Garante Privacy, no al riconoscimento facciale per chiedere finanziamenti

Il Garante della privacy ha vietato l’uso di un sistema di riconoscimento facciale che avrebbe dovuto registrare e verificare i volti di chi richiede un finanziamento allo scopo di prevenire possibili furti di identità [doc. web n.4807744]. Lo rende noto l’Autorità Garante stessa nella sua Newsletter. La società che aveva progettato il servizio aveva stabilito di acquisire, tramite scansione, la fotografia del documento di identità nel momento in cui richiedevamo mutui, prestiti o altre forme di finanziamento presso istituti di credito o altri intermediari finanziari. I dati biometrici del volto – inseriti in una banca dati e associati con altre informazioni personali – sarebbero stati poi confrontati con quelli già censiti o presenti in altri archivi, ad esempio per l’identificazione di soggetti ricercati. La ricerca sarebbe poi stata estesa anche a immagini pubblicate sulla stampa e su internet. Nel corso dell’istruttoria per la verifica preliminare del progetto, l’Autorità ha innanzitutto evidenziato che non può ritenersi necessario e proporzionato un uso generalizzato e incontrollato dei dati biometrici dei clienti che, tra l’altro, si possono prestare a utilizzi impropri e possibili abusi, individuando molteplici criticità relative al nuovo sistema, che peraltro avrebbe comportato la raccolta dei volti di un numero enorme di persone (si pensi che le posizioni creditizie attualmente attive in Italia sono diverse decine di milioni). Risultava, ad esempio, scarsamente affidabile il processo di confronto delle fotografie delineato dalla società, con un alto rischio di falsi positivi e falsi negativi, e mancava del tutto una rigorosa garanzia di affidabilità ed integrità dei dati trattati. Dagli elementi forniti all’Autorità è poi emerso che non erano state previste neppure adeguate misure di sicurezza – tra le altre, quelle a protezione della rete di comunicazione elettronica sulla quale i dati biometrici sarebbero stati trasmessi al sistema centralizzato di acquisizione dati – con conseguenti ripercussioni per i diritti individuali in caso di violazione, di accessi di persone non autorizzate o, comunque, di abusi riguardo alle informazioni memorizzate. Neppure la modalità di acquisizione del consenso  al trattamento dei propri dati biometrici era conforme al Codice della privacy, risultando il consenso di fatto obbligato e senza che fossero previsti metodi alternativi di verifica dell’identità per accedere al finanziamento. 30 marzo 2016