Il Garante della privacy ha vietato l’uso di un sistema di riconoscimento facciale che avrebbe dovuto registrare e verificare i volti di chi richiede un finanziamento allo scopo di prevenire possibili furti di identità.

La società che aveva progettato il  servizio prevedeva di acquisire – tramite scansione – la fotografia presente sul documento di identità dei potenziali clienti al momento in cui richiedevano mutui, prestiti o altre forme di finanziamento presso istituti di credito o altri intermediari finanziari. I dati biometrici del volto – inseriti in una banca dati e