Il Garante Privacy a tutela dei “rider”: quanto cose ci insegna la sanzione milionaria irrogata a Foodinho?

A prima vista, potrebbe sembrare una delle usuali sanzioni irrogate dal Garante Privacy negli ultimi tempi. In realtà  l’ordinanza di ingiunzione del Garante Privacy emessa lo scorso 10 giugno nei confronti di Foodinho costituisce un’importante opportunità per ripercorre, in meno di 50 pagine, i principi fondamentali previsti dal GDPR e dalla normativa privacy vigente in materia di trattamento dei dati dei dipendenti (e non solo).

Difatti, l’attività ispettiva del Garante Privacy - svolta in collaborazione con l’Agencia Española de Protección de Datos (AEPD) nel rispetto della procedura, ancora non del tutto conclusa, di cooperazione e assistenza reciproca prevista dal GDPR - ha avuto ad oggetto i trattamenti dei dati di circa 18 mila rider di Foodinho effettuati nel contesto di nuove tecnologie innovative basate (anche) su algoritmi automatizzati.

Emergono nel provvedimento interessanti spunti circa il rispetto dei principi fondamentali del trattamento e dei principi di privacy by design e by default, l’adozione di idonee misure di sicurezza e la predisposizione di una DPIA nel contesto di trattamenti e processi decisionali automatizzati, la corretta tenuta di un Registro del trattamento e l’individuazione dei tempi di conservazione dei dati.

Riteniamo quindi utile riassumere schematicamente qui di seguito le innumerevoli condotte illecite e infrazioni accertate nel provvedimento del Garante, riportando altresì i passaggi più rilevanti del medesimo.

***

1.  Condotta illecita: i rider non sono stati correttamente informati in merito alle concrete modalità di trattamento dei dati relativi alla loro posizione geografica, né tantomeno circa la tipologia di tutti i dati raccolti da Foodinho (ivi incluse le comunicazioni via chat/e-mail/telefono e le valutazioni espresse dai clienti).

Violazione accertata: mancato rispetto dei principi di trasparenza e correttezza del trattamento [art. 5.1, lett. a) GDPR].

Secondo il Garante: “Non rileva che i rider fossero semplicemente consapevoli dell’attività di geolocalizzazione in quanto vedono loro stessi il percorso suggerito sulla mappa dell’applicazione. Evidente è la differenza tra l’eventuale mera conoscenza della possibilità di essere geolocalizzati e la piena consapevolezza in merito allo specifico trattamento effettuato”.


2.  Condotta illecita: la società non ha fornito ai rider specifiche indicazioni in merito ai tempi di conservazione di tutti i loro dati personali; inoltre, alcuni dati di geolocalizzazione venivano conservati dalla società per periodi di tempo non congrui rispetto alle finalità.

Violazione accertata: rilascio di un’informativa privacy inidonea [art. 13.2, lett. a) GDPR], mancato rispetto del principio di limitazione della conservazione dei dati [art. 5.1, lett. e) GDPR].

Secondo il Garante: “La società ha omesso di individuare distinti tempi di conservazione dei dati riferiti ai rider oggetto di trattamento in relazione alle distinte e specifiche finalità perseguite”.


3.  Condotta illecita: la società non ha comunicato ai rider che i loro dati personali avrebbero potuto essere oggetto di trattamenti automatizzati, compresa l’attività di profilazione, preordinati all’assegnazione di un punteggio.

Violazione accertata: rilascio di un’informativa privacy inidonea [art. 13.2, lett. f) GDPR].


4.  Condotta illecita: i sistemi informatici della società sono stati configurati in modo tale da consentire l’accesso ad un numero indiscriminato di dati personali dei rider non necessari per le finalità del trattamento, senza l’indicazione di uno specifico criterio d’accesso.

Violazione accertata: mancato rispetto del principio di minimizzazione dei dati

[art. 5.1, lett. c) GDPR], mancato rispetto dei principi di privacy by design e by default [art. 25 GDPR], mancata adozione delle misure di sicurezza [art. 32 GDPR].

Secondo il Garante: “La possibilità di accesso di default ad un numero rilevante di dati personali da parte peraltro di un numero significativo di addetti alla gestione dei sistemi con ampia gamma di mansioni relative all’operatività dei rider, non consente di assicurare “su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi”, tenuto conto dei concreti rischi occasionati dalla “perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali”.


