Parere 2/2012 - WP 192: relativo al riconoscimento facciale nell'ambito dei servizi online e mobili

GRUPPO DI LAVORO PER LA TUTELA DEI DATI EX ART. 29

Il Gruppo di lavoro è stato istituito in virtù dell'articolo 29della direttiva 95/46/CE. » l'organo consultivo indipendente dell'UE per laprotezione dei dati personali e della vita privata. I suoi compiti sono fissatiall'articolo 30 della direttiva 95/46/CE e all'articolo 15 della direttiva2002/58/CE.

Le funzioni di segreteria sono espletate dalla direzione C(Diritti fondamentali e cittadinanza dell'Unione) della Commissione europea,direzione generale Giustizia, B -1049 Bruxelles, Belgio, ufficio LX-46 01/190.

Sito Internet: http://ec.europa.eu/justice/policies/privacy/index_en.htm

Parere2/2012 – WP 192

relativo al riconoscimentofacciale nell'ambito dei servizi online e mobili

adottato il 22 marzo 2012

1.Introduzione

Gli ultimi anni sono stati caratterizzati da un rapido aumentonella disponibilità e accuratezza della tecnologia di riconoscimento facciale,che è stata inoltre integrata nei servizi on-line e nei dispositivi mobili aifini di identificazione, autenticazione/verifica o categorizzazione dellepersone. Questa tecnologia, un tempo fantascienza, è ora disponibile alle organizzazionisia pubbliche che private. Esempi dell'utilizzo nei servizi online e mobiliincludono le reti sociali e i produttori di smartphone.

La capacità di rilevare automaticamente dati e di riconoscere unvolto a partire da un'immagine digitale è già stata esaminata dal Gruppo"Articolo 29" nel documento di lavoro (WP80) dedicato alla biometria e nelparere pubblicato recentemente (03/2012 WP193) sugli sviluppi delle tecnologiebiometriche. Il riconoscimento facciale è considerato nell'ambito dei dati biometricigiacché, in molti casi, contiene sufficienti dettagli per consentirel'identificazione univoca di una persona.

Il parere 03/2012 osserva:

" [la biometria ] consente in modo automatico dilocalizzare, monitorare o determinare il profilo delle persone e in quanto taleil suo potenziale impatto sulla vita privata e il diritto alla protezione deidati personali è elevato.

Tale osservazione risulta particolarmente vera nel caso delletecniche di riconoscimento facciale nei servizi on-line e mobili, checonsentono di riprendere le immagini di una persona (con o senza che questa nesia consapevole) e trasmetterle poi a un server remoto ai fini di un ulterioretrattamento.

I servizi online, molti dei quali sono gestiti dalleorganizzazioni private che ne sono proprietarie, hanno acquisito ampie raccoltedi immagini caricate online dagli stessi interessati. In alcuni casi taliimmagini possono anche essere ottenute illegalmente rastrellando immagini daaltri siti pubblici, ad esempio le memorie di transito dei motori di ricerca. Ipiccoli apparecchi mobili dotati di telecamere ad alta risoluzione consentonoagli utenti di riprendere immagini e di trasmetterle in tempo reale ai servizionline grazie a connessioni permanenti. Di conseguenza gli utenti sono in gradodi condividere con altri tali immagini o di eseguire operazioni diidentificazione, autenticazione/verifica o categorizzazione per accedere adinformazioni supplementari sulla persona, conosciuta o sconosciuta, che hannodi fronte.

Il riconoscimento facciale per i servizi online e mobili richiedepertanto un'attenzione specifica da parte del WP29 poiché l'uso di taletecnologia suscita molteplici preoccupazione in termini di protezione dei dati.

Il presente parere mira a esaminare il quadro giuridico e aformulare opportune raccomandazioni applicabili alla tecnologia diriconoscimento facciale utilizzata nel contesto dei servizi online e mobili. Ilpresente parere è rivolto alle autorità europea e nazionali diregolamentazione, ai responsabili del trattamento dei dati e gli utilizzatoridi tali tecnologie. Il parere non intende ripetere i principi espressi nelParere 03/2012, ma piuttosto ispirarsi ad essi e svilupparli nell'ambito deiservizi online e mobili.

