GUIDA ALLA NORMATIVA

Videosorveglianza e riconoscimento biometrico: linee guida per il corretto trattamento dati

Il Comitato Europeo per la Protezione dei dati (EDPB) ha rilasciato le linee guida in materia di videosorveglianza che chiariscono il confine tra la liceità o meno di un trattamento di dati personali effettuato mediante sistemi di ripresa e forniscono indicazioni utili su come applicare il GDPR al trattamento di dati biometrici. Eccole in dettaglio

04 Nov 2019
P
Erika Piu

Privacy & Data Protection Consultant, Si.Qu.Am Srl - PC System Network


Le nuove linee guida in materia di videosorveglianza rilasciate dal Comitato Europeo per la Protezione dei Dati (di seguito anche EDPB) – “Guidelines 3/2019 on processing of personal data through video devices – forniscono esempi concreti di situazioni in cui il trattamento di dati personali avviene tramite sistemi di registrazione audio e video.

Lo scopo delle linee guida è quello di chiarire il confine tra la liceità o meno di un trattamento di dati personali effettuato attraverso sistemi di ripresa, nonché quello di fornire indicazioni su come applicare il GDPR a tali trattamenti; confine che viene superato nel momento in cui lo strumento di ripresa incide e schiaccia in maniera preponderante e ingiustificata i diritti e le libertà degli interessati.

I nuovi strumenti di videosorveglianza

La materia è sicuramente d’interesse considerato che negli ultimi anni si è assistito ad un incremento significativo del numero, oltre che delle funzionalità, dei sistemi di videosorveglianza installati da soggetti privati per tutelare il patrimonio aziendale, per finalità di sicurezza o per esigenze organizzative e produttive.

Quanto alle funzionalità, è opportuno evidenziare come lo sviluppo della tecnologia sia giunto ad un livello tale da rendere inevitabile (o necessario?) un intervento normativo volto a regolarizzarne l’utilizzo.

Basti pensare alle telecamere con riconoscimento facciale che, come ben noto, possono porre in essere un vero e proprio trattamento di dati personali di tipo biometrico. Proprio perché l’uso di questi dati comporta maggiori rischi per i diritti e le libertà degli interessati, è fondamentale che il ricorso a tali tecnologie avvenga nel rispetto dei principi di liceità, necessità, proporzionalità e minimizzazione dei dati così come stabilito dal GDPR.

I dati biometrici: quando si applica il GDPR

I dati biometrici sono il risultato di un’elaborazione tecnica di dati che possiamo definire come «dati grezzi» – quali ad esempio le caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica – che consente o conferma l’identificazione univoca di una persona. In sostanza, i dati grezzi vengono elaborati in modo da creare «modelli» in grado di identificare univocamente una persona.

Laddove i sistemi di videosorveglianza siano diretti a identificare univocamente una persona ci troviamo di fronte ad un trattamento di dati personali particolari, rientranti quindi nella fattispecie prevista all’art. 9 GDPR, ma non tutti questi sistemi perseguono lo stesso scopo.

Il Comitato, infatti, specifica che qualora la finalità del trattamento sia ad esempio quella di distinguere una categoria di persone da un’altra, ma non quella di identificare in modo univoco chiunque si trovi nel raggio di ripresa della telecamera, il trattamento non rientra nell’ambito di applicazione dell’art. 9 del GDPR.

Basti pensare al caso prospettato dalle linee guida, in cui il proprietario di un negozio desideri personalizzare la propria pubblicità in base alle caratteristiche di genere ed età del cliente acquisite da un sistema di videosorveglianza. Se quel sistema non genera modelli biometrici per identificare in modo univoco le persone ma rileva solo determinate caratteristiche fisiche volte a classificare la persona, allora il trattamento non rientrerebbe nell’art. 9 GDPR.