5.  Condotta illecita: la società non ha effettuato una valutazione di impatto sulla protezione dei dati nonostante l’utilizzo di tecnologie (e., una piattaforma digitale) innovative per il trattamento dei dati personali dei rider per finalità di profilazione che si basano su funzioni algoritmiche (cfr. anche successivo punto 9).

Violazione accertata: mancata predisposizione di una obbligatoria valutazione d’impatto sulla protezione dei dati [art. 35 GDPR].

Secondo il Garante: “L’utilizzo innovativo di una piattaforma digitale, della raccolta e memorizzazione di una molteplicità di dati personali relativi alla gestione degli ordini compresa la localizzazione geografica e delle comunicazioni avvenute tramite chat e email nonché della possibilità di accedere al contenuto di telefonate tra i rider e il customer care, dalla effettuazione di attività di profilazione e trattamenti automatizzati nei confronti di un numero rilevante di interessati “vulnerabili” (in quanto parti di un rapporto di lavoro), presenta “un rischio elevato per i diritti e le libertà delle persone fisiche”.


6.  Condotta illecita: la società non ha rispettato quanto previsto dall’art. 4 dello Statuto dei Lavoratori nonostante effettui, attraverso una pluralità di strumenti tecnologici (la piattaforma digitale, l’app e i canali utilizzati dal customer care), trattamenti di dati personali che consentono un’attività di minuzioso controllo sulla prestazione lavorativa svolta dai rider.

Violazione accertata: mancato rispetto del principio di liceità del trattamento [art. 5.1, lett. a) GDPR], mancato rispetto dell’art. 4 della L. 300/1970.

Secondo il Garante: “Si rileva che la società effettua un minuzioso controllo sulla prestazione lavorativa svolta dai rider attraverso la geolocalizzazione del dispositivo effettuata con modalità che vanno oltre quanto necessario per assegnare l’ordine in ragione della distanza del rider dal punto di ritiro e di consegna”.

Diversamente da quanto sostenuto dalla società, la scelta del rider in merito al se e quando effettuare la prestazione non è senza conseguenze nell’ambito del rapporto di lavoro e pertanto non può definirsi “libera”.


7.  Condotta illecita: mancata indicazione nel Registro del trattamento di informazioni complete ed aggiornate in merito a tutti i trattamenti di dati personali effettuati dalla società, dei termini di conservazione dei dati e delle misure di sicurezza adottate.

Violazione accertata: tenuta di un registro del trattamento incompleto [art. 30 GDPR].


8.  Condotta illecita: non sono stati pubblicati e comunicati al Garante Privacy i dati di contatto del DPO nominato a livello di gruppo.

Violazione accertata: mancata pubblicazione e comunicazione dei dati del DPO [art. 37.7 GDPR].

Secondo il Garante: “Nel caso in cui il DPO venga nominato a livello di gruppo, resta fermo l’obbligo, in capo alle singole entità del gruppo in qualità di titolari o responsabili del trattamento, di pubblicare i dati di contatto del RPD e di comunicarli all’Autorità di controllo competente”.


9.  Condotta illecita: sono stati posti in essere trattamenti automatizzati dei dati personali dei rider tali da incidere sulla loro possibilità di scegliere se e quando svolgere l’attività lavorativa e contestualmente non sono state adottate misure idonee per consentire ai rider l’esercizio dei loro diritti attraverso canali dedicati.

È importante notare che il Garante Privacy ha focalizzato la sua attenzione sulle conseguenze negative che l’utilizzo di algoritmi simili a quelli utilizzati dalla società può comportare per i rider, arrivando ad affermare che la scelta del rider in merito al se e quando effettuare la prestazione lavorativa non è senza conseguenze nell’ambito del rapporto di lavoro e che tale prestazione, pertanto, non può definirsi “libera”.

L’assegnazione degli ordini dei clienti è infatti gestita direttamente dalla società tramite un algoritmo che individua il rider sulla base di una pluralità di parametri (vicinanza al luogo di consegna, carica della batteria del cellulare, ecc.) e premia i rider con il maggior numero di ordini accettati e consegnati.

