Gli aeroporti e le compagnie aree dovrebbero limitare l’uso delle tecnologie di riconoscimento facciale per velocizzare le operazioni di check-in e imbarco, perché questi dati personali sono particolarmente sensibili e la biometria espone a rischi di discriminazione e frode. Lo indica il Garante privacy europeo, Edpb (European data protection board), nel parere adottato nella riunione plenaria.
L’Article 64(2) Opinion relativo “all’uso delle tecnologie di riconoscimento facciale da parte degli operatori aeroportuali e delle compagnie aeree per semplificare il flusso di passeggeri negli aeroporti”, scaturisce dalla richiesta dell’autorità francese per la protezione dei dati, ma affronta una questione di portata generale con effetti potenziali in tutti gli Stati dell’Ue.
“Sempre più operatori aeroportuali e compagnie aeree di tutto il mondo stanno sperimentando sistemi di riconoscimento facciale che consentono ai passeggeri di passare più facilmente attraverso i vari checkpoint. È importante essere consapevoli che i dati biometrici sono particolarmente sensibili e che il loro trattamento può creare rischi significativi per le persone”, ha affermato il presidente dell’Edpb, Anu Talus. “La tecnologia di riconoscimento facciale può portare a falsi negativi, pregiudizi e discriminazioni. L’uso improprio dei dati biometrici può anche avere gravi conseguenze, come la frode d’identità o l’impersonificazione. Pertanto, esortiamo le compagnie aeree e gli operatori aeroportuali a optare per modalità meno invasive per semplificare i flussi di passeggeri, quando possibile. Secondo l’Edpb, le persone dovrebbero avere il massimo controllo sui propri dati biometrici”.
Dati biometrici, le persone devono mantenere il controllo
Nell’Ue non esiste un obbligo giuridico uniforme per gli operatori aeroportuali e le compagnie aeree di verificare che il nome sulla carta d’imbarco del passeggero corrisponda al nome sul loro documento di identità. Pertanto, secondo l’Edpb, laddove non sia richiesta la verifica dell’identità dei passeggeri con un documento d’identità ufficiale, non dovrebbe essere effettuata alcuna verifica di questo tipo con l’uso di dati biometrici, poiché ciò comporterebbe un trattamento eccessivo dei dati.
Nel suo parere, il Garante privacy europeo ha considerato la conformità del trattamento dei dati biometrici dei passeggeri con quattro diversi tipi di soluzioni di storage.
In ogni caso, dovrebbero essere trattati solo i dati biometrici dei passeggeri che si iscrivono attivamente e acconsentono a partecipare. Inoltre, l’Edpb ha ritenuto che le uniche soluzioni di archiviazione che potrebbero essere compatibili con i principi del Gdpr di integrità e riservatezza, data protection by design e by default e sicurezza del trattamento, sono quelle in cui i dati biometrici sono archiviati nelle mani dell’individuo o in una banca dati centrale ma con la chiave di crittografia esclusivamente nelle loro mani.
Tali soluzioni di conservazione, se attuate con un elenco di garanzie minime consigliate, sono le uniche modalità che controbilanciano adeguatamente un trattamento invasivo offrendo ai soggetti il massimo controllo.
Casi di Storage dei dati biometrici non compatibili col Gdpr
Al contrario, per l’Edpb le soluzioni basate sull’archiviazione in un database centralizzato all’interno dell’aeroporto o nel cloud, senza le chiavi di crittografia nelle mani del singolo, non possono essere compatibili con i requisiti di protezione dei dati by design e by default e, se il titolare del trattamento si limita alle misure descritte negli scenari analizzati, non rispetterebbe i requisiti di sicurezza del trattamento.
Per quanto riguarda il principio di limitazione della conservazione, i titolari del trattamento devono garantire di avere una giustificazione sufficiente per il periodo di conservazione previsto e limitarlo a quanto necessario per lo scopo proposto.
La task force su ChatGpt
Nella riunione plenaria, le autorità di protezione dei dati hanno anche adottato un rapporto sul lavoro della task force ChatGpt. Questa task force è stata creata dall’Edpb per promuovere la cooperazione tra le autorità di protezione dei dati che stanno esaminando la conformità del chatbot sviluppato da OpenAi.
Il rapporto fornisce pareri preliminari su alcuni aspetti discussi tra le Dpa e non pregiudica l’analisi che verrà effettuata da ciascuna Dpa nelle rispettive indagini in corso, chiarisce l’Edpb. In particolare, vengono analizzati tre diversi aspetti riguardanti l’interpretazione comune delle disposizioni del Gdpr applicabili rilevanti per le varie indagini in corso: la raccolta dei dati per il training dei modelli, l’equità, la trasparenza e accuratezza dei dati.
Il primo punto riguarda la liceità della raccolta dei dati di addestramento “pescando dal web” con il cosiddetto web scraping, nonché del trattamento dei dati per l’input, l’output e la formazione di ChatGpt.
Il principio di equità si riferisce al fatto che garantire il rispetto del Gdpr è responsabilità di OpenAi e non degli interessati, anche quando gli individui inseriscono dati personali.
Infine, il titolare del trattamento deve fornire informazioni adeguate sulla natura probabilistica dell’output di ChatGpt e fare riferimento esplicitamente al fatto che il testo generato potrebbe essere distorto o inventato (trasparenza e accuratezza dei dati). La relazione sottolinea che è fondamentale che gli interessati possano esercitare i propri diritti in modo efficace.
L’Edpb ha anche deciso di sviluppare linee guida sull’Ai generativa, concentrandosi come primo passo sullo scraping dei dati nel contesto della formazione sull’Ai.
