Durante la recente edizione di LUMI Expo (21 e 22 novembre scorso, BolognaFiere), abbiamo fatto il punto sui sistemi di riconoscimento biometrico.
Videosorveglianza per mezzo di telecamere con riconoscimento facciale, sistemi di controllo accessi a luoghi fisici e sistemi di rilevazione presenze che sfruttano tecnologie per il riconoscimento delle impronte digitali, delle linee della mano, dell’iride, del timbro vocale e di altri dati biometrici: tematiche più che mai sotto i riflettori con l’entrata in vigore del GDPR – General Data Protection Regulation (Regolamento dell’UE su trattamento dei dati personali e privacy, pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 e divenuto operativo a partire dal 25 maggio 2018) e particolare oggetto di dibattito nel nostro Paese a partire dalla scorsa primavera, in seguito a notizie rimbalzate dai quotidiani USA e ad eco provenienti dalla Cina.
Con il convegno “Sistemi di riconoscimento biometrico tra affidabilità e opportunità di mercato”, tenutosi durante l’edizione 2019 di LUMI Expo (21 e 22 novembre scorso, BolognaFiere) e patrocinato da A.I.PRO.S. – Associazione Italiana Professionisti della Sicurezza, abbiamo voluto fare chiarezza in merito a una materia affascinante e allo stesso tempo delicata, in quanto vede coinvolta la sfera biofisica dell’individuo, la sua corporeità.
Videosorveglianza con riconoscimento facciale: dove e perché
Lo scorso maggio, mentre dalla Cina giungevano notizie di un riconoscimento facciale di massa, senza alcun criterio, l’Amministrazione di San Francisco – prima città USA a prendere un provvedimento del genere – vietava l’utilizzo di telecamere dotate di software di riconoscimento facciale da parte della Polizia e delle agenzie di Governo, in difesa della privacy dei cittadini e preoccupata per il rischio di inesattezze nel modo in cui gli algoritmi di video-analisi identificano i volti delle persone di etnie diverse.
Due mondi opposti: il primo senza una Legge sulla Privacy, il secondo con un Regolamento che riconosce la videosorveglianza con riconoscimento facciale quale strumento di supporto alle indagini e all’arresto di persone ricercate dalle Forze dell’Ordine.
E in Italia? A parte la Polizia di Stato che, dallo scorso anno, ha messo in campo un nuovo software in grado di riconoscere il volto di pregiudicati e persone ricercate servendosi di una banca dati contenente milioni di soggetti, in questo momento, ha spiegato Aldo Agostini, Security Manager, CEO di Adeia Consulting, la presenza di telecamere in grado di effettuare la scansione del volto e di riconoscerlo, è consentita in ambito aeroportuale, con una funzione che, ad oggi, è di controllo del passaporto in due aree precise – sicurezza e imbarco – per velocizzare le procedure e smaltire rapidamente le code.
In particolare, in Italia è l’aeroporto di Roma Fiumicino ad avere installato per primo un sistema in grado di incrociare scansione del passaporto e scansione del volto dei passeggeri, seguito dall’aeroporto di Ciampino.
Si tratta, però, di un utilizzo finalizzato a sveltire le pratiche di controllo e a ridurre i tempi di attesa ai varchi e non alla security. Così come la scansione del volto utilizzata come carta di imbarco e altre applicazioni che serviranno, un giorno, a muoversi liberamente in aeroporto senza esibire i documenti.
Polizia e siti aeroportuali a parte, in quali altri luoghi pubblici è presente il riconoscimento facciale? Nel nostro Paese e, in generale in tutta l’UE, non è consentito dalla Legge l’utilizzo incondizionato di telecamere di questo tipo. Possono essere installate solo in alcune circostante e in quei contesti ritenuti a rischio per determinati motivi. Vedremo più avanti quali.
Controllo accessi e rilevazione presenze con riconoscimento biometrico: security e safety
Nei sistemi di controllo accessi basati su riconoscimento biometrico, l’identificazione dei soggetti autorizzati avviene attraverso lettori biometrici in grado di “leggere” le impronte digitali, la fisionomia del volto, la sagoma della mano, la conformazione dell’iride, il timbro della voce e altre caratteristiche biofisiche.
Proprio perché basati su dati biometrici – che, ricordiamo, sono unici e impossibili da duplicare e da imitare – si tratta di soluzioni più affidabili rispetto a sistemi di controllo accessi che lavorano con password, PIN, badge e chiavi elettroniche.
Oltre che per applicazioni di controllo accessi, la biometria ha un ruolo anche nella gestione dei dati relativi alla presenza del personale in azienda.
Sapere esattamente chi entra all’interno di un building – ha sottolineato Franco Del Conte, Segretario Generale A.I.PRO.S., consulente e progettista in materia di sicurezza – non è importante solo ai fini amministrativi e per evitare intrusioni illecite dall’esterno, ma lo è anche per motivi legati alla safety: in caso di situazioni di emergenza, che impongono l’evacuazione dei locali, sapere chi è presente e chi no all’interno della struttura, è basilare nelle operazioni di soccorso.