2.Definizioni

La tecnologia di riconoscimento facciale non è nuova ed esistonoin materia varie definizioni e interpretazioni della terminologia. » pertantoutile definire chiaramente la tecnologia oggetto del presente parere.

Immagine digitale: l'immaginedigitale è la rappresentazione in forma digitale di una immaginebidimensionale. Tuttavia, i recenti progressi nella tecnologia diriconoscimento facciale richiedono anche l'integrazione di immaginitridimensionali, in aggiunta alle immagini fisse e in movimento (fotografie,filmati e video registrati in diretta).

Riconoscimento facciale: ilriconoscimento facciale è il trattamento automatico di immagini digitali checontengono i volti di persone ai fini di identificazione,autenticazione/verifica o categorizzazione¹ di tali persone. Il processo di riconoscimento facciale si componedi alcuni distinti sottoprocessi:

a) acquisizione dell'immagine: il processo dirilevamento dei tratti del volto di una persona e la conversione in formatodigitale (l'immagine digitale). Nell'ambito di un servizio online e mobilel'immagine può essere stata acquisita attraverso un sistema diverso, ad esempioripresa con una macchina fotografica digitale e quindi trasferita a un servizioonline;

b) individuazione di un volto: il processo diindividuazione della presenza di un volto all'interno di un'immagine digitale ela marcatura dell'area corrispondente;

c) normalizzazione: il processo diattenuazione delle variazioni all'interno delle regioni del volto individuate,ad esempio la conversione a una dimensione standard, la rotazione ol'allineamento delle distribuzioni del colore;

d) estrazione di caratteristiche: il processofinalizzato a isolare ed estrarre le caratteristiche riproducibili e distintivedell'immagine digitale di una persona. L'estrazione delle caratteristiche puòessere olistica², basata suitratti³, o una combinazione dei duemetodi⁴. L'insieme delle caratteristicheessenziali può essere conservato per un successivo confronto in un modello diriferimento⁵;.

e) registrazione: la prima voltache una persona di sottopone ad un sistema di riconoscimento facciale, la suaimmagine e/o il modello di riferimento possono essere conservati come elementiper un successivo confronto;

f) confronto: il processoche misura le somiglianze tra una serie di caratteristiche (del campione) conuna serie di caratteristiche già registrate nel sistema. Le principali finalitàdel confronto sono l'identificazione e l'autenticazione/verifica. Una terzafinalità del confronto è la categorizzazione, che consiste nell'estrarre le caratteristichedall'immagine di una persona al fine di classificare questa persona in una opiù grandi categorie (ad esempio età, sesso, colore dell'abbigliamento, ecc.)Non è necessario che un sistema di categorizzazione disponga di un processo diregistrazione.

3. Esempi ditecniche di riconoscimento facciale nell'ambito dei servizi online e mobili

Il riconoscimento facciale può essere incorporato nei servizionline e mobili in vari modi e per varie finalità. Nel contesto del presenteparere, il gruppo di lavoro si concentra su una serie di esempi diversi chemirano a fornire un ulteriore contesto per l'analisi giuridica ed a includerel'uso delle tecniche di riconoscimento facciale ai fini di identificazione,autenticazione/verifica e categorizzazione.

3.1. Riconoscimento faccialequale mezzo di identificazione

Esempio 1: Un serviziodi social network⁶ (SNS) permette ai propri utenti di allegare un'immagine digitaleal loro profilo. Inoltre gli utenti sono in grado di caricare immagini dacondividere con altri utenti registrati o non registrati. Gli utenti registratipossono identificare e taggare manualmente altre persone (che possono essereutenti registrati o no) all'interno delle immagini che caricano. Tali"etichette" (tag) possono essere visualizzate da chi le ha create,condivise con un ampio gruppo di amici o comunicate a tutti gli utentiregistrati o non registrati. Il servizio di social network è in grado ditaggare le immagini per creare un modello di riferimento per ciascun utenteregistrato e, attraverso l'uso di un sistema di riconoscimento facciale,propone automaticamente di taggare le nuove immagini quando vengono caricate.

