wp192

GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI
00727/12/IT
WP 192
Parere 16/2011 relativo al riconoscimento facciale nell’ambito dei servizi
online e mobili
adottato il 22 marzo 2012
Il Gruppo di lavoro è stato istituito in virtù dell’articolo 29 della direttiva 95/46/CE. È l’organo consultivo indipendente dell’UE per
la protezione dei dati personali e della vita privata. I suoi compiti sono fissati all’articolo 30 della direttiva 95/46/CE e
all’articolo 15 della direttiva 2002/58/CE.
Le funzioni di segreteria sono espletate dalla direzione C (Diritti fondamentali e cittadinanza dell'Unione) della Commissione
europea, direzione generale Giustizia, B -1049 Bruxelles, Belgio, ufficio MO-59 02/013. Sito internet:
http://ec.europa.eu/justice/data-protection/index_it.htm
[NdT] Ai fini del presente parere, con “responsabile del trattamento” e con “incaricato del trattamento” si intendono
rispettivamente il “titolare” e il “responsabile” di cui all’articolo 4, lettera f) e lettera g) del decreto legislativo 30 giugno 2003,
n. 196 (codice in materia di protezione dei dati personali).
1. Introduzione
Gli ultimi anni sono stati caratterizzati da un rapido aumento nella disponibilità e accuratezza
della tecnologia di riconoscimento facciale, che è stata inoltre integrata nei servizi on-line e
nei dispositivi mobili ai fini di identificazione, autenticazione/verifica o categorizzazione
delle persone. Questa tecnologia, un tempo fantascienza, è ora disponibile alle organizzazioni
sia pubbliche che private. Esempi dell’utilizzo nei servizi online e mobili includono le reti
sociali e i produttori di smartphone.
La capacità di rilevare automaticamente dati e di riconoscere un volto a partire da
un’immagine digitale è già stata esaminata dal Gruppo “Articolo 29” nel documento di lavoro
(WP80) dedicato alla biometria e nel parere pubblicato recentemente (03/2012 WP193) sugli
sviluppi delle tecnologie biometriche. Il riconoscimento facciale è considerato nell’ambito
dei dati biometrici giacché, in molti casi, contiene sufficienti dettagli per consentire
l’identificazione univoca di una persona.
Il parere 03/2012 osserva:
“ [la biometria ] consente in modo automatico di localizzare, monitorare o
determinare il profilo delle persone e in quanto tale il suo potenziale impatto
sulla vita privata e il diritto alla protezione dei dati personali è elevato.
Tale osservazione risulta particolarmente vera nel caso delle tecniche di riconoscimento
facciale nei servizi on-line e mobili, che consentono di riprendere le immagini di una persona
(con o senza che questa ne sia consapevole) e trasmetterle poi a un server remoto ai fini di un
ulteriore trattamento. I servizi online, molti dei quali sono gestiti dalle organizzazioni private
che ne sono proprietarie, hanno acquisito ampie raccolte di immagini caricate online dagli
stessi interessati. In alcuni casi tali immagini possono anche essere ottenute illegalmente
rastrellando immagini da altri siti pubblici, ad esempio le memorie di transito dei motori di
ricerca. I piccoli apparecchi mobili dotati di telecamere ad alta risoluzione consentono agli
utenti di riprendere immagini e di trasmetterle in tempo reale ai servizi online grazie a
connessioni permanenti. Di conseguenza gli utenti sono in grado di condividere con altri tali
immagini o di eseguire operazioni di identificazione, autenticazione/verifica o
categorizzazione per accedere ad informazioni supplementari sulla persona, conosciuta o
sconosciuta, che hanno di fronte.
Il riconoscimento facciale per i servizi online e mobili richiede pertanto un’attenzione
specifica da parte del WP29 poiché l’uso di tale tecnologia suscita molteplici preoccupazione
in termini di protezione dei dati.
