GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI. Parere 16/2011 relativo al riconoscimento facciale nell ambito dei servizi online e mobili

Transcript

1 GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI 00727/12/IT WP 192 Parere 16/2011 relativo al riconoscimento facciale nell ambito dei servizi online e mobili adottato il 22 marzo 2012 Il Gruppo di lavoro è stato istituito in virtù dell articolo 29 della direttiva 95/46/CE. È l organo consultivo indipendente dell UE per la protezione dei dati personali e della vita privata. I suoi compiti sono fissati all articolo 30 della direttiva 95/46/CE e all articolo 15 della direttiva 2002/58/CE. Le funzioni di segreteria sono espletate dalla direzione C (Diritti fondamentali e cittadinanza dell'unione) della Commissione europea, direzione generale Giustizia, B Bruxelles, Belgio, ufficio MO-59 02/013. Sito internet: [NdT] Ai fini del presente parere, con responsabile del trattamento e con incaricato del trattamento si intendono rispettivamente il titolare e il responsabile di cui all articolo 4, lettera f) e lettera g) del decreto legislativo 30 giugno 2003, n. 196 (codice in materia di protezione dei dati personali).

2 1. Introduzione Gli ultimi anni sono stati caratterizzati da un rapido aumento nella disponibilità e accuratezza della tecnologia di riconoscimento facciale, che è stata inoltre integrata nei servizi on-line e nei dispositivi mobili ai fini di identificazione, autenticazione/verifica o categorizzazione delle persone. Questa tecnologia, un tempo fantascienza, è ora disponibile alle organizzazioni sia pubbliche che private. Esempi dell utilizzo nei servizi online e mobili includono le reti sociali e i produttori di smartphone. La capacità di rilevare automaticamente dati e di riconoscere un volto a partire da un immagine digitale è già stata esaminata dal Gruppo Articolo 29 nel documento di lavoro (WP80) dedicato alla biometria e nel parere pubblicato recentemente (03/2012 WP193) sugli sviluppi delle tecnologie biometriche. Il riconoscimento facciale è considerato nell ambito dei dati biometrici giacché, in molti casi, contiene sufficienti dettagli per consentire l identificazione univoca di una persona. Il parere 03/2012 osserva: [la biometria ] consente in modo automatico di localizzare, monitorare o determinare il profilo delle persone e in quanto tale il suo potenziale impatto sulla vita privata e il diritto alla protezione dei dati personali è elevato. Tale osservazione risulta particolarmente vera nel caso delle tecniche di riconoscimento facciale nei servizi on-line e mobili, che consentono di riprendere le immagini di una persona (con o senza che questa ne sia consapevole) e trasmetterle poi a un server remoto ai fini di un ulteriore trattamento. I servizi online, molti dei quali sono gestiti dalle organizzazioni private che ne sono proprietarie, hanno acquisito ampie raccolte di immagini caricate online dagli stessi interessati. In alcuni casi tali immagini possono anche essere ottenute illegalmente rastrellando immagini da altri siti pubblici, ad esempio le memorie di transito dei motori di ricerca. I piccoli apparecchi mobili dotati di telecamere ad alta risoluzione consentono agli utenti di riprendere immagini e di trasmetterle in tempo reale ai servizi online grazie a connessioni permanenti. Di conseguenza gli utenti sono in grado di condividere con altri tali immagini o di eseguire operazioni di identificazione, autenticazione/verifica o categorizzazione per accedere ad informazioni supplementari sulla persona, conosciuta o sconosciuta, che hanno di fronte. Il riconoscimento facciale per i servizi online e mobili richiede pertanto un attenzione specifica da parte del WP29 poiché l uso di tale tecnologia suscita molteplici preoccupazione in termini di protezione dei dati. Il presente parere mira a esaminare il quadro giuridico e a formulare opportune raccomandazioni applicabili alla tecnologia di riconoscimento facciale utilizzata nel contesto dei servizi online e mobili. Il presente parere è rivolto alle autorità europea e nazionali di regolamentazione, ai responsabili del trattamento dei dati e gli utilizzatori di tali tecnologie. Il parere non intende ripetere i principi espressi nel Parere 03/2012, ma piuttosto ispirarsi ad essi e svilupparli nell ambito dei servizi online e mobili. 2. Definizioni La tecnologia di riconoscimento facciale non è nuova ed esistono in materia varie definizioni e interpretazioni della terminologia. È pertanto utile definire chiaramente la tecnologia oggetto del presente parere. 1