Le immagini delle persone che sono reseaccessibili al pubblico dagli utenti potrebbero successivamente essere rilevatee memorizzate temporaneamente da un motore di ricerca Internet. Il motore diricerca potrebbe cercare di sviluppare la sua funzionalità di ricercaconsentendo agli utenti di fornire l'immagine di una persona e restituendo comerisultato le concordanze più somiglianti, con un collegamento alla pagina delsocial network contenente i profili utenti. L'immagine immessa potrebbe essereripresa direttamente con la macchina fotografica incorporata in uno smartphone.

3.2. Riconoscimento faccialequale mezzo di autenticazione/verifica

Esempio2: Un sistemadi riconoscimento facciale è utilizzato al posto dei dati di login/password aifini del controllo dell'accesso ad un servizio o dispositivo mobile o online.Nel corso della registrazione, una macchina fotografica incorporata neldispositivo è utilizzata per acquisire l'immagine di un utente autorizzato deldispositivo e viene creato un modello di riferimento che può essere archiviatosul dispositivo o a distanza dal servizio online. Per accedere al servizio o aldispositivo, la persona che chiede l'accesso è nuovamente fotografata e la suaimmagine è confrontata con l'immagine di riferimento. L'accesso è autorizzatose il sistema stabilisce una corrispondenza positiva.

3.3. Riconoscimento faccialequale mezzo di categorizzazione

Esempio 3: Il serviziodi social network di cui all'esempio 1 può accordare accesso su licenza allagalleria di immagini ad un terzo che gestisce un servizio online diriconoscimento facciale. Il servizio consente ai clienti del terzo operatore diintegrare la tecnologia di riconoscimento facciale in altri prodotti. Lafunzionalità consente a detti altri prodotti di sottoporre immagini di personeallo scopo di individuare e categorizzare i loro volti secondo un insieme dicriteri predefiniti, ad esempio età, sesso e l'umore.

Esempio 4: Una consoledi gioco utilizza un sistema di controllo gestuale che individua i movimentidell'utilizzatore in modo da controllare il gioco. La o le telecamereutilizzate per il sistema di controllo gestuale condividono le immagini dipersone con un sistema di riconoscimento facciale che suggerisce l'etàprobabile, il sesso e l'umore del giocatore. I dati, che si aggiungono a quelliprovenienti da altri fattori multimodali, possono alterare l'andamento delgioco per arricchire l'esperienza del giocatore o per modificare l'ambiente infunzione del profilo suggerito dell'utente. In modo analogo, un sistemapotrebbe classificare gli utenti per consentire o negare l'accesso a certicontenuti in funzione dell'età dell'utente o per inserire nel gioco pubblicitàmirate.

4. Quadronormativo

Il quadro giuridico di riferimento per il riconoscimento faccialeè la direttiva sulla tutela dei dati (95/46/CE), che è stata discussa inquest'ottica nel Parere 03/2012. La presente sezione mira solo a fornire unasintesi del quadro giuridico nel contesto delle tecniche di riconoscimentofacciale per i servizi online e mobili, sulla base degli esempi forniti nellasezione 3. Altri esempi delle tecniche di riconoscimento facciale sono esaminatinel Parere 03/2012.