Il presente parere mira a esaminare il quadro giuridico e a formulare opportune
raccomandazioni applicabili alla tecnologia di riconoscimento facciale utilizzata nel contesto
dei servizi online e mobili. Il presente parere è rivolto alle autorità europea e nazionali di
regolamentazione, ai responsabili del trattamento dei dati e gli utilizzatori di tali tecnologie. Il
parere non intende ripetere i principi espressi nel Parere 03/2012, ma piuttosto ispirarsi ad
essi e svilupparli nell’ambito dei servizi online e mobili.
2. Definizioni
La tecnologia di riconoscimento facciale non è nuova ed esistono in materia varie definizioni
e interpretazioni della terminologia. È pertanto utile definire chiaramente la tecnologia
oggetto del presente parere.
1
Immagine digitale: l’immagine digitale è la rappresentazione in forma digitale di una
immagine bidimensionale. Tuttavia, i recenti progressi nella tecnologia di riconoscimento
facciale richiedono anche l’integrazione di immagini tridimensionali, in aggiunta alle
immagini fisse e in movimento (fotografie, filmati e video registrati in diretta).
Riconoscimento facciale: il riconoscimento facciale è il trattamento automatico di immagini
digitali che contengono i volti di persone ai fini di identificazione, autenticazione/verifica o
categorizzazione1 di tali persone. Il processo di riconoscimento facciale si compone di alcuni
distinti sottoprocessi:
a) acquisizione dell’immagine: il processo di rilevamento dei tratti del volto di una
persona e la conversione in formato digitale (l’immagine digitale). Nell’ambito di un
servizio online e mobile l’immagine può essere stata acquisita attraverso un sistema
diverso, ad esempio ripresa con una macchina fotografica digitale e quindi trasferita a
un servizio online;
b) individuazione di un volto: il processo di individuazione della presenza di un
volto all’interno di un’immagine digitale e la marcatura dell’area corrispondente;
c) normalizzazione: il processo di attenuazione delle variazioni all’interno delle
regioni del volto individuate, ad esempio la conversione a una dimensione standard, la
rotazione o l’allineamento delle distribuzioni del colore;
d) estrazione di caratteristiche: il processo finalizzato a isolare ed estrarre le
caratteristiche riproducibili e distintive dell’immagine digitale di una persona.
L’estrazione delle caratteristiche può essere olistica2, basata sui tratti3, o una
combinazione dei due metodi4. L’insieme delle caratteristiche essenziali può essere
conservato per un successivo confronto in un modello di riferimento5;.
e) registrazione: la prima volta che una persona di sottopone ad un sistema di
riconoscimento facciale, la sua immagine e/o il modello di riferimento possono essere
conservati come elementi per un successivo confronto;
f) confronto: il processo che misura le somiglianze tra una serie di caratteristiche (del
campione) con una serie di caratteristiche già registrate nel sistema. Le principali
finalità del confronto sono l’identificazione e l’autenticazione/verifica. Una terza
finalità del confronto è la categorizzazione, che consiste nell’estrarre le caratteristiche
dall’immagine di una persona al fine di classificare questa persona in una o più grandi
categorie (ad esempio età, sesso, colore dell’abbigliamento, ecc.) Non è necessario
che un sistema di categorizzazione disponga di un processo di registrazione.
1
2
3
4
5
L’identificazione, l’autenticazione/verifica e la categorizzazione sono definite nel Parere 03/2012.
Estrazione olistica delle caratteristiche: una rappresentazione matematica dell’intera immagine come risulta
dall’analisi dei principali componenti.
Estrazione delle caratteristiche basate sui tratti: localizzazione delle specifiche caratteristiche del volto quali
occhi, naso e bocca.
Nota anche come metodo di estrazione ibrido delle caratteristiche.