Violazione accertata: mancata adozione delle misure previste dall’art. 22.3 GDPR [art. 22.3 GDPR].

Secondo il Garante: “Attraverso il punteggio la società valuta pertanto l’operato del rider e produce, in tal modo, un effetto significativo sulla sua persona proponendo o negando l’accesso alle fasce orarie e la relativa possibilità di effettuare la prestazione (consegna di cibo o altri beni) oggetto del contratto”.

Dall’esame del meccanismo di assegnazione del punteggio emerge, quindi, da un lato che la società effettua una attività di profilazione che incide in modo significativo sugli interessati determinando – mediante l’accesso agli slot - la possibilità di ricevere o meno ordini attraverso la piattaforma e dunque di ottenere una opportunità di impiego”.

Si ingiunge alla società di conformare al Regolamento i propri trattamenti con riferimento alla individuazione di misure appropriate volte alla verifica periodica della correttezza e accuratezza dei risultati dei sistemi algoritmici, anche al fine di garantire che sia minimizzato il rischio di errori e di conformarsi a quanto stabilito dall’art. 47-quinquies, d. lgs. n. 81/2015”.


Garante Privacy e attività ispettiva 2021: tra gennaio e giugno nel mirino i dati biometrici, videosorveglianza, food delivery e data breach

Il Garante Privacy ha definito il perimetro dell’attività ispettiva programmata per i primi sei mesi del 2021. Si tratta di n. 50 accertamenti che saranno condotti anche mediante delega alla Guardia di Finanza e che si concentreranno sulla verifica del rispetto della normativa privacy vigente relativa ai seguenti profili di interesse generale:

  1. trattamenti di dati biometrici per il riconoscimento facciale anche mediante sistemi di videosorveglianza;
  2. trattamenti di dati personali nel settore della c.d. “videosorveglianza domestica” e nel settore dei sistemi audio/video applicati ai giochi (c.d. giocattoli connessi);
  3. trattamenti di dati personali effettuati da "data broker”;
  4. trattamenti di dati personali effettuati dalle società che operano nel settore denominato “Food Delivery”;
  5. data breach.

Da tale elenco emergono due grandi novità: quest’anno, infatti, il Garante Privacy estenderà le proprie verifiche anche ai trattamenti di dati biometrici, nonché a quelli effettuati mediante sistemi di videosorveglianza. Due settori disciplinati non solo dal GDPR e dal Codice Privacy bensì anche da diverse linee guida ed altre norme di legge, oltre che da numerosa giurisprudenza.

Si pensi, solo per fare degli esempi, alle Linee Guida del Garante Privacy in materia di riconoscimento biometrico e firma grafometrica del 2014, al rinnovato art. 4 della L. 300/1970 e alla Circolare n. 5/2018 dell’Ispettorato nazionale del Lavoro, al Provvedimento del Garante Privacy in materia di videosorveglianza del 2010 ed alle recenti FAQ sulla videosorveglianza del 5 dicembre 2020, alla giurisprudenza nazionale e comunitaria in tema di controllo dei lavoratori e controlli cd. “difensivi”, al Parere n. 2/2017 dell’ex Gruppo di lavoro ex art. 29 (“Opinion 2/2017 on data processing at work”) nonché alle Linee Guida n. 3/2019 del Comitato Europeo (EDPB) sul trattamento dei dati attraverso dispositivi video.

Quanto appena detto induce a riflettere in merito alla corretta e non agevole operazione di individuazione degli adempimenti privacy cui sono chiamati i titolari e i responsabili del trattamento – i.e. gli operatori economici; infatti, soprattutto prima di intraprendere un’attività di trattamento di dati personali biometrici o mediante sistemi di videosorveglianza è necessario chiarire le circostanze del caso concreto (individuando le finalità del trattamento, le misure di sicurezza da adottare, il coinvolgimento di eventuali terzi provider, ecc.) al fine di poter predisporre correttamente la documentazione privacy  prevista dalle molteplici norme in materia (possibilmente con l’ausilio di professionisti specializzati).