3 Immagine digitale: l immagine digitale è la rappresentazione in forma digitale di una immagine bidimensionale. Tuttavia, i recenti progressi nella tecnologia di riconoscimento facciale richiedono anche l integrazione di immagini tridimensionali, in aggiunta alle immagini fisse e in movimento (fotografie, filmati e video registrati in diretta). Riconoscimento facciale: il riconoscimento facciale è il trattamento automatico di immagini digitali che contengono i volti di persone ai fini di identificazione, autenticazione/verifica o categorizzazione 1 di tali persone. Il processo di riconoscimento facciale si compone di alcuni distinti sottoprocessi: a) acquisizione dell immagine: il processo di rilevamento dei tratti del volto di una persona e la conversione in formato digitale (l immagine digitale). Nell ambito di un servizio online e mobile l immagine può essere stata acquisita attraverso un sistema diverso, ad esempio ripresa con una macchina fotografica digitale e quindi trasferita a un servizio online; b) individuazione di un volto: il processo di individuazione della presenza di un volto all interno di un immagine digitale e la marcatura dell area corrispondente; c) normalizzazione: il processo di attenuazione delle variazioni all interno delle regioni del volto individuate, ad esempio la conversione a una dimensione standard, la rotazione o l allineamento delle distribuzioni del colore; d) estrazione di caratteristiche: il processo finalizzato a isolare ed estrarre le caratteristiche riproducibili e distintive dell immagine digitale di una persona. L estrazione delle caratteristiche può essere olistica 2, basata sui tratti 3, o una combinazione dei due metodi 4. L insieme delle caratteristiche essenziali può essere conservato per un successivo confronto in un modello di riferimento 5 ;. e) registrazione: la prima volta che una persona di sottopone ad un sistema di riconoscimento facciale, la sua immagine e/o il modello di riferimento possono essere conservati come elementi per un successivo confronto; f) confronto: il processo che misura le somiglianze tra una serie di caratteristiche (del campione) con una serie di caratteristiche già registrate nel sistema. Le principali finalità del confronto sono l identificazione e l autenticazione/verifica. Una terza finalità del confronto è la categorizzazione, che consiste nell estrarre le caratteristiche dall immagine di una persona al fine di classificare questa persona in una o più grandi categorie (ad esempio età, sesso, colore dell abbigliamento, ecc.) Non è necessario che un sistema di categorizzazione disponga di un processo di registrazione L identificazione, l autenticazione/verifica e la categorizzazione sono definite nel Parere 03/2012. Estrazione olistica delle caratteristiche: una rappresentazione matematica dell intera immagine come risulta dall analisi dei principali componenti. Estrazione delle caratteristiche basate sui tratti: localizzazione delle specifiche caratteristiche del volto quali occhi, naso e bocca. Nota anche come metodo di estrazione ibrido delle caratteristiche. Il modello è definito nel Parere 03/2012 come le principali caratteristiche estratte da una forma grezza di dati biometrici (ad esempio misurazioni da un immagine del volto) e conservate per un trattamento successivo e non come dati grezzi in sé. 2

4 3. Esempi di tecniche di riconoscimento facciale nell ambito dei servizi online e mobili Il riconoscimento facciale può essere incorporato nei servizi online e mobili in vari modi e per varie finalità. Nel contesto del presente parere, il gruppo di lavoro si concentra su una serie di esempi diversi che mirano a fornire un ulteriore contesto per l analisi giuridica ed a includere l uso delle tecniche di riconoscimento facciale ai fini di identificazione, autenticazione/verifica e categorizzazione Riconoscimento facciale quale mezzo di identificazione Esempio 1: Un servizio di social network 6 (SNS) permette ai propri utenti di allegare un immagine digitale al loro profilo. Inoltre gli utenti sono in grado di caricare immagini da condividere con altri utenti registrati o non registrati. Gli utenti registrati possono identificare e taggare manualmente altre persone (che possono essere utenti registrati o no) all interno delle immagini che caricano. Tali "etichette (tag) possono essere visualizzate da chi le ha create, condivise con un ampio gruppo di amici o comunicate a tutti gli utenti registrati o non registrati. Il servizio di social network è in grado di taggare le immagini per creare un modello di riferimento per ciascun utente registrato e, attraverso l uso di un sistema