GDPR, riconoscimento facciale e dati biometrici. Il caso svedese

Un caso curioso arriva dalla Svezia dove il Garante Privacy ha sanzionato per circa 20mila euro una scuola svedese. Il motivo? L’istituto aveva implementato un sistema di riconoscimento facciale al fine di monitorare la presenza degli alunni durante le lezioni.

L’autorità di controllo per la protezione dei dati personali svedese ha emesso un provvedimento con il quale ha sanzionato una scuola con il pagamento di circa 20.000,00 euro. Il provvedimento è attualmente disponibile soltanto in lingua svedese; di seguito, pertanto, si propone una lettura della notizia con un sintetico commento privo di approfondimenti.

Cosa è accaduto?

Una scuola svedese ha utilizzato un sistema di riconoscimento facciale degli studenti che la frequentano al fine di verificare le loro presenze. In sede di istruttoria da parte dell’autorità di controllo svedese, la scuola si è difesa affermando che gli studenti hanno espresso il consenso. L’autorità di controllo ha chiuso l’istruttoria con un provvedimento sanzionatorio.

Quali sono gli aspetti rilevanti?

Il punto di partenza è l’utilizzo di un sistema di riconoscimento facciale. Con tale espressione solitamente si fa riferimento a uno o più algoritmi basati sulla Intelligenza Artificiale (IA) e il Machine Learning (ML), attraverso i quali è possibile identificare una persona mediante l’acquisizione dell’immagine del volto da una foto o da un video. L’algoritmo processa l’immagine utilizzando modelli matematici e restituisce, archiviandoli in un database, dati che sono riferiti alla persona.

Come è noto, il Regolamento (UE) 2016/79 (GDPR) al considerando (51) afferma, fra l’altro: “Il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione di una persona fisica”.

Pertanto, l’utilizzo di immagini che ritraggono volti di persone mediante sistemi tecnici specifici che ne consente l’identificazione univoca fa classificare i dati trattati come “biometrici”.

Dalla definizione dei dati biometrici fornita dall’art. 4(1)(14) del GDPR emerge che sono: “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”; in sostanza, ciò che rileva è la modalità di trattamento dei dati dell’immagine del volto di una persona.

È possibile effettuare il trattamento dei dati biometrici e in particolare di quelli derivanti da un riconoscimento facciale?

In termini generali, il trattamento dei dati personali, anche biometrici, è consentito nel rispetto della disciplina del GDPR; a tale fine si rende necessaria un’interpretazione coordinata di una pluralità di norme: in particolare, per il trattamento di dati biometrici che si riferiscono all’immagine facciale di una persona per specifiche finalità delle quali è stato informato l’interessato va valutata preventivamente la sussistenza di una delle basi giuridiche previste dall’art. 6 del GDPR quale condizione di liceità del trattamento stesso.

L’art. 9(1) del GDPR pone un generale divieto di trattare dati biometrici; tuttavia il successivo paragrafo 2 indica 10 casi in cui il trattamento è lecito. Tra questi l’unico applicabile al caso di specie è il primo, ossia il consenso dell’interessato “esplicito al trattamento di tali dati personali per una o più finalità specifiche”.

L’art. 9 del GDPR va coordinato con l’art. 6 che indica le condizioni di liceità del trattamento, tra cui c’è il consenso dell’interessato.

È opportuno sottolineare che il consenso deve essere “esplicito” (cioè chiaro ed espresso liberamente dall’interessato) e prestato “per una o più finalità specifiche” (il titolare del trattamento è, quindi, a informare l’interessato in ordine alle finalità per le quali i sui dati saranno trattati).

Appare necessario, inoltre, un ulteriore coordinamento con l’art. 7 che indica le condizioni del consenso: esso deve essere libero, ossia espresso senza alcun condizionamento da parte dell’interessato, il quale ha anche il diritto di revocarlo in qualsiasi momento.

L’onere di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali grava sul titolare del trattamento.