Sarà quindi interessante analizzare gli esiti dell’attività ispettiva del Garante al fine di comprendere quale sarà, a distanza di tre anni dall’entrata in vigore del GDPR, il livello di compliance ritenuto “accettabile” dall’Autorità e quale sia quello realmente raggiunto dalle imprese che operano nel nostro Paese e che hanno a che fare con il trattamento di categorie particolari di dati personali e con sistemi di videosorveglianza.

Va da sé che gli adempimenti privacy in materia di trattamento di dati biometrici o mediante sistemi di videosorveglianza si sommano a quelli generalmente previsti per il trattamento dei dati personali; pertanto, al fine di raggiungere una piena compliance alla normativa privacy vigente occorre non solo regolamentare i particolari settori della propria attività di business (quali, ad esempio, la videosorveglianza o la biometria) bensì adottare (o meglio, aver già adottato) una solida struttura privacy interna che sia in grado di dimostrare alle autorità, in caso di eventuali ispezioni, che i trattamenti di dati personali effettuati rispettano pienamente quanto previsto dalla legge.

Proprio con particolare riferimento alla videosorveglianza, ricordiamo che il nostro Studio ha elaborato e pubblicato sul proprio sito web un rapido ed utile Vademecum per l’installazione di impianti videosorveglianza, aggiornato alle più recenti novità normative italiane ed europee. È possibile consultare il Vademecum qui.


25 Novembre - Giornata mondiale contro la violenza sulle donne

Era il 25 novembre 1960 quando le sorelle Mirabal persero la vita a Santo Domingo sotto la dittatura Trujillo. Il ricordo di quel tragico momento venne istituzionalizzato solo a partire dal 1981, quando il 25 novembre fu riconosciuto come data simbolo della lotta alla violenza contro le donne.

Oggi, esattamente 60 anni più tardi, la violenza sulle donne è perpetrata anche mediante l’utilizzo della tecnologia e di strumenti informatici; basti pensare ai dati pubblicati proprio in data odierna dalla Direzione Centrale della Polizia Criminale in base ai quali, solo in Lombardia, nel corso dell’ultimo anno sono stati registrati circa 718 casi di reati di revenge porn.

Il revenge porn è un reato di recente introduzione (Legge 69/2019 – art. 612-ter Codice Penale) che punisce chiunque, avendo ricevuto o comunque acquisito immagini o video a contenuto sessualmente esplicito, destinati a rimanere privati, li diffonde senza il consenso delle persone rappresentate al fine di recare loro nocumento.

Come far fronte a questo genere di condotte?

La risposta non è univoca ma certamente deve esistere alla base la consapevolezza e la conoscenza di due concetti, oggi ancora (purtroppo) sottovalutati, ovvero quello della “privacy” e della “riservatezza”, nonché degli strumenti che la normativa vigente mette a disposizione per proteggere i nostri dati personali da sottrazioni illecite.

Ad esempio, prestiamo sufficiente attenzione quando pubblichiamo immagini online che ci ritraggono o che ritraggono altre persone? E’ di qualche giorno fa l’infografica pubblicata dal Garante Privacy che fornisce al riguardo suggerimenti e consigli utili (disponibile al seguente link).

Abbiamo mai verificato, prima di iniziare una conversazione e/o di entrare in chat con un terzo tramite uno strumento informatico, se il fornitore del servizio di comunicazione abbia adottato idonei protocolli di sicurezza per la nostra conversazione? Per comprendere meglio di cosa si tratta, è possibile consultare la pagina esplicativa messa a disposizione da WhatsApp al seguente link.

E ancora, conosciamo quali sono le applicazioni o i dispositivi – ad esempio presenti presso la nostra abitazione o installati presso i luoghi che frequentiamo (come piscine, palestre, ecc.) - in grado di riprenderci e/o ascoltarci a nostra insaputa? Ed in quest’ultimo caso, sappiamo come esercitare i nostri diritti privacy?

Di fatto il mondo digitale apre nuovi orizzonti anche per quanto concerne la tutela delle donne contro la violenza ed in questo contesto la protezione dei nostri dati personali riveste un ruolo importantissimo.

Eliminare la violenza in tutte le sue forme è l’obiettivo comune; a tal fine consapevolezza e conoscenza sono indispensabili.


Facial Recognition e Mondo Digitale: tecnologia al servizio della praticità?