di riconoscimento facciale, propone automaticamente di taggare le nuove immagini quando vengono caricate. Le immagini delle persone che sono rese accessibili al pubblico dagli utenti potrebbero successivamente essere rilevate e memorizzate temporaneamente da un motore di ricerca Internet. Il motore di ricerca potrebbe cercare di sviluppare la sua funzionalità di ricerca consentendo agli utenti di fornire l immagine di una persona e restituendo come risultato le concordanze più somiglianti, con un collegamento alla pagina del social network contenente i profili utenti. L immagine immessa potrebbe essere ripresa direttamente con la macchina fotografica incorporata in uno smartphone Riconoscimento facciale quale mezzo di autenticazione/verifica Esempio 2: Un sistema di riconoscimento facciale è utilizzato al posto dei dati di login/password ai fini del controllo dell accesso ad un servizio o dispositivo mobile o online. Nel corso della registrazione, una macchina fotografica incorporata nel dispositivo è utilizzata per acquisire l immagine di un utente autorizzato del dispositivo e viene creato un modello di riferimento che può essere archiviato sul dispositivo o a distanza dal servizio online. Per accedere al servizio o al dispositivo, la persona che chiede l accesso è nuovamente fotografata e la sua immagine è confrontata con l immagine di riferimento. L accesso è autorizzato se il sistema stabilisce una corrispondenza positiva Riconoscimento facciale quale mezzo di categorizzazione Esempio 3: Il servizio di social network di cui all esempio 1 può accordare accesso su licenza alla galleria di immagini ad un terzo che gestisce un servizio online di riconoscimento facciale. Il servizio consente ai clienti del terzo operatore di integrare la tecnologia di riconoscimento facciale in altri prodotti. La funzionalità consente a detti altri prodotti di sottoporre immagini di persone allo scopo di individuare e categorizzare i loro volti secondo un insieme di criteri predefiniti, ad esempio età, sesso e l umore. 6 Un servizio di socializzazione in rete è sostanzialmente definito nel parere 5/2009 sui social network online come una piattaforma di comunicazione on-line che consente ad un utente di creare reti di utenti che condividono i suoi stessi interessi o entrarne a far parte. 3

5 Esempio 4: Una console di gioco utilizza un sistema di controllo gestuale che individua i movimenti dell utilizzatore in modo da controllare il gioco. La o le telecamere utilizzate per il sistema di controllo gestuale condividono le immagini di persone con un sistema di riconoscimento facciale che suggerisce l età probabile, il sesso e l umore del giocatore. I dati, che si aggiungono a quelli provenienti da altri fattori multimodali, possono alterare l andamento del gioco per arricchire l esperienza del giocatore o per modificare l ambiente in funzione del profilo suggerito dell utente. In modo analogo, un sistema potrebbe classificare gli utenti per consentire o negare l accesso a certi contenuti in funzione dell età dell utente o per inserire nel gioco pubblicità mirate. 4. Quadro normativo Il quadro giuridico di riferimento per il riconoscimento facciale è la direttiva sulla tutela dei dati (95/46/CE), che è stata discussa in quest ottica nel Parere 03/2012. La presente sezione mira solo a fornire una sintesi del quadro giuridico nel contesto delle tecniche di riconoscimento facciale per i servizi online e mobili, sulla base degli esempi forniti nella sezione 3. Altri esempi delle tecniche di riconoscimento facciale sono esaminati nel Parere 03/ Immagini digitali come dati personali Quando l immagine digitale contiene il volto, chiaramente visibile, di una persona che può essere identificata, dovrebbe essere considerata dato personale. Ciò dipende da numerosi parametri quali la qualità dell immagine o la particolare angolatura della ripresa. Le immagini di scene contenenti persone visibili in lontananza, o in cui i volti sono sfocati, non sono probabilmente considerate dati personali nella maggior parte dei casi. Va tuttavia ricordato che tali immagini digitali possono contenere i dati personali di più di un individuo (per esempio, nell esempio 4, più giocatori potevano rientrare nell inquadratura), e che la presenza di altre persone in una fotografia può suggerire una relazione esistente. Il Parere 04/2007 sul concetto di dati personali ribadisce l idea che, se i dati concernenti una persona si riferiscono alle caratteristiche o al comportamento di questa persona, o se tali informazioni vengono impiegate per stabilire o influenzare il modo in cui quella