Quali sono le regole da seguire nel caso in cui vengano utilizzate telecamere con tecnologia di rilevazione biometrica? Quali potrebbero essere le basi giuridiche a sostegno di un simile trattamento? Cerchiamo di rispondere a queste domande analizzando quanto riportato dall’EDPB. Le linee guida fanno riferimento a due situazioni distinte: le riprese effettuate da imprese e privati all’interno di “ambienti controllati” e quelle effettuate in “ambienti non controllati”.

Riprese in ambienti controllati

La prima ipotesi prende ad esempio tutti quegli ambienti ad accesso controllato – ossia uno spazio non aperto al pubblico – quale può essere l’area imbarchi in un aeroporto.

Poniamo il caso, tutt’altro che fantascientifico, in cui una compagnia aerea decida di introdurre il riconoscimento facciale dei passeggeri al momento dell’imbarco. I passeggeri in arrivo all’aeroporto per il check-in dovranno scannerizzare il proprio passaporto e farsi scattare una foto e, una volta giunti al punto d’imbarco, verranno identificati con la sola scansione del volto, senza dover più mostrare la carta d’imbarco.

In altri termini il passeggero, attraverso la scannerizzazione del proprio volto, ha contribuito alla creazione di un modello biometrico che verrà utilizzato per ottenere il match o no-match al momento dell’imbarco.

È evidente che una simile soluzione renderebbe le operazioni di controllo e imbarco molto più veloci, ma il titolare del trattamento come può garantire la liceità di tale trattamento stesso?

In questi casi deve essere preso in considerazione l’art. 9 GDPR (Trattamento di categorie particolari di dati). Considerando le eccezioni previste dall’art. 9 par. 2 GDPR, risulta evidente che l’unica base giuridica a sostegno del riconoscimento facciale del passeggero sia la lett. a), per cui è necessario che l’interessato presti il proprio consenso al trattamento del dato biometrico.

WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

Non solo, il titolare è tenuto anche ad adottare tutte le misure di sicurezza necessarie per garantire un livello di sicurezza adeguato al rischio (v. infra).

Ciò significa che potranno essere identificati tramite riconoscimento facciale solamente quei passeggeri che abbiano preventivamente prestato il consenso alla scansione del proprio volto.

In aggiunta, è opportuno precisare che il riconoscimento facciale non dovrebbe essere l’unico strumento di accesso all’imbarco: il titolare del trattamento dovrebbe offrire una soluzione alternativa che non comporti l’elaborazione biometrica dei dati, senza restrizioni o costi aggiuntivi per l’interessato.

In caso contrario, infatti, il consenso non potrebbe considerarsi libero ma vincolato, comportando una palese violazione dei principi in materia di protezione dei dati personali.

Riprese in ambienti non controllati

Passiamo adesso al caso dell’installazione di un sistema biometrico in uno spazio non controllato, ossia uno spazio aperto al pubblico, in cui potenzialmente potrebbero essere raccolti i dati di tutti i soggetti che si trovino nel raggio di ripresa della telecamera.

Se il sistema mira a riconoscere singoli individui, il rischio è quello di creare – in tempo reale – modelli biometrici di tutti coloro che entrano nel raggio d’azione della telecamera, comprese le persone che non hanno acconsentito al dispositivo biometrico.

Si pensi ad un sistema di riconoscimento facciale posto all’ingresso di un hotel, in grado di rilevare se l’ospite sia o meno una persona famosa. Mentre infatti una persona famosa potrebbe avere in precedenza rilasciato il proprio consenso all’uso del riconoscimento facciale prima di essere registrato in un database creato a tale scopo, lo stesso non può dirsi per tutti i potenziali ospiti, visitatori o fornitori che si recano alla reception della struttura.

Questo sistema comporterebbe l’analisi del volto e la creazione di modelli biometrici di tutti i potenziali visitatori dell’hotel, costituendo senz’altro un abuso dello strumento da parte del titolare del trattamento.

In conclusione, questi sistemi di trattamento dei dati biometrici sono da considerarsi illeciti, a meno che tutti i soggetti monitorati abbiano precedentemente acconsentito al riconoscimento del volto. Ancora una volta qua il richiamo è all’eccezione presente all’art. 9, par. 2, lett. a) GDPR.

