A fronte dell’utilizzo crescente delle tecnologie di riconoscimento facciale e dei grandi rischi che ne comporta per la privacy e per la protezione dei dati personali, il 28 gennaio 2021, nella giornata europea per la protezione dei dati, il Comitato Consultivo della Convenzione 108, istituito presso il Consiglio d’Europa, ha adottato linee guida sulla materia.
(qui testo integrale in lingua inglese)
Sommario
Facial recognition
Il riconoscimento facciale è l’elaborazione automatica di immagini digitali contenenti volti di individui per l’identificazione o l’accertamento dell’identità di tali individui utilizzando modelli di volto.
Gli usi di questa tecnologia sono molti e vari, alcuni dei quali possono violare gravemente i diritti delle persone interessate. Ad esempio, l’integrazione del riconoscimento facciale ai sistemi di sorveglianza esistenti comporta un grave rischio per i diritti alla vita privata e alla protezione dei dati personali, nonché per altri diritti fondamentali, poiché l’uso di tali tecnologie non richiede sempre la consapevolezza o la cooperazione delle persone i cui dati biometrici sono processati, considerando, ad es., la possibilità di accedere alle immagini digitali degli individui tramite Internet.
La sensibilità delle informazioni di natura biometrica è stata riconosciuta esplicitamente con l’inclusione dei dati che identificano in modo univoco una persona nelle speciali categorie di dati di cui all’art. 6 della Convenzione 108 aggiornata, per la protezione delle persone con riguardo al trattamento delle Dati personali.
Il Comitato Consultivo del Consiglio d’Europa, su impulso di quest’ultimo, ha quindi individuato degli specifici orientamenti in materia di riconoscimento facciale che forniscano una serie di misure di riferimento per i governi, gli sviluppatori di riconoscimento facciale, i produttori, i fornitori di servizi, le aziende e le pubbliche amministrazioni che impiegano queste tecnologie.
L’applicazione di tali precetti è finalizzata a garantire che il ricorso a tecniche così invasive non incida negativamente sulla dignità umana, né pregiudichi i diritti umani e le libertà fondamentali di qualsiasi persona, compreso il diritto alla protezione dei dati personali.
Le Linee guida
Le linee guida adottate dal Comitato riguardano tutte le tecnologie di riconoscimento facciale, comprese quelle di riconoscimento dal vivo.
Queste raccomandazioni si fondano sui principi individuati nella Convenzione 108+, hanno portata generale e coprono l’uso delle tecnologie di riconoscimento facciale sia nel settore privato che in quello pubblico.
A seconda della fattispecie concreta, non si esclude che siano necessarie ulteriori misure di protezione previste nel quadro giuridico applicabile.
In ogni caso, tali orientamenti tengono conto dei diversi usi di queste tecnologie nei diversi settori anche in considerazione delle finalità di tali impieghi nonché del loro potenziale impatto sul diritto alla protezione dei dati e su altri diritti fondamentali.
Linee guida per governi
Come previsto dall’art. 6 della Convenzione 108 sulle “Categorie speciali di dati:
“I dati a carattere personale che rivelano l’origine razziale, le opinioni politiche, le convinzioni religiose o altre convinzioni, nonché i dati a carattere personale relativi alla salute o alla vita sessuale, non possono essere elaborati automaticamente a meno che il diritto interno preveda delle garanzie appropriate. Lo stesso vale per i dati a carattere personale relativi a condanne penali.”
Pertanto il trattamento di tale categorie speciali di dati, nella quale rientrano i dati biometrici, è autorizzato solo se legittimato da una base giuridica adeguata e se nel diritto nazionale sono previste garanzie complementari e adeguate.
Tali garanzie sono adeguate ai rischi connessi e agli interessi, ai diritti e alle libertà da tutelare.
La necessità dell’uso delle tecnologie di riconoscimento facciale deve essere inoltre valutata insieme alla proporzionalità allo scopo ed all’impatto sui diritti delle persone interessate.
