TVCC a riconoscimento facciale: aspetti applicativi

di Andrea Graziotti - Avvocato del foro di Perugia, Privacy Officer & Consulente della Privacy, Formatore e Docente Ethos Academy

Il riconoscimento facciale è un trattamento di dati biometrici e conseguentemente presenta un rilevante impatto privacy. Diversi sono gli interventi normativi, e in particolare di soft law come le Guidelines on facial recognition del 28.01.2021 del Comitato sulla protezione dei dati della Convezione 108. Tenendo presente che per i trattamenti c.d. di polizia si applica il D.Lgs 51/2018, in questa sede ci focalizziamo, per i risvolti privacy che ne derivano, su quei sistemi dotati di una funzione di riconoscimento facciale che forniscono immagini di individui abbinate automaticamente al nominativo risultante dal sistema di controllo accessi ai tornelli o dal sistema di biglietteria all’interno di stadi o complessi sportivi. 

La peculiarità di tali sistemi è data dal software installato che, acquisendo le immagini al momento del transito nei tornelli di accesso, riesce a confrontarle con quelle riprese all’interno dello stadio durante gli eventi sportivi, in modo tale da risalire alla reale identità dell’autore di eventuali condotte delittuose. Tali sistemi si stanno diffondendo all’interno di impianti sportivi di medie e grandi dimensioni nei quali, a causa di condizioni ambientali spesso sfavorevoli, risultava difficile accedere ai vari settori per raggiungere il responsabile di condotte illecite e condurlo presso il posto di polizia, con il pericolo di esporre a rischi ulteriori gli agenti e gli stessi spettatori. Una novella ormai in vigore da anni, prevede oggi il c.d. arresto differito: “quando non è possibile procedere immediatamente all’arresto per ragioni di sicurezza ed incolumità pubblica, si considera comunque stato di flagranza ai sensi dell’art. 382 del cpp colui il quale, sulla base di documentazione videofotografica dalla quale emerga inequivocabilmente il fatto, ne risulta autore, sempre che l’arresto sia compiuto non oltre il termine necessario alla sua identificazione e, comunque, entro le 48 ore dal fatto” (art.8, comma 1ter, Legge n 401 del 1989).

Verifica ex post

Tale tipologia di sistemi avanzati di videosorveglianza prevedeva l’obbligo di verifica preliminare ai sensi dell’art.17 del Codice Privacy. Con il Regolamento Europeo 679/2016, e per la precisione dal 25 maggio 2018, la verifica preliminare (prior checking) è stata abolita e pertanto, in virtù del principio dell’Accountability, l’intervento delle autorità di controllo sarà principalmente “ex post”, ovvero successivo alle determinazioni assunte autonomamente dal titolare del trattamento, il quale avrà gli obblighi di tenuta del registro dei trattamenti e dell’effettuazione di valutazioni di impatto privacy in piena autonomia. 

DPIA? Decisamente!

Alla luce di quanto sopra, appare maggiormente rilevante, pertanto, che qualora il titolare decida di installare un impianto di videosorveglianza con face recognition, debba effettuare una DPIA (valutazione d’impatto privacy) ai sensi dell’art.35 GDPR, o 23 D.Lgs n.51/2018 procedendo nella valutazione del trattamento posto in essere alla luce dei principi di necessità, proporzionalità, finalità e correttezza stabiliti dal Codice art.3 e 11, a loro volta fondati sull’art.8 della Carta dei Diritti Fondamentali dell’Unione Europea, nonché sull’art. 8 della Convenzione Europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali. Sarà ugualmente necessario tenere presente che, pur rimanendo non necessaria una DPIA per quei trattamenti che siano stati oggetto di verifica preliminare ai sensi dell’abrogato art.17 D.lgs. n. 196/2003 da parte dell’Autorità Garante, tale assunto si mantiene valido fintanto che il trattamento prosegua con le stesse modalità oggetto della verifica effettuata. Va da sé infatti che, qualora il trattamento subisca dei cambiamenti per ciò che concerne modalità e finalità, sarà necessaria una nuova DPIA, tenuto presente quanto indicato nel considerando 171: “Le decisioni della Commissione e le autorizzazioni delle autorità di controllo basate sulla direttiva 95/46/CE rimangono in vigore fino a quando non verranno modificate, sostituite o abrogate”. 

Occhio alle sanzioni

Occorre tenere sempre presente, infine, che la mancata esecuzione di una DPIA sulla protezione dei dati nei casi in cui il trattamento lo richieda, oppure l’esecuzione di detta valutazione in maniera errata, oppure ancora la mancata consultazione dell’autorità di controllo laddove richiesto (art.36, paragrafo 3 lettera e o 23 D.Lgs n.51/2018), possono comportare una sanzione amministrativa pecuniaria pari ad un importo massimo di 10 milioni di Euro oppure, nel caso di un’impresa, fino al 2% del fatturato annuo globale dell’anno precedente, a seconda di quale dei due importi sia superiore.