Cinque titolari del trattamento sono stati sanzionati per un uso non conforme del riconoscimento facciale in ambito lavorativo. La notizia arriva dall’ultima newsletter pubblicata dall’Autorità Garante per la Protezione dei Dati Personali il 28 marzo. Nella fattispecie, il trattamento era finalizzato al controllo delle presenze da parte dei lavoratori.
Il Garante: non esiste una norma che consenta l’uso di dati biometrici
Il Garante, nel motivare i provvedimenti sanzionatori, sottolinea come non esista, al momento, alcuna norma che consenta l’uso di dati biometrici, come prevede il Regolamento, per svolgere una tale attività. Per questo motivo sono state sanzionate cinque società, tutte operative presso il medesimo sito di smaltimento di rifiuti, con sanzioni da 70mila, 20mila, 6mila, 5mila e 2mila euro, per aver trattato in modo illecito i dati biometrici di un numero elevato di lavoratori.
Come si apprende sul sito dell’Autorità, l’intervento è avvenuto in seguito a diversi reclami da parte dei vari dipendenti e ha fatto emergere, tra le altre cose, una serie di particolari rischi per i diritti dei lavoratori connessi all’uso dei sistemi di riconoscimento facciale, alla luce delle norme e delle garanzie previste sia nell’ordinamento nazionale che in quello europeo.
I provvedimenti del Garante nel dettaglio
Dall’attività ispettiva del Garante, svolta in collaborazione con il Nucleo speciale privacy e frodi tecnologiche della Guardia di finanza, sono emerse anche ulteriori violazioni da parte delle società. In particolare, l’Autorità ha accertato che tre aziende avevano condiviso per più di un anno lo stesso sistema di rilevazione biometrica, senza aver adottato misure tecniche e di sicurezza adeguate. Inoltre, il medesimo sistema, ritenuto illecito dall’Autorità, era utilizzato presso altre nove sedi dove operava una delle società sanzionate. Le aziende, infine, non avevano fornito una informativa chiara e dettagliata ai lavoratori né avevano effettuato la valutazione d’impatto prevista dalla normativa.
Le aziende, ad avviso del Garante, avrebbero dovuto più opportunamente utilizzare sistemi meno invasivi per controllare la presenza dei propri dipendenti e collaboratori sul luogo di lavoro (come il badge). Oltre al pagamento delle sanzioni il Garante ha ordinato la cancellazione dei dati raccolti illecitamente.
Commento ai provvedimenti del Garante in fatto di riconoscimento facciale
Liceità, trasparenza, adeguatezza
Da quanto emerge, si possono cogliere numerosi spunti di riflessione, tutti riconducibili, in estrema sintesi ai principii del trattamento (art. 5 del GDPR).
In primo luogo, infatti, il Garante solleva la questione relativa alla liceità del trattamento, che impatta direttamente sulla scelta della base giuridica di riferimento: non esiste, infatti, alcuna norma cogente che imponga, in quei contesti lavorativi, un trattamento così invasivo. Questo si può facilmente collegare al principio di adeguatezza, pertinenza, proporzionalità e non eccedenza dei dati personali rispetto alle finalità perseguite, nel senso che l’assenza di una solida base giuridica fa cadere, in modo praticamente naturale, qualsiasi motivazione portata per sostenere la tesi secondo cui quel trattamento fosse necessario in una qualche misura: a ben vedere, infatti, per raggiungere lo stesso fine si possono usare sistemi e mettere in atto trattamenti di dati personali decisamente più semplici, meno invasivi, più garantisti e ugualmente efficaci.
Il punto, qui, riguarda l’abbondanza informativa rispetto a ciò che si voleva realizzare: davvero si aveva bisogno della geometria del viso, della distanza tra due punti del volto di una persona, per identificarla con estrema certezza e dire che “sì, effettivamente Tizio oggi è stato presente e quindi gli spetta la paga piena” o una qualsiasi altra considerazione o congettura? Nemmeno la più prudenziale risposta legata a motivi di sicurezza nazionale potrebbe portarci a dire il contrario.