Da questi due ultimi casi emerge ancora di più la complessità della valutazione dei rischi connessi al trattamento di dati biometrici e proprio per tali motivi è necessario che il ricorso a tali tecnologie avvenga nel rispetto dei principi di liceità, necessità, proporzionalità e minimizzazione dei dati così come stabilito dal GDPR.

Ma quali sono le misure tecniche e organizzative che il Titolare del trattamento dovrebbe adottare nel trattare tali dati?

Misure di sicurezza per minimizzare il rischio

Vale la pena qua ripetere che il dato biometrico altro non è che il risultato dell’elaborazione tecnica di un dato grezzo che consente di identificare in modo univoco una persona. In altre parole, il dato biometrico è un modello, un’informazione matematica elaborata a partire da caratteristiche uniche della persona (volto, impronte digitali, iride ecc.).

Il titolare che si trovi a trattare tali dati, secondo quanto previsto dall’art. 32 GDPR, dovrà porre in essere una serie di misure volte a minimizzare i rischi connessi a tale trattamento.

Partiamo dalla raccolta dei dati per la creazione del modello biometrico; in questa fase dovranno essere raccolti solamente i dati strettamente necessari al raggiungimento della finalità perseguita evitando, perciò, di raccogliere più dati di quanti effettivamente servano.

È poi probabile che l’identificazione e l’autenticazione della persona richiedano la memorizzazione del modello per un successivo confronto (match o no-match). Il titolare del trattamento dovrà considerare il luogo più appropriato per l’archiviazione dei dati, conservandoli in un ambiente sicuro, al riparo da accessi non autorizzati provvedendo, se possibile, a crittografare il modello mediante un algoritmo di cifratura.

Tra le misure tecniche e organizzative per preservare la disponibilità, l’integrità e la riservatezza dei dati, il Comitato raccomanda ad esempio di separare i dati durante la trasmissione e l’archiviazione, archiviando modelli biometrici, dati grezzi e dati relativi all’identità su database diversi.

Particolare attenzione dovrebbe essere rivolta alla crittografia che si dimostra una misura utile ad evitare, o perlomeno ostacolare, accessi non autorizzati. È consigliato infatti di crittografare i dati biometrici e i modelli biometrici, definire una policy per la crittografia e la gestione delle chiavi, nonché associare un codice di integrità ai dati (ad esempio tramite firma digitale o hash).

Infine, una volta che il dato non è più necessario per il raggiungimento della finalità per la quale era stato raccolto, il dato dovrà essere cancellato; a tal fine è sicuramente raccomandabile che il Titolare del trattamento non solo preveda soluzioni tecniche per la sua cancellazione, ma rediga anche apposite policy che – in conformità al principio di accountability – siano in grado di dimostrare le valutazioni svolte e le scelte intraprese.

Videosorveglianza e riconoscimento biometrico: la DPIA

La valutazione d’impatto sulla protezione dei dati (in seguito anche “DPIA”) è un processo inteso a descrivere il trattamento, valutarne la necessità e la proporzionalità, nonché a contribuire a gestire i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento medesimo, valutando detti rischi e determinando le misure per affrontarli.

L’art. 35 del GDPR definisce le fondamenta e la cornice giuridica di detto processo, le Linee guida del WP 248 rev. 01 e il Provvedimento n. 467 del’11 ottobre 2018 dell’Autorità Garante forniscono strumenti operativi ed esempi concreti per individuare i casi in cui un trattamento, presentando un rischio elevato per i diritti e le libertà delle persone fisiche, necessiti di una preventiva DPIA.

In linea con l’approccio basato sul rischio adottato dal GDPR, le recenti linee guida 3/2019 dell’EDPB ribadiscono che la scelta se effettuare o meno una valutazione di impatto su un trattamento di dati derivante da sistema di videosorveglianza compete al titolare del trattamento, il quale dovrà valutarne la necessità alla luce delle sopraccitate fonti.