4.1. Immagini digitali comedati personali

Quando l'immagine digitale contiene il volto, chiaramentevisibile, di una persona che può essere identificata, dovrebbe essereconsiderata dato personale. Ciò dipende da numerosi parametri quali la qualitàdell'immagine o la particolare angolatura della ripresa. Le immagini di scenecontenenti persone visibili in lontananza, o in cui i volti sono sfocati, nonsono probabilmente considerate dati personali nella maggior parte dei casi. Va tuttaviaricordato che tali immagini digitali possono contenere i dati personali di piùdi un individuo (per esempio, nell'esempio 4, più giocatori potevano rientrarenell'inquadratura), e che la presenza di altre persone in una fotografia puòsuggerire una relazione esistente.

Il Parere 04/2007 sul concetto di dati personali ribadisce l'ideache, se i dati concernenti una persona si riferiscono "alle caratteristicheo al comportamento di questa persona, o se tali informazioni vengono impiegateper stabilire o influenzare il modo in cui quella persona viene trattata ovalutata", anche tali dati saranno considerati dati personali.

Per definizione, anche un modello di riferimento creato daun'immagine di una persona è un dato personale se contiene una serie dicaratteristiche distintive del volto di una persona che sono quindi collegate auno specifico individuo e conservate per servire da riferimento ai fini di unconfronto futuro per l'identificazione e l'autenticazione/verifica.

Un modello o un insieme di caratteristiche distintive utilizzatisolo in un sistema di categorizzazione non dovrebbero, in generale, contenereinformazioni sufficienti per identificare una persona, bensì dovrebberocontenere solo informazioni sufficienti per effettuare la categorizzazione (adesempio in base al sesso femminile o maschile). In questo caso, non sitratterebbe di dati personali a condizione che il modello (o il risultato) nonsia associato alla registrazione, al profilo, o all'immagine originale (checontinuano ad essere considerati dati personali) di una persona.

Inoltre, atteso che le immagini digitali delle persone e i modelliriguardano le "proprietà biologiche, caratteristiche fisiologiche, trattibiologici o azioni ripetibili laddove tali caratteristiche e/o azioni sonotanto proprie di un certo individuo quanto misurabili"⁷, essi devono essere considerati dati biometrici.

4.2. Immagini digitali comecategorie particolari di dati personali

Le immagini digitali delle persone fisiche possono, in determinaticasi, essere considerate una categoria speciale di dati personali⁸. Segnatamente, quando le immagini digitali delle persone oi modelli sono ulteriormente trattati per ottenere categorie particolari didati, esse dovrebbero certamente essere considerate in questa categoria. Adesempio, se sono destinate ad essere utilizzate per estrarre informazionirelative all'origine etnica, alla religione o alla salute.

4.3. Trattamento dei datipersonali nel contesto di un sistema di riconoscimento facciale

Come si è detto precedentemente, il riconoscimento facciale sibasa su una serie di fasi di trattamento automatizzato. Pertanto, ilriconoscimento facciale costituisce una forma di trattamento automatizzato didati di carattere personale, compresi i dati biometrici.

Mediante l'uso di dati biometrici, i sistemi di riconoscimentofacciale possono essere sottoposti a controlli aggiuntivi o ad altre normativenei singoli Stati membri, ad esempio in materia di autorizzazione preventiva odi diritto del lavoro. L'uso di dati biometrici in un contesto lavorativo èulteriormente approfondito nel Parere 03/2012.

4.4. Responsabile deltrattamento dei dati

Sulla base degli esempi forniti, i responsabili del trattamentodei dati saranno generalmente i proprietari dei siti e/o fornitori di servizionline e gli operatori di applicazioni mobili che praticano il riconoscimentofacciale in quanto determinano gli scopi e/o gli strumenti del trattamento⁹. Ciò comprende la conclusione formulata nel Parere 5/2009sui social network on-line che stabilisce che "i fornitori di SNS sono iresponsabili del trattamento ai sensi della direttiva sulla protezione deidati".

