Videosorveglianza e dati biometrici

Uno dei profili maggiormente avveniristici della videosorveglianza (e più in generale delle device elettroniche) è l’utilizzo dei dati biometrici. Si intendono per tali i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici (cfr. la definizione contenuta all’art. 4 GDPR). Tema questo affascinante quanto pericoloso.

È necessaria una precisazione sin da subito. Per dato biometrico non si intende tout court una mera rappresentazione delle caratteristiche fisiche del soggetto, come ad esempio una fotografia, bensì il dato risultante dal procedimento tecnico specifico mediante apposito dispositivo al fine di permettere un’identificazione univoca (anche in termini di autenticazione) della persona fisica interessata. Per restare nel nostro esempio, se la semplice fotografia di un volto non possiede i requisiti del dato biometrico, questi ultimi potranno invece essere integrati quando la medesima immagine venisse poi trattata in modo tale da essere identificabile in modo univoco mediante dispositivo tecnico. Ad esempio, mediante sistema di riconoscimento facciale per l’accesso ad uno smartphone.

I dati biometrici

Volendo sintetizzare, per aversi dati biometrici occorre considerare tre elementi:

1. la natura dei dati (caratteristiche fisiche, fisiologiche e comportamentali)
2. le modalità (trattamento tecnico specifico)
3. la finalità del trattamento (identificazione univoca di una persona fisica).

Si noti che, laddove la finalità del trattamento sia quella di distinguere i soggetti ripresi per categorie ma senza identificare nessuno in modo univoco, tale trattamento viene ritenuto non rientrare nel perimetro di cui all’art. 9 GDPR (ma attenzione! -questo non significa che non possa essere giuridicamente rilevante in altri settori: si pensi ad esempio ad un sistema che consideri le persone inquadrate in funzione di caratteristiche considerate tipiche dell’origine razziale od etnica).

Non occorre riferirsi a celebri esempi cinematografici per intuire il fatto che questo tipo di trattamento implichi rischi notevolmente rilevanti per diritti e libertà fondamentali degli interessati. E infatti lo stesso GDPR inserisce i dati biometrici tra quelli meritevoli di particolare protezione (le categorie particolari di dati di cui all’art. 9) indicando come regola generale che tali dati personali non dovrebbero essere oggetto di trattamento a meno che questo non sia consentito in casi specifici disciplinati espressamente a livello normativo. Di conseguenza il trattamento di tali dati si deve intendere quale eccezionale (ovverosia consentito in ipotesi espresse che fanno eccezione al divieto generale) e necessariamente limitato nei fini e nelle modalità.

Telecamere e biometria

Il tema ha evidentemente un’importante rilevanza con riferimento al trattamento mediante sistemi di videosorveglianza, in particolare quelli considerati “intelligenti”. Purtroppo, a fronte di una crescita esponenziale delle possibilità sviluppate a livello tecnologico, le disposizioni normative sono spesso risultate vaghe e comunque soggette ad una rapida obsolescenza che le ha rese poco adeguate a dare risposte certe e precise in un settore caratterizzato da un’elevata complessità. Se a questo si aggiunge che nel frattempo l’utilizzo di tale tecnologia è diventata anche ampiamente fruibile da parte del pubblico e delle imprese, si comprende come le Linee Guida 3/2019 in materia di trattamento dei dati personali mediante strumenti di videoripresa adottate ad inizio 2020 dal Comitato Europeo per la Protezione dei Dati (European Data Protecion Board – EDPB) siano le benvenute al fine di potere operare con la dovuta serenità professionale.

Come già descritto sulle pagine di GIE, tale provvedimento fornisce una chiave di lettura per la gestione della privacy in materia di videosorveglianza, coordinandola con le disposizioni regolamentari. E proprio all’interno di questo troviamo disposizioni specifiche per il trattamento dei dati biometrici che oggi ci interessano.

Le Linee Guida EDPB

Le Linee Guida stimmatizzano come l’utilizzo di dati biometrici ed in particolare il riconoscimento facciale comporti un elevato livello di rischio per i diritti dell’interessato, e che pertanto il ricorso a tali tecnologie debba avvenire nel pieno rispetto dei principi di liceità, necessità, proporzionalità e minimizzazione dei dati, per come previsto dal GDPR. Dal che discende la necessità che preliminarmente il titolare del trattamento effettui una valutazione di impatto sui diritti e libertà fondamentale in modo da valutare la possibilità di utilizzare mezzi meno intrusivi per raggiungere le medesime finalità. In ogni caso, una volta che il template biometrico è stato generato il titolare dovrà garantire che per ogni risultato di match / non-match tutti i template intermedi realizzati nel corso del processo informatico siano immediatamente eliminati in via definitiva.