persona viene trattata o valutata, anche tali dati saranno considerati dati personali. Per definizione, anche un modello di riferimento creato da un immagine di una persona è un dato personale se contiene una serie di caratteristiche distintive del volto di una persona che sono quindi collegate a uno specifico individuo e conservate per servire da riferimento ai fini di un confronto futuro per l identificazione e l autenticazione/verifica. Un modello o un insieme di caratteristiche distintive utilizzati solo in un sistema di categorizzazione non dovrebbero, in generale, contenere informazioni sufficienti per identificare una persona, bensì dovrebbero contenere solo informazioni sufficienti per effettuare la categorizzazione (ad esempio in base al sesso femminile o maschile). In questo caso, non si tratterebbe di dati personali a condizione che il modello (o il risultato) non sia associato alla registrazione, al profilo, o all immagine originale (che continuano ad essere considerati dati personali) di una persona. Inoltre, atteso che le immagini digitali delle persone e i modelli riguardano le proprietà biologiche, caratteristiche fisiologiche, tratti biologici o azioni ripetibili laddove tali caratteristiche e/o azioni sono tanto proprie di un certo individuo quanto misurabili 7, essi devono essere considerati dati biometrici. 7 La definizione dei dati biometrici è tratta dal Parere 03/

6 4.2. Immagini digitali come categorie particolari di dati personali Le immagini digitali delle persone fisiche possono, in determinati casi, essere considerate una categoria speciale di dati personali 8. Segnatamente, quando le immagini digitali delle persone o i modelli sono ulteriormente trattati per ottenere categorie particolari di dati, esse dovrebbero certamente essere considerate in questa categoria. Ad esempio, se sono destinate ad essere utilizzate per estrarre informazioni relative all origine etnica, alla religione o alla salute Trattamento dei dati personali nel contesto di un sistema di riconoscimento facciale Come si è detto precedentemente, il riconoscimento facciale si basa su una serie di fasi di trattamento automatizzato. Pertanto, il riconoscimento facciale costituisce una forma di trattamento automatizzato di dati di carattere personale, compresi i dati biometrici. Mediante l uso di dati biometrici, i sistemi di riconoscimento facciale possono essere sottoposti a controlli aggiuntivi o ad altre normative nei singoli Stati membri, ad esempio in materia di autorizzazione preventiva o di diritto del lavoro. L uso di dati biometrici in un contesto lavorativo è ulteriormente approfondito nel Parere 03/ Responsabile del trattamento dei dati Sulla base degli esempi forniti, i responsabili del trattamento dei dati saranno generalmente i proprietari dei siti e/o fornitori di servizi online e gli operatori di applicazioni mobili che praticano il riconoscimento facciale in quanto determinano gli scopi e/o gli strumenti del trattamento 9. Ciò comprende la conclusione formulata nel Parere 5/2009 sui social network on-line che stabilisce che i fornitori di SNS sono i responsabili del trattamento ai sensi della direttiva sulla protezione dei dati" Motivo legittimo La direttiva 95/46/CE stabilisce le condizioni che il trattamento dei dati personali deve rispettare. Ciò significa che il trattamento deve essere conforme alle prescrizioni in tema di qualità dei dati (articolo 6). In questo caso l immagine digitale delle persone e i rispettivi modelli devono essere pertinenti" e "non eccedenti" rispetto alle finalità di trattamento ai fini del riconoscimento facciale. Inoltre, il trattamento può essere effettuato soltanto quando è soddisfatto uno dei criteri di cui all articolo 7. In considerazione dei particolari rischi inerenti ai dati biometrici, il trattamento di immagini digitali a fini di riconoscimento facciale richiederà pertanto il consenso informato preliminare della persona interessata. Tuttavia, in alcuni casi, il responsabile del trattamento dei dati può temporaneamente avere necessità di procedere ad alcune fasi del trattamento ai fini del riconoscimento facciale, in particolare al fine di verificare se un utente ha fornito l assenso che deve servire da base giuridica per il trattamento. Questo trattamento iniziale (ossia, acquisizione dell immagine, individuazione del volto, confronto, ecc.) può in tal caso avere una base giuridica distinta, segnatamente l interesse legittimo del responsabile del trattamento di rispettare le norme sulla protezione dei dati. I dati trattati durante queste fasi dovrebbero essere utilizzati solo per le finalità rigorosamente limitate a verificare il consenso dell utente e dovrebbero essere quindi cancellati immediatamente dopo. 8 9 La giurisprudenza in alcuni paesi ha classificato immagini facciali digitali come categorie particolari di dati LJN BK6331 Alta corte neerlandese, 23 marzo Cfr. parere 1/2010 sui concetti di "responsabile del trattamento" e "incaricato del trattamento". 5

