Dal Consiglio d’Europa le linee guida sul riconoscimento facciale

Tratto da www.garanteprivacy.it

Preoccupazione per le tecnologie di “riconoscimento dell’affetto”

ll Consiglio d’Europa ha chiesto regole rigide per evitare i grandi rischi per la privacy e la protezione dei dati posti dall’utilizzo crescente delle tecnologie di riconoscimento facciale.

Il 28 gennaio 2021, nella Giornata europea per la protezione dei dati, il Comitato Consultivo della Convenzione 108, istituito presso il Consiglio d’Europa, ha adottato linee guida in materia.

Le linee guida, che si fondano sui principi della Convenzione 108 modernizzata, forniscono una serie di misure di riferimento che governi, sviluppatori di sistemi di riconoscimento facciale, produttori, aziende e pubbliche amministrazioni dovrebbero adottare per garantire che l’impiego di queste tecnologie non pregiudichi la dignità della persona, i diritti umani e le libertà fondamentali.

Il Comitato riconosce infatti i pericoli che possono derivare da tecniche particolarmente invasive e richiama la necessità di un dibattito pubblico e di un approccio precauzionale.

Il documento esprime particolare preoccupazione riguardo ai rischi derivanti dal riconoscimento facciale volto a rilevare i tratti della personalità, i sentimenti o le reazioni emotive dall’immagine del volto: le cosiddette tecnologie di “riconoscimento dell’affetto”. Tali tecnologie – afferma il Comitato – dovrebbero essere vietate e non dovrebbero essere impiegate, ad esempio, nelle procedure di assunzione di personale, nell’accesso ai servizi assicurativi e a all’istruzione. Allo stesso modo, non dovrebbe essere consentito l’uso del riconoscimento facciale al solo scopo di determinare il colore della pelle di una persona, le convinzioni religiose o di altro tipo, il sesso, l’origine etnica, l’età, le condizioni di salute o le condizioni sociali.

L’uso di sistemi di riconoscimento facciale da parte delle forze dell’ordine dovrebbe essere consentito solo quando è strettamente necessario per prevenire un rischio imminente e grave alla sicurezza pubblica.

Le Linee guida raccomandano agli sviluppatori di tecnologie di riconoscimento facciale di prestare specifica attenzione all’attendibilità degli algoritmi e all’accuratezza dei dati trattati, al fine di evitare disparità e possibili ricadute discriminatorie.

Le aziende e le pubbliche amministrazioni che intendano avvalersi di tecniche di riconoscimento facciale, da parte loro, hanno l’obbligo di garantire il rispetto dei principi di protezione dati, compresa la necessità di effettuare una valutazione dei rischi che il ricorso a tali tecniche può avere sui diritti delle persone, nonché dei profili etici che ne derivano, anche attraverso l’ausilio di comitati di esperti indipendenti.

Le persone devono, inoltre, poter esercitare i propri diritti, compreso quello di rettifica (ad esempio in presenza di false corrispondenze) o quello di non essere sottoposto a decisioni puramente automatizzate senza che la propria opinione sia adeguatamente considerata.

Infine, un ruolo importante a tutela dei diritti delle persone possono svolgerlo le Autorità di protezione dei dati che, in base all’art. 15 (3) della Convenzione 108+, devono essere consultate riguardo a proposte legislative e amministrative che comportino il trattamento dei dati personali mediante tecnologie di riconoscimento facciale. Le Autorità devono essere consultate prima di possibili sperimentazioni o utilizzi.

Lavoro: Garante, no all’uso delle impronte digitali dei dipendenti se manca base normativa

Tratto da www.garanteprivacy.it

Sanzione di 30.000 euro ad una Asp

Il Garante ha sanzionato per 30.000 euro l’Azienda sanitaria provinciale (Asp) di Enna per l’utilizzo di un sistema di rilevazione delle presenze basato sul trattamento di dati biometrici dei dipendenti. A seguito del rafforzamento delle garanzie previste dal Regolamento e dal Codice privacy, per installare questo tipo di sistemi è necessaria infatti una base normativa che sia proporzionata all’obiettivo perseguito e che fissi misure appropriate e specifiche per tutelare i diritti degli interessati. Nel caso della Asp di Enna la base normativa invocata era carente, non essendo stato adottato il regolamento attuativo della legge 56/2019 (poi abrogata) che doveva stabilire garanzie per circoscrivere gli ambiti di applicazione e regolare le principali modalità del trattamento.

