biometrici delle persone e raggiungere finalità differenti.
Siamo talmente circondati dalla tecnologia che non ci siamo quasi resi conto di essere passati dall’uso di password e impronte digitali per sbloccare i nostri smartphone e tablet ai sistemi di riconoscimento facciale.
E, cosa più importante, non ci siamo chiesti se il riconoscimento facciale avesse delle implicazioni, e quindi dei contro oltre che dei pro, per ciò che concerne la sicurezza e la privacy dei nostri dati, in particolare quelli genetici sensibili, come i dati biometrici.
Cos’è il dato biometrico?
Secondo il GDPR, art. 4, il dato biometrico è quel dato personale particolare (sensibile) in grado di identificare univocamente una persona, mediante l’utilizzo di mezzi tecnici in grado di analizzare caratteristiche fisiche, fisiologiche o comportamentali.
I dati biometrici fanno parte dei dati più intimi e personali di un soggetto, come come precisato dall’art. 9 del GDPR. Oltre ai dati biometrici altre caratteristiche dell’individuo afferiscono all’area dei dati personali particolari. Ad esempio:
- impronta digitale
- fisionomia del volto
- retina dell’occhio
- colore dell’iride
- dimensione dell’iride
- timbro vocale
Cos’è il riconoscimento facciale: storia, tipologie ed evoluzioni
Il riconoscimento facciale è una tecnologia di ultima generazione che sfrutta l’intelligenza artificiale per raccogliere e tracciare i dati biometrici della persona attraverso un’immagine o un video che la ritraggono.
Le tecniche di riconoscimento facciale utilizzate possono essere più o meno intrusive.
Una prima tipologia traccia e raccoglie i dati biometrici di una persona come:
- la distanze tra le pupille
- la grandezza del naso
- la grandezza delle labbra
- altre misurazioni facciali.
In alternativa a questa tecnica, si studiano i pixel del volto. In particolare si rileva come essi si raggruppano per formare i vari elementi del viso e li si paragonano con altre immagini presenti in un database.
Una seconda tipologia di riconoscimento facciale più avanzata sfrutta il machine learning. In questo caso sono i computer che riconoscono i volti delle persone a partire da decine di migliaia di immagini differenti presenti in un database.
La raccolta di quantità elevate di informazioni può rivelare dati molto personali che rientrano nella categoria dei dati particolari (come i dati biometrici).
Il tracciamento e la raccolta dei dati biometrici consentono di verificare in modo univoco l’identità di una persona. Per questo motivo, il riconoscimento facciale viene sfruttato in vari settori, sia pubblici che privati.
Per fare un esempio, basti pensare alle attività di polizia, dove il riconoscimento facciale è utile per rintracciare in modo molto più veloce ladri, criminali, ma anche persone scomparse o, addirittura per identificare dei cadaveri.
Ma prima del riconoscimento facciale quali tecnologie venivano utilizzate?
L’unico metodo di tracciamento dei dati biometrici era rappresentato dall’impronta digitale.
Tuttavia, questo sistema ha ben presto mostrato delle lacune e dei margini d’errore, per cui si è presto ipotizzato l’uso di tecnologie più evolute e più precise.
Tra queste la più diffusa è appunto il riconoscimento facciale.
Molti colossi aziendali, come Apple, Amazon, Microsoft, Facebook, utilizzano il riconoscimento facciale non solo per il semplice sblocco dei dispositivi ma anche per finalità di marketing e di profilazione degli utenti.
Proprio in tale contesto è bene fare una riflessione.
Da un lato, infatti, ci potrebbe essere una posizione pro-riconoscimento facciale, se si considera che le rilevazioni biometriche sono più sicure di password e pin, che facilmente smarriamo o ci vengono rubati.
D’altro canto esistono anche i contro del riconoscimento facciale, sempre più utilizzato in misura massiccia e in settori disparati, senza che ci sia un’esplicita richiesta di consenso ai diretti interessati, senza che vengano specificate le finalità e, più in generale, senza che si faccia riferimento alla normativa in materia di privacy e sicurezza dei dati.
Per fare chiarezza in modo definitivo, vediamo cosa afferma la normativa in materia di tutela della sicurezza e della privacy dei dati del cittadino e quali sono gli sviluppi anche in relazione ai sistemi di riconoscimento facciale.
Riconoscimento facciale e GDPR
La tutela e la protezione dei dati biometrici era già stato un tema di dibattito legislativo da parte del Garante della Privacy, prima ancora del GDPR.
Con il provvedimento 513 del 12 novembre 2014, il Garante Privacy aveva fornito un primo quadro unitario di misure di carattere tecnico, organizzativo e procedurale per accrescere i livelli di sicurezza dei trattamenti biometrici.
In tema di riconoscimento facciale e dati biometrici, l'art. 9 del GDPR del 2016 afferma che:
È vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.
Questo divieto non è più valido nel momento in cui l'interessato abbia dato il proprio esplicito consenso al trattamento di tali dati, oppure se si verificano determinate condizioni, espresse nel comma 1 dello stesso art. 9.
Nello specifico, l’utilizzazione dei dati biometrici è compresa nell’art. 9, comma 4, del GDPR, nel quale si afferma che per il trattamento dei dati biometrici e genetici sia sempre necessario il consenso dell’interessato, salvo nei casi in cui la legge nazionale non dia disposizioni differenti e sempre in vista di un interesse pubblico, sanitario o di ricerca scientifica, storica, archivistica o statistica.
Dunque, per il trattamento dei dati biometrici ai fini del riconoscimento facciale delle persone è sempre necessario il consenso dell’interessato, al di fuori delle finalità e delle casistiche sopra citate.