7 Nell esempio 1, il responsabile del trattamento ha stabilito che tutte le nuove immagini caricate dagli utenti registrati dell SNS devono essere sottoposte a individuazione di un volto, estrazione delle caratteristiche e confronto. Solo gli utenti registrati che hanno un modello di riferimento archiviato nella banca dati di identificazione troveranno corrispondenza con queste nuove immagini e quindi avranno un etichetta suggerita automaticamente. Se il consenso dei singoli dovesse essere considerato l unica possibile base legittima per il trattamento, l intero servizio sarebbe bloccato in quanto, ad esempio, non vi è modo di ottenere il consenso di utenti non registrati i cui dati personali potrebbero essere trattati durante le fasi di individuazione di un volto e dell estrazione delle caratteristiche. Inoltre non sarebbe possibile distinguere tra i volti di utenti registrati che hanno o non hanno dato il loro consenso senza aver dapprima eseguito il riconoscimento facciale. Solo dopo l identificazione (o il mancato riconoscimento), un responsabile dei dati sarebbe in grado di determinare se dispone dell adeguato consenso per il trattamento specifico. Prima di caricare un immagine nella rete sociale l utente registrato deve essere chiaramente informato del fatto che queste immagini saranno oggetto di un sistema di riconoscimento facciale. Soprattutto, gli utenti registrati dovranno anche avere la possibilità di indicare se accettano che il loro modello di riferimento sia registrato nella banca dati d identificazione. Non sarà automaticamente proposto di taggare il nome degli utenti non registrati e degli utenti registrati che non hanno acconsentito al trattamento, perché le immagini in cui appaiono produrranno un risultato di no match. Il consenso accordato da chi carica l immagine online non deve essere confuso con la base legittima necessaria per il trattamento dei dati personali delle altre persone che eventualmente figurino nell immagine. A tal fine, il responsabile del trattamento dei dati può decidere di applicare un diverso motivo legittimo per procedere al trattamento nelle fasi intermedie (individuazione di un volto, normalizzazione e confronto), effettuate nel suo interesse legittimo, a condizione che siano stati adottati sufficienti restrizioni e controlli per tutelare i diritti e le libertà fondamentali degli interessati diversi da chi ha caricato l immagine. Tali controlli dovrebbero comprendere anche la verifica che nessun dato derivante dal trattamento venga conservato una volta ottenuto il risultato no-match (ossia che tutti i modelli e i relativi dati siano correttamente cancellati). Il responsabile del trattamento dei dati può inoltre decidere di fornire ai suoi utenti che caricano immagini strumenti che consentono di rendere sfocato il viso di quelle persone per le quali non si ha corrispondenza nella base dati di riferimento. La registrazione del modello di una persona in una banca dati di identificazione (che consente di ottenere successivamente una corrispondenza e proposte di etichettatura) sarebbe possibile solo con il consenso informato dell interessato. Nell esempio 2, esiste chiaramente la possibilità di ottenere il consenso della persona autorizzata ad accedere al dispositivo durante il processo di registrazione. Perché il consenso sia valido, deve essere installato un sistema di controllo d accesso alternativo e altrettanto sicuro (ad esempio una forte password). Questa opzione alternativa più rispettosa della privacy deve essere proposta come impostazione predefinita. In tal modo, se un utente si presenta davanti ad una macchina fotografica collegata al dispositivo allo scopo esplicito di ottenere l accesso, si ritiene che questa persona abbia fornito il consenso per il successivo trattamento dei dati facciali necessari per l autenticazione, anche se tale persona non è un utente autorizzato del dispositivo. Tuttavia, il livello delle informazioni fornite deve essere sufficiente a garantire la validità del consenso. L ulteriore inserimento nell archivio fotografico del SNS descritto nell esempio 3 configurerebbe un chiaro caso di violazione della limitazione delle finalità e pertanto è necessario ottenere un valido consenso prima dell introduzione di tale funzionalità, che 6