Prioritaria, nella gestione presenze, è la “rilevazione” che, specie nelle aziende dalle strutture particolarmente complesse, è affidata ai sistemi di lettura e riconoscimento delle impronte digitali.
La lettura delle impronte digitale è la forma di riconoscimento biometrico, ad oggi, più utilizzata e accettata. Alla base, due principi: l’immutabilità delle impronte, che non cambiano attraverso il tempo, e l’individualità, ovvero il fatto che le caratteristiche dell’impronta digitale sono uniche per ogni individuo.
Tali principi rendono particolarmente affidabile, esatto, questo dato biometrico e, dunque, tutto il sistema di lettura e riconoscimento che ne deriva.
Inoltre, la rilevazione presenze per mezzo del riconoscimento biometrico delle impronte digitali è una procedura rapida e semplice.
Dati biometrici: che cosa prevede il GDPR per la tutela della privacy
Ricordando che l’art. 9, par. 1, del GDPR vieta, in linea generale, il trattamento dei dati biometrici, Alessandro Basile, partner AB Innovation Consulting ed esperto in materia di Privacy e nuove tecnologie, con il suo intervento ci ha riportato con i piedi per terra.
Il GDPR ammette solo alcune eccezioni all’utilizzo di sistemi di riconoscimento biometrico: la prima, imprescindibile, prevede che l’interessato abbia autorizzato il trattamento; un’altra lo consente solo se necessario in ambito lavorativo (come abbiamo visto con la rilevazione presenze nella grandi aziende) oppure nell’ambito della sicurezza sociale e collettiva. Vi sono altre eccezioni, ma in questa sede interessano meno.
La seconda eccezione, in particolare, giustifica la presenza di sistemi basati su riconoscimento dei dati biometrici per l’accesso ad “aree critiche”. Quali sono tali aree?
Pensiamo, ad esempio, a quelle zone, all’interno di una grande industria, in cui sono presenti macchinari dall’utilizzo pericoloso per i non addetti ai lavori.
In questo caso, la presenza, all’ingresso, di un sistema di controllo accessi affidabile, sicuro, basato su riconoscimento biometrico, contribuisce alla sicurezza sul lavoro, alla protezione antinfortunistica dei lavoratori.
Un altro esempio di “zona critica” è dato da alcuni laboratori all’interno degli ospedali, dove il personale medico analizza sangue, tessuti, DNA e dove sono custodite provette contenenti materiale biologico di vario genere. Qui la sicurezza deve essere massima, finalizzata a prevenire intrusioni illecite e tutto quello che ne conseguirebbe, tra cui tentativi di manomissione.
Le torri di controllo e le aree speciali degli aeroporti, i caveau delle banche, le sale macchine delle navi, rappresentano altri esempi di zone critiche, il cui ingresso deve essere protetto da un controllo accessi severo e altamente affidabile come quello di tipo biometrico.
Come prescrive il GDPR, in tutti i casi citati, i dipendenti e i visitatori vanno sempre informati circa la presenza di tali sistemi di controllo accessi, le modalità di raccolta dei dati biometrici e le loro precise finalità di utilizzo.
E che cosa prevede il GDPR in caso di riconoscimento facciale per mezzo di telecamere? Restano, innanzitutto, validi i due obblighi sopra citati, ovvero che vi sia un’autorizzazione al trattamento dei dati e che l’installazione avvenga solo in luoghi definiti critici.
A questo si aggiunge il fatto che, chi transita in un luogo soggetto a videosorveglianza con riconoscimento facciale, venga preventivamente avvisato dall’informativa breve sulla privacy attraverso il cartello “Area videosorvegliata”.
Ma, ancora prima di rendere operativo un sistema video con face detection a bordo, esiste l’obbligo, da parte del titolare del trattamento delle immagini (colui che definisce i mezzi e le finalità dell’impianto di videosorveglianza installato), della valutazione di impatto sulla protezione dei dati (D.P.I.A. – Data Protection Impact Assessment), ai sensi dell’art. 35 del GDPR. Di che cosa si tratta? Di un documento di valutazione preventiva dei rischi che derivano dal trattamento dei dati che si intende effettuare.
Rischi per la libertà e per il diritto alla privacy di tutti coloro che potrebbero essere ripresi da telecamere dotate di software di riconoscimento biometrico a bordo.
Questo documento ha l’obiettivo di analizzare la tipologia del trattamento, quali sono le sue finalità e se vengono trattati solo i dati necessari.
Rilevati eventuali rischi per gli utenti, il titolare del trattamento è chiamato a individuare misure tecnico-organizzative volte a ridurre, o ad annullare del tutto, tali rischi.
Quando, da questo documento, emerge che il trattamento dei dati è causa di un rischio relativamente elevato per gli utenti, c’è l’obbligo di interpello preventivo al Garante della Privacy.
Ti potrebbero interessare anche:
Face detection: quale ruolo all’interno degli aeroporti?