Rigorosa limitazione a determinati usi per legge
Il livello di invasività del riconoscimento facciale e la conseguente violazione dei diritti alla vita privata e alla protezione dei dati varieranno a seconda della particolare situazione relativa al loro utilizzo.
Vi saranno casi in cui il diritto nazionale lo limiterà rigorosamente, o addirittura lo vieterà del tutto o semplicemente ne sospenderà l’utilizzo in luogo di un’analisi accurata, soprattutto per il riconoscimento facciale dal vivo in ambienti non soggetti a controllo diretto.
In linea generale, un uso destinato al solo scopo di determinare il colore della pelle di una persona, religione o altre credenze, sesso, origine razziale o etnica, età, stato di salute o condizione sociale dovrebbe essere vietato a meno che non siano previste dalla legge garanzie adeguate per evitare qualsiasi rischio di discriminazione.
Allo stesso modo, il cd. “riconoscimento dell’affetto” che può essere effettuato anche con tecnologie di riconoscimento facciale per rilevare presumibilmente tratti della personalità, sentimenti interiori, salute mentale o coinvolgimento dei lavoratori dalle immagini del viso.
Quadro giuridico
Il quadro giuridico applicabile al trattamento dei dati biometrici mediante il riconoscimento facciale dovrebbe altresì considerare:
- le diverse fasi di utilizzo delle tecnologie di riconoscimento facciale, compresa la creazione di banche dati e le fasi di diffusione;
- i settori in cui tali tecnologie vengono usate;
- l’intrusività maggiore di alcuni tipi di tecnologie di riconoscimento facciale come live o non-live tecnologie di riconoscimento facciale, fornendo al contempo chiare indicazioni sulla loro legalità.
Integrazione delle immagini digitali nelle tecnologie di riconoscimento facciale
Il legislatore deve garantire che le immagini disponibili in formato digitale non possano essere elaborate per estrarre i modelli biometrici o per integrarle nei sistemi biometrici senza una base giuridica specifica per un nuovo e diverso trattamento, quando quelle immagini sono state inizialmente catturate per altri scopi (dai social media per esempio).
Poiché l’estrazione di modelli biometrici da immagini digitali comporta l’elaborazione di dati sensibili, la possibile base giuridica, che varia per i diversi settori e gli usi, deve essere garantita.
In particolare, utilizzando immagini digitali che sono state caricate su Internet, compresi i social media o siti web di gestione fotografica online o sono stati catturate passando attraverso l’obiettivo di telecamere di videosorveglianza, non può essere considerato legittimo il loro trattamento unicamente sulla base del fatto che sono stati rese “manifestamente” disponibili dalle persone interessate.
Il legislatore dovrebbe garantire che le banche dati esistenti sulle immagini digitali inizialmente utilizzate per altri scopi possano essere utilizzate per estrarre modelli biometrici e integrarli nei sistemi biometrici solo per scopi legittimi prevalenti, sia previsto dalla legge e strettamente necessario e proporzionato a tali fini (ad esempio per motivi di ordine pubblico o di emergenza sanitaria).
Utilizzo delle tecnologie di riconoscimento facciale nel SETTORE PUBBLICO
Il consenso non dovrebbe, di norma, essere il fondamento giuridico utilizzato per il riconoscimento facciale da parte delle autorità pubbliche, tenuto conto dello squilibrio di poteri tra le persone interessate e le autorità pubbliche.
Per lo stesso motivo non dovrebbe essere il fondamento giuridico utilizzato per il riconoscimento facciale effettuato da soggetti privati autorizzati a svolgere compiti analoghi a quelli delle autorità pubbliche.
La legittimità dell’uso delle tecnologie di riconoscimento facciale si basa sulle finalità del trattamento biometrico previste dalla legge e sulle necessarie garanzie complementari alla Convenzione 108+.
Occorre quindi stabilire norme specifiche per il trattamento biometrico mediante tecnologie di riconoscimento facciale in tal senso, che garantiscano che tali usi siano strettamente necessari e proporzionati a tali fini oltre a prescrivere quali sono le necessarie garanzie da fornire.