Il modello è definito nel Parere 03/2012 come le “principali caratteristiche estratte da una forma grezza di
dati biometrici (ad esempio misurazioni da un’immagine del volto) e conservate per un trattamento
successivo e non come dati grezzi in sé. ”
2
3. Esempi di tecniche di riconoscimento facciale nell’ambito dei
servizi online e mobili
Il riconoscimento facciale può essere incorporato nei servizi online e mobili in vari modi e
per varie finalità. Nel contesto del presente parere, il gruppo di lavoro si concentra su una
serie di esempi diversi che mirano a fornire un ulteriore contesto per l’analisi giuridica ed a
includere l’uso delle tecniche di riconoscimento facciale ai fini di identificazione,
autenticazione/verifica e categorizzazione.
3.1.
Riconoscimento facciale quale mezzo di identificazione
Esempio 1: Un servizio di social network6 (SNS) permette ai propri utenti di allegare
un’immagine digitale al loro profilo. Inoltre gli utenti sono in grado di caricare immagini da
condividere con altri utenti registrati o non registrati. Gli utenti registrati possono identificare
e taggare manualmente altre persone (che possono essere utenti registrati o no) all’interno
delle immagini che caricano. Tali "etichette” (tag) possono essere visualizzate da chi le ha
create, condivise con un ampio gruppo di amici o comunicate a tutti gli utenti registrati o non
registrati. Il servizio di social network è in grado di taggare le immagini per creare un
modello di riferimento per ciascun utente registrato e, attraverso l’uso di un sistema di
riconoscimento facciale, propone automaticamente di taggare le nuove immagini quando
vengono caricate.
Le immagini delle persone che sono rese accessibili al pubblico dagli utenti potrebbero
successivamente essere rilevate e memorizzate temporaneamente da un motore di ricerca
Internet. Il motore di ricerca potrebbe cercare di sviluppare la sua funzionalità di ricerca
consentendo agli utenti di fornire l’immagine di una persona e restituendo come risultato le
concordanze più somiglianti, con un collegamento alla pagina del social network contenente i
profili utenti. L’immagine immessa potrebbe essere ripresa direttamente con la macchina
fotografica incorporata in uno smartphone.
3.2.
Riconoscimento facciale quale mezzo di autenticazione/verifica
Esempio 2: Un sistema di riconoscimento facciale è utilizzato al posto dei dati di
login/password ai fini del controllo dell’accesso ad un servizio o dispositivo mobile o online.
Nel corso della registrazione, una macchina fotografica incorporata nel dispositivo è
utilizzata per acquisire l’immagine di un utente autorizzato del dispositivo e viene creato un
modello di riferimento che può essere archiviato sul dispositivo o a distanza dal servizio
online. Per accedere al servizio o al dispositivo, la persona che chiede l’accesso è
nuovamente fotografata e la sua immagine è confrontata con l’immagine di riferimento.
L’accesso è autorizzato se il sistema stabilisce una corrispondenza positiva.
3.3.
Riconoscimento facciale quale mezzo di categorizzazione
Esempio 3: Il servizio di social network di cui all’esempio 1 può accordare accesso su
licenza alla galleria di immagini ad un terzo che gestisce un servizio online di riconoscimento
facciale. Il servizio consente ai clienti del terzo operatore di integrare la tecnologia di
riconoscimento facciale in altri prodotti. La funzionalità consente a detti altri prodotti di
sottoporre immagini di persone allo scopo di individuare e categorizzare i loro volti secondo
un insieme di criteri predefiniti, ad esempio età, sesso e l’umore.
6
Un servizio di socializzazione in rete è sostanzialmente definito nel parere 5/2009 sui social network online
come “una piattaforma di comunicazione on-line che consente ad un utente di creare reti di utenti che
condividono i suoi stessi interessi o entrarne a far parte.”
3
Esempio 4: Una console di gioco utilizza un sistema di controllo gestuale che individua i
movimenti dell’utilizzatore in modo da controllare il gioco. La o le telecamere utilizzate per
il sistema di controllo gestuale condividono le immagini di persone con un sistema di
riconoscimento facciale che suggerisce l’età probabile, il sesso e l’umore del giocatore. I dati,
che si aggiungono a quelli provenienti da altri fattori multimodali, possono alterare
l’andamento del gioco per arricchire l’esperienza del giocatore o per modificare l’ambiente in
funzione del profilo suggerito dell’utente. In modo analogo, un sistema potrebbe classificare
gli utenti per consentire o negare l’accesso a certi contenuti in funzione dell’età dell’utente o
per inserire nel gioco pubblicità mirate.