4.5. Motivo legittimo

La direttiva 95/46/CE stabilisce le condizioni che il trattamentodei dati personali deve rispettare. Ciò significa che il trattamento deveessere conforme alle prescrizioni in tema di qualità dei dati (articolo 6). Inquesto caso l'immagine digitale delle persone e i rispettivi modelli devonoessere "pertinenti" e "non eccedenti" rispetto alle finalità ditrattamento ai fini del riconoscimento facciale. Inoltre, il trattamento puòessere effettuato soltanto quando è soddisfatto uno dei criteri di cuiall'articolo 7.

In considerazione dei particolari rischi inerenti ai datibiometrici, il trattamento di immagini digitali a fini di riconoscimentofacciale richiederà pertanto il consenso informato preliminare della personainteressata. Tuttavia, in alcuni casi, il responsabile del trattamento dei datipuò temporaneamente avere necessità di procedere ad alcune fasi del trattamentoai fini del riconoscimento facciale, in particolare al fine di verificare se unutente ha fornito l'assenso che deve servire da base giuridica per iltrattamento. Questo trattamento iniziale (ossia, acquisizione dell'immagine,individuazione del volto, confronto, ecc.) può in tal caso avere una basegiuridica distinta, segnatamente l'interesse legittimo del responsabile deltrattamento di rispettare le norme sulla protezione dei dati. I dati trattatidurante queste fasi dovrebbero essere utilizzati solo per le finalitàrigorosamente limitate a verificare il consenso dell'utente e dovrebbero esserequindi cancellati immediatamente dopo.

Nell'esempio 1, il responsabile del trattamento ha stabilito chetutte le nuove immagini caricate dagli utenti registrati dell'SNS devono esseresottoposte a individuazione di un volto, estrazione delle caratteristiche econfronto. Solo gli utenti registrati che hanno un modello di riferimentoarchiviato nella banca dati di identificazione troveranno corrispondenza con questenuove immagini e quindi avranno un'etichetta suggerita automaticamente. Se ilconsenso dei singoli dovesse essere considerato l'unica possibile baselegittima per il trattamento, l'intero servizio sarebbe bloccato in quanto, adesempio, non vi è modo di ottenere il consenso di utenti non registrati i cuidati personali potrebbero essere trattati durante le fasi di individuazione diun volto e dell'estrazione delle caratteristiche. Inoltre non sarebbe possibiledistinguere tra i volti di utenti registrati che hanno o non hanno dato il loroconsenso senza aver dapprima eseguito il riconoscimento facciale. Solo dopol'identificazione (o il mancato riconoscimento), un responsabile dei datisarebbe in grado di determinare se dispone dell'adeguato consenso per iltrattamento specifico.

Prima di caricare un'immagine nella rete sociale l'utenteregistrato deve essere chiaramente informato del fatto che queste immaginisaranno oggetto di un sistema di riconoscimento facciale. Soprattutto, gliutenti registrati dovranno anche avere la possibilità di indicare se accettanoche il loro modello di riferimento sia registrato nella banca datid'identificazione. Non sarà automaticamente proposto di taggare il nome degliutenti non registrati e degli utenti registrati che non hanno acconsentito altrattamento, perché le immagini in cui appaiono produrranno un risultato di "nomatch".

Il consenso accordato da chi carica l'immagine online non deveessere confuso con la base legittima necessaria per il trattamento dei datipersonali delle altre persone che eventualmente figurino nell'immagine. A talfine, il responsabile del trattamento dei dati può decidere di applicare undiverso motivo legittimo per procedere al trattamento nelle fasi intermedie(individuazione di un volto, normalizzazione e confronto), effettuate nel suointeresse legittimo, a condizione che siano stati adottati sufficientirestrizioni e controlli per tutelare i diritti e le libertà fondamentali degliinteressati diversi da chi ha caricato l'immagine. Tali controlli dovrebberocomprendere anche la verifica che nessun dato derivante dal trattamento vengaconservato una volta ottenuto il risultato "no-match" (ossia che tutti imodelli e i relativi dati siano correttamente cancellati). Il responsabile deltrattamento dei dati può inoltre decidere di fornire ai suoi utenti checaricano immagini strumenti che consentono di rendere sfocato il viso di quellepersone per le quali non si ha corrispondenza nella base dati di riferimento.La registrazione del modello di una persona in una banca dati diidentificazione (che consente di ottenere successivamente una corrispondenza eproposte di etichettatura) sarebbe possibile solo con il consenso informatodell'interessato.