Vale la pena di evidenziare che in Italia, in seguito all’ emanazione del D. Lgs. 101/2018 di adeguamento del c.d. “codice privacy” (D. Lgs. 196/2003) al GDPR, sono state aggiunte norme che riguardano i dati biometrici con espresso riferimento alla salute.

Nell’ipotesi di riconoscimento facciale il trattamento dei dati biometrici è possibile ove l’interessato esprima il proprio consenso libero ed esplicito per specifiche finalità.

Questi i presupposti e le condizioni ai sensi della normativa in materia di protezione dei dati personali.

A tutto ciò si aggiunga che anche gli algoritmi di riconoscimento facciale devono rispettare il principio previsto dall’art. 25 del GDPR “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita” (Data protection by design and by default) e comunque quello universalmente noto come Privacy by Design (PbD). Pertanto, sia nella fase di progettazione e di elaborazione dell’algoritmo (e quindi al momento di determinare i mezzi del trattamento) “sia all’atto del trattamento stesso” il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per attuare efficacemente i principi sulla protezione dei dati personali e comunque integrare nel trattamento le necessarie garanzie per il rispetto del GDPR.

Perché la scuola svedese è stata sanzionata?

Le scuole, generalmente, effettuano diversi trattamenti di dati personali con specifiche finalità nel rispetto delle condizioni di liceità previste dall’art. 6 del GDPR adottando un’idonea base giuridica. Con riferimento agli studenti, una delle finalità può ben essere quella diretta alla verifica della frequenza scolastica.

Occorre verificare con quali modalità e con quali sistemi tecnici viene effettuato il trattamento dei dati personali.

Si è già detto che per il riconoscimento facciale è necessario il consenso dell’interessato; qualora gli studenti siano minorenni, questo deve essere prestato da parte di chi esercita la responsabilità genitoriale (il consenso dato dai minori infra-sedicenni, per il GDPR, e infra-quattordicenni, per la legislazione italiana, vale solo per i servizi della società dell’informazione).

Gli studenti devono poter frequentare la scuola, seguire le lezioni dei docenti ed essere sottoposti alle opportune verifiche verso il raggiungimento degli obiettivi. Lo studente, in questo contesto, non dovrebbe assolutamente essere condizionato dai docenti o dalla scuola sia riguardo alle proprie valutazioni sugli obiettivi formativi raggiunti sia in ordine al percorso formativo da compiere. Qualora, per assurdo, non fosse così, il consenso manifestato dallo studente potrebbe risultare viziato in quanto non espresso liberamente, ossia privo di qualunque condizionamento, e quindi non validamente prestato. Allo stesso modo, qualora lo studente prestasse il proprio consenso – apparentemente esplicito e libero – ma condizionato da un timore reverenziale nei confronti dei docenti e della scuola, il consenso stesso risulterebbe viziato. Il consenso viziato, si presume (dato che il testo del provvedimento è unicamente in lingua svedese) essere, la motivazione che ha indotto l’autorità di controllo svedese a considerare deficitaria la primaria condizione di validità del trattamento dei dati personali degli studenti mediante un sistema di riconoscimento facciale.

Occorre, tuttavia, considerate aspetti ulteriori che potrebbero sensibilmente “limitare” la validità del consenso e i diritti dell’interessato.

Poiché lo studente è libero anche di non esprimere il consenso nei termini appena esposti, vanno valutate le modalità concrete del sistema di acquisizione delle immagini dei volti mediante un sistema di riconoscimento facciale.

In sostanza, se una telecamera con la quale si effettua l’acquisizione dell’immagine del volto fosse posizionata in un luogo comune della suola scuola (ingresso o aula o corridoi), luogo, cioè, nel quale il passaggio è obbligato per la fruizione dei servizi scolastici, ciò renderebbe di fatto inutile la negazione del consenso da parte dello studente. Come si potrebbe evitare che la camera riprenda il volto dello studente che non avesse espresso il consenso?

Tale aspetto assume un rilievo ulteriore se si prende in considerazione il diritto di revocare il consenso; infatti, come si eviterebbe la ripresa del volto dello studente che ha deciso di revocare il proprio consenso se la telecamera è posizionata in modo che riprenda indiscriminatamente chiunque?

