Riconoscimento facciale, dal Consiglio d’Europa nuove linee guida

Il Comitato Consultivo per la protezione dei dati personali in ambito di trattamenti automatizzati, istituito presso il Consiglio d’Europa, ha adottato nuove linee guida in materia di riconoscimento facciale (in allegato il testo ufficiale).

Le linee guida, oltre a fornire una serie di misure di riferimento per i vari legislatori statali, contengono indicazioni specifiche per sviluppatori di sistemi di riconoscimento facciale, produttori, aziende e pubbliche amministrazioni al fine di garantire che l’impiego di queste tecnologie non pregiudichi la dignità della persona, i diritti umani e le libertà fondamentali.

Il documento esprime particolare preoccupazione riguardo ai rischi derivanti dal riconoscimento facciale volto a rilevare i tratti della personalità, i sentimenti o le reazioni emotive dall’immagine del volto: le cosiddette tecnologie di “riconoscimento dell’affetto”. Tali tecnologie – afferma il Comitato – dovrebbero essere vietate e non dovrebbero essere impiegate, ad esempio, nelle procedure di assunzione di personale, nell’accesso ai servizi assicurativi e a all’istruzione. Allo stesso modo, non dovrebbe essere consentito l’uso del riconoscimento facciale al solo scopo di determinare il colore della pelle di una persona, le convinzioni religiose o di altro tipo, il sesso, l’origine etnica, l’età, le condizioni di salute o le condizioni sociali.

Indicazioni per le aziende

Tra le principali raccomandazioni alle aziende che intendano avvalersi di tecnologie di riconoscimento facciale rientrano le seguenti:

  • limitazione delle finalità:
    • le aziende che utilizzano le tecnologie di riconoscimento facciale devono essere in grado di dimostrare che questo uso è strettamente necessario e proporzionato nel contesto specifico del loro uso e che non interferisce con i diritti degli interessati;
    • le aziende devono assicurare che l’uso volontario della tecnologia non avrà un impatto sugli individui che entrano involontariamente in contatto con essa;
  • trasparenza e correttezza: i fattori che determineranno se la trasparenza è assicurata includono, per esempio, che le informative sono date agli individui, il contesto della raccolta, le ragionevoli aspettative su come i dati saranno utilizzati, se il riconoscimento facciale è solo una caratteristica di un prodotto o servizio o invece, di una parte integrante del servizio stesso. Gli interessati devono anche essere informati su come la raccolta, l’uso o la condivisione dei dati di riconoscimento facciale può riguardarli, specialmente quando riguardano persone in situazioni vulnerabili. L`informativa fornita deve anche contenere quali diritti e rimedi legali hanno a disposizione gli interessati;
  • limitazione dello scopo, minimizzazione dei dati e durata limitata della conservazione. in particolare, con riferimento alle diverse fasi  dell’elaborazione:
    • se non c’è corrispondenza tra i modelli biometrici, il modello biometrico degli individui che passano attraverso un ambiente non può essere conservato e deve essere automaticamente cancellato;
    • se c’è una corrispondenza, i modelli biometrici possono essere conservati per un tempo strettamente limitato previsto dalla legge con le necessarie salvaguardie.
    • in ogni caso, la watchlist e i modelli biometrici devono essere cancellati al termine dello scopo per il quale sono state impiegate le tecnologie di riconoscimento facciale dal vivo;
  • precisione: occorre garantire che i modelli biometrici e le immagini digitali siano accurati e aggiornati. Ad esempio, la qualità delle immagini e dei modelli biometrici inseriti nelle watchlist deve essere controllata per evitare potenziali falsi abbinamenti, poiché immagini di bassa qualità possono causare un aumento del numero di errori;
  • sicurezza dei dati: qualsiasi violazione della sicurezza dei dati che possa interferire seriamente con i diritti e le libertà fondamentali degli interessati deve essere notificata all’autorità di controllo e, se del caso, agli interessati;
  • responsabilità: le aziende che utilizzano tecnologie di riconoscimento facciale dovrebbero garantire che gli operatori umani continuino a svolgere un ruolo decisivo nelle azioni intraprese in base ai risultati di queste tecnologie e dovrebbero adottare misure organizzative per supervisionare gli operatori umani che prendono  decisioni che possono avere un impatto significativo sugli individui;
  • valutazione d`impatto: le aziende che utilizzano tecnologie di riconoscimento facciale devono effettuare valutazioni d’impatto prima del trattamento, poiché l’uso di queste tecnologie implica il trattamento di dati biometrici e presenta rischi elevati per i diritti fondamentali degli interessati;
  • diritti degli interessati: gli interessati al riconoscimento dovranno inoltre poter esercitare i propri diritti, compreso quello di rettifica (ad esempio in presenza di false corrispondenze) o quello di non essere sottoposti a decisioni puramente automatizzate senza che la propria opinione sia adeguatamente considerata.
RACCOMANDAZIONI AGLI SVILUPPATORI

Quanto invece alle raccomandazioni per gli sviluppatori di tecnologie di riconoscimento facciale rilevano:

  • specifica attenzione all’attendibilità degli algoritmi e all’accuratezza dei dati trattati, al fine di evitare disparità e possibili ricadute discriminatorie;
  • durata della vita dei dati personali raccolti, richiedendo un rinnovo periodico degli stessi al fine di migliorare gli algoritmi utilizzati;
  • affidabilità degli strumenti utilizzati, basata su diversi fattori, tra cui: falsi positivi, falsi negativi, prestazioni in diverse luci, affidabilità del riconoscimento quando i volti sono girati rispetto alla telecamera e impatto delle coperture del viso;
  • consapevolezza, attraverso la previsione di misure ragionevoli – come dare raccomandazioni e fornire consigli – per aiutare i soggetti che utilizzeranno tali tecnologie ad applicare la trasparenza e il rispetto della privacy (fornendo loro, ad esempio, dei modelli per le loro informative privacy o raccomandando una segnaletica chiara e facile da capire che indichi che una tecnologia di riconoscimento facciale è impiegata in uno spazio specifico);
  • responsabilità, attraverso l`adozione di misure specifiche per garantire il rispetto dei principi di protezione dei dati, come ad esempio:
    • integrare la protezione dei dati nella progettazione e nell’architettura dei prodotti e dei servizi di riconoscimento facciale, così come nei sistemi informatici interni e integrare l’uso di strumenti dedicati, compresa la cancellazione automatica dei dati grezzi dopo l’estrazione dei modelli biometrici;
    • offrire un certo livello di flessibilità nella progettazione di queste tecnologie per adattare le garanzie tecniche secondo i principi di limitazione delle finalità, minimizzazione dei dati e limitazione della durata di conservazione dei dati;
    • implementare un processo di revisione interna progettato per identificare e mitigare il potenziale impatto sui diritti e le libertà fondamentali prima che le tecnologie di riconoscimento facciale siano rese disponibili;
    • integrare un approccio alla protezione dei dati nelle pratiche organizzative, tra cui l’assegnazione di personale dedicato, la formazione alla privacy dei dipendenti e la realizzazione di valutazioni di impatto sulla protezione dei dati al momento dello sviluppo o della modifica di prodotti e servizi di riconoscimento facciale.

 

Lo studio offre attività di consulenza e assistenza in materia di compliance Privacy, finalizzata al pieno adeguamento alla nuova normativa europea (GDPR) e nazionale (D.lgs. 196/2003 così come modificato dal D.lgs. 101/2018)

© Pixabay