Lo scorso 12 maggio l’European Data Protection Board (EDPB) ha adottato le linee guida riguardo l’utilizzo delle tecnologie per il riconoscimento facciale da parte delle forze dell’ordine ma che interessano anche i DPO in quanto devono verificare la correttezza di ogni modalità di raccolta e trattamento di immagini facciali (qui).
Compiti del DPO
Il DPO è infatti colui che dovrà segnalare, ad esempio, la necessità di nominare una figura apposita che assicuri che i dati siano raccolti e conservati nei database dell’azienda o dell’autorità di enforcement in modo corretto. Tale soggetto è il Database Manager, ed è colui il quale deve indicare come devono essere conservati i dati e quale sia il tempo di conservazione, deve preoccuparsi che questi vengano debitamente cancellati dopo che sia passato il termine per la loro conservazione. Il Database Manager, inoltre, dovrà dialogare con il DPO il quale dovrà anche svolgere una funzione di vigilanza nei suoi confronti.
Trattamenti vietati
Oltre a disciplinare questo aspetto, le linee guida delineano anche quelli che sono i vari trattamenti che possono essere realizzati con il riconoscimento facciale. Innanzitutto, secondo quanto stabilito dalla Direttiva (UE) 2016/680, i dati biometrici sono «dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici». Proprio per la particolarità di tali dati, l’EDPB ha tracciato qualche punto fermo in modo che i DPO e le autorità di enforcement possano direzionarsi. Ad esempio, è vietata la raccolta da remoto di dati biometrici in spazi pubblici o l’archiviazione di dati biometrici in cluster generati sulla base di elementi di genere, orientamenti sessuali o politici. Ancora, non è possibile raccogliere dati biometrici in base alle fotografie raccolte in rete o trattare dati biometrici per valutare gli stati emozionali dei soggetti.
Funzionamento della tecnologia e relative tutele
Tutti questi trattamenti elencati, nonostante si fondino su dati diversi (stato fisico di un soggetto, stato psicologico o comportamentale) hanno in comune il fatto che sono basati su tecnologie di carattere probabilistico. Infatti, tramite algoritmi e intelligenza artificiale, vengono trattati grandi quantità di dati biometrici che formano dei templates dal confronto dei quali è possibile, con una probabilità più o meno elevata, identificare un soggetto. Tale identificazione può essere utilizzata, ad esempio, per individuare chi siano i lavoratori situati nel magazzino di un’azienda, quali i soggetti coinvolti in attività amministrative o legali, chi stia accedendo ad un centro commerciale piuttosto che in altri luoghi. In ogni caso, ciò che le linee guida chiedono agli utilizzatori di queste tecnologie, è un’attenta e precisa valutazione dei rischi che ne possono derivare. Il DPO dovrà indicare, per ogni trattamento: i) la valutazione del grado di controllo che gli interessati hanno rispetto all’utilizzazione dei dati che li concernono; ii) i mezzi su cui gli interessati possono contare per evitare un controllo sull’uso dei loro dati; iii) le conseguenze che gli interessati possono subire. È da questi elementi che verrà effettuata una valutazione dei vari casi e l’esaustività delle misure di sicurezza adottate in modo da poter valutare o meno la liceità del trattamento.
Sara Donati – s.donati@lascalaw.com
© RIPRODUZIONE RISERVATA
31.01.2025