Nell'esempio 2, esiste chiaramente la possibilità di ottenere ilconsenso della persona autorizzata ad accedere al dispositivo durante ilprocesso di registrazione. Perché il consenso sia valido, deve essereinstallato un sistema di controllo d'accesso alternativo e altrettanto sicuro(ad esempio una forte password). Questa opzione alternativa più rispettosadella privacy deve essere proposta come impostazione predefinita. In tal modo,se un utente si presenta davanti ad una macchina fotografica collegata aldispositivo allo scopo esplicito di ottenere l'accesso, si ritiene che questapersona abbia fornito il consenso per il successivo trattamento dei datifacciali necessari per l'autenticazione, anche se tale persona non è un utenteautorizzato del dispositivo. Tuttavia, il livello delle informazioni fornitedeve essere sufficiente a garantire la validità del consenso.

L'ulteriore inserimento nell'archivio fotografico del SNSdescritto nell'esempio 3 configurerebbe un chiaro caso di violazione dellalimitazione delle finalità e pertanto è necessario ottenere un valido consensoprima dell'introduzione di tale funzionalità, che segnali chiaramente che saràeffettuato tale trattamento di immagini. Lo stesso vale per il caso del motoredi ricerca descritto nell'esempio 1. Le immagini ottenute dal motore di ricercasono state esposte per essere consultate, e non acquisite da un sistema diriconoscimento facciale. Il gestore del motore di ricerca dovrebbe esseretenuto ad ottenere l'autorizzazione dagli interessati prima di procedere allaloro registrazione nel secondo sistema di riconoscimento facciale.

Ciò potrebbe verificarsi nell'esempio 4 in quanto l'utente non siaspetta che le immagini acquisite ai fini del controllo gestuale sianosottoposte a ulteriore trattamento. Se chiede il consenso per un trattamento a piùlungo termine (ossia in un arco di tempo o durante i giochi), il responsabiledel trattamento dei dati deve avvisare periodicamente gli utenti ricordandoloro che il sistema è in funzione e sarà disattivato per default.

Il Parere 15/2011, sulla definizione di consenso esamina lequestioni della qualità, dell'accessibilità e della visibilità delleinformazioni attinenti al trattamento dei dati personali. Al riguardo sostieneche:

"le informazioni devono essere fornite direttamente agliindividui interessati. Non è sufficiente che le informazioni siano"disponibili" da qualche parte."

Pertanto, le informazioni relative al riconoscimento facciale diun servizio online o mobile non devono essere nascoste, ma essere presentate inmodo facilmente accessibile e comprensibile. Ciò implica anche assicurare chele telecamere non funzionino all'insaputa dell'utente. I responsabili deltrattamento dovrebbero tener conto delle ragionevoli aspettative di privacy daparte del pubblico quando applicano le tecnologie di riconoscimento facciale edare adeguata risposta a queste preoccupazioni.

In tale contesto, il consenso per la registrazione non può esseredesunto dall'accettazione generale dell'utente delle condizioni generali delservizio a meno che lo scopo principale del servizio non debba implicare ilriconoscimento facciale. Il motivo è che, nella maggior parte dei casi, laregistrazione costituirà un'ulteriore funzionalità non direttamente legata alfunzionamento del servizio online o mobile. Gli utilizzatori non si aspettanonecessariamente che questa funzionalità sia attivata quando utilizzano ilservizio. A tal fine, si dovrebbe pertanto esplicitamente dare agli utenti lapossibilità di fornire il loro consenso per questo dispositivo durante laregistrazione oppure a una data successiva, a seconda del momento in cui talefunzionalità è introdotta.

