TERMOSCANNER CON RICONOSCIMENTO FACCIALE, COVID-19: ATTENTI ALLE SANZIONI

L’emergenza sanitaria legata alla pandemia si protrae e con essa le misure di contenimento del contagio da Covid-19. Oltre all’utilizzo obbligatorio e necessario delle mascherine e al distanziamento sociale, i termoscanner rivestono un ruolo essenziale per il monitoraggio ed il contenimento della diffusione del contagioovunque, dai luoghi di lavoro agli aeroporti, dalle stazioni ai centri commerciali. Tra i vari modelli, esistono i termoscanner con riconoscimento facciale. Bisogna prestare particolare attenzione a questi modelli in quanto potrebbero violare la privacy, trasgredire al GDPR. Si potrebbero rischiare multe fino a 20 milioni di euro.

Facciamo chiarezza su quello che si può e non si può fare.

Bisogna sapere che gli strumenti di misurazione della temperatura corporea integrati con quelli di rilevazione degli accessi che prevedono il trattamento di dati biometrici sono soggetti a limitazioni nell’utilizzo e prevedono certi requisiti. L’identificazione dell’individuo tramite immagine comporta requisiti particolari.

Spieghiamoci meglio, prima di confrontare i termo scanner con le più sicure telecamere termiche.

A COSA SERVONO I TERMOSCANNER CON RICONOSCIMENTO FACCIALE

L’adozione di termoscanner per misurare la temperatura corporea nei luoghi di lavoro rappresenta un obbligo per le aziende italiane. E’ necessario, anzi fondamentale per monitorare e contenere al massimo il rischio di contagio da Covid-19.

Esistono termoscanner che si limitano a rilevare la temperatura, altri che rilevano la presenza di mascherina sul volto ed il mantenimento della distanza interpersonale di sicurezza.

Esistono anche i termoscanner con riconoscimento facciale: si tratta di soluzioni che consentono di integrare le telecamere di riconoscimento facciale con i sistemi di rilevazione degli accessi nei luoghi di lavoro. Grazie a questo sistema, i lavoratori non sono costretti a registrare gli ingressi e le uscite manualmente e, di conseguenza, si evitano gli assembramenti che aumentano il rischio di contagio ed azzerano il distanziamento sociale. 

Questi sistemi, da una parte, sono una benedizione per il contenimento del virus, dall’altra, implicano criticità in materia di protezione dei dati personali e di rispetto della normativa GDPR.

Quando è possibile utilizzare la rilevazione degli accessi con riconoscimento facciale e quando no?

FACE DETECTION E FACE RECOGNITION

Esistono due differenti concetti di riconoscimento facciale che si basano rispettivamente sulla capacità di:

– identificare l’individuo attraverso l’immagine del viso;

– distinguere i volti da altri elementi ripresi dalla telecamera.

La differenza tra i due principi è notevole in termini di protezione dei dati.

La tecnologia cosiddetta face detection è capace di rilevare un volto umano in un’immagine o video.

La face recognition è basata, invece, su una tecnologia capace di associare il volto ad un soggetto specifico tramite il confronto del viso identificato dall’algoritmo con immagini contenute in un determinato database. La tecnologia face recognition (riconoscimento facciale) comporta un trattamento di dati biometrici, ovvero dati personali ottenuti attraverso l’utilizzo di dispositivi tecnici particolari che riconoscono caratteristiche fisiche e fisiologiche di una certa persona consentendo, quindi, l’identificazione univoca.

Si tratta di dati personali sensibili, delicati: pensiamo alle gravi conseguenze a cui sarebbe esposta una persona in caso di furto o perdita dei dati biometrici. Sono dati non modificabili, inscindibilmente legati all’individuo e possono essere utilizzati per scopi fraudolenti ai danni degli interessati.

CONSIDERANDO 51 DEL GDPR: COSA BISOGNA SAPERE

Il Considerando 51 del GDPR stabilisce che il trattamento di immagini non riguarda  particolari categorie di dati personali. Si parla di dati biometrici solo se vengono trattati con l’utilizzo di uno specifico dispositivo tecnico che permette l’identificazione univoca o l’autenticazione di una persona fisica.

Premesso questo, la questione dell’utilizzo di termoscanner con riconoscimento facciale è estremamente delicata.

In gran parte dei casi, i termoscanner con funzionalità di riconoscimento facciale effettuano soltanto trattamenti di immagini (dati personali per i quali il GDPR prevede tutele). Il problema, però, è che gli strumenti utilizzati per misurare la temperatura corporea integrati con certi sistemi di rilevazione degli accessi implicano un riconoscimento facciale con conseguente trattamento di dati biometrici che prevede particolari requisiti.

Il trattamento di dati biometrici attraverso l’utilizzo di specifici dispositivi è previsto per determinate categorie di dati personali che devono essere garantite ai sensi dell’art. 9 del GDPR. In base a questo articolo, il trattamento dei dati biometrici è consentito solo in determinate condizioni (consenso dell’interessato o per motivi di rilevante interesse pubblico).