Il trattamento dei dati biometrici mediante tecnologie di riconoscimento facciale a fini di identificazione in un ambiente controllato o incontrollato dovrebbe essere limitato, in generale, a fini di sicurezza e dovrebbe essere effettuato esclusivamente dalle autorità competenti in tale settore.
Il legislatore deve stabilire inoltre norme specifiche per il trattamento biometrico mediante tecnologie di riconoscimento facciale per altri interessi pubblici sostanziali da parte delle autorità pubbliche che non operano nel settore della sicurezza.
Utilizzo delle tecnologie di riconoscimento facciale nel SETTORE PRIVATO
L’uso di tecnologie di riconoscimento facciale da parte di soggetti privati, ad eccezione dei soggetti privati autorizzati a svolgere compiti analoghi a quelli delle autorità pubbliche, richiede, ai sensi dell’art. 5 della convenzione 108+ il consenso specifico, libero e informato degli interessati i cui dati biometrici sono trattati.
Considerando il requisito di tale consenso delle persone interessate, l’uso delle tecnologie di riconoscimento facciale può avvenire solo in ambienti controllati.
I soggetti privati non possono utilizzare tecnologie di riconoscimento facciale in ambienti incontrollati come i centri commerciali, in particolare per identificare persone di interesse, a fini di marketing o di sicurezza privata.
Il passaggio attraverso un ambiente in cui vengono utilizzate tecnologie di riconoscimento facciale non può essere considerato un consenso esplicito.
Certificazione
Il legislatore deve utilizzare meccanismi diversi per garantire la responsabilità di sviluppatori, fabbricanti, fornitori di servizi o aziende che utilizzano tali tecnologie.
La creazione di un meccanismo di certificazione indipendente e qualificato per il riconoscimento facciale e la protezione dei dati, per dimostrare la piena conformità delle operazioni di trattamento effettuate, sarebbe un elemento essenziale per costruire la fiducia degli utenti.
Consapevolezza
La consapevolezza delle persone interessate dai dati e la comprensione da parte del pubblico delle tecnologie di riconoscimento facciale e del loro impatto sui diritti fondamentali dovrebbero essere attivamente sostenute da azioni accessibili ed educative.
Linee guida per sviluppatori, produttori e fornitori di servizi
Questa sezione delle linee guida riguarda specificamente le questioni relative alle fasi di sviluppo e fabbricazione delle tecnologie di riconoscimento facciale.
Inoltre, quando sviluppatori, produttori e fornitori di servizi elaborano dati biometrici per i propri scopi nella fase di sviluppo, saranno interessati anche dalle indicazioni suggerite alla sezione dedicata agli enti che utilizzano tale tecnologia.
Qualità dei dati e degli algoritmi
Come altri strumenti giuridici applicabili, la Convenzione 108+ nel suo art. 5 prevede il requisito di accuratezza dei dati.
Pertanto, gli sviluppatori o i produttori di tecnologie di riconoscimento facciale, come in realtà anche le aziende che utilizzano tecnologie di riconoscimento facciale, dovranno adottare misure per garantire che i dati di riconoscimento facciale siano accurati e precisi.
I dati biometrici che rivelano inevitabilmente altri dati sensibili come le informazioni su un tipo di malattia o disabilità fisica dovrebbero essere soggetti a garanzie adeguate e complementari.
Un sistema di riconoscimento facciale richiede il rinnovo periodico dei dati (le foto dei volti da riconoscere) al fine di addestrare e migliorare l’algoritmo utilizzato.
Ogni algoritmo ha una percentuale di affidabilità del riconoscimento, sia durante il suo sviluppo che durante l’utilizzo. Appare quindi importante datare e registrare questa percentuale per monitorarne l’evoluzione.
Questi record percentuali di affidabilità potrebbero essere resi facilmente disponibili a individui o clienti interessati o enti che utilizzano tecnologie di riconoscimento facciale, ad esempio sotto forma di dashboard, per facilitare la loro scelta di acquisizione e implementazione di una tecnologia specifica.
