Esiste un ampio dibattitto sulla tematica della sorveglianza biometrica di massa con l’impiego dei sistemi di riconoscimento facciale, che richiama gli scenari decisamente poco rassicuranti al punto che il Consiglio d’Europa ha proposto una serie di linee guida per la regolamentazione di tali tecnologie al fine di garantire dignità personale, diritti umani e le libertà fondamentali. Nel quotidiano delle organizzazioni, esistono dei microcosmi in cui l’impiego dei dati biometrici per finalità di sorveglianza è piuttosto diffuso e spesso comporta un elevato rischio di non conformità.
È bene ricordare che i dati biometrici – fra cui rientra il riconoscimento facciale – altro non sono che “dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici” (art. 4.14 GDPR), caratterizzati dal comportare rischi elevati per i diritti degli interessati. I criteri da riscontrare affinché tali informazioni biometriche rientrino nel novero delle categorie particolari sono pertanto:
- la natura del dato con il riferimento a caratteristiche fisiche, fisiologiche o comportamentali;
- la modalità di trattamento tecnico specifico;
- la finalità univoca di identificazione di una persona fisica.
Generalmente, si fa ricorso al consenso esplicito per svolgere tale attività, ma la validità dello stesso va garantita e comprovata soprattutto sotto il profilo della libertà nella prestazione dello stesso, prevedendo alternative che non contemplino il conferimento (e trattamento) del dato biometrico. Ad esempio, la gestione degli ingressi tramite verifica biometrica deve prevedere alternative per quanti non vogliano ricorrere a tali modalità d’accesso e soprattutto essere progettate in modo tale che l’interessato sia assolutamente consapevole della richiesta di trattamento e la “attivi” attraverso un proprio atto positivo inequivocabile. Fa eccezione l’ipotesi n cui non vi sia un’identificazione univoca ma ad esempio l’individuazione di una caratteristica (ad esempio: l’aver indossato correttamente la mascherina).
Il database derivante dall’identificazione biometrica deve essere regolato sin dalla fase di alimentazione dall’applicazione del principio di privacy by default, componendo così dei dataset filtrati da una minimizzazione dei dati e la cui portata, conservazione ed accessibilità è limitata a quanto necessario per il perseguimento delle finalità della raccolta. Coerentemente con quanto considerato circa la sussistenza di un rischio intrinseco elevato per gli interessati, il profilo della sicurezza è quanto mai rilevante, con particolare riguardo agli aspetti dell’adeguatezza delle misure applicate. Ad esempio: l’applicazione di sistemi di hashing per garantire l’integrità dei dati; la verifica della cancellazione sicura dei dataset; la previsione di misure di mitigazione standard nella procedura di gestione di incidenti e data breach.
Quali possono essere i presidi cardine a migliore tutela dell’interessato e per una progettazione e applicazione di tali sistemi in conformità con la normativa in materia di protezione dei dati personali, all’interno dei variegati microcosmi delle organizzazioni che vogliono ricorrere a questi sistemi? Di sicuro, svolgere una valutazione d’impatto privacy e considerare la designazione di un DPO.