Al fine di esaminare se l'autorizzazione è valida, informazioniadeguate circa il trattamento dei dati devono essere state comunicate. Gliutenti dovrebbero sempre avere la possibilità di revocare il proprio consensoin modo semplice. Una volta che l'autorizzazione è revocata il trattamento diimmagini ai fini del riconoscimento facciale dovrebbe essere sospesoimmediatamente.

5. Rischispecifici e raccomandazioni

I rischi per la privacy derivanti da un sistema di riconoscimentofacciale dipenderanno interamente dal tipo di trattamento e dalla sua finalità.Esistono tuttavia alcuni rischi che meritano più attenzione in fasi specifichedel riconoscimento facciale. La seguente sezione mette in evidenza i principalirischi e formula raccomandazioni di migliori pratiche.

5.1. Trattamento illecito ai fini diriconoscimento facciale

In un ambiente online, le immagini possono essere acquisite dalresponsabile dei dati in molti modi, a seconda se sono fornite dagli utenti delservizio online o mobile, dai loro amici e colleghi o da un terzo. Le immaginipossono contenere i volti degli utenti e/o altri utilizzatori registrati o nonregistrati o essere acquisite all'insaputa dell'interessato. Indipendentementedalla modalità di acquisizione delle immagini è necessario disporre di una basegiuridica per procedere al loro trattamento.

Raccomandazione 1:

Se acquisiscel'immagine direttamente (ad esempio come negli esempi 2 e 4), il responsabiledel trattamento dei dati deve assicurarsi di disporre di una validaautorizzazione da parte degli interessati prima dell'acquisizione delleimmagini e indicare in modo sufficientemente chiaro quando una videocamera è infunzione ai fini del riconoscimento facciale.

Raccomandazione 2:

Se i privatiacquisiscono immagini digitali e le caricano nei servizi online e mobili aifini di riconoscimento facciale, il responsabile del trattamento dei dati deveassicurarsi che gli utilizzatori che hanno caricato online le immagini abbianoacconsentito al trattamento delle immagini, che può essere effettuato ai finidi riconoscimento facciale.

Raccomandazione 3:

Se iresponsabili del trattamento acquisiscono da terzi immagini digitali cherappresentano persone (ad esempio immagini copiate da un sito web o acquistateda un altro responsabile del trattamento dei dati), essi devono verificareattentamente la fonte e il contesto in cui le immagini originali sono stateacquisite e assicurarsi che il relativo trattamento non è stato effettuatosenza il previo consenso delle persone interessate.

Raccomandazione4:

I responsabilidel trattamento dei dati devono garantire che le immagini digitali e i modellisiano utilizzati esclusivamente allo scopo per il quale sono stati forniti.Spetta a loro porre in atto controlli tecnici al fine di ridurre il rischio chele immagini digitali subiscano ulteriori trattamenti da parte di terzi perfinalità non autorizzate dall'utente. I responsabili del trattamento dovrebberomettere a disposizione degli utenti strumenti che permettano loro dicontrollare la visibilità delle immagini che hanno caricato, proponendo comeimpostazione predefinita un accesso ristretto da parte di terzi.

Raccomandazione 5:

I responsabilidel trattamento dei dati devono garantire che non tratteranno le immaginidigitali di persone che non siano utenti registrati del servizio o che nonabbiano altrimenti dato il loro consenso se non unicamente nella misura in cuihanno un legittimo interesse a tale trattamento. Ad esempio, nel casodell'esempio 1, dovranno mettere fine al trattamento e procedere allacancellazione di tutti i dati quando non risulta alcuna corrispondenza nellabase dati di riferimento.

Violazione della sicurezza dei datidurante il trasferimento

In caso di i servizi online e mobili è probabile che vi sarannotrasferimenti di dati tra l'acquisizione delle immagini e le altre fasi deltrattamento (ad esempio, il caricamento di un'immagine da una videocamera di unsito web per estrazione delle caratteristiche e confronto).