Affidabilità degli strumenti utilizzati
L’affidabilità degli strumenti utilizzati dipende dall’efficacia dell’algoritmo. Dovrebbe essere garantito il massimo livello possibile di affidabilità, considerando che l’uso di un sistema di riconoscimento facciale potrebbe comportare conseguenze molto significative per l’individuo.
Consapevolezza
Le aziende che sviluppano e vendono tecnologie di riconoscimento facciale dovrebbero adottare misure ragionevoli, come formulare raccomandazioni e fornire consigli, per aiutare le aziende che le utilizzano ad applicare trasparenza e rispetto della privacy.
Accountability
Le aziende che sviluppano e vendono tecnologie di riconoscimento facciale dovrebbero adottare misure specifiche per garantire il rispetto dei principi di protezione dei dati, ovvero:
- integrare la protezione dei dati nella progettazione e nell’architettura dei prodotti e dei servizi di riconoscimento facciale, nonché nei sistemi IT interni e integrare l’uso di strumenti dedicati, compresa la cancellazione automatica dei dati grezzi dopo l’estrazione dei modelli biometrici;
- offrire un certo livello di flessibilità nella progettazione di queste tecnologie per adeguare le garanzie tecniche secondo i principi di limitazione delle finalità, minimizzazione dei dati e limitazione della durata della conservazione dei dati;
- attuare un processo di revisione interna volto a identificare e mitigare il potenziale impatto sui diritti e sulle libertà fondamentali prima che le tecnologie di riconoscimento facciale siano rese disponibili;
- integrare un approccio alla protezione dei dati nelle pratiche organizzative, inclusa l’assegnazione di personale dedicato, la formazione sulla privacy dei dipendenti e la conduzione di valutazioni dell’impatto sulla protezione dei dati sullo sviluppo o la modifica di prodotti e servizi di riconoscimento facciale.
Linee guida per aziende che utilizzano le tecnologie di riconoscimento
Questa sezione delle Linee Guida è dedicata alle aziende che operano sia nel settore pubblico che in quello privato.
Le aziende devono rispettare tutti i principi e le disposizioni applicabili in materia di protezione dei dati durante l’elaborazione dei dati biometrici nell’uso delle tecnologie di riconoscimento facciale.
Devono essere altresì in grado di dimostrare che tale uso è strettamente necessario e proporzionato nel contesto specifico del loro utilizzo e che non interferisce con i diritti degli interessati, fatte salve le eccezioni previste dalla legislazione applicabile in conformità con l’art. 11 della Convenzione 108+.
Devono infine garantire che l’uso della tecnologia non abbia alcun impatto sulle persone che accidentalmente entreranno in contatto con essa.
Legittimità del trattamento dei dati e qualità dei dati
Il trattamento dei dati da parte delle aziende sarà legittimato da basi giuridiche diverse a seconda dei settori e degli scopi per i quali si utilizzano le tecnologie di riconoscimento facciale.
Affinché le tecnologie di riconoscimento facciale possano essere utilizzate senza alcuna intenzione o cooperazione con gli interessati, è necessario che sia garantita trasparenza ed equità del trattamento.
Le aziende dovranno quindi fornire tutte le informazioni necessarie sul trattamento come specificato nella Convenzione 108+.
Nel caso in cui le banche dati siano create dalle forze dell’ordine a fini di identificazione o verifica, l’obbligo di trasparenza può essere proporzionalmente limitato per non pregiudicare le finalità di sicurezza, in conformità con l’art. 11 della Convenzione 108+ e soggetto ai suoi requisiti.
Quando le tecnologie di riconoscimento facciale dal vivo vengono utilizzate in un ambiente non controllato, le forze dell’ordine possono adottare un approccio a più livelli per fornire le informazioni necessarie agli interessati che passano nell’ambiente non controllato.
L’uso nascosto di tecnologie di riconoscimento facciale dal vivo da parte delle forze dell’ordine potrebbe essere possibile al massimo se strettamente necessario e proporzionato per prevenire un rischio imminente e sostanziale per la sicurezza pubblica, che dovrebbe in ogni caso essere documentato prima del predetto uso nascosto.
