L’autorità olandese per la protezione dei dati (DPA olandese) ha indagato su 8 villaggi turistici che utilizzano il riconoscimento facciale per dare accesso a piscine e parchi giochi. È emerso che tutti i villaggi turistici indagati hanno violato la legge sulla privacy. Ad esempio, non facendo notare ai propri ospiti che potevano anche visitare la piscina senza sottoporsi al riconoscimento facciale. Sotto pressione da parte dell’autorità olandese per la protezione dei dati, 7 dei villaggi indagati hanno modificato il loro modo di lavorare, ma 1 villaggio turistico non lo ha ancora fatto. Se ciò continuasse ad essere il caso, l’autorità olandese per la protezione dei dati potrebbe imporre altre misure, come una multa o una sanzione incrementale.

La DPA olandese ha avviato l’indagine dopo aver ricevuto delle soffiate dai cittadini. “Le persone sono rimaste sorprese”, afferma Monique Verdier, vicepresidente della DPA olandese. “Dove prima si accedeva alla piscina tramite una tessera o un braccialetto, all’improvviso è stato implementato il riconoscimento facciale. Per gli adulti, ma anche per i bambini. Solo per accedere alla piscina. È consentito, così, e basta? Questo è ciò che volevano sapere”.

Il riconoscimento facciale è solitamente vietato

Il Regolamento generale sulla protezione dei dati (GDPR) stabilisce requisiti rigorosi per l’implementazione del riconoscimento facciale . “L’implementazione è in linea di principio vietata. E c’è una ragione”, afferma Verdier. “Una volta che è stata effettuata una scansione facciale di questo tipo, hai perso il controllo. Quindi puoi essere identificato e seguito ovunque. Il tuo volto è unico e non puoi semplicemente sostituirlo con un nuovo volto”.

In linea di principio, il riconoscimento facciale è consentito solo in 3 casi:

1. Se il riconoscimento facciale serve solo a scopi personali o domestici, come ad esempio sbloccare un telefono.
2. Se il riconoscimento facciale è necessario per scopi di autenticazione o sicurezza. Tale necessità, tuttavia, non si verifica facilmente. Deve riguardare un interesse pubblico sostanziale. Ad esempio, la sicurezza di una centrale nucleare o informazioni che costituiscono un segreto di Stato.
3. Se la persona di cui esegui la scansione del volto acconsente esplicitamente.

Consenso esplicito per il riconoscimento facciale

Nel caso del controllo degli accessi per una piscina, l’opzione 3, consenso esplicito, è l’unica possibile. Un numero considerevole di requisiti si applica al modo in cui un’organizzazione deve chiedere alle persone il consenso per applicare il riconoscimento facciale.

Per citarne alcuni: l’organizzazione deve informare le persone in modo appropriato per assicurarsi che sappiano davvero a cosa dire “sì”. Inoltre, devono essere libere – e sentirsi libere – di dire “no”. Ciò significa, tra le altre cose, che deve essere disponibile anche un’alternativa. In questo caso: che si possa accedere anche tramite una tessera o un braccialetto, ad esempio.

Varie violazioni da parte dei villaggi turistici

L’indagine della DPA olandese ha dimostrato che tutti i parchi vacanze non hanno rispettato la legge. La DPA olandese ha identificato varie violazioni:

• A volte, i parchi non chiedevano nemmeno il consenso. O non lo chiedevano in modo sufficientemente chiaro.
• A volte, gli ospiti non potevano usare un’alternativa per il riconoscimento facciale. Oppure c’era un’alternativa, ma il parco vacanze non ne informava gli ospiti di sua spontanea volontà.
• Altri villaggi turistici non hanno informato a sufficienza gli ospiti sul riconoscimento facciale e sui diritti di cui godono gli ospiti quando un’organizzazione utilizza i loro dati personali per il riconoscimento facciale.
• Spesso gli ospiti non ricevono alcuna informazione su per quanto tempo il villaggio turistico conserva i dati e chi li riceve.

Verdier: “Questo è molto grave. Non è consentito fare pressione sulle persone affinché cedano i loro dati biometrici. Eppure è esattamente quello che è successo qui: le persone pagano per una bella vacanza, piscina inclusa, e si trovano di fronte al fatto compiuto: se vogliono nuotare, dovranno cedere i loro dati. Questo è proibito.”

E adesso?

La DPA olandese ha imposto un ordine al parco vacanze che non soddisfa ancora i requisiti di legge. Al parco vacanze è stato concesso tempo fino all’inizio di dicembre per adeguare il proprio modo di lavorare per quanto riguarda il riconoscimento facciale. Se il parco non lo fa, la DPA olandese può imporre altre misure. Verdier: “In tal caso, la società ha avuto sufficienti opportunità per soddisfare i requisiti di legge. Potrebbe essere necessaria una misura diversa, come una multa o una sanzione incrementale.”

https://autoriteitpersoonsgegevens.nl/en/current/holiday-parks-adjust-use-of-facial-recognition-after-investigation-by-dutch-dpa