Privacy: secco no del Garante al riconoscimento facciale

26/04/2016
di Leonardo

Il 25 febbraio scorso l’Autorità Garante per la protezione dei dati, in risposta alla verifica preliminare avanzata, ai sensi dell’art. 17 del D.lgs. 196 del 2003 e s.m.i. (di seguito Codice Privacy), da una nota società che progetta e realizza soluzioni informatiche per il mondo finanziario ed assicurativo, ha vietato una novità assoluta nell’evoluzione informatica, la richiesta di un finanziamento verificata mediante riconoscimento facciale.

In particolare, la società chiedeva una verifica preliminare avente ad oggetto il trattamento di dati personali derivante da un sistema di riconoscimento facciale delle fotografie poste sui documenti di identità di soggetti che abbiano presentato a banche ed intermediari finanziari, ovviamente convenzionati con la società, richieste di finanziamento. Questo riconoscimento avrebbe lo scopo primario di prevenire furti di identità.

I parametri del Garante

Il Garante della privacy per verificare o meno la fattibilità del trattamento prendeva in considerazione:

  • il Codice Privacy;
  • il provvedimento generale prescrittivo in tema di biometria del Garante del 12 novembre 2014, così come recentemente modificato dal provvedimento del 15 gennaio 2015;
  • le “Linee-guida in materia di riconoscimento biometrico e firma grafometrica” in allegato A al provvedimento del 12 novembre 2014.

Ma entriamo nel dettaglio.

Il caso nello specifico

BiometriaIl servizio sottoposto a vaglio dell’Autorità prevedeva la possibilità della banca di acquisire al momento della richiesta del finanziamento la fotografia presente sul documento di identità del potenziale cliente e di procedere al confronto, attraverso una tecnologia di nuova creazione (sotto brevemente indicata), di tali dati con altre informazioni e dati presenti in altri database.  In particolare, i dati venivano confrontati con:

  • le foto rese pubbliche dal Ministero dell’interno o altre organizzazioni statali equivalenti. In particolare, anche le informazioni presenti sullo SCIPAFI, il Sistema pubblico di prevenzione che consente il riscontro dei dati contenuti nei principali documenti d’identità, disciplinato dal D.lgs. 141/2010;
  • le foto presenti su internet e pubblicate dalla stampa nazionale (anche tramite internet).

Questo al fine di controllare che il potenziale cliente richiedente il finanziamento alla banca o all’istituto di credito:

  • non sia un individuo latitante;
  • non abbia presentato la richiesta di finanziamento utilizzando un documento falso, in quanto contenente una fotografia sostituita;
  • non abbia presentato altra richiesta di finanziamento presso lo stesso o altri istituti bancari.

La tecnologia

A livello tecnologico, tramite il sistema così come descritto dalla società, la banca carica i dati personali identificativi, nome, cognome, c.f., indirizzo, data e luogo di nascita, etc., e la foto del potenziale cliente attraverso un’apposita piattaforma web. Il sistema poi una volta acquisita la foto, la decodificata in un codice che permetterebbe di individuare i dati biometrici del volto. Una volta acquisiti i dati il sistema li cripta e li storicizza. In particolare, la fotografia della carta d’identità, con associato il codice fiscale dell’interessato, viene inviata tramite LAN (criptata) su un server a parte dove viene confrontata, in modalità automatiche, con i dati storicizzati dal Ministero dell’interno (o altre fonti) al fine di verificare se esiste una correlazione superiore ad una soglia prestabilita. Una vota acquisiti i dati ed effettuata la verifica, il sistema li conserva, fino alla cessazione del rapporto di credito.

Il sistema di riconoscimento facciale, ubicato su un apposito server che a detta della società dovrebbe contenere l’archivio criptato dei codici identificativi dei volti, viene interrogato da parte delle piattaforme web (che faranno capo alle singole banche e/o istituti) sotto LAN con password di accesso al fine di permettere apposito confronto tra la fotografia ed i singoli volti conservati nell’archivio (creato appositamente e codificato). Una volta effettuato il confronto, se il risultato fosse quello di una fotografia con associazione di un codice fiscale differente da quello rilasciato dal potenziale cliente, la banca e/o l’istituto verrebbe avvisato di essere in presenza di un caso di furto di identità.

