Riconoscimento facciale e carte dei servizi: sanzione di 550.000 euro al Department of Social Protection (DSP) irlandese

L’autorità per la protezione dei dati irlandese (DPC) ha concluso un’indagine avviata nel 2021 sull’uso della tecnologia di riconoscimento facciale da parte del Department of Social Protection (DSP) nell’ambito della procedura di registrazione “SAFE 2” per il rilascio della Public Services Card. L’esito ha portato all’imposizione di una sanzione amministrativa di 550.000 euro, a un richiamo formale e a un ordine di conformità.

Secondo la decisione pubblicata il 2 luglio 2025, il Dipartimento ha trattato dati biometrici sensibili (modelli facciali) senza una valida base giuridica, violando così gli articoli del GDPR relativi alla liceità del trattamento, alla limitazione della conservazione, all’obbligo di informare in modo trasparente gli interessati e alla completezza delle valutazioni d’impatto sulla protezione dei dati (DPIA). Il DPC ha accertato, in particolare, che il DSP non era in grado di dimostrare una base legale adeguata per la raccolta dei dati biometrici e che le informazioni fornite agli utenti non erano sufficientemente trasparenti. Inoltre, la conservazione dei dati risultava non giustificata e la DPIA presentava lacune sostanziali.

Oltre alle sanzioni economiche e al richiamo, il DPC ha ordinato al Dipartimento di interrompere il trattamento dei dati biometrici entro nove mesi dalla decisione, a meno che non riesca a individuare una base giuridica valida per proseguire. La vicenda mette in luce le criticità nell’uso delle tecnologie biometriche da parte delle pubbliche amministrazioni e l’importanza di garantire un’adeguata tutela dei dati personali, soprattutto in contesti che coinvolgono l’erogazione di servizi essenziali.

Approfondimenti:

• DPC announces conclusion of investigation into use of facial matching technology in connection with the Public Services Card by the Department of Social Protection