Sanzionabili i Comuni se trattano dati biometrici derivanti dal riconoscimento facciale attuato tramite telecamere.
Di Michele Gorga Avvocato
Il Garante privacy svedese ha multato il Comune di Skellefteå per la somma di 200.000 SEK (circa 20.000 euro) per avere utilizzato la tecnologia di riconoscimento facciale per monitorare la frequenza degli studenti a scuola. In questo Comune, situato nella Svezia settentrionale, è stato attuato un progetto pilota presso una scuola superiore basato sul riconoscimento facciale per tracciare la frequenza degli studenti a scuola.
L’esperimento progettuale è stato condotto attraverso telecamere c.d. “intelligenti” ossia quelle che si “attivano” al momento del riconoscimento biometrico facciale per registrare l’ingresso in aula e la presenza degli studenti alle lezioni. Il test è durato solo tre settimane e ha interessato solo 22 studenti, ma nonostante ciò l’ispettorato del Garante Svedese, in sede di ispezione, ha riscontrato che il consiglio delle scuole superiori di Skellefteå ha gestito i dati personali sensibili in violazione del GDPR 2016/679.
Per il DPA Svedese il test ha violato diversi articoli del GDPR 2016/679 e, di conseguenza, questa prima sanzione, per la prima volta a un Ente pubblico, è stata fissata al minimo pur potendosi, nel sistema Svedese, comminare sanzioni alle autorità pubbliche anche sino a 10 milioni di corone svedesi (circa 1 milione di euro).
Nella motivazione del provvedimento sanzionatorio si legge che la scuola ha elaborato illegalmente dati biometrici sensibili in violazione dell’Art. 5 del Regolamento sulla protezione dei dati perché trattando con gli alunni non ha effettuato un’adeguata valutazione dell’impatto, e non ha inteso consultare l’Autorità Garante svedese. La scuola ha motivato che la consultazione preventiva era stata omessa in quanto aveva basato il trattamento dei dati biometrici sul consenso degli interessati, ma l’Autorità svedese ha ritenuto, motivandolo nel provvedimento, che il consenso non è base giuridica valida dato il chiaro squilibrio tra l’interessato e il responsabile del trattamento.
La tecnologia del riconoscimento facciale, pur essendo solo agli albori, ha una prospettiva di sviluppo rapido e invasivo e i dati biometrici, utilizzati nel riconoscimento facciale, sono dati personali particolari che, come tali, sono estremamente meritevoli di protezione e non sono ammesse eccezioni. Il Garante ha ritenuto violato l’art. 5 del GDPR sulla protezione dei dati personali in quanto il trattamento dei dati biometrici degli studenti si configura come invasivo della loro integrità personale, non conforme al principio di “minimizzazione”, in quanto con il rilevamento biometrico sono state assunte informazioni personali superiori a quelle necessarie per lo scopo dichiarato, ossia il mero controllo di presenza.
La questione si pone anche nel nostro ordinamento, non solo per il programmato controllo dei dipendenti pubblici, da parte del Dipartimento della funzione pubblica, già ritenuto esorbitante dal nostro Garante nazionale, ma anche rispetto agli ultimi provvedimenti varati dal Parlamento.
Il primo di questi provvedimenti da tenere presente è la Legge 14 giugno 2019, n. 55 – meglio conosciuta come “ sblocca cantieri” – che per la parte relativa alla videosorveglianza a tutela dei minori e anziani prevede, all’art. 5 septies che, al fine di assicurare la più ampia tutela a favore dei minori nei servizi educativi per l’infanzia e nelle scuole dell’infanzia statali e paritarie, presso il Ministero dell’interno è istituito un fondo di 5 milioni di euro per l’anno 2019 e 15 milioni di euro per ciascuno degli anni dal 2020 al 2024, finalizzato all’erogazione a favore di ciascun comune delle risorse finanziarie occorrenti per l’installazione di sistemi di videosorveglianza a circuito chiuso presso ogni aula di ciascuna scuola nonché per l’acquisto delle apparecchiature finalizzate alla conservazione delle immagini per un periodo temporale adeguato.
Esigenza replicata a favore delle persone ospitate nelle strutture socio-sanitarie e socio-assistenziali per anziani e persone con disabilità, a carattere residenziale, semiresidenziale o diurno con finanziamenti finalizzati all’installazione di sistemi di videosorveglianza a circuito chiuso presso ogni struttura nonché per l’acquisto delle apparecchiature volte alla conservazione delle immagini per un periodo temporale adeguato.
Altro provvedimento è quello del c.d. “decreto sicurezza bis” decreto-legge 14 giugno 2019, n. 53 convertito in legge 8 agosto 2019, n. 77 che all’art. 9, in materia di protezione di dati personali e di intercettazioni, ha ripristinato l’articolo 57 del decreto legislativo 30 giugno 2003, n. 196, fino al 31 dicembre 2019, laddove era stato abrogato, a decorrere dall’8 giugno 2019, dall’articolo 49, comma 2, del decreto legislativo 18 maggio 2018, n. 51,
Il provvedimento censurato dal Garante Svedese, costituisce, quindi, un precedente per le attività dei Comuni Italiani in tema di videosorveglianza nelle scuole e nelle strutture socio-sanitarie e socio-assistenziali per anziani e persone con disabilità, in quanto l’utilizzo dei dati violerebbe l’Art. 9 del GDPR, poiché l’elaborazione dei dati biometrici senza una idonea base giuridica e finalità di trattamento sarebbe attuata ai sensi degli artt.35 e 36 del GDPR non rispettando la previsione della valutazione d’impatto e omettendo la preventiva necessaria consultazione con l’Autorità Garante nazionale che in tema di dati biometrici si pone come obbligatoria.
Il consenso degli interessati, in questo caso, non è sufficiente perché gli studenti sono in una posizione di dipendenza dall’istituzione scolastica e il riconoscimento facciale si configura come una sorveglianza a distanza nell’ambiente quotidiano che rappresenta un’intrusione ingiustificata nell’integrità personale, laddove le esigenze di controllo potrebbero essere ben soddisfatte in altri modi che non violino la privacy a differenza del riconoscimento biometrico facciale.
