Il Garante della
privacy ha vietato l’uso di un sistema di riconoscimento facciale che avrebbe
dovuto registrare e verificare i volti di chi richiede un finanziamento allo
scopo di prevenire possibili furti di identità.
La società che aveva
progettato il servizio prevedeva di acquisire - tramite scansione - la
fotografia presente sul documento di identità dei potenziali clienti al momento
in cui richiedevano mutui, prestiti o altre forme di finanziamento presso
istituti di credito o altri intermediari finanziari.
I dati biometrici del
volto - inseriti in una banca dati e associati con altre informazioni personali
- sarebbero stati poi confrontati con quelli già censiti o presenti in altri
archivi, ad esempio per l’identificazione di soggetti ricercati. La ricerca
sarebbe poi stata estesa anche a immagini pubblicate sulla stampa e su
internet.
Nel corso dell’istruttoria
per la verifica preliminare del progetto sottoposto alla sua attenzione, l’Autorità
ha innanzitutto evidenziato che non può ritenersi necessario e proporzionato un
uso generalizzato e incontrollato dei dati biometrici dei clienti che, tra l’altro,
si possono prestare a utilizzi impropri e possibili abusi.
Il Garante, inoltre, ha
individuato molteplici criticità relative al nuovo sistema, che peraltro
avrebbe comportato la raccolta dei volti di un numero enorme di persone (si
pensi che le posizioni creditizie attualmente attive in Italia sono diverse
decine di milioni).
Risultava, ad esempio,
scarsamente affidabile il processo di confronto delle fotografie delineato
dalla società, con un alto rischio di falsi positivi e falsi negativi, e
mancava del tutto una rigorosa garanzia di affidabilità ed integrità dei dati
trattati.
Dagli elementi forniti
all’Autorità è poi emerso che non erano state previste neppure adeguate misure
di sicurezza – tra le altre, quelle a protezione della rete di comunicazione
elettronica sulla quale i dati biometrici sarebbero stati trasmessi al sistema
centralizzato di acquisizione dati - con conseguenti ripercussioni per i
diritti individuali in caso di violazione, di accessi di persone non
autorizzate o, comunque, di abusi riguardo alle informazioni memorizzate.
Neppure la modalità di
acquisizione del consenso al trattamento dei propri dati biometrici era
conforme al Codice della privacy, risultando il consenso di fatto obbligato e
senza che fossero previsti metodi alternativi di verifica dell’identità per
accedere al finanziamento.
Dalla "Newsletter"
del Garante per la protezione dei dati personali
Nessun commento:
Posta un commento