Uno degli aspetti da considerare in questo complesso contesto, unitamente a quanto su indicato, è anche quello della sicurezza del trattamento ai sensi dell’art. 32 del GDPR. Infatti, il titolare o il responsabile del trattamento mette “in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”. In sostanza il titola-re o il responsabile del trattamento devono adottare le opportune misure idonee a ridurre il rischio “di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”.

La sicurezza è uno degli aspetti rilevanti con riguardo al trattamento dei dati personali.

Le scuole italiane possono utilizzare sistemi di riconoscimento facciale?

Quanto all’Italia, si fa presente che il Garante Privacy già dal 2016 (prima dell’applicazione del GDPR dal 25 maggio 2018) aveva pubblicato un vademecum dal titolo “La scuola a prova di privacy”.

Qualora non sia possibile fare riferimento ad altri casi, oltre a quello del consenso, previsti dall’art. 9(2) del GDPR, il trattamento dei dati biometrici non è consentito. Come si è detto, il trattamento è lecito solo in presenza di una condizione tra quelle indicate dall’art. 6(1) del GDPR, tra cui (quelle che appaiono compatibili con il caso di specie) si indicano:

6(1)(c)il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento”; deve sussistere un obbligo di legge.

6(1)(e)il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”. Le scuole eseguono un compito di interesse pubblico; questa condizione va coordinata con quanto disposto dall’art. 9(2)(g) e precisamente “il trattamento è necessario per motivi di interesse pubblico rilevante”. Il codice privacy italiano, così come modificato dal D. Lgs. 101/2018, menziona all’art. 2-sexies (Trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante) la seguente ipotesi che costituisce motivo di interesse pubblico rilevante: “bb) istruzione e formazione in ambito scolastico, professionale, superiore o universitario”.

Non sembra facile, invece, collocare il trattamento dei dati personali per finalità di verifica delle frequenze scolastiche nell’ipotesi prevista dall’art. 6(1)(f)secondo la quale “il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore”. La condizione di liceità prevista dal citato art. 6(1)(f) – il legittimo interesse del titolare del trattamento meriterebbe particolare approfondimento sia in relazione al considerando (47) sia riguardo alla produzione del Comitato europeo per la protezione dei dati personali (EDPS, già Art. 29WP).

Il citato art. 6 va coordinato con l’art. 9 e tra i casi previsti, quelli che appaiono compatibili con le attività di una scuola appaiono essere i seguenti:

art. 9(2)(e)il trattamento riguarda dati personali resi manifestamente pubblici dall’interes-sato”, sempre che si sia in grado di dimostrare tutto ciò.

art. 9(2)(f)il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali”, ma in questo caso la finalità del trattamento non potrà essere quella della verifica della frequenza scolastica, ma probabilmente la tutela del patrimonio (es. installazione di sistemi di video-sorveglianza).

art. 9(2)(g)il trattamento è necessario per motivi di interesse pubblico rilevante” si ri-manda a quanto precedentemente evidenziato.

In conclusione

Ad oggi in Italia non risulta presente una normativa che consenta alle scuole di poter validamente e lecitamente porre in essere il riconoscimento facciale; occorrerebbe valutare attentamente e caso per caso il contesto e le tecniche utilizzate.

Di certo il provvedimento emesso dall’autorità di controllo svedese, oltre ad essere il primo sul punto, costituisce un’autorevole indicazione per perseguire un’opera di adeguata sensibilizzazione verso l’aumento di consapevolezza sui rischi connessi ai sistemi di riconoscimento facciale sia per i minorenni sia per i soggetti maggiori di età, specie nelle scuole.

Fonte: Key4biz.it | di Nicola Fabiano, Studio Legale Fabiano

© 2017-2018 Associazione Privacy Italia - C.F. 91039930192 - P. Iva 01685370197 - Informativa Privacy

Con il sostegno di:

Fondazione di Sardegna Fondazione Cariplo
Positive SSL