Quanti di noi sbloccano il proprio smartphone, effettuano un pagamento online, autorizzano il download di un’app e/o accedono ad un portale web semplicemente avvicinando il dispositivo mobile al volto? Con quale facilità “tagghiamo” i nostri amici nelle fotografie che ci ritraggono sui più comuni social network? E ancora: quanti e quali vantaggi è possibile ottenere conoscendo il numero di passanti che si fermano, anche per un istante, ad osservare un cartellone pubblicitario?

I numeri dimostrano che la tecnologia di facial recognition si pone al servizio di un mondo digitale che “corre” sempre più velocemente e ci costringe a rimanere al passo coi tempi. Ma a quale prezzo in termini di protezione dei nostri dati personali?

1. Introduzione

Tra social network, siti di e-commerce, riviste online, home banking e mobile app sono milioni i servizi digitali oggi presenti online di cui possiamo usufruire mediante la creazione di account personali.

Nella creazione dei profili, la tendenza più diffusa, specie tra i più giovani, è quella di affidarsi a password facili e intuitive (come la data di nascita o il nome di battesimo), poco sicure da un punto di vista informatico e spesso identiche per tutti i servizi utilizzati[1].

Per far fronte a queste cattive abitudini - che non fanno altro che alimentare il numero, già peraltro elevato, di data breach – è oggi comunemente utilizzata la tecnologia cd. di “facial recognition” (in italiano, “riconoscimento facciale”): si tratta di un particolare procedimento informatico in grado di associare ai connotati del volto di una persona un’immagine digitale e di memorizzare tale immagine all’interno di un dispositivo elettronico per poi riutilizzarla non solo per finalità di identificazione ma anche di autenticazione, di verifica e/o di profilazione degli individui.

Ma è davvero sempre sicuro affidarsi alla facial recognition? Un sistema biometrico garantisce sempre una sufficiente protezione dei nostri dati personali?

2. I più comuni utilizzi della facial recognition

Come noto, le diverse tecniche biometriche si prestano ad essere utilizzate soprattutto nel contesto informatico (ad esempio, per finalità di autenticazione ad un dispositivo) e la tendenza delle principali società high-tech è quella di investire sempre di più in questo settore.

Tuttavia, la facial recognition è presente anche al di fuori del mondo digitale: si pensi all’uso di sistemi biometrici per il controllo dell’accesso fisico ad aree riservate, per l’apertura di varchi o per l’uso di apparati e macchinari pericolosi.

Ma non solo. Le tecniche di ricoscimento facciale sono in grado di porsi anche al servizio delle pubbliche autorità e persino della ricerca. La polizia di Nuova Delhi ha infatti sperimentato la facial recognition per identificare quasi 3.000 bambini scomparsi; alcuni ricercatori per diagnosticare una rara malattia genetica riscontrata in soggetti di provenienza africana, asiatica e latinoamericana[2].

Di fronte ad un così ampio numero di utilizzi della facial recognition preoccupa che nel nostro Paese non sia ancora stata adottata un’apposita normativa nazionale in materia. Difatti, acconsentire alla rilevazione ed alla raccolta delle caratteristiche del nostro volto da parte di un titolare significa condividere con quest’ultimo un’ampia gamma di dati personali ed esporsi agli utilizzi degli stessi che  il titolare decida di farne.

Pensiamo ad un semplice “selfie” con lo smartphone: in questi casi il nostro dispositivo raccoglie la nostra immagine personale e la trattiene in memoria. O al transito davanti a cartelloni pubblicitari che rilevano la nostra presenza, alla misurazione della nostra temperatura corporea mediante termometri video-digitali o ai sistemi di imbarco con video-riconoscimento che si stanno insediando nei più grandi aeroporti del mondo.

3. Un rapido vademecum per il trattamento dei dati biometrici

Le caratteristiche biometriche del volto in grado di consentire l’identificazione univoca di una persona fisica rientrano nella nozione di “dati personali biometrici” prevista dal Regolamento Europeo 679/2016 (“GDPR”)[3]. I dati biometrici infatti sono definiti dal GDPR come dati “ottenuti da un trattamento tecnico specifico e relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca[4]. Ciò significa che un’immagine / una fotografia non è sempre qualificabile come dato biometrico se non è trattata attraverso un dispositivo tecnico che consente l'identificazione univoca o l'autenticazione di una persona fisica[5].

