Database di foto di “volti” raccolte sul web: compatibile con il GDPR?

Pubblicato il: 15/03/2022

Il Garante della Privacy, con il provvedimento n. 50 del 10 febbraio 2022, ha affrontato il tema della legittimità, alla luce del Regolamento Europeo n. 2016/679 (c.d. GDPR), della creazione di database contenenti miliardi di immagini di volti e dati personali di persone tramite la tecnica del c.d. web scraping.

A riguardo, va dunque premesso che il web scraping è una tecnica informatica che consente di estrarre dati personali di vario genere dal web senza che i soggetti interessati ne siano a conoscenza. Ciò avviene tramite l’utilizzo di sofisticati software che simulano la navigazione umana e la memorizzazione in appositi archivi di immagini e altre informazioni pubblicati sui social network, video ecc.

Mediante tale tecnica, alcune aziende hanno creato dei veri e propri database con miliardi di profili (contenenti i dati biometrici delle persone rilevati dalle immagini sul web, accompagnati spesso da altre informazioni, come ad esempio i dati anagrafici o la geo-localizzazione) e sviluppato delle piattaforme di riconoscimento facciale che consentono la ricerca per comparazione di determinate immagini all’interno di questi archivi.
Siffatti servizi di ricerca, in particolare, non sono accessibili al pubblico ma sono stati sviluppati al fine di agevolare le indagini di polizia e di contrastare la delinquenza.

Tanto introduttivamente chiarito, deve evidenziarsi come il Garante della Privacy, con il provvedimento innanzi citato, abbia rilevato la non compatibilità di tale pratica con il GDPR.
L’attività, in particolare, risulta illegittima quando:

  • il trattamento dei dati biometrici avviene senza un’adeguata base giuridica;
  • il trattamento risulti violativo degli obblighi di trasparenza, che imporrebbero alla società di informare adeguatamente gli utenti;
  • il trattamento risulti violativo del principio di finalità, che impedirebbe di utilizzare i dati degli utenti per fini differenti rispetto a quelli che ne avevano giustificato la pubblicazione online;
  • il trattamento risulti violativo del principio della limitazione della conservazione, che impedirebbe di conservare i dati personali sine die.

Con specifico riferimento alla pratica del c.d. web scraping, il Garante ha chiarito infatti che si tratta di una modalità particolare di raccolta che avviene a completa insaputa degli interessati e che l’eventuale natura pubblica delle immagini non è sufficiente a far ritenere che gli interessati possano ragionevolmente attendersi un utilizzo per finalità di riconoscimento facciale.
Per tali ragioni, il Garante ha dunque affermato chiaramente che “la raccolta di dati personali liberamente disponibili in Internet mediante tecniche di web scraping costituisce un trattamento di dati personali che deve trovare legittimazione in una delle basi giuridiche previste dall’art. 6 del Regolamento”.

Nell’affermare tale principio, peraltro, il Garante ha ricordato altresì come:

  • il Parlamento Europeo, in data 6 ottobre 2021, abbia approvato una risoluzione in tema di intelligenza artificiale e il suo utilizzo da parte delle autorità di polizia e giudiziarie in ambito penale, con la quale è stato proposto alla Commissione europea di introdurre un divieto permanente dell'utilizzo dei sistemi di analisi e/o riconoscimento automatici negli spazi pubblici del volto, delle impronte digitali, del DNA, della voce ecc.: l’utilizzo di tecnologie di riconoscimento facciale, infatti, deve essere conforme ai principi di minimizzazione, esattezza, limitazione della finalità e della conservazione, integrità e sicurezza;
  • il Governo italiano abbia previsto, all’interno del c.d. decreto capienze (D.L. n. 139/2021, convertito nella L. n. 205/2021), una moratoria dei sistemi biometrici di riconoscimento facciale in luoghi pubblici o aperti al pubblico fino al 31 dicembre 2023, ad eccezione, tuttavia, dei trattamenti effettuati dalle autorità competenti a fini di prevenzione e repressione dei reati.

Il caso concretamente sottoposto al Garante, nello specifico, riguardava un’azienda statunitense che, tramite la tecnica descritta, ha elaborato un database di oltre 10 miliardi di immagini di visi di persone, all’interno del quale erano stati tracciati anche cittadini italiani. All’esito dell’istruttoria, quindi, il Garante ha emesso una sanzione per l’azienda di 20.000.000,00 euro, ordinato alla stessa di cancellare i dati relativi a persone che si trovano sul territorio italiano e vietato l’ulteriore trattamento dei dati con il sistema di riconoscimento facciale.


Vai alla Fonte