4. Quadro normativo
Il quadro giuridico di riferimento per il riconoscimento facciale è la direttiva sulla tutela dei
dati (95/46/CE), che è stata discussa in quest’ottica nel Parere 03/2012. La presente sezione
mira solo a fornire una sintesi del quadro giuridico nel contesto delle tecniche di
riconoscimento facciale per i servizi online e mobili, sulla base degli esempi forniti nella
sezione 3. Altri esempi delle tecniche di riconoscimento facciale sono esaminati nel Parere
03/2012.
4.1.
Immagini digitali come dati personali
Quando l’immagine digitale contiene il volto, chiaramente visibile, di una persona che può
essere identificata, dovrebbe essere considerata dato personale. Ciò dipende da numerosi
parametri quali la qualità dell’immagine o la particolare angolatura della ripresa. Le
immagini di scene contenenti persone visibili in lontananza, o in cui i volti sono sfocati, non
sono probabilmente considerate dati personali nella maggior parte dei casi. Va tuttavia
ricordato che tali immagini digitali possono contenere i dati personali di più di un individuo
(per esempio, nell’esempio 4, più giocatori potevano rientrare nell’inquadratura), e che la
presenza di altre persone in una fotografia può suggerire una relazione esistente.
Il Parere 04/2007 sul concetto di dati personali ribadisce l’idea che, se i dati concernenti una
persona si riferiscono “alle caratteristiche o al comportamento di questa persona, o se tali
informazioni vengono impiegate per stabilire o influenzare il modo in cui quella persona
viene trattata o valutata”, anche tali dati saranno considerati dati personali.
Per definizione, anche un modello di riferimento creato da un’immagine di una persona è un
dato personale se contiene una serie di caratteristiche distintive del volto di una persona che
sono quindi collegate a uno specifico individuo e conservate per servire da riferimento ai fini
di un confronto futuro per l’identificazione e l’autenticazione/verifica.
Un modello o un insieme di caratteristiche distintive utilizzati solo in un sistema di
categorizzazione non dovrebbero, in generale, contenere informazioni sufficienti per
identificare una persona, bensì dovrebbero contenere solo informazioni sufficienti per
effettuare la categorizzazione (ad esempio in base al sesso femminile o maschile). In questo
caso, non si tratterebbe di dati personali a condizione che il modello (o il risultato) non sia
associato alla registrazione, al profilo, o all’immagine originale (che continuano ad essere
considerati dati personali) di una persona.
Inoltre, atteso che le immagini digitali delle persone e i modelli riguardano le “proprietà
biologiche, caratteristiche fisiologiche, tratti biologici o azioni ripetibili laddove tali
caratteristiche e/o azioni sono tanto proprie di un certo individuo quanto misurabili”7, essi
devono essere considerati dati biometrici.
7
La definizione dei dati biometrici è tratta dal Parere 03/2012.
4
4.2.
Immagini digitali come categorie particolari di dati personali
Le immagini digitali delle persone fisiche possono, in determinati casi, essere considerate una
categoria speciale di dati personali8. Segnatamente, quando le immagini digitali delle persone
o i modelli sono ulteriormente trattati per ottenere categorie particolari di dati, esse
dovrebbero certamente essere considerate in questa categoria. Ad esempio, se sono destinate
ad essere utilizzate per estrarre informazioni relative all’origine etnica, alla religione o alla
salute.
4.3.
Trattamento dei dati personali nel contesto di un sistema di riconoscimento
facciale
Come si è detto precedentemente, il riconoscimento facciale si basa su una serie di fasi di
trattamento automatizzato. Pertanto, il riconoscimento facciale costituisce una forma di
trattamento automatizzato di dati di carattere personale, compresi i dati biometrici.