Nel caso specifico dei sistemi di videosorveglianza con riconoscimento biometrico appare però sicuramente opportuno svolgere una preventiva DPIA. Infatti, alla luce delle citate Linee guida del WP 248 rev. 01 sono diversi i criteri che possono essere soddisfatti – in primis “le categorie particolari di dati personali così come definite all’articolo 9 GDPR” e “l’uso innovativo o l’applicazione di nuove soluzioni tecnologiche” – e che devono indurre il titolare a ritenere necessario svolgere una DPIA.

Non solo, a ben vedere tale trattamento può spesso rientrare nell’ambito di applicazione dell’art. 36 GDPR, il quale prescrive che laddove una valutazione d’impatto sulla protezione dei dati riveli la presenza di rischi residui elevati, il titolare del trattamento è tenuto a richiedere la consultazione preventiva dell’autorità di controllo.

Tale orientamento sembra confermato anche dal D.Lgs 18 maggio 2018, n. 51, che recepisce la Direttiva (UE) 2016/680 riguardante il trattamento dei dati personali da parte delle autorità competenti ai fini di prevenzione, indagine, accertamento e perseguimento di reati, che all’art. 24 impone in tali casi non solo la valutazione d’impatto ma anche la consultazione preventiva.

Obblighi di trasparenza e informazione

Come per qualsiasi trattamento di dati personali, sul titolare del trattamento incombono obblighi di trasparenza e informazione nei confronti degli interessati.

Il riferimento è all’art. 12 GDPR, secondo il quale il titolare del trattamento deve adottare misure appropriate per fornire all’interessato tutte le informazioni di cui agli artt. 13 e 14 e le comunicazioni di cui agli artt. da 15 a 22 e all’art. 34; tali informazioni devono essere fornite in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori.

Per quanto riguarda il sistema di videosorveglianza con rilevazione biometrica, l’obbligo di informazione e trasparenza potrà articolarsi su più livelli:

  • per prima cosa, è necessario rendere noto all’interessato che nel luogo in cui si trova è presente una telecamera con sistema biometrico. Questa segnalazione, ad esempio, può avvenire attraverso cartelli e avvisi (anche sintetici purché visibili, chiari e con le informazioni essenziali, ossia l’indicazione del titolare del trattamento, le finalità perseguite, i dati di contatto del DPO – ove presente – e l’esistenza dei diritti dell’interessato);
  • la segnaletica deve rimandare ad un’informativa estesa che contiene tutte le informazioni di cui all’art. 13 GDPR;
  • laddove la base giuridica utilizzata sia il consenso, il titolare dovrà predisporre un modello di raccolta dello stesso che sia conforme alle “condizioni” dettate dall’art. 7 GDPR.

Conclusioni

L’uso di dati biometrici, e in particolare il riconoscimento facciale, comporta sicuramente maggiori rischi per i diritti e le libertà degli individui rispetto ai comuni sistemi di videosorveglianza.

Considerando che l’uso di queste tecnologie può risultare particolarmente invasivo, i titolari del trattamento dovrebbero innanzitutto valutare se sussistono strumenti alternativi – meno intrusivi – per raggiungere le medesime finalità.

FORUM PA 6 - 11 LUGLIO
Costruire la fiducia digitale: cybersecurity e privacy
Network Security
Privacy

Nel caso si ritenga che non sussistono strumenti alternativi, è opportuno che il titolare proceda, prima di avviare il trattamento, con una preventiva e accurata valutazione d’impatto sulla protezione dei dati che, avendo ad oggetto tecnologie così innovative e invasive, non potrà che fondarsi sull’ossequiosa verifica del rispetto dei principi dettati dall’art. 5 GDPR: «liceità, correttezza e trasparenza», «limitazione della finalità», «minimizzazione dei dati», «esattezza», «limitazione della conservazione» e «integrità e riservatezza».

@RIPRODUZIONE RISERVATA

Articolo 1 di 3