Avete presente quando, nei film, vedete la polizia confrontare le immagini delle telecamere di sicurezza con i volti dei criminali schedati per individuare il colpevole?

Ecco, questa tecnica, definita di “riconoscimento facciale”, viene ormai utilizzata anche in Italia non solo in ambito di sicurezza nazionale, ma anche negli aeroporti, negli hotel, oltre che sui nostri smartphone.

Gli aspetti positivi di questo strumento sono diversi. Uno fra tutti: riduce i tempi di raggiungimento dello scopo che ci siamo prefissati. Nell’individuazione di un soggetto ricercato, nello smaltimento delle code in fase di accettazione o di imbarco dei passeggeri, nell’accesso ai nostri apparecchi elettronici. Il tutto mostrando unicamente il nostro volto.

Ma come accade per ogni situazione, c’è sempre qualche compromesso da fare.

L’utilizzo di dispositivi video capaci di effettuare riprese intelligenti e, dunque, di identificare una persona in base a degli incroci di dati biometrici comporta inevitabilmente una riduzione della nostra privacy.

I dati biometrici

Ma andiamo con ordine. Cosa sono i dati biometrici?

Il GDPR li indica come quei: “dati personali ottenuti da un trattamento tecnico specifico, relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica e che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.

La loro raccolta avviene attraverso strumenti tecnologici sempre più avanzati e si svolge in due fasi distinte.

Nella prima interviene un apposito lettore che effettua materialmente il riconoscimento biometrico.

Nella seconda fase viene utilizzata la componente software attraverso la quale i dati raccolti vengono messi a confronto con altri dati già presenti per verificare la corrispondenza con una determinata persona.

Tali dati, però, per essere utilizzati necessitano di essere raccolti, conservati, per dirlo in un’unica espressione: trattati. E il regolamento sul punto è molto chiaro.

L’art. 9 del GDPR, al primo paragrafo, vieta espressamente il trattamento di determinate categorie di dati, tra cui i dati biometrici, per garantire la massima tutela ai diritti e alle libertà della persona fisica.

GDPR ed eccezioni

La tutela prevista dal Legislatore comunitario prevede dunque il divieto del trattamento di quei dati che possono essere particolarmente delicati e che possono incidere maggiormente sulla sfera più personale dell’interessato, come i dati biometrici, appunto, e come i dati relativi a stati di salute, orientamento sessuale o opinioni religiose e politiche.

Perché vengano trattati lecitamente è necessario individuare, quale motivazione, una delle eccezioni riportate al paragrafo 2 dell’art. 9 del Regolamento.

Laddove sia possibile, la parola chiave per il corretto funzionamento del trattamento è “controbilanciare” questa intrusione rispettando i principi di legalità, proporzionalità, trasparenza e di minimizzazione dei dati nonché garantire sempre un livello di sicurezza elevatissimo.

Riconoscimento facciale e videosorveglianza

La questione più spinosa è legata alla diffusione di uno strumento sempre più utilizzato: la sorveglianza sistematica e automatizzata di uno spazio specifico con mezzi ottici o audiovisivi, per lo più con la finalità di proteggere la proprietà, o per tutelare la vita e la salute delle persone.

Questa attività comporta la raccolta e la conservazione di informazioni grafiche o audiovisive su tutte le persone che entrano nello spazio monitorato, identificabili in base al loro aspetto o ad altri elementi specifici. L’identità di tali persone può essere stabilita sulla base delle informazioni così raccolte, attraverso il cosiddetto riconoscimento facciale.

Il rischio che nasce in questi casi è quello di un uso non corretto di tali dati, che cresce in relazione all’ampiezza dello spazio monitorato, al numero di persone riprese e alla tipologia dei dati trattati.

Per tale motivo, l’uso degli strumenti di videosorveglianza con la funzionalità di riconoscimento biometrico, installata da soggetti privati per scopi propri, richiede come ulteriore condizione il consenso esplicito degli interessati.

Linee guida del Comitato Europeo per la Protezione dei Dati

Il Comitato Europeo per la Protezione dei Dati, in qualità di organismo che contribuisce all’applicazione corretta delle norme sulla protezione dei dati, é intervenuto di recente sul tema per provare a sciogliere questo nodo: come permettere l’utilizzo dei dispositivi video intelligenti per captare i dati biometrici e, al contempo, tutelare le informazioni sensibili a norma del GDPR.

All’interno delle linee guida, il Comitato ha previsto che, per rilevare un trattamento di categorie particolari di dati personali, è necessario analizzare:

  • la natura dei dati (relativi alle caratteristiche fisiche, fisiologiche o comportamentali);
  • i mezzi e le modalità del trattamento;
  • le finalità del trattamento, teso a identificare inequivocabilmente un soggetto.

Una volta individuata la categoria dei dati particolari, questi sistemi di videosorveglianza dotati di intelligenza artificiale devono essere sottoposti a delle misure di garanzia stringenti.

Il Comitato le ha individuate all’interno delle linee guida, riservandosi di aggiornarle con il tempo.

Ad esempio, è stato previsto che i titolari del trattamento dovranno garantire la suddivisione dei dati durante la trasmissione e la memorizzazione degli stessi, la conservazione dei modelli biometrici e dei dati grezzi o dati d’identità in banche dati distinte, la cifratura dei dati biometrici e l’individuazione di una politica di cifratura per la gestione delle chiavi, la previsione di un sistema di rilevamento delle frodi, l’associazione di un codice d’integrità ai dati ed il divieto di qualsiasi accesso esterno ai suddetti dati.

Conclusioni

Con le linee guida di recente adozione, l’Unione Europea ha provato a dare un indirizzo più delineato rispetto a cosa sia o meno permesso in tema di dati biometrici e strumenti audiovisivi.

Partendo dall’individuazione della tipologia di dati trattati, passando per le modalità del trattamento e arrivando alla sua finalità, dovranno comunque essere sempre garantiti la disponibilità, l’integrità e la riservatezza dei dati.

Senza dubbio le misure da adottare dovranno essere sottoposte ad un continuo aggiornamento, in linea con l’evoluzione del progresso tecnologico. Staremo a vedere quale ulteriore ostacolo dovrà affrontare il Comitato Europeo per gestire l’avanzamento delle nuove intelligenze artificiali in sintonia con le esigenze di tutela dei dati personali coinvolti.

 

Redazione Diritto dell’informatica

 

Ultimi aggiornamenti

ai act
L’approvazione dell’AI Act da parte dell’Unione Europea rappresenta un passo storico nella regolamentazione dell’intelligenza artificiale (AI). Questo articolo offre un’analisi approfondita del regolamento e delle sue implicazioni per aziende e consumatori. Cos’è e come funziona l’AI Act? L’AI Act è il primo regolamento completo al mondo […]
aliexpress dropshipping
AliExpress, gigante dell’e-commerce mondiale, deve il suo successo non solo alla vastità di prodotti a prezzi competitivi, ma anche al modello di vendita in dropshipping. Questo sistema permette a chiunque di aprire un e-commerce senza costi di gestione, vendendo prodotti disponibili su AliExpress senza possederli fisicamente. […]
smartphone geolocalizzato
Nell’era digitale, gli smartphone rappresentano dispositivi imprescindibili per la vita quotidiana, fungendo da ponte di connessione con il mondo circostante. In questo scenario, la possibilità di rintracciare un telefono smarrito o rubato assume un’importanza cruciale. Tuttavia, l’implementazione di sistemi di geolocalizzazione per smartphone spenti, introdotta da […]

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.