Mediante l’uso di dati biometrici, i sistemi di riconoscimento facciale possono essere
sottoposti a controlli aggiuntivi o ad altre normative nei singoli Stati membri, ad esempio in
materia di autorizzazione preventiva o di diritto del lavoro. L’uso di dati biometrici in un
contesto lavorativo è ulteriormente approfondito nel Parere 03/2012.
4.4.
Responsabile del trattamento dei dati
Sulla base degli esempi forniti, i responsabili del trattamento dei dati saranno generalmente i
proprietari dei siti e/o fornitori di servizi online e gli operatori di applicazioni mobili che
praticano il riconoscimento facciale in quanto determinano gli scopi e/o gli strumenti del
trattamento9. Ciò comprende la conclusione formulata nel Parere 5/2009 sui social network
on-line che stabilisce che “i fornitori di SNS sono i responsabili del trattamento ai sensi della
direttiva sulla protezione dei dati".
4.5.
Motivo legittimo
La direttiva 95/46/CE stabilisce le condizioni che il trattamento dei dati personali deve
rispettare. Ciò significa che il trattamento deve essere conforme alle prescrizioni in tema di
qualità dei dati (articolo 6). In questo caso l’immagine digitale delle persone e i rispettivi
modelli devono essere “pertinenti" e "non eccedenti" rispetto alle finalità di trattamento ai
fini del riconoscimento facciale. Inoltre, il trattamento può essere effettuato soltanto quando è
soddisfatto uno dei criteri di cui all’articolo 7.
In considerazione dei particolari rischi inerenti ai dati biometrici, il trattamento di immagini
digitali a fini di riconoscimento facciale richiederà pertanto il consenso informato preliminare
della persona interessata. Tuttavia, in alcuni casi, il responsabile del trattamento dei dati può
temporaneamente avere necessità di procedere ad alcune fasi del trattamento ai fini del
riconoscimento facciale, in particolare al fine di verificare se un utente ha fornito l’assenso
che deve servire da base giuridica per il trattamento. Questo trattamento iniziale (ossia,
acquisizione dell’immagine, individuazione del volto, confronto, ecc.) può in tal caso avere
una base giuridica distinta, segnatamente l’interesse legittimo del responsabile del
trattamento di rispettare le norme sulla protezione dei dati. I dati trattati durante queste fasi
dovrebbero essere utilizzati solo per le finalità rigorosamente limitate a verificare il consenso
dell’utente e dovrebbero essere quindi cancellati immediatamente dopo.
8
9
La giurisprudenza in alcuni paesi ha classificato immagini facciali digitali come categorie particolari di dati
– LJN BK6331 Alta corte neerlandese, 23 marzo 2010.
Cfr. parere 1/2010 sui concetti di "responsabile del trattamento" e "incaricato del trattamento".
5
Nell’esempio 1, il responsabile del trattamento ha stabilito che tutte le nuove immagini
caricate dagli utenti registrati dell’SNS devono essere sottoposte a individuazione di un volto,
estrazione delle caratteristiche e confronto. Solo gli utenti registrati che hanno un modello di
riferimento archiviato nella banca dati di identificazione troveranno corrispondenza con
queste nuove immagini e quindi avranno un’etichetta suggerita automaticamente. Se il
consenso dei singoli dovesse essere considerato l’unica possibile base legittima per il
trattamento, l’intero servizio sarebbe bloccato in quanto, ad esempio, non vi è modo di
ottenere il consenso di utenti non registrati i cui dati personali potrebbero essere trattati
durante le fasi di individuazione di un volto e dell’estrazione delle caratteristiche. Inoltre non
sarebbe possibile distinguere tra i volti di utenti registrati che hanno o non hanno dato il loro
consenso senza aver dapprima eseguito il riconoscimento facciale. Solo dopo
l’identificazione (o il mancato riconoscimento), un responsabile dei dati sarebbe in grado di
determinare se dispone dell’adeguato consenso per il trattamento specifico.
