Riconoscimento facciale: le indicazioni per il settore privato

di Domenico Battaglia - Avvocato, titolare di studio legale in Bolzano, D.P.O. dell’Ordine degli avvocati di Bolzano, Delegato provinciale di Federprivacy

Il Comitato Consultivo istituito in seno alla Convenzione 108 del Consiglio d’Europa (e confermato dalla Convenzione 108+), selezionava due esperti per relazionare in tema di riconoscimento facciale: Frédéric Wickert per le questioni tecniche e l’avvocato Sandra Azria per i profili di attinenza legale. Quest’ultima si soffermava sui rischi di tale tecnologia. La repentinità, alla stessa necessariamente collegata, mal si concilia con l’adeguatezza delle informazioni trasmesse agli interessati e, quindi, con un consenso meditato ed effettivo.

Inoltre, collegandosi alle note tecniche rese da Frédéric Wickert (algoritmi di Deep Learning e Deep Neural Networks), l’avvocato Azria si soffermava sui potenziali rischi di errore, rammentando che la tecnologia si basa su valutazioni statistiche e, quindi, per definizione fallibili. Rammentando che i sistemi di riconoscimento facciale vengono spesso utilizzati quali sistemi autorizzativi, i rischi sono anche legati alla sicurezza della tecnologia. L’esperienza insegna che il volto dell’interessato può essere sostituito con foto o video dello stesso, lasciando così spazio ad utilizzi impropri. Riconoscendo questi rischi, il Comitato Consultivo ha pubblicato delle Linee Guida sul riconoscimento facciale. 

Consenso esplicito

Queste tecnologie possono essere utilizzate con il consenso esplicito dell’interessato ovvero per scopi di interesse pubblico unicamente in presenza di garanzie adeguate. Per quanto concerne i titolari del trattamento di natura privata (al netto di coloro che svolgono compiti di interesse pubblico), l’unica base giuridica su cui poter lecitamente basare il trattamento è il consenso esplicito, libero, informato e specifico. Se si tratta di un metodo di autenticazione, affinché tale consenso venga considerato tale, le Linee Guida indicano che dovrebbe essere offerta all’interessato una valida alternativa al riconoscimento facciale. L’utilizzo dei dati biometrici è possibile solo per le finalità inizialmente consentite, salvo il rilascio di altro consenso (della sorta sopra descritta) per le nuove finalità; stessa cosa dicasi per la comunicazione a terzi, soggetta al consenso sopra descritto. Viene inoltre specificato che tali tecnologie non dovrebbero essere usate in centri commerciali, magari per identificare gli interessati per scopi di marketing o per motivi di sicurezza privata.

Certificazione

Per giunta, le Linee Guida invitano i Legislatori a sottoporre sviluppatori, produttori, fornitori di servizi o soggetti che utilizzano queste tecnologie a meccanismi di certificazione, suggerendo certificazioni per le strutture e certificazioni per gli algoritmi. L’uso della tecnologia, inoltre, deve rispettare i principi di trasparenza e correttezza del trattamento, provvedendo agli interessati le informazioni di cui all’articolo 8 della Convenzione 108+ e, ancora, le informazioni indicate al paragrafo III.1 delle Linee Guida. Le informazioni dovranno essere fornite su due livelli, secondo le indicazioni del paragrafo III.1. Ancora, il Titolare dovrà assicurarsi che la qualità delle immagini sia tale da limitare il numero di false match e, per giunta, dovrà adottare procedure documentate per dimostrare di aver predisposto garanzie per gli interessati in caso di errori di questo genere. Massima attenzione, poi, è da assegnare alla sicurezza delle informazioni, adottando le misure necessarie per evitare data breach. Ovviamente, l’utilizzo di tale tecnologia rende necessaria una DPIA, da predisporre secondo le indicazioni di cui al paragrafo III.3.1.