L’esito della analisi verrebbe reso disponibile all’intermediario finanziario per un termine definito ed utile alla lavorazione della richiesta di finanziamento.

Le misure di sicurezza

Per quanto concerne le misure di sicurezza individuate dalla società, le stesse sono state concretizzate esclusivamente in:

  • accesso logico controllato mediante autorizzazioni ed autenticazioni dei soggetti che accedono tramite password;
  • divieto di accesso fisico o comunque accesso controllato al database;
  • crittografia.

Il “no” del Garante: le motivazioni

business_9170658_xxlDa quanto sopra brevemente riportato, è evidente il motivo (i motivi) che sta (stanno) alla base del secco “no” del Garante.  L’Autorità nel provvedimento, infatti, evidenzia fin da subito come non è possibile un uso incontrollato di dati biometrici i quali potrebbero essere usati impropriamente. In specifico, il sistema viene individuato come inaffidabile per i seguenti motivi:

  • mancanza di adeguata giustificazione dell’uso del nuovo sistema infatti la società non ha dimostrato l’inadeguatezza delle misure oggi invece adottate per verificare l’autenticità dei dati resi all’atto della richiesta di un finanziamento;
  • violazione del regolamento attuativo dello SCIPAFI;
  • violazione dei principi di necessità e proporzionalità per la raccolta di un numero sproporzionato di volti;
  • non affidabilità del processo di confronto il quale non è in grado di distingue le figure di falsi positivi e falsi negativi;
  • mancanza di una rigorosa garanzia di affidabilità ed integrità dei dati trattati;
  • mancanza di adeguate misure di sicurezza (protezione della rete di comunicazione elettronica) capaci di tenere lontani i rischi di accesso abusivo e violazione a/dei dati personali trattati;
  • termini di conservazione troppo elevati; etc.

Da ultimo, ma per questo non meno importante, neppure la modalità di rilascio dell’informativa e dell’acquisizione del consenso risulta corretta agli occhi del Garante il quale sottolinea che l’informativa predisposta per gli interessati e in atti non risulta adeguata rispetto al trattamento in quanto troppo generica (non riporta le modalità di trattamento), come anche il consenso informato. In particolare, quest’ultimo deve naturalmente essere acquisito dagli interessati (eccezion fatta per l’ipotesi del confronto con i latitanti o terroristi), ma non deve risultare obbligatorio. I potenziali clienti, dice il Garante, devono poter scegliere di presentare la richiesta di finanziamento senza essere obbligati a rilasciare il consenso all’uso dei propri dati biometrici.

Il provvedimento in parola risulta di grande valore soprattutto in riferimento all’attuale periodo che affronta il crescente sopravvenire di nuove tecnologie che saranno, senza dubbio, da una parte sotto la lente del nuovo Regolamento EU sulla protezione dei dati personali approvato in Parlamento di recente, che imporrà logiche nuove a livello privacy e dall’altra davanti a sempre più invasive modalità di trattamento dei dati come, ad esempio, l’uso delle impronte digitali trattate per permettere il pagamento digitale da parte dei turisti avviato dal Giappone.

Riproduzione riservata ©

ALTRE NEWS

GDPR, conto alla rovescia. Adeguarsi è possibile?

Il testo sulla protezione dei dati personali entra definitivamente in vigore a maggio di quest’anno ma non contiene esplicite guidelines: l’obiettivo è spostare l’attenzione sulla… Leggi Tutto

The EU data protection reform Privacy & consumer protection

Compliance e governance sono le parole chiave della ricetta per un nuovo sviluppo sul fronte della normativa in materia di protezione dei dati personali, in… Leggi Tutto

Le recenti modifiche al codice del consumo: maggiori tutele per i consumatori, meno riluttanza nei confronti delle transazioni transfrontaliere?

La recente riforma approvata dal Governo, in recepimento della Direttiva europea n. 2011/83/UE, interviene sul c.d. Codice del Consumo, sostituendo il Capo I del titolo… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form