Prima di caricare un’immagine nella rete sociale l’utente registrato deve essere chiaramente
informato del fatto che queste immagini saranno oggetto di un sistema di riconoscimento
facciale. Soprattutto, gli utenti registrati dovranno anche avere la possibilità di indicare se
accettano che il loro modello di riferimento sia registrato nella banca dati d’identificazione.
Non sarà automaticamente proposto di taggare il nome degli utenti non registrati e degli
utenti registrati che non hanno acconsentito al trattamento, perché le immagini in cui
appaiono produrranno un risultato di “no match”.
Il consenso accordato da chi carica l’immagine online non deve essere confuso con la base
legittima necessaria per il trattamento dei dati personali delle altre persone che eventualmente
figurino nell’immagine. A tal fine, il responsabile del trattamento dei dati può decidere di
applicare un diverso motivo legittimo per procedere al trattamento nelle fasi intermedie
(individuazione di un volto, normalizzazione e confronto), effettuate nel suo interesse
legittimo, a condizione che siano stati adottati sufficienti restrizioni e controlli per tutelare i
diritti e le libertà fondamentali degli interessati diversi da chi ha caricato l’immagine. Tali
controlli dovrebbero comprendere anche la verifica che nessun dato derivante dal trattamento
venga conservato una volta ottenuto il risultato “no-match” (ossia che tutti i modelli e i
relativi dati siano correttamente cancellati). Il responsabile del trattamento dei dati può inoltre
decidere di fornire ai suoi utenti che caricano immagini strumenti che consentono di rendere
sfocato il viso di quelle persone per le quali non si ha corrispondenza nella base dati di
riferimento. La registrazione del modello di una persona in una banca dati di identificazione
(che consente di ottenere successivamente una corrispondenza e proposte di etichettatura)
sarebbe possibile solo con il consenso informato dell’interessato.
Nell’esempio 2, esiste chiaramente la possibilità di ottenere il consenso della persona
autorizzata ad accedere al dispositivo durante il processo di registrazione. Perché il consenso
sia valido, deve essere installato un sistema di controllo d’accesso alternativo e altrettanto
sicuro (ad esempio una forte password). Questa opzione alternativa più rispettosa della
privacy deve essere proposta come impostazione predefinita. In tal modo, se un utente si
presenta davanti ad una macchina fotografica collegata al dispositivo allo scopo esplicito di
ottenere l’accesso, si ritiene che questa persona abbia fornito il consenso per il successivo
trattamento dei dati facciali necessari per l’autenticazione, anche se tale persona non è un
utente autorizzato del dispositivo. Tuttavia, il livello delle informazioni fornite deve essere
sufficiente a garantire la validità del consenso.
L’ulteriore inserimento nell’archivio fotografico del SNS descritto nell’esempio 3
configurerebbe un chiaro caso di violazione della limitazione delle finalità e pertanto è
necessario ottenere un valido consenso prima dell’introduzione di tale funzionalità, che
6
segnali chiaramente che sarà effettuato tale trattamento di immagini. Lo stesso vale per il
caso del motore di ricerca descritto nell’esempio 1. Le immagini ottenute dal motore di
ricerca sono state esposte per essere consultate, e non acquisite da un sistema di
riconoscimento facciale. Il gestore del motore di ricerca dovrebbe essere tenuto ad ottenere
l’autorizzazione dagli interessati prima di procedere alla loro registrazione nel secondo
sistema di riconoscimento facciale.
Ciò potrebbe verificarsi nell’esempio 4 in quanto l’utente non si aspetta che le immagini
acquisite ai fini del controllo gestuale siano sottoposte a ulteriore trattamento. Se chiede il
consenso per un trattamento a più lungo termine (ossia in un arco di tempo o durante i
giochi), il responsabile del trattamento dei dati deve avvisare periodicamente gli utenti
ricordando loro che il sistema è in funzione e sarà disattivato per default.
Il Parere 15/2011, sulla definizione di consenso esamina le questioni della qualità,
dell’accessibilità e della visibilità delle informazioni attinenti al trattamento dei dati
personali. Al riguardo sostiene che:
“le informazioni devono essere fornite direttamente agli individui interessati.