Gestione del rischio
In seconda battuta, la tesi sanzionatoria del Garante ci riconduce al più generale approccio “risk oriented”, che mostra i suoi effetti anche con i richiami alla privacy by design, al coinvolgimento degli interessati e dei portatori d’interesse e non solo alla valutazione del rischio in senso stretto. È vero che si potrebbe eccepire che i sistemi di controllo degli accessi e delle presenze sono al di fuori del perimetro di applicazione dell’art. 4 dello Statuto dei Lavoratori, ragione per la quale si potrebbe sostenere che non fosse dovuto alcun coinvolgimento delle rappresentanze sindacali o dell’Ispettorato Nazionale del Lavoro, ma questa posizione è molto poco difendibile, se ci si sofferma a riflettere sul fatto che le tecniche di valutazione del rischio prevedono, quantomeno in fase di raccolta delle informazioni iniziali, di coinvolgere tutte le parti in causa, attraverso interviste, questionari o brainstorming, per esempio.
Quest’attività, che appare ragionevolmente fattibile in quel contesto, facendo escludere l’esimente secondo cui il titolare del trattamento può non raccogliere l’opinione degli interessati in sede di DPIA se ciò è oggettivamente difficoltoso, oltre a creare maggiore consapevolezza e trasparenza nei confronti degli interessati, avrebbe certamente potuto portare in tempi brevi a rendersi conto che il trattamento fosse eccessivo e foriero di rischi evitabilissimi e potenzialmente elevati, considerando che era fatto su larga scala, con dati sensibili e nei riguardi di soggetti deboli e meritevoli di particolari tutele e garanzie, e avrebbe potuto certamente spingere i titolari del trattamento a chiedersi se esistesse una soluzione meno molesta e più sicura per i diritti e le libertà degli interessati, come quella suggerita dal Garante (il badge).
Impatto dell’intelligenza artificiale sul riconoscimento facciale
Viene da chiedersi, poi, anche alla luce delle recenti disposizioni relative all’AI Act e tenendo in considerazione che il riconoscimento facciale presuppone l’uso intrinseco di sistemi di rilevazione video e di computer vision, che evoluzione potrebbe seguire questo tipo di trattamento di dati nei prossimi anni.
Il riconoscimento facciale, infatti, è uno processo complesso che consente di identificare o confermare l’identità di una persona a partire dal suo viso e che si fonda sul coordinamento di varie tecnologie che partono dal rilevamento del volto tramite una telecamera, muovono attraverso l’analisi del viso (l’immagine viene catturata e confrontate con un’altra immagine e un software esamina la geometria del volto, considerando fattori come la distanza fra gli occhi, la profondità delle orbite, la distanza tra la fronte e il mento, la forma degli zigomi e il contorno di labbra, occhi e mento, fattori fondamentali per distinguere un volto unico) e giungono alla conversione dell’immagine in un “faceprint” che viene poi confrontato con gli altri faceprint disponibili nel database di riferimento, stabilendo un eventuale riconoscimento dell’individuo.
Tecnicamente, quindi, si è partiti da un “semplice” software basato solo sulla geometria del volto, ma si è arrivati all’utilizzo dell’intelligenza artificiale, in particolare quella che sfrutta il machine learning per creare sistemi di categorizzazione biometrica basati su caratteristiche sensibili e sull’estrapolazione indiscriminata di immagini facciali.
Considerando che il prossimo Regolamento sull’intelligenza artificiale prevede che vengano messe al bando alcune applicazioni di AI che minacciano i diritti dei cittadini, tra cui i sistemi di telecamere a circuito chiuso per creare banche dati di riconoscimento facciale, c’è da aspettarsi che una pratica come quella sanzionata dal Garante sia assolutamente vietata, come anche già esplicitato dal Parlamento Europeo nel comunicato stampa con cui annunciava l’approvazione della bozza dell’AI Act.