I dati personali oggetto di trattamento sono raccolti per scopi espressi, specificati e legittimi e non trattati in modo incompatibile con tali scopi ai sensi dell’art. 5, par. 4, della Convenzione 108+.
Inoltre, prima di ogni successivo trattamento, gli enti dovranno valutare se le finalità del nuovo trattamento siano compatibili con le finalità inizialmente definite. In caso contrario, il nuovo trattamento richiederà una base giuridica distinta.
Le aziende devono rispettare il principio di minimizzazione dei dati, che richiede che vengano elaborate solo le informazioni richieste e non tutte le informazioni a disposizione delle aziende.
Le aziende devono inoltre stabilire un periodo di conservazione, che non può essere più lungo di quanto necessario per lo scopo specifico del trattamento, e garantire la cancellazione dei modelli biometrici al completamento di tale scopo. Nel determinare il periodo di conservazione, si deve tener conto della natura biometrica dei dati personali.
Le aziende devono garantire che i modelli biometrici e le immagini digitali siano accurati e costantemente aggiornati.
In caso di false corrispondenze, le aziende adotteranno tutte le misure ragionevoli per correggerle e garantire l’accuratezza delle immagini digitali e dei modelli biometrici.
Protezione dei dati
Devono essere attuate forti misure di sicurezza, sia a livello tecnico che organizzativo, che garantiscano una protezione dei dati durante tutte le fasi del trattamento, siano esse raccolta, trasmissione e conservazione.
Qualsiasi violazione della sicurezza dei dati che possa interferire gravemente con i diritti e le libertà fondamentali degli interessati deve essere notificata all’autorità di controllo e, se del caso, agli interessati.
Le misure di sicurezza devono evolversi nel tempo e in risposta alle mutevoli minacce e vulnerabilità identificate. Devono inoltre essere proporzionate alla sensibilità dei dati, al contesto in cui viene utilizzata una specifica tecnologia di riconoscimento facciale ed ai suoi scopi, alla probabilità di danni alle persone e ad altri fattori rilevanti.
Rigorose pratiche di conservazione e smaltimento dei dati, attraverso procedure sicure, con periodi di conservazione più brevi possibili anche finalizzati a ridurre le esposizioni per la sicurezza.
Accountability
Le aziende adottano tutte le misure appropriate per adempiere ai loro obblighi e per essere in grado di dimostrare che il trattamento dei dati sotto il loro controllo sia conforme a quelli previsti dall’art. 10 della Convenzione 108+.
Devono essere prese in considerazione le seguenti misure organizzative:
- attuazione di politiche, procedure e pratiche trasparenti per garantire che la protezione dei diritti degli interessati sia alla base del loro uso delle tecnologie di riconoscimento facciale;
- pubblicazione di rapporti sulla trasparenza sull’uso concreto delle tecnologie di riconoscimento facciale;
- predisposizione ed erogazione di programmi di formazione e procedure di audit per i responsabili del trattamento dei dati relativi al riconoscimento facciale;
- istituzione di comitati interni di revisione per valutare ed approvare eventuali trattamenti di dati derivanti da riconoscimento facciale;
- estensione contrattuale dei requisiti applicabili a fornitori di servizi di terze parti, partner commerciali o altri soggetti che utilizzano la tecnologia di riconoscimento facciale (e rifiuto dell’accesso a terzi che non li rispettino);
- nel settore pubblico: vincoli di valutazione preventiva nelle procedure di appalto pubblico che coinvolgono fornitori di strumenti di riconoscimento facciale, valutazione dei livelli minimi di prestazione in termini di accuratezza, soprattutto per quanto riguarda le finalità di sicurezza.
Le aziende devono adottare le misure tecniche necessarie per garantire la qualità dei dati biometrici seguendo gli standard tecnici concordati a livello internazionale, a seconda del contesto dei loro usi.
Le aziende dovrebbero infine garantire che gli operatori umani continuino a svolgere un ruolo decisivo nelle azioni intraprese sui risultati di queste tecnologie.