Non è sufficiente che le informazioni siano “disponibili” da qualche parte.”
Pertanto, le informazioni relative al riconoscimento facciale di un servizio online o mobile
non devono essere nascoste, ma essere presentate in modo facilmente accessibile e
comprensibile. Ciò implica anche assicurare che le telecamere non funzionino all’insaputa
dell’utente. I responsabili del trattamento dovrebbero tener conto delle ragionevoli aspettative
di privacy da parte del pubblico quando applicano le tecnologie di riconoscimento facciale e
dare adeguata risposta a queste preoccupazioni.
In tale contesto, il consenso per la registrazione non può essere desunto dall’accettazione
generale dell’utente delle condizioni generali del servizio a meno che lo scopo principale del
servizio non debba implicare il riconoscimento facciale. Il motivo è che, nella maggior parte
dei casi, la registrazione costituirà un’ulteriore funzionalità non direttamente legata al
funzionamento del servizio online o mobile. Gli utilizzatori non si aspettano necessariamente
che questa funzionalità sia attivata quando utilizzano il servizio. A tal fine, si dovrebbe
pertanto esplicitamente dare agli utenti la possibilità di fornire il loro consenso per questo
dispositivo durante la registrazione oppure a una data successiva, a seconda del momento in
cui tale funzionalità è introdotta.
Al fine di esaminare se l’autorizzazione è valida, informazioni adeguate circa il trattamento
dei dati devono essere state comunicate. Gli utenti dovrebbero sempre avere la possibilità di
revocare il proprio consenso in modo semplice. Una volta che l’autorizzazione è revocata il
trattamento di immagini ai fini del riconoscimento facciale dovrebbe essere sospeso
immediatamente.
5. Rischi specifici e raccomandazioni
I rischi per la privacy derivanti da un sistema di riconoscimento facciale dipenderanno
interamente dal tipo di trattamento e dalla sua finalità. Esistono tuttavia alcuni rischi che
meritano più attenzione in fasi specifiche del riconoscimento facciale. La seguente sezione
mette in evidenza i principali rischi e formula raccomandazioni di migliori pratiche.
7
5.1. Trattamento illecito ai fini di riconoscimento facciale
In un ambiente online, le immagini possono essere acquisite dal responsabile dei dati in molti
modi, a seconda se sono fornite dagli utenti del servizio online o mobile, dai loro amici e
colleghi o da un terzo. Le immagini possono contenere i volti degli utenti e/o altri utilizzatori
registrati o non registrati o essere acquisite all’insaputa dell’interessato. Indipendentemente
dalla modalità di acquisizione delle immagini è necessario disporre di una base giuridica per
procedere al loro trattamento.
Raccomandazione 1: Se acquisisce l’immagine direttamente (ad esempio come negli esempi
2 e 4), il responsabile del trattamento dei dati deve assicurarsi di disporre di una valida
autorizzazione da parte degli interessati prima dell’acquisizione delle immagini e
indicare in modo sufficientemente chiaro quando una videocamera è in funzione ai fini
del riconoscimento facciale.
Raccomandazione 2: Se i privati acquisiscono immagini digitali e le caricano nei servizi
online e mobili ai fini di riconoscimento facciale, il responsabile del trattamento dei dati
deve assicurarsi che gli utilizzatori che hanno caricato online le immagini abbiano
acconsentito al trattamento delle immagini, che può essere effettuato ai fini di
riconoscimento facciale.
Raccomandazione 3: Se i responsabili del trattamento acquisiscono da terzi immagini
digitali che rappresentano persone (ad esempio immagini copiate da un sito web o
acquistate da un altro responsabile del trattamento dei dati), essi devono verificare
attentamente la fonte e il contesto in cui le immagini originali sono state acquisite e
assicurarsi che il relativo trattamento non è stato effettuato senza il previo consenso
delle persone interessate.