L’istruttoria dell’Autorità, avviata a seguito di alcuni articoli di stampa, ha consentito di accertare che il sistema di rilevazione presenze dell’Asp di Enna acquisiva le impronte digitali di oltre 2.000 dipendenti memorizzandole in forma crittografata sul badge di ciascun lavoratore. L’Azienda, poi, verificava l’identità del dipendente mediante il confronto tra il modello biometrico di riferimento, memorizzato all’interno del badge, e l’impronta digitale presentata all’atto del rilevamento della presenza e trasmetteva il numero di matricola del dipendente, la data e l’ora della timbratura, al sistema di gestione delle presenze.

L’Autorità ha ritenuto, contrariamente a quanto sostenuto dall’Azienda sanitaria, che in questo modo si effettuava un trattamento di dati biometrici dei dipendenti (sia all’atto dell’emissione del badge, sia all’atto della verifica dell’impronta in occasione di ogni “timbratura” di ciascun dipendente,) in assenza di una idonea base giuridica. Né il consenso dei dipendenti, invocato dall’Asp quale fondamento del trattamento, può essere considerato valido, nel contesto lavorativo, a maggior ragione pubblico, per effetto dello squilibrio del rapporto tra dipendente e datore di lavoro.

Inoltre la struttura sanitaria, pur avendo informato il personale e i sindacati della scelta organizzativa compiuta, non aveva fornito tutte le informazioni sul trattamento, come richiesto dal Regolamento europeo in materia di privacy.

Considerati tutti gli aspetti della vicenda, il Garante ha dichiarato illecito il trattamento dei dati biometrici e ha applicato all’Asp 30.000 euro di sanzione. Ha inoltre disposto la cancellazione dei modelli biometrici memorizzati all’interno dei badge e chiesto all’Asp di far conoscere le iniziative che intende intraprendere per far cessare il trattamento dei dati biometrici dei dipendenti.

Data breach: le istruzioni dei Garanti privacy Ue per gestire le violazioni di dati

Tratto da www.garanteprivacy.it

Adottate le nuove linee guida, avviata una consultazione pubblica europea

Come procedere in caso di attacchi ransomware, di esfiltrazione di dati, di perdita o furto di dispositivi e documenti cartacei? A questa e ad altre domande rispondono le linee guida, adottate dall’Edpb (Comitato europeo per la protezione dei dati), per aiutare imprese e pubblica amministrazione ad affrontare correttamente le violazioni dei dati e definire i processi di gestione del rischio.

Le “Guidelines 01/2021 on Examples regarding Data Breach Notification”, approvate nella riunione plenaria del 14 gennaio scorso, si basano sull’analisi dei casi più significativi di violazione dei dati – affrontati dai Garanti privacy nazionali, incluso quello italiano – subiti da banche, ospedali, medie imprese, municipalità, società che offrono servizi online di vario genere.

Sul documento l’Edpb ha avviato una consultazione pubblica per un periodo di sei settimane (fino al 2 marzo 2021).

Le linee guida presentano, per ciascuna casistica, esempi di buone o cattive pratiche, raccomandano modalità di identificazione e valutazione dei rischi (evidenziando i fattori che meritano particolare considerazione), indicano in quali casi chi tratta i dati deve notificare la violazione all’Autorità Garante e, se necessario, informare le persone coinvolte.

Tra le mancanze più frequenti ricordati dalle Linee guida vi è, ad esempio, l’omessa cifratura dei dati che consente a chi li acquisisce in maniera fraudolenta di consultare informazioni riservate. Potrebbe facilitare violazioni anche la non corretta gestione dell’autenticazione degli utenti a siti web, magari a causa dell’utilizzo di password deboli o conservate in chiaro. Nel settore bancario, potrebbe causare enormi danni l’impiego di identificativi di sessione all’interno degli indirizzi web degli utenti, informazioni che facilitano l’accesso illecito a contenuti che dovrebbero rimanere protetti. Drammatiche potrebbero essere le conseguenze di un attacco ransomware (un virus informatico che rende inservibili i dati fino al pagamento di un eventuale riscatto) ai referti e ad altri documenti dei pazienti di un ospedale, a meno che la struttura sanitaria non abbia provveduto a effettuare un backup separato dei dati. Non bisogna sottovalutare anche i problemi che può causare una semplice e-mail spedita ai destinatari sbagliati.

Il testo, che integra e aggiorna gli orientamenti già forniti negli anni passati dal Gruppo “Articolo 29”, proprio per offrire un contributo concreto a imprese e Pa, analizza anche le misure adottate dai titolari del trattamento, prima di aver subito un data breach, per prevenire o attenuare i rischi di una potenziale violazione dei dati. E propone una lista di misure di prevenzione ai vari problemi rilevati.

“I tuoi dati sono un tesoro”: il video del Garante per raccontare cos’è la privacy

Tratto da www.garanteprivacy.it

Raccontare l’attività del Garante per la privacy, il ruolo svolto da quasi venticinque anni a fianco delle persone per difendere la loro riservatezza e la loro libertà. Spiegare il valore dei dati personali e perché è importante proteggerli, nella vita di tutti i giorni, soprattutto oggi nella dimensione digitale nella quale siamo immersi.

Raccontare tutto questo e farlo parlando anche al cuore delle persone.

E’ su questo che ha puntato il Garante per la privacy con questo video istituzionale, che utilizza un linguaggio nuovo per l’Autorità e inaugura un nuovo corso nella sua comunicazione.

Il claim racchiude in sé l’obiettivo che si pone questo video: rendere consapevoli le persone di un tesoro da proteggere. Insieme.

Videosorveglianza: le nuove FAQ del Garante Privacy. Le regole per installare telecamere

Tratto da www.garanteprivacy.it

Il datore di lavoro può installare un sistema di videosorveglianza nelle sedi di lavoro? Occorre avere una autorizzazione del Garante per installare le telecamere? In che modo si fornisce l’informativa agli interessati? Quali sono i tempi dell’eventuale conservazione delle immagini registrate? Si possono utilizzare telecamere di sorveglianza casalinghe c.d. smart cam?

Sono queste alcune delle domande cui rispondono le Faq messe a punto dal Garante per la protezione dei dati personali sulle questioni concernenti il trattamento dei dati personali nell’ambito dell’installazione di impianti di videosorveglianza da parte di soggetti pubblici e privati. I chiarimenti si sono resi necessari in ragione delle nuove previsioni introdotte dal Regolamento 2016/679, alla luce delle quali va valutata la validità del provvedimento del Garante in materia, che risale al 2010 e contiene prescrizioni in parte superate. Le Faq tengono conto anche delle Linee guida recentemente adottate sul tema della videosorveglianza dal Comitato europeo per la protezione dei dati (EDPB) e contengono un modello di informativa semplificata redatto proprio sulla base dell’esempio proposto dall’EDPB.

Le Faq, disponibili da oggi sul sito dell’Autorità www.garanteprivacy.it, contengono indicazioni di carattere generale ispirate alle risposte fornite a reclami, segnalazioni, quesiti ricevuti dall’Ufficio in questo periodo.

Il Garante ha chiarito, ad esempio, che l’attività di videosorveglianza va effettuata nel rispetto del principio di minimizzazione dei dati riguardo alla scelta delle modalità di ripresa e alla dislocazione dell’impianto, e che i dati trattati devono comunque essere pertinenti e non eccedenti rispetto alle finalità perseguite. In base al principio di responsabilizzazione, poi, spetta al titolare del trattamento (un’azienda, una pubblica amministrazione, un professionista, un condominio…) valutare la liceità e la proporzionalità del trattamento, tenuto conto del contesto e delle finalità dello stesso, nonché del rischio per i diritti e le libertà delle persone fisiche. Il titolare del trattamento deve, inoltre, valutare se sussistano i presupposti per effettuare una valutazione d’impatto sulla protezione dei dati prima di iniziare il trattamento.

In merito all’informativa agli interessati, l’Autorità ha chiarito che può essere utilizzato un modello semplificato (esempio un semplice cartello) contenente le informazioni più importanti e collocato prima di entrare nell’area sorvegliata, in modo che gli interessati possano capire quale zona sia coperta da una telecamera.

Di particolare importanza, infine, le indicazioni sui tempi dell’eventuale conservazione delle immagini registrate: salvo specifiche norme di legge che prevedano durate determinate, i tempi di conservazione devono necessariamente essere individuati dal titolare del trattamento in base al contesto e alle finalità del trattamento, nonché al rischio per i diritti e le libertà delle persone. Al riguardo il Garante ha sottolineato che i dati personali dovrebbero essere – nella maggior parte dei casi (ad esempio se la videosorveglianza serve a rilevare atti vandalici) – cancellati dopo pochi giorni e che quanto più prolungato è il periodo di conservazione previsto, tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione.

Categorie