Videosorveglianza con riconoscimento facciale: è lecita?
- Liceità della videosorveglianza
- Valutazione del riconoscimento facciale
- Cosa prevede la legge italiana in materia di riconoscimento facciale
Liceità della videosorveglianza
Vediamo innanzitutto quando il trattamento dei dati mediante videosorveglianza è lecito.
Le ipotesi in cui la videosorveglianza è lecita sono i seguenti con alcuni esempi presentati nelle linee guida del Comitato Europeo per la protezione dei dati in materia di videosorveglianza:
- Legittimo interesse: necessità di conseguire la finalità di un legittimo interesse perseguito da un titolare del trattamento o da un terzo, a meno che su tali interessi prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato. "Esempio di legittimo interesse: Una libreria vuole proteggere la propria sede contro atti di vandalismo. In linea generale, le telecamere dovrebbero riprendere soltanto i locali in senso stretto; non è infatti necessario sorvegliare i locali adiacenti o le zone pubbliche circostanti la sede della libreria per tale scopo"
- Necessità allo scopo di eseguire un compito nell'interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento
- Consenso: esso deve essere prestato liberamente, deve essere specifico, informato e inequivocabile. "Esempio Gli atleti possono chiedere di essere monitorati durante gli esercizi individuali al fine di analizzare tecniche e prestazioni. D'altra parte, quando una società sportiva prende l'iniziativa di monitorare un'intera squadra per la stessa finalità, il consenso spesso non sarà valido, in quanto i singoli atleti possono sentirsi costretti a prestare il proprio consenso per evitare che un loro eventuale rifiuto si ripercuota negativamente sui compagni di squadra".
Valutazione del riconoscimento facciale
Per quanto concerne il riconoscimento facciale, è opportuno evidenziare che esso può comportare rischi per i diritti degli interessati. Pertanto, deve valutarsi se il riconoscimento facciale possa configurare un trattamento di dati biometrici.
Il Reg. UE 679/2016 specifica che quelli biometrici sono dati «[…] ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca […]
Come precisa il Comitato europeo per la protezione dei dati personali "è fondamentale che il ricorso a tali tecnologie avvenga nel dovuto rispetto dei principi di liceità, necessità, proporzionalità e minimizzazione dei dati sanciti nel RGPD".
È importante stabilire se il riconoscimento facciale è configurabile come trattamento di dati biometrici poiché da questo discrimine deriva la necessità di chiedere il consenso previsto ai sensi dell'articolo 9 del regolamento europeo.
Vediamo di seguito due esempi presentati dal Comitato Europeo per la protezione dei dati personali. Nel primo esempio necessita il consenso; nel secondo invece il consenso non è richiesto poiché il trattamento non è disciplinato dall' art. 9.
Esempio con previsione di consenso
"Un titolare del trattamento gestisce l'accesso al proprio edificio utilizzando un metodo di riconoscimento facciale. L'utilizzo di questa modalità di accesso è possibile solo se gli interessati hanno preventivamente prestato il loro consenso informato ed esplicito (ai sensi dell'articolo9, paragrafo2, lettera a)). Tuttavia, al fine di garantire che non vengano acquisiti i dati di coloro che non abbiano precedentemente prestato il consenso, il riconoscimento facciale dovrebbe essere attivato dall'interessato stesso, ad esempio premendo un pulsante. Per assicurare la liceità del trattamento, il titolare deve sempre offrire una modalità alternativa di accesso all'edificio senza trattamento biometrico, ad esempio tramite badge o chiavi".
Esempio senza previsione di consenso
"Il proprietario di un esercizio commerciale vorrebbe personalizzare la propria pubblicità in base al genere e all'età dei clienti, acquisendo tali caratteristiche attraverso un sistema di videosorveglianza. Se tale sistema non genera modelli biometrici al fine di identificare in modo univoco le persone, ma semplicemente rileva tali caratteristiche fisiche al fine di classificare le persone, il trattamento non ricade nel campo di applicazione dell'articolo9 (purché non siano trattate altre categorie particolari di dati)".
Cosa prevede la legge italiana in materia di riconoscimento facciale
Il Garante per la protezione dei dati personali, ha di recente ricordato che "fino all'entrata in vigore di una specifica legge in materia, e comunque fino al 31 dicembre 2023, in Italia non sono consentiti l'installazione e l'uso di sistemi di riconoscimento facciale tramite dati biometrici, a meno che il trattamento non sia effettuato per indagini della magistratura o prevenzione e repressione dei reati. La moratoria nasce dall'esigenza di disciplinare requisiti di ammissibilità, condizioni e garanzie relative al riconoscimento facciale, nel rispetto del principio di proporzionalità" (cfr. Garante privacy comunicato stampa 14.11.2022).
Come si può dedurre è opportuno effettuare una valutazione dei trattamenti.
Pertanto, è bene consultarsi con il DPO ove previsto o incaricato, o con un vostro legale/consulente di fiducia, al fine di verificare gli adempimenti.
Avv. Edoardo Di Mauro
Mail: edoecho83@gmail.com
cell. 3518847035
Data: 06/12/2022 07:00:00Autore: Edoardo Di Mauro