EDPB sembra considerare il consenso espresso quale presupposto essenziale della maggior parte delle ipotesi di trattamento di dati biometrici mediante sistemi di videosorveglianza da parte di soggetti privati, pur riconoscendo in linea di principio l’applicabilità anche delle altre eccezioni previste dall’art.9 GDPR. A proposito del consenso, è importante sottolineare che – essendo questo libero – il titolare non potrà condizionare l’accesso ai propri servizi all’accettazione del trattamento di dati biometrici, dovendo offrire una soluzione alternativa che non comporti costi addizionali o limitazioni.

Come sopra anticipato, ovviamente non è possibile immaginare che ogni trattamento di dati biometrici possa prevedere il consenso espresso dell’interessato. Laddove infatti il sistema di videosorveglianza sia installato in un contesto ad accesso libero, questo acquisirà le informazioni (e.g. immagine del volto) di ogni soggetto che passi nel raggio d’azione della telecamera e realizzando i relativi template: diviene indifferente a questo punto l’eventuale osservazione che i soli template che saranno utilizzati per il successivo matching siano quelli corrispondenti a soggetti che abbiano dato il previo consenso, dal momento che comunque la creazione del template implica un trattamento di dati biometrici. Di conseguenza, tale tipologia di trattamento dovrà trovare legittimazione in una delle eccezioni previste dall’art. 9.2 GDPR.

Il trattamento riguarda dati biometrici anche nel caso in cui il sistema fosse idoneo ad individuare un determinato soggetto anche senza doverne conoscere l’identità. Il caso proposto ad esempio da EDPB è quello in cui il titolare del trattamento intenda individuare gli spostamenti di un soggetto all’interno di un centro commerciale monitorandone il re-ingresso in una determinata area o lo spostamento ad un’area differente al fine di inserire annunci appropriati sulle insegne pubblicitarie. Notiamo quindi una differenza tra l’ipotesi generica in cui il titolare utilizzi il processo di individuazione mediante videosorveglianza per finalità di creare dei cluster di informazioni anonime (e.g. suddivisione della clientela per sesso, età, etc.) rispetto a quella specifica in cui il soggetto sia identificato in quanto tale e di conseguenza “seguito”.

Minimizzare i rischi

Come fare, dunque, a minimizzare il livello di rischio relativo al trattamento di dati biometrici?

EDPB suggerisce alcune soluzioni. Innanzitutto, i titolari del trattamento dovranno assicurare che i dati estratti da un’immagine digitalizzata al fine di creare il template non saranno eccedenti la finalità contenendo pertanto solo le informazioni necessarie allo scopo specifico, evitando così ogni possibile ulteriore trattamento ovvero il passaggio del template ad altri sistemi di identificazione biometrica.

Dal momento che poi l’identificazione e l’autenticazione potranno essere oggetto di successivo confronto, le relative informazioni richiederanno l’archiviazione che dovrà avvenire su di un device nel controllo dell’interessato (smartphone, ID card, etc.) ovvero (se in presenza di esigenze oggettive) in un database centralizzato e crittografato. In ogni caso il titolare dovrà adottare tutte le precauzioni necessarie per preservare l’integrità, disponibilità e confidenzialità dei dati trattati, anche mediante la segregazione dei dati durante la trasmissione ed archiviazione, la registrazione dei template e dei dati identificativi su distinti database, la crittografia, ovvero misure organizzative quali policy specifiche. Il titolare del trattamento dovrà infine procedere alla cancellazione effettiva dei dati originari nel momento in cui non sussiste più alcuna base giuridica che ne renda lecito il trattamento.

Alcune conclusioni

Le Linee Guida EDPB offrono sicuramente un terreno maggiormente saldo su cui muoversi nel valutare la legittimità e le modalità dei dati biometrici mediante sistemi di videosorveglianza. Certamente, non si può chiedere a questo tipo di documento una soluzione generale valida per tutte le ipotesi, posto in particolare che le stesse sottolineano come le valutazioni in questa materia debbano essere svolte in un’ottica case-by-case. Di conseguenza, ogni decisione in merito al trattamento di dati biometrici mediante sistemi di videosorveglianza comporterà necessariamente una presa di posizione da parte del titolare secondo i principi di accountability propri del GDPR. Sempre rammentando che il trattamento di tali particolarissimi dati comporta un elevato livello di rischio e che pertanto le scelte in merito dovranno essere adeguatamente motivate anche sotto il profilo giuridico.