Inoltre, l’art. 2 septies del D.lgs 196/2003, così come modificato dal D.lgs 101/2018, afferma che i dati biometrici devono essere trattati in base alle misure di sicurezza disposte dal Garante con provvedimenti biennali.
Restano comunque valide le generiche misure di sicurezza del GDPR e del Codice Privacy.
Infine,vista la pervasività dell’utilizzo di videocamere intelligenti per il riconoscimento facciale, è stato necessario l’intervento del Comitato Europeo per la Protezione dei Dati (EDPB) che ha adottato nel Gennaio 2020 le Linee Guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video.
Le linee guida forniscono indicazioni su come applicare il GDPR in relazione al trattamento dei dati personali tramite dispositivi video. In particolare, precisano che la videosorveglianza non sono una necessità se esistono altri dispositivi in grado di soddisfare le finalità del trattamento.
Riconoscimento facciale in Italia: i campi di applicazione
L’Italia, così come altri Paesi dell’Unione Europea, utilizza i sistemi di riconoscimento facciale in maniera molto estensiva ma senza strizzare l’occhio con attenzione alla tutela della privacy dei dati biometrici degli interessati.
Questo potrebbe significare che gli ambiti in cui si utilizzano i sistemi di riconoscimento facciale in Italia non seguano completamente la normativa in materia di privacy e sicurezza dei dati.
Ma quali sono i principali ambiti di applicazione del riconoscimento facciale in Italia?
Aeroporti
Gli aeroporti di Roma Fiumicino, Ciampino e di Linate hanno introdotto un sistema sperimentale che rileva i dati biometrici del volto e li incrocia a quelli derivanti dalla scansione della foto del passaporto.
Questo sistema, in atto solo previo consenso esplicito degli interessati e quindi nel pieno rispetto del GDPR e della normativa sulla privacy dei dati personali, rende più veloci le code agli imbarchi e prevede una memorizzazione temporanea dei dati biometrici, che poi vengono cancellati.
Parcheggi intelligenti
Anche i parcheggi intelligenti sfruttano le immagini delle delle telecamere intelligenti e attraverso dei sensori controllare gli spazi liberi o occupati all’interno di un parcheggio.
Anche in questo caso le telecamere non registrano immagini né ritraggono visi o targhe, proprio per garantire la tutela della privacy.
Esistono tuttavia anche dei parcheggi nei quali è richiesta la lettura della targa.
In tal caso una telecamera identifica la targa per consentire l’accesso e l’uscita dal parcheggio e il dato specifico deve essere utilizzato solo ed esclusivamente per questa finalità.
Hotel
Anche gli hotel fanno uso del riconoscimento facciale, quando tra i propri ospiti ci sono personaggi famosi.
In questo caso, sono installate delle telecamere intelligenti che hanno lo scopo di raccogliere i dati biometrici del VIP per riconoscerlo in modo univoco.
Ovviamente il personaggio in questione deve dare esplicito consenso nel trattamento dei dati.
Per tutti gli altri ospiti, qualora non diano esplicito consenso al rilevamento dei dati biometrici, la struttura alberghiera deve offrire una soluzione alternativa che non limiti in alcun modo gli accessi alla struttura e che non abbia costi aggiuntivi per l’ospite.
Retail
Le telecamere intelligenti all’interno dei punti vendita vengono utilizzate per vari scopi, tra cui:
- conteggio dei clienti in entrata ed in uscita
- tempo medio di permanenza
- fasce orarie di maggior afflusso
- aree dello store più frequentate
- mancanza di un prodotto
- coda alle casse
- personalizzazione della pubblicità in base a genere ed età del cliente.
Se le telecamere non rilevano dati biometrici ma solo caratteristiche generiche, non è necessario il consenso degli interessati, così come previsto dall’art. 9 del GDPR.
In caso contrario, il datore di lavoro deve chiedere l’autorizzazione ad utilizzare le telecamere all’Ispettorato Territoriale del Lavoro per la tutela della sicurezza dei lavoratori.
In particolare, la Circolare n. 5 del 19 febbraio 2018 dell’Ispettorato Nazionale del Lavoro introduce la possibilità di inquadrare direttamente i lavoratori senza l’oscuramento del volto, ma solo per specifiche ragioni, legate alla sicurezza sul lavoro oppure alla tutela del patrimonio aziendale. In tutti gli altri casi, l’uso di telecamere non è ammesso.
Rischi del riconoscimento facciale: come ridurli
Il riconoscimento facciale, come abbiamo visto, rappresenta un’evoluzione rispetto all’uso di password, pin e impronte digitali.
Tuttavia non bisogna sottovalutare i rischi legati alla sicurezza e alla riservatezza dei dati trattati, in particolare quelli biometrici.
Proprio in relazione ad essi, è necessario comprendere in che modo ridurre al minimo i rischi di mancata tutela della privacy e utilizzare il riconoscimento facciale secondo modalità e contesti previsti espressamente dalla legge.
Tra le misure che si possono adottare per prevenire i rischi, è possibile ad esempio utilizzare strumenti crittografici, database cifrati e altre tecnologie in grado di separare i dati identificativi degli individui da quelli biometrici e riservando il trattamento di questi ultimi solo a chi ha espresso esplicito consenso.
Ogni contesto va valutato minuziosamente in base alle esigenze e alle necessità, ma non bisogna mai dimenticare di prendere come riferimento il GDPR e la normativa vigente in materia.
Se vuoi essere certo che nella tua azienda vengano rispettate le norme previste dal GDPR e che vengano tutelati i dati personali e biometrici di chiunque entri in contatto con la tua azienda, richiedi il nostro servizio di consulenza per la privacy e la protezione dei dati.
Un nostro professionista ti affiancherà affinché tutte le procedure e gli strumenti tecnologici siano a norma secondo quanto previsto dal GDPR in tema privacy.