8 segnali chiaramente che sarà effettuato tale trattamento di immagini. Lo stesso vale per il caso del motore di ricerca descritto nell esempio 1. Le immagini ottenute dal motore di ricerca sono state esposte per essere consultate, e non acquisite da un sistema di riconoscimento facciale. Il gestore del motore di ricerca dovrebbe essere tenuto ad ottenere l autorizzazione dagli interessati prima di procedere alla loro registrazione nel secondo sistema di riconoscimento facciale. Ciò potrebbe verificarsi nell esempio 4 in quanto l utente non si aspetta che le immagini acquisite ai fini del controllo gestuale siano sottoposte a ulteriore trattamento. Se chiede il consenso per un trattamento a più lungo termine (ossia in un arco di tempo o durante i giochi), il responsabile del trattamento dei dati deve avvisare periodicamente gli utenti ricordando loro che il sistema è in funzione e sarà disattivato per default. Il Parere 15/2011, sulla definizione di consenso esamina le questioni della qualità, dell accessibilità e della visibilità delle informazioni attinenti al trattamento dei dati personali. Al riguardo sostiene che: le informazioni devono essere fornite direttamente agli individui interessati. Non è sufficiente che le informazioni siano disponibili da qualche parte. Pertanto, le informazioni relative al riconoscimento facciale di un servizio online o mobile non devono essere nascoste, ma essere presentate in modo facilmente accessibile e comprensibile. Ciò implica anche assicurare che le telecamere non funzionino all insaputa dell utente. I responsabili del trattamento dovrebbero tener conto delle ragionevoli aspettative di privacy da parte del pubblico quando applicano le tecnologie di riconoscimento facciale e dare adeguata risposta a queste preoccupazioni. In tale contesto, il consenso per la registrazione non può essere desunto dall accettazione generale dell utente delle condizioni generali del servizio a meno che lo scopo principale del servizio non debba implicare il riconoscimento facciale. Il motivo è che, nella maggior parte dei casi, la registrazione costituirà un ulteriore funzionalità non direttamente legata al funzionamento del servizio online o mobile. Gli utilizzatori non si aspettano necessariamente che questa funzionalità sia attivata quando utilizzano il servizio. A tal fine, si dovrebbe pertanto esplicitamente dare agli utenti la possibilità di fornire il loro consenso per questo dispositivo durante la registrazione oppure a una data successiva, a seconda del momento in cui tale funzionalità è introdotta. Al fine di esaminare se l autorizzazione è valida, informazioni adeguate circa il trattamento dei dati devono essere state comunicate. Gli utenti dovrebbero sempre avere la possibilità di revocare il proprio consenso in modo semplice. Una volta che l autorizzazione è revocata il trattamento di immagini ai fini del riconoscimento facciale dovrebbe essere sospeso immediatamente. 5. Rischi specifici e raccomandazioni I rischi per la privacy derivanti da un sistema di riconoscimento facciale dipenderanno interamente dal tipo di trattamento e dalla sua finalità. Esistono tuttavia alcuni rischi che meritano più attenzione in fasi specifiche del riconoscimento facciale. La seguente sezione mette in evidenza i principali rischi e formula raccomandazioni di migliori pratiche. 7

9 5.1. Trattamento illecito ai fini di riconoscimento facciale In un ambiente online, le immagini possono essere acquisite dal responsabile dei dati in molti modi, a seconda se sono fornite dagli utenti del servizio online o mobile, dai loro amici e colleghi o da un terzo. Le immagini possono contenere i volti degli utenti e/o altri utilizzatori registrati o non registrati o essere acquisite all insaputa dell interessato. Indipendentemente dalla modalità di acquisizione delle immagini è necessario disporre di una base giuridica per procedere al loro trattamento. Raccomandazione 1: Se acquisisce l immagine direttamente (ad esempio come negli esempi 2 e 4), il responsabile del trattamento dei dati deve assicurarsi di disporre di una valida autorizzazione da parte degli interessati prima dell acquisizione delle immagini e indicare in modo sufficientemente chiaro quando una videocamera è in funzione ai fini del riconoscimento facciale. Raccomandazione 2: Se i privati acquisiscono immagini digitali e le caricano nei servizi online e mobili ai fini di riconoscimento facciale, il responsabile del trattamento dei dati deve assicurarsi che gli utilizzatori che hanno caricato