Raccomandazione 6:

Il responsabile dei dati deve prendere leopportune misure per garantire la sicurezza dei trasferimento dei dati. Ciò puòconsistere nel criptare i canali di comunicazione o l'immagine acquisita. Ovepossibile, e in particolare nel caso di autenticazione/verifica dovrebbe essereprivilegiato un trattamento locale.

5.2. Individuazione di un volto,normalizzazione, estrazione delle caratteristiche

Conservazione del minor numero di dati:

I modelli generati da un sistema di riconoscimento faccialepossono contenere una maggiore quantità di dati rispetto a quanto necessarioper la finalità specificata.

Raccomandazione 7:

I responsabilidel trattamento dei dati devono garantire che i dati estratti da un'immaginedigitale per costruire un modello non siano eccessivi e contengano unicamentele informazioni richieste ai fini dell'utilizzo specificato, in modo da evitareogni eventuale ulteriore trattamento. I modelli non dovrebbero esseretrasferiti tra diversi sistemi di riconoscimento facciale.

Violazione della sicurezza dei datidurante l'archiviazione

Il processo di identificazione e autenticazione/verifica richiedeprobabilmente l'archiviazione del modello per l'uso in un successivo confronto.

Raccomandazione 8:

Il responsabiledel trattamento dei dati deve scegliere il luogo più appropriato perl'archiviazione dei dati, che può avvenire, tra l'altro, nel dispositivodell'utente o all'interno dei sistemi del responsabile del trattamento. Ilresponsabile del trattamento deve prendere le opportune misure per garantire lasicurezza dei dati archiviati, compresa la cifratura del modello. Non deveessere possibile ottenere accesso non autorizzato al modello o al luogo diarchiviazione. Soprattutto nel caso di riconoscimento facciale a fini diverifica, si possono usare tecniche di criptaggio biometrico; con questetecniche, la chiave crittografica è direttamente legata ai dati biometrici ed èricreata solo se il campione biometrico corretto è presentato direttamente inoccasione di una verifica, senza che siano conservati alcuna immagine o modello(in modo da formare un tipo di "biometria non rintracciabile.").

Accesso dell'interessato

Raccomandazione 9:

Ilresponsabile del trattamento dei dati deve mettere a disposizione degliinteressati meccanismi appropriati per esercitare il diritto di accesso, se delcaso, sia all'immagine originale, sia ai modelli generati nel contesto delriconoscimento facciale.

Fatto a Bruxelles, il 22 marzo 2012

Per il Gruppo di lavoro

Il presidente Jacob KOHNSTAMM

NOTE

1 L'identificazione,l'autenticazione/verifica e la categorizzazione sono definite nel Parere03/2012.

2 Estrazione olistica dellecaratteristiche: una rappresentazione matematica dell'intera immagine comerisulta dall'analisi dei principali componenti.

3 Estrazione delle caratteristichebasate sui tratti: localizzazione delle specifiche caratteristiche del voltoquali occhi, naso e bocca.

4 Nota anche come metodo di estrazioneibrido delle caratteristiche.

5 Il modello è definito nel Parere03/2012 come le "principali caratteristiche estratte da una forma grezza didati biometrici (ad esempio misurazioni da un'immagine del volto) e conservateper un trattamento successivo e non come dati grezzi in sé."

6 Un servizio di socializzazione inrete è sostanzialmente definito nel parere 5/2009 sui social network onlinecome "una piattaforma di comunicazione on-line che consente ad un utente dicreare reti di utenti che condividono i suoi stessi interessi o entrarne a farparte."

7 La definizione dei dati biometrici è tratta dal Parere 03/2012.

8 La giurisprudenza in alcuni paesi ha classificato immaginifacciali digitali come categorie particolari di dati – LJN BK6331 Altacorte neerlandese, 23 marzo 2010.

9 Cfr. parere 1/2010 sui concetti di"responsabile del trattamento" e "incaricato deltrattamento".