Valutazione dell’impatto del trattamento
Le aziende che utilizzano le tecnologie di riconoscimento facciale devono effettuare valutazioni d’impatto prima del trattamento poiché l’uso di queste tecnologie comporta l’elaborazione di dati biometrici e presenta rischi elevati per i diritti fondamentali degli interessati.
Durante la preparazione della valutazione di impatto, le aziende oltre a riconoscere i rischi derivanti dal potenziale trattamento, considerano anche le misure di contrasto necessarie per affrontare questi rischi adottando le misure tecniche e organizzative necessarie.
La valutazione dell’impatto può essere svolta dalle stesse aziende o da un organismo di monitoraggio indipendente o da un revisore con competenze pertinenti per aiutare a scoprire, misurare o mappare gli impatti e i rischi nel tempo.
Durante la preparazione della valutazione, le aziende devono prendere in considerazione il potenziale impatto anche dalla prospettiva delle persone interessate.
Tali valutazioni d’impatto devono essere effettuate a intervalli regolari.
Se viene individuato un rischio, le entità interessate devono poter fare riferimento a eventuali comitati etici esistenti e alle autorità di vigilanza competenti per esaminare i rischi potenziali.
Dopo il completamento di questa valutazione, le entità devono pubblicarla per ricevere le opinioni del pubblico sulla potenziale diffusione delle tecnologie di riconoscimento facciale.
Data protection by design
Le aziende che utilizzano queste tecnologie per scopi di identificazione o verifica devono garantire che i prodotti o servizi che stanno utilizzando siano progettati per elaborare dati biometrici in conformità con i principi di limitazione delle finalità, minimizzazione dei dati e durata limitata della conservazione e integrare tutte le altre garanzie necessarie nelle tecnologie.
Quando le aziende definiscono le caratteristiche tecniche di queste tecnologie, implementano questi principi nella loro progettazione, per garantire la protezione dei dati.
Quadro etico
Oltre al rispetto degli obblighi di legge, è importante anche fornire un quadro etico all’uso di questa tecnologia, in particolare per quanto riguarda i maggiori rischi inerenti agli utilizzi delle tecnologie di riconoscimento facciale in determinati settori.
Ciò potrebbe assumere la forma di comitati consultivi etici indipendenti che potrebbero essere consultati prima e durante le implementazioni più lunghe, svolgere audit e pubblicare i risultati delle loro ricerche per integrare o sostenere la responsabilità di un’entità.
Lo scopo è quello di valutare e trovare un equilibrio appropriato tra interessi concorrenti.
Inoltre, al fine di evitare violazioni dei diritti umani, è probabile che comitati di esperti provenienti da diversi settori di competenza definiscano i casi potenzialmente più impattanti quando si utilizzano le tecnologie di riconoscimento facciale.
Diritti degli interessati
Poiché il riconoscimento facciale si basa sul trattamento dei dati personali, agli interessati sono garantiti tutti i diritti di cui all’art. 8 della Convenzione 108+, tra i quali il diritto ad essere informato, il diritto di accesso, il diritto di opposizione, il diritto di rettifica (in caso di false corrispondenze), il diritto a non essere sottoposto a decisioni puramente automatizzate senza che la propria opinione sia adeguatamente considerata.
Questi diritti possono essere limitati solo quando tale restrizione è prevista dalla legge, rispetta l’essenza dei diritti e delle libertà fondamentali e costituisce una misura necessaria e proporzionata in una società democratica per scopi legittimi specifici.
In ultimo, un ruolo importante a tutela dei diritti delle persone possono svolgerlo le Autorità di protezione dei dati che, in base all’art. 15 della Convenzione 108+, devono essere consultate riguardo a proposte legislative e amministrative che implichino il trattamento dei dati personali mediante tecnologie di riconoscimento facciale.
È necessario inoltre coinvolgere le autorità di vigilanza e, in particolare, consultarle su ogni possibile sperimentazione o diffusione prevista.
VP