I dati biometrici inoltre rientrano nelle “categorie particolari di dati personali” ex art. 9 GDPR (richiamate dall’art. 2-septies del D.lgs. 196/2003 – “Codice Privacy”) e possono essere trattati solo laddove il titolare rispetti determinati obblighi di legge. Proviamo ad elencarne alcuni qui di seguito:

A. Il rispetto dei principi essenziali del trattamento. In un mondo sempre più digitale assumono un ruolo predominante i principi di “privacy by design” (protezione dei dati fin dalla progettazione) e “privacy by default” (protezione dei dati per impostazione predefinita) sanciti dall’art. 25 GDPR[6]. Per conformarsi a questi principi, i titolari che utilizzano la facial recognition per il trattamento dei dati personali devono prevedere, fin dalla fase della progettazione e definizione degli strumenti del trattamento, misure di sicurezza adeguate per garantire la tutela dei diritti e delle libertà fondamentali delle persone fisiche ed il rispetto dei principi previsti dall’art. 5 del GDPR.

In particolare, dovrebbe essere posta particolare attenzione al principio di “minimizzazione dei dati” che impone al titolare di configurare un sistema di riconoscimento biometrico in modo da raccogliere e trattare solo un numero circoscritto di informazioni, escludendo l’acquisizione di quei dati ultronei rispetto alla finalità perseguita nel caso concreto (ad esempio, se la finalità del trattamento fosse quella dell’autenticazione informatica, i dati biometrici non dovrebbero essere trattati in modo da poter desumere anche eventuali informazioni di natura sensibile dell’interessato tra cui, ad esempio, malattie della pelle chiaramente visibili).

B. L’informativa privacy. I titolari devono consegnare agli interessati una informativa privacy conforme all’art. 13 del GDPR, che indichi in maniera chiara e trasparente le finalità del trattamento, le misure di sicurezza adottate, l’eventuale centralizzazione dei dati biometrici raccolti, i tempi di conservazione degli stessi. A tal riguardo, è opportuno segnalare che, come chiarito dal Garante Privacy[7], tale informativa deve essere consegnata prima della cd. fase di “enrolment”, ossia prima della creazione di un campione biometrico[8].

C. La base giuridica. Il titolare deve chiedere il preventivo consenso degli interessati al trattamento dei loro dati biometrici, ovvero verificare la possibilità di effettuare il trattamento in presenza di un’altra base giuridica di cui all’art. 9 del GDPR (tra cui, ad esempio, la sussistenza di motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero).

D. La DPIA. Come previsto dall’art. 35 del GDPR e dall’Allegato 1 al Provvedimento n. 467/2018 del Garante Privacy, il titolare deve valutare l’impatto del trattamento dei dati biometrici e nello specifico valutare i rischi che tale trattamento può comportare per i diritti e le libertà delle persone fisiche e, contestualmente, individuare le misure di sicurezza adottate e da adottare per far fronte a tali rischi.

E. La nomina del responsabile. Laddove il titolare si avvalga di un terzo soggetto per il trattamento di dati biometrici, quest’ultimo deve essere nominato “responsabile del trattamento” ai sensi dell’art. 28 del GDPR, previa verifica del possesso, da parte del fornitore, di garanzie idonee per la tutela dei diritti degli interessati i cui dati biometrici sono trattati.

F. L’implementazione di sistemi alternativi. Il titolare del trattamento deve offrire soluzioni alternative che non comportino il trattamento di dati biometrici, senza imporre restrizioni o costi aggiuntivi all’interessato. Tali soluzioni alternative sono necessarie soprattutto per coloro che non sono in grado di rispettare i vincoli imposti da un dispositivo biometrico (si pensi ad un disabile che non è in grado di raggiungere, con il volto, l’altezza di un termoscanner) e nel caso in cui tale dispositivo risulti indisponibile per problemi tecnici (ad esempio, in caso di malfunzionamento).