online le immagini abbiano acconsentito al trattamento delle immagini, che può essere effettuato ai fini di riconoscimento facciale. Raccomandazione 3: Se i responsabili del trattamento acquisiscono da terzi immagini digitali che rappresentano persone (ad esempio immagini copiate da un sito web o acquistate da un altro responsabile del trattamento dei dati), essi devono verificare attentamente la fonte e il contesto in cui le immagini originali sono state acquisite e assicurarsi che il relativo trattamento non è stato effettuato senza il previo consenso delle persone interessate. Raccomandazione 4: I responsabili del trattamento dei dati devono garantire che le immagini digitali e i modelli siano utilizzati esclusivamente allo scopo per il quale sono stati forniti. Spetta a loro porre in atto controlli tecnici al fine di ridurre il rischio che le immagini digitali subiscano ulteriori trattamenti da parte di terzi per finalità non autorizzate dall utente. I responsabili del trattamento dovrebbero mettere a disposizione degli utenti strumenti che permettano loro di controllare la visibilità delle immagini che hanno caricato, proponendo come impostazione predefinita un accesso ristretto da parte di terzi. Raccomandazione 5: I responsabili del trattamento dei dati devono garantire che non tratteranno le immagini digitali di persone che non siano utenti registrati del servizio o che non abbiano altrimenti dato il loro consenso se non unicamente nella misura in cui hanno un legittimo interesse a tale trattamento. Ad esempio, nel caso dell esempio 1, dovranno mettere fine al trattamento e procedere alla cancellazione di tutti i dati quando non risulta alcuna corrispondenza nella base dati di riferimento. Violazione della sicurezza dei dati durante il trasferimento In caso di i servizi online e mobili è probabile che vi saranno trasferimenti di dati tra l acquisizione delle immagini e le altre fasi del trattamento (ad esempio, il caricamento di un immagine da una videocamera di un sito web per estrazione delle caratteristiche e confronto). 8

10 Raccomandazione 6: Il responsabile dei dati deve prendere le opportune misure per garantire la sicurezza dei trasferimento dei dati. Ciò può consistere nel criptare i canali di comunicazione o l immagine acquisita. Ove possibile, e in particolare nel caso di autenticazione/verifica dovrebbe essere privilegiato un trattamento locale Individuazione di un volto, normalizzazione, estrazione delle caratteristiche Conservazione del minor numero di dati: I modelli generati da un sistema di riconoscimento facciale possono contenere una maggiore quantità di dati rispetto a quanto necessario per la finalità specificata. Raccomandazione 7: I responsabili del trattamento dei dati devono garantire che i dati estratti da un immagine digitale per costruire un modello non siano eccessivi e contengano unicamente le informazioni richieste ai fini dell utilizzo specificato, in modo da evitare ogni eventuale ulteriore trattamento. I modelli non dovrebbero essere trasferiti tra diversi sistemi di riconoscimento facciale. Violazione della sicurezza dei dati durante l archiviazione Il processo di identificazione e autenticazione/verifica richiede probabilmente l archiviazione del modello per l uso in un successivo confronto. Raccomandazione 8: Il responsabile del trattamento dei dati deve scegliere il luogo più appropriato per l archiviazione dei dati, che può avvenire, tra l altro, nel dispositivo dell utente o all interno dei sistemi del responsabile del trattamento. Il responsabile del trattamento deve prendere le opportune misure per garantire la sicurezza dei dati archiviati, compresa la cifratura del modello. Non deve essere possibile ottenere accesso non autorizzato al modello o al luogo di archiviazione. Soprattutto nel caso di riconoscimento facciale a fini di verifica, si possono usare tecniche di criptaggio biometrico; con queste tecniche, la chiave crittografica è direttamente legata ai dati biometrici ed è ricreata solo se il campione biometrico corretto è presentato direttamente in occasione di una verifica, senza che siano conservati alcuna immagine o modello (in modo da formare un tipo di biometria non rintracciabile. ). Accesso dell interessato Raccomandazione 9: Il responsabile del trattamento dei dati deve mettere a disposizione degli interessati meccanismi appropriati per esercitare il diritto di accesso, se del caso, sia all immagine originale, sia ai modelli generati nel contesto del riconoscimento facciale. Fatto a Bruxelles, il 22 marzo 2012 Per il Gruppo di lavoro Il presidente Jacob KOHNSTAMM 9