L’azienda che ha intenzione di utilizzare un termoscanner con riconoscimento facciale non può condizionare l’accesso nei luoghi di lavoro al consenso dei dipendenti in riferimento al trattamento dei dati biometrici.

Riguardo a questa delicata questione interviene l’EDPB (Comitato europeo per la protezione dei dati). L’Edpb ha osservato che l’azienda dovrebbe concedere una seconda chance, una soluzione alternativa che non implichi il trattamento dei dati biometrici. Per esempio, potrebbe continuare ad utilizzare il sistema di vidimazione tramite badge.

TRATTAMENTO DATI BIOMETRICI E VIOLAZIONE DEL PRINCIPIO DI PROPORZIONALITÀ

Perché l’azienda, prima di pensare ad installare termoscanner con riconoscimento facciale, farebbe bene ad individuare sistemi alternativi di rilevazione agli accessi?

Dovrebbe farlo perché un sistema con riconoscimento facciale e trattamento dei dati biometrici potrebbe violare il cosiddetto principio di proporzionalità.

Di regola, il trattamento biometrico deve essere proporzionato alle finalità, allo scopo (in tal caso, rilevare gli accessi nel luogo di lavoro).

L’European Data Protection Supervisor considera una violazione del principio di proporzionalità quando la stessa finalità si può raggiungere utilizzando strumenti meno intrusivi.

A dirla tutta, il test di proporzionalità si supera soltanto in circostanze eccezionali, ad esempio nel comparto della Difesa.

Va da sé che l’utilizzo di termoscanner con riconoscimento facciale è riservata a casi specifici, particolari ed è interdetta a gran parte delle aziende in quanto il trattamento biometrico è ritenuto fortemente invasivo.

Se l’azienda o la banca non rientra in particolari condizioni, dovrebbe utilizzare i semplici termoscanner con funzionalità esclusiva di rilevazione della temperatura corporea. Non dovrebbe adottare il sistema di rilevamento tramite termoscanner con riconoscimento facciale. Rischierebbe multe pesanti.

Quanto costa violare i principi del GDPR (artt. 5 e 9)? L’azienda potrebbe essere sanzionata fino a 20 milioni di euro o fino al 4% del fatturato annuo relativo all’esercizio precedente.

TELECAMERE TERMICHE E GDPR: RICONOSCIMENTO FACCIALE ESCLUSO

In materia di GDPR le telecamere termiche o termocamere infrarossi sono più sicure dei termoscanner con riconoscimento facciale.

Le telecamere termiche rilevano il calore generato dalla temperatura di un corpo qualsiasi traducendolo in immagine. Rilevano il calore degli individui ma non li identificano. Applicate come sistema di sicurezza, non videosorvegliano ma si limitano a funzionare come sensori, ovvero rilevano se c’è un’intrusione in una certa area. Vengono, perciò, sfruttate per il controllo di accessi ed il controllo perimetrale.

Se non vengono integrate ad un normale sistema di videosorveglianza, la loro presenza non è regolata dal Provvedimento del Garante della Privacy.

In caso di rilevazione delle temperatura corporea, il discorso cambia nel senso che se il sistema dovesse rilevare una temperatura superiore a quella prevista è obbligatorio identificare la persona, raccogliere i suoi dati personali e segnalarla alle autorità preposte. I dati personali vengono trattati: in questo caso, rientrano nella categoria di dati particolari con finalità di raccolta di informazioni sullo stato di salute dei lavoratori o delle persone in genere.

Esistono, naturalmente, termocamere evolute capaci di acquisire il volto delle persone indicando il punto preciso della fronte dove rilevare la temperatura ma non possono essere paragonate ai termoscanner con riconoscimento facciale. Le immagini acquisite non consentono l’identificazione vera e propria.

Il trattamento dei dati per la rilevazione della temperatura corporea deve avvenire in conformità del Regolamento UE sulla protezione dei dati 2016/679 e del GDPR – General Data Protection Regulation.

Ciò significa che i datori di lavoro sono tenuti a rilevare la temperatura corporea dei dipendenti senza registrare i dati acquisiti. La finalità è la prevenzione del contagio da Covid-19, quindi i dati devono essere trattati soltanto per questo scopo e non devono essere diffusi o comunicati a terzi, ad eccezione dell’autorità sanitaria nel caso fosse necessario ricostruire la catena dei contatti stretti di un lavoratore risultato positivo al virus. Bisogna garantire la riservatezza e la dignità del lavoratore sottoposto ad isolamento momentaneo.

Inoltre, il datore di lavoro è tenuto a fornire ai dipendenti l’informativa sul trattamento dei dati personali all’ingresso della struttura definendo le misure di sicurezza ed organizzative idonee a proteggere i dati personali rilevati.