4. Conclusioni

Le normative applicabili in materia di protezione dei dati personali non sono e non dovrebbero mai essere considerate come un ostacolo allo sviluppo di nuove tecnologie applicate all’industria informatica e digitale. Al contrario, il rispetto della legislazione vigente dovrebbe costituire un incentivo alla creazione di soluzioni pratiche in maniera rispettosa della riservatezza delle nostre informazioni.

E così dovrebbe avvenire anche per la tecnologia di facial recognition, in relazione alla quale è importante diffondere negli utenti consapevolezza in merito alla sicurezza del trattamento dei loro dati personali. Anche perché generare consapevolezza significa ottenere fiducia da parte dei consumatori, che è il primo passo per una corretta strategia di marketing.

Proprio come ha fatto Apple, che con il recente aggiornamento ad “iOS 14” consente ai possessori di un dispositivo mobile di ultima generazione di sapere - tramite indicatori di diversi colori (verde e arancione) che appaiono sulla barra di stato ­del dispositivo – se un’app installata sta utilizzando la fotocamera e quindi rilevando l’immagine dell’utente.

Dall’altro lato, la protezione dei nostri dati personali non deve mai essere sacrificata. E per fare ciò, ad avviso di chi scrive è fondamentale che il nostro Paese inizi ad adottare normative che disciplinino questa tecnologia. I valori aggiunti che il riconoscimento facciale è in grado di dare alla nostra economia sono infatti sotto gli occhi di tutti già da molto tempo ma se non si agisce a livello normativo nel breve termine il rischio è di trovarsi tra qualche anno di fronte ad uno sviluppo incontrollato (se non abuso) di queste soluzioni tecniche, con la conseguenza di dover impiegare tempo e risorse economiche per risolvere molteplici problemi piuttosto che realizzare nuovi vantaggi.

 

[1] Lo conferma un interessante (e a tratti preoccupante) studio pubblicato in occasione del “Safer Internet Day”, secondo cui più della metà dei millennial italiani (il 55%) utilizza la stessa password per accedere a servizi differenti e il 19% una password estremamente semplice come una sequenza di numeri.

[2] Degno di nota è anche il nuovo progetto “Telefi” finanziato dalla Commissione Europea e denominato "Verso lo scambio a livello europeo di Immagini del viso" (TELEFI). Si tratta di uno studio in merito ai vantaggi che l’utilizzo del riconoscimento facciale può fornire alle indagini sulla criminalità negli Stati membri dell'UE ed allo scambio dei dati raccolti nell’ambito del sistema “Prüm”, mediante il quale DNA, impronte digitali e dati di immatricolazione dei veicoli sono scambiati tra gli stati UE per combattere la criminalità transfrontaliera, il terrorismo e la migrazione illegale.

[3] Classici esempi di dati biometrici, oltre alle caratteristiche del volto, sono: l’impronta digitale, la dinamica apposizione della firma autografa, la struttura vascolare della retina, la forma dell’iride, le caratteristiche dell’emissione vocale.

[4] Si veda, per maggiori dettagli, il Parere del Gruppo di Lavoro ex art. 29 (oggi sostituito dal Comitato Europeo per la protezione dei dati personali – “European Data Protection Board”) n. 2/2012 - https://www.pdpjournals.com/docs/87997.pdf.

[5] Cfr. Considerando n. 51 al GDPR.

[6] Cfr. “Guidelines 4/2019 on Article 25 Data Protection by Design and by Default” - Version 2.0 Adopted on 20 October 2020.

[7] Cfr. sul punto “Linee Guida in materia di riconoscimento biometrico e firma grafometrica” del Garante Privacy del 12 novembre 2014.

[8] Con il termine “enrolment” si intende il processo attraverso cui un soggetto si accredita al sistema biometrico, attraverso la acquisizione di una sua caratteristica biometrica. Per consentire il riconoscimento biometrico è infatti necessario acquisire la caratteristica biometrica con una procedura che garantisca la correttezza dell’accreditamento nel sistema biometrico (biometric enrolment), il legame con il soggetto che si sottopone all’enrolment e la qualità del campione biometrico risultante. Generalmente, dal campione biometrico facciale tramite algoritmi, talvolta basati sulle c.d. “reti neurali”, vengono estratti un certo numero di tratti, quali la posizione degli occhi, del naso, delle narici, del mento, delle orecchie, al fine di costruire un modello biometrico.