Una decisione on-label sull'uso off-label dei vaccini Covid United Lawyers for Freedom - ALI Avvocati Liberi - 31/10/24  |  Voli cancellati e ritardi: annullata la conciliazione obbligatoria Diego Ferraro e Sonia Coppola - 30/10/24  |  La scienza smascherata United Lawyers for Freedom - ALI Avvocati Liberi - 21/06/23  |  Compiti a casa: i docenti devono usare il registro elettronico  Redazione - 12/04/23  |  Annullate multe over50: la prima sentenza United Lawyers for Freedom - ALI Avvocati Liberi - 26/03/23  |  

Videosorveglianza con riconoscimento facciale: è lecita?

Cosa prevede la normativa europea in materia di protezione dei dati personali nell'ambito del trattamento di dati biometrici con sistemi di videosorveglianza? In Italia è possibile?


Liceità della videosorveglianza

[Torna su]
Quotidianamente capita a tutti di accedere, sostare o passare in prossimità di aree sottoposte a videosorveglianza. Questi sistemi sono presenti presso gli edifici pubblici e privati, centri commerciali, aeroporti, banche, ecc.
La raccolta delle immagini è sempre lecita? Il riconoscimento facciale è possibile?

Vediamo innanzitutto quando il trattamento dei dati mediante videosorveglianza è lecito.

Le ipotesi in cui la videosorveglianza è lecita sono i seguenti con alcuni esempi presentati nelle linee guida del Comitato Europeo per la protezione dei dati in materia di videosorveglianza:

Valutazione del riconoscimento facciale

[Torna su]

Per quanto concerne il riconoscimento facciale, è opportuno evidenziare che esso può comportare rischi per i diritti degli interessati. Pertanto, deve valutarsi se il riconoscimento facciale possa configurare un trattamento di dati biometrici.

Il Reg. UE 679/2016 specifica che quelli biometrici sono dati «[…] ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca […]

Come precisa il Comitato europeo per la protezione dei dati personali "è fondamentale che il ricorso a tali tecnologie avvenga nel dovuto rispetto dei principi di liceità, necessità, proporzionalità e minimizzazione dei dati sanciti nel RGPD".

È importante stabilire se il riconoscimento facciale è configurabile come trattamento di dati biometrici poiché da questo discrimine deriva la necessità di chiedere il consenso previsto ai sensi dell'articolo 9 del regolamento europeo.

Vediamo di seguito due esempi presentati dal Comitato Europeo per la protezione dei dati personali. Nel primo esempio necessita il consenso; nel secondo invece il consenso non è richiesto poiché il trattamento non è disciplinato dall' art. 9.

Esempio con previsione di consenso

"Un titolare del trattamento gestisce l'accesso al proprio edificio utilizzando un metodo di riconoscimento facciale. L'utilizzo di questa modalità di accesso è possibile solo se gli interessati hanno preventivamente prestato il loro consenso informato ed esplicito (ai sensi dell'articolo9, paragrafo2, lettera a)). Tuttavia, al fine di garantire che non vengano acquisiti i dati di coloro che non abbiano precedentemente prestato il consenso, il riconoscimento facciale dovrebbe essere attivato dall'interessato stesso, ad esempio premendo un pulsante. Per assicurare la liceità del trattamento, il titolare deve sempre offrire una modalità alternativa di accesso all'edificio senza trattamento biometrico, ad esempio tramite badge o chiavi".

Esempio senza previsione di consenso

"Il proprietario di un esercizio commerciale vorrebbe personalizzare la propria pubblicità in base al genere e all'età dei clienti, acquisendo tali caratteristiche attraverso un sistema di videosorveglianza. Se tale sistema non genera modelli biometrici al fine di identificare in modo univoco le persone, ma semplicemente rileva tali caratteristiche fisiche al fine di classificare le persone, il trattamento non ricade nel campo di applicazione dell'articolo9 (purché non siano trattate altre categorie particolari di dati)".

Cosa prevede la legge italiana in materia di riconoscimento facciale

[Torna su]

Il Garante per la protezione dei dati personali, ha di recente ricordato che "fino all'entrata in vigore di una specifica legge in materia, e comunque fino al 31 dicembre 2023, in Italia non sono consentiti l'installazione e l'uso di sistemi di riconoscimento facciale tramite dati biometrici, a meno che il trattamento non sia effettuato per indagini della magistratura o prevenzione e repressione dei reati. La moratoria nasce dall'esigenza di disciplinare requisiti di ammissibilità, condizioni e garanzie relative al riconoscimento facciale, nel rispetto del principio di proporzionalità" (cfr. Garante privacy comunicato stampa 14.11.2022).

Come si può dedurre è opportuno effettuare una valutazione dei trattamenti.

Pertanto, è bene consultarsi con il DPO ove previsto o incaricato, o con un vostro legale/consulente di fiducia, al fine di verificare gli adempimenti.

Avv. Edoardo Di Mauro

Mail: edoecho83@gmail.com

cell. 3518847035

Data: 06/12/2022 07:00:00
Autore: Edoardo Di Mauro