Raccomandazione 4: I responsabili del trattamento dei dati devono garantire che le
immagini digitali e i modelli siano utilizzati esclusivamente allo scopo per il quale sono
stati forniti. Spetta a loro porre in atto controlli tecnici al fine di ridurre il rischio che le
immagini digitali subiscano ulteriori trattamenti da parte di terzi per finalità non
autorizzate dall’utente. I responsabili del trattamento dovrebbero mettere a disposizione
degli utenti strumenti che permettano loro di controllare la visibilità delle immagini che
hanno caricato, proponendo come impostazione predefinita un accesso ristretto da parte
di terzi.
Raccomandazione 5: I responsabili del trattamento dei dati devono garantire che non
tratteranno le immagini digitali di persone che non siano utenti registrati del servizio o
che non abbiano altrimenti dato il loro consenso se non unicamente nella misura in cui
hanno un legittimo interesse a tale trattamento. Ad esempio, nel caso dell’esempio 1,
dovranno mettere fine al trattamento e procedere alla cancellazione di tutti i dati quando
non risulta alcuna corrispondenza nella base dati di riferimento.
Violazione della sicurezza dei dati durante il trasferimento
In caso di i servizi online e mobili è probabile che vi saranno trasferimenti di dati tra
l’acquisizione delle immagini e le altre fasi del trattamento (ad esempio, il caricamento di
un’immagine da una videocamera di un sito web per estrazione delle caratteristiche e
confronto).
8
Raccomandazione 6: Il responsabile dei dati deve prendere le opportune misure per
garantire la sicurezza dei trasferimento dei dati. Ciò può consistere nel criptare i canali
di comunicazione o l’immagine acquisita. Ove possibile, e in particolare nel caso di
autenticazione/verifica dovrebbe essere privilegiato un trattamento locale.
5.2. Individuazione di un volto, normalizzazione, estrazione delle caratteristiche
Conservazione del minor numero di dati:
I modelli generati da un sistema di riconoscimento facciale possono contenere una maggiore
quantità di dati rispetto a quanto necessario per la finalità specificata.
Raccomandazione 7: I responsabili del trattamento dei dati devono garantire che i dati
estratti da un’immagine digitale per costruire un modello non siano eccessivi e
contengano unicamente le informazioni richieste ai fini dell’utilizzo specificato, in
modo da evitare ogni eventuale ulteriore trattamento. I modelli non dovrebbero essere
trasferiti tra diversi sistemi di riconoscimento facciale.
Violazione della sicurezza dei dati durante l’archiviazione
Il processo di identificazione e autenticazione/verifica richiede probabilmente l’archiviazione
del modello per l’uso in un successivo confronto.
Raccomandazione 8: Il responsabile del trattamento dei dati deve scegliere il luogo più
appropriato per l’archiviazione dei dati, che può avvenire, tra l’altro, nel dispositivo
dell’utente o all’interno dei sistemi del responsabile del trattamento. Il responsabile del
trattamento deve prendere le opportune misure per garantire la sicurezza dei dati
archiviati, compresa la cifratura del modello. Non deve essere possibile ottenere accesso
non autorizzato al modello o al luogo di archiviazione. Soprattutto nel caso di
riconoscimento facciale a fini di verifica, si possono usare tecniche di criptaggio
biometrico; con queste tecniche, la chiave crittografica è direttamente legata ai dati
biometrici ed è ricreata solo se il campione biometrico corretto è presentato
direttamente in occasione di una verifica, senza che siano conservati alcuna immagine o
modello (in modo da formare un tipo di “biometria non rintracciabile.”).
Accesso dell’interessato
Raccomandazione 9: Il responsabile del trattamento dei dati deve mettere a disposizione
degli interessati meccanismi appropriati per esercitare il diritto di accesso, se del caso,
sia all’immagine originale, sia ai modelli generati nel contesto del riconoscimento
facciale.
Fatto a Bruxelles, il 22 marzo 2012
Per il Gruppo di lavoro
Il presidente
Jacob KOHNSTAMM
9