Facial recognition: quando il riconoscimento facciale comporta il trattamento di dati biometrici?

La nostra immagine facciale non può essere cambiata come una semplice password…

Il nuovo Regolamento europeo 679/2016 in materia di protezione dei dati personali (GDPR) prevede particolari tutele ed adempimenti in capo ai Titolari che trattano dati biometrici, tra cui ad esempio l’obbligo di nominare un Data Protection Officer e di effettuare una valutazione d’impatto sulla protezione dei dati (artt. 37-35).

I dati biometrici sono definiti all’ art. 4 del GDPR come “dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici“.

Appare chiaro che, data la loro capacità identificativa connessa a caratteristiche personalissime e difficilmente modificabili o occultabili, recano informazioni uniche sulla persona da cui sono estratte.

Sono dati biometrici ad esempio le informazioni matematiche elaborate a partire dal volto di una persona, dalle impronte digitali, dalle caratteristiche dell’iride, da conformazioni di reticoli di capillari, dalla voce, dall’odore e da elementi misurabili del modo di camminare, di scrivere o di gesticolare.

Con specifico riguardo alla tecnologia di Facial Recognition, occorre tuttavia rilevare che, come precisato al considerando 51 del GDPR, “Il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione di una persona fisica“.

Difatti come previsto dal Gruppo di Lavoro ex.art 29 nell’ Opinion 4/2007 on the concept of personal data occorre operare una distinzione tra dati biometrici (come l’impronta digitale che permette di stabilire che un determinato oggetto è stato toccato da Tizio) e fonti da cui i dati biometrici sono semplicemente estratti (come il dito di Tizio).

A titolo esemplificativo, se un soggetto posta una sua foto, video o registrazione vocale sui social media, tale file non può essere ulteriormente trattato per derivarne un modello biometrico o per effettuarne l’enrolment in un sistema di identificazione biometrica in grado di riconoscere quella determinata persona grazie al Face/Voice recognition senza una specifica base legale del trattamento (es. se l’interessato presta il consenso affinchè la sua immagine facciale venga processata tramite un algoritmo per taggarlo automaticamente in tutte le foto in cui compare). In ogni caso però il trattamento deve essere adeguato e non sproporzionato rispetto alle finalità.

Per concludere, con specifico riferimento al caso del riconoscimento via webcam da parte di un operatore il Garante si è espresso lo scorso Luglio in una caso del tutto simile, stabilendo che i dati acquisiti in tale maniera non possono essere considerati dati biometrici e dunque non si richiede l’adozione delle particolari cautele previste, e precisando che: “nel caso del riconoscimento facciale, il presupposto perché il trattamento delle immagini possa essere qualificato come trattamento biometrico è che i confronti finalizzati al riconoscimento dell’individuo (verifica dell’identità, nel caso in esame) siano automatizzati mediante l’ausilio di appositi strumenti software o hardware”.

Trovato interessante? Scopri di più >>> Facial Recognition: quando l’immagine facciale è dato biometrico? 

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.