Il Garante per la protezione dei dati personali ha recentemente avviato un’istruttoria riguardante un progetto di videosorveglianza nelle stazioni della metropolitana di Roma, in cui è utilizzata la tecnologia di riconoscimento facciale. Secondo alcune notizie stampa, l’Amministrazione capitolina vorrebbe installare questa tipologia di telecamere, in vista del prossimo Giubileo, con la possibilità “di verificare azioni scomposte” all’interno dei vagoni e sulle banchine da parte di chi in passato si è reso protagonista “di atti non conformi”.
L’Amministrazione capitolina dovrà riscontrare alla richiesta di informazioni del Garante, dovendo fornire una descrizione tecnica delle funzionalità di riconoscimento facciale, la copia della valutazione d’impatto sulla protezione dei dati (DPIA) e rendere trasparenti la finalità e la base giuridica di tale trattamento di dati biometrici.
Il Garante ricorda che è in vigore una moratoria sull’installazione di impianti di videosorveglianza con sistemi di riconoscimento facciale attraverso l’uso di dati biometrici in luoghi pubblici o aperti al pubblico. Questo trattamento è consentito solo all’autorità giudiziaria, nell’esercizio delle funzioni giurisdizionali, e alle autorità pubbliche, a fini di prevenzione e repressione dei reati, previo parere favorevole del Garante, fino al 2025.
Il riconoscimento facciale, inteso come la tecnologia che identifica in modo univoco una persona confrontando e analizzando modelli biometrici basati sui suoi “contorni facciali”, solleva diverse preoccupazioni per i garanti europei per la protezione dei dati personali, in particolare per:
- l’invasività del trattamento, poiché vengono raccolti dati biometrici senza il consenso esplicito degli interessati (si ricorda che il consenso al trattamento dei dati particolari è una deroga prevista dall’articolo 9 GDPR);
- la discriminazione effettuata tramite il trattamento, infatti, se l’algoritmo di riconoscimento è addestrato su un campione di dati non rappresentativo, questo potrebbe comportare degli errori di identificazione basati su razza, genere o altre caratteristiche, in opposizione rispetto al principio di Pari Opportunità e potendo comportare delle discriminazioni ingiuste;
- la sorveglianza indiscriminata di massa, soprattutto in luoghi pubblici o aperti al pubblico, con il rischio di provocare lesioni ai diritti e libertà fondamentali dell’interessato;
- una base giuridica difficile da applicare, in quanto il consenso esplicito dell’interessato è pressoché impossibile da ottenere da tutti i soggetti video-ripresi e il legittimo interesse del Titolare non può essere applicato per la raccolta e trattamento di dati particolari.
Nonostante la diffusione dell’applicazione della tecnologia di riconoscimento facciale nel contesto aziendale, il Garante ha recentemente dichiarato che “allo stato l’ordinamento vigente non consente il trattamento di dati biometrici dei dipendenti per finalità di rilevazione della presenza in servizio”.
Anche se questa tecnologia può presentare dei vantaggi, è comunque necessario un approccio rigoroso e regolamentato per garantire il rispetto dei diritti umani e delle libertà fondamentali, valutando anche delle alternative a queste tecnologie (con mezzi meno invasivi come badge, beacon BLE, ecc.).
Anche la sicurezza del trattamento dei dati biometrici è fondamentale, in quanto è necessario proteggere dati sensibili, che in caso di violazione comporterebbero conseguenze anche molto gravi nei confronti degli interessati.
Le misure basiche che dovrebbero essere impiegate devono riguardare la crittografia tramite algoritmi forti dei dati raccolti e trattati, l’archiviazione protetta di tali dati personali e la cancellazione sicura dei dati non più necessari, la regolamentazione degli accessi alle videoregistrazioni e ai dati biometrici raccolti, la formazione dei dipendenti sul tema della protezione dei dati personali e il costante aggiornamento delle politiche aziendali sul trattamento di dati personali.
