Acquisizione di dati biometrici: un provvedimento che fa storia

dati biometrici
«Ho letto di una sanzione del Garante per la privacy alla società ClearView per l’utilizzo del riconoscimento biometrico. Di cosa si tratta?», chiede un lettore di Sicurezza.

Risponde Gianluca Pomante, avvocato cassazionista esperto di Data Protection.

La società ClearView è una start up USA innovativa che ha creato un immenso database di immagini e raccolte su Internet, dalle quali ha tratto i dati biometrici dei volti di milioni di persone, con lo scopo di offrire il servizio di riconoscimento facciale alle aziende interessate al suo utilizzo per il controllo degli accessi o altre forme di verifica dell’identità, nei Paesi in cui tale attività è consentita.

Impianti di videosorveglianza con sistemi di riconoscimento biometrico in Italia

In Italia, la Legge 205/2021, conversione del Decreto Legge 8 marzo 2021 n. 139, ha stabilito, con l’art. 9, che l’installazione e l’utilizzazione di impianti di videosorveglianza con sistemi di riconoscimento facciale operanti attraverso l’uso dei dati biometrici, in luoghi pubblici o aperti al pubblico, da parte delle autorità pubbliche o di soggetti privati, sono sospese fino all’entrata in vigore di una disciplina legislativa della materia e comunque non oltre il 31 dicembre 2023”.

La disposizione non si applica agli impianti di videosorveglianza che non usano i sistemi di riconoscimento facciale e che sono conformi alla normativa vigente. Uniche eccezioni, gli interventi della Magistratura nell’esercizio delle funzioni giurisdizionali e, previa acquisizione di parere favorevole da parte dell’autorità Garante per la protezione dei dati personali, le attività svolte dalle autorità preposte alla prevenzione e repressione dei reati e all’esecuzione delle sanzioni penali.

Acquisizione dei dati biometrici, il provvedimento del Garante nei confronti di ClearView

Il provvedimento del Garante nei confronti della società ClearView riguarda l’acquisizione, senza limiti e senza consenso degli interessati, di immagini disponibili su Internet e riferibili a persone fisiche, che non sono state neppure informate di tale attività da parte dell’azienda, circostanza che ha indotto l’autorità Garante per prima cosa ad aprire un’istruttoria e, successivamente, dopo lo scambio di copiosa corrispondenza, a irrogare una sanzione di 20 milioni di euro per il mancato rispetto dei principi enunciati dal Reg. UE 679/2016, in palese violazione dei diritti e delle libertà dei cittadini italiani interessati dal trattamento.

L’attività istruttoria del Garante ha infatti permesso di accertare che l’attività della società è ben più ampia di quella dichiarata, poiché il servizio di ricerca, grazie a sistemi di Intelligenza Artificiale, consente la creazione di profili basati sui dati biometrici estratti dalle immagini, arricchiti da altre informazioni a esse correlate: titolo e geolocalizzazione della foto, pagina web di pubblicazione, altre informazioni disponibili in rete (social network, Youtube ecc.). Un vero e proprio meccanismo di schedatura massiva, estremamente invasivo in quanto finalizzato al riconoscimento biometrico.

Il provvedimento, unico nel suo genere (almeno per ora), è consultabile sul sito dell’autorità Garante italiana.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome