11.02.2020 - L’acquisizione non autorizzata di dati inerenti al riconoscimento facciale è lesiva della personalità

11.02.2020 - A complemento della sua comunicazione in merito all’applicazione Clearview, l’IFPDT precisa la sua posizione sull’acquisizione massiccia e il trattamento di dati inerenti al riconoscimento facciale attraverso Internet.

Anche se i dati inerenti al riconoscimento facciale non sono di per sé da considerare degni di particolare protezione ai sensi dell’articolo 3 lettera c della legge federale sulla protezione dei dati (LPD), l’acquisizione massiccia di questo tipo di dati da fonti accessibili in Internet rappresenta una lesione della personalità ai sensi dell’articolo 12 capoverso 2 lettera a LPD, se il loro trattamento lede i principi sanciti negli articoli 4, 5 capoverso 1 e 7 capoverso 1. Chi, senza autorizzazione, acquisisce in modo massiccio dati inerenti al riconoscimento facciale e li tratta per scopi non menzionati al momento della raccolta, non risultanti dalle circostanze o non previsti da una legge, lede i principi della trasparenza, della proporzionalità e della finalità.

Questi principi valgono per tutti i trattamenti di dati riguardanti persone in Svizzera, indipendentemente dal fatto che chi li tratta proceda, manualmente o con l’impiego di robot, all’acquisizione di dati in Svizzera o all’estero senza preventivo consenso.

Lo scaricamento non autorizzato è difficilmente giustificabile

Se una persona ha affidato i propri dati inerenti al riconoscimento facciale a una rete sociale che nelle sue condizioni generali («Terms of Service») vieta in linea di principio l’acquisizione automatica di dati o il cosiddetto «Crawling», significa che quale utente di questa rete tale persona proibisce espressamente il trattamento di dati da parte di terzi. Se questi dati sono scaricati dalla rete sociale da terzi senza autorizzazione, si può concludere che vi è un'illecita lesione della personalità, salvo se il trattamento è giustificato da un interesse preponderante privato o pubblico oppure dalla legge conformemente all’articolo 13 LPD. Nella prassi giustificazioni di questo genere dovrebbero presentarsi piuttosto raramente.

Il confronto con immagini del volto richiede il consenso

Secondo l’articolo 13 capoverso 1 LPD non vi è invece lesione della personalità se la persona interessata ha reso i dati accessibili a tutti e non si è opposta espressamente al loro trattamento. Questa regola non può essere applicata se, in violazione del principio di trasparenza, i dati relativi al riconoscimento facciale dell’interessato sono confrontati con dati acquisiti senza autorizzazione – come evidenziato in precedenza – da una rete sociale o da una piattaforma in Internet. L’IFPDT sconsiglia pertanto di effettuare confronti con immagini del volto senza il consenso dell’interessato.

Chi costituisce banche di dati biometrici centralizzate e le mette a disposizione in particolare di autorità penali per consentire confronti lede gravemente il principio di trasparenza, poiché questo tipo di trattamento eccede di gran lunga gli scopi usuali dei motori di ricerca e gli interessati non possono prevedere una simile sottrazione a scopo di impiego non autorizzato delle immagini del loro volto.

Responsabilità di chi tratta i dati e dei gestori delle piattaforme sociali

Le immagini tratte da reti sociali possono essere trasmesse scientemente soltanto in conformità con le impostazioni predefinite scelte dagli interessati nonché con i «Terms of Service» rispettivamente con le disposizioni di utilizzazione. L’acquisizione di dati da parte di terzi contro le disposizioni delle reti sociali costituisce in linea di principio un'esportazione incontrollata di dati personali (Data Breach), per la quale devono rispondere sia chi tratta i dati sia i gestori delle piattaforme. Se i dati sono acquisiti o trasmessi da utenti della rete sociale, si è in presenza di una violazione delle condizioni di utilizzazione la cui responsabilità ricade sia sugli utenti in questione sia sui gestori della piattaforma.

Conclusione: nella prassi l’acquisizione non autorizzata di dati inerenti al riconoscimento facciale a scopo di ulteriore trattamento con tecnologie automatizzate per il riconoscimento facciale è raramente conforme ai principi in materia di trattamento dei dati della LPD. Di regola tali trattamenti necessitano di una base legale conforme alla Costituzione, per quanto concerne le autorità, rispettivamente del consenso, per quanto concerne i privati.

Che cosa intraprende l’Incaricato?

Oltre agli accertamenti concreti svolti nel caso Clearview (cfr. dichiarazione del 21.01.2020 sotto), nei limiti delle sue competenze legali l’Incaricato farà di tutto per proteggere la popolazione svizzera da acquisizioni non autorizzate di immagini del volto. Continuerà inoltre ad impegnarsi, affinché la popolazione svizzera possa muoversi liberamente nello spazio pubblico nel rispetto dell’anonimato, sia a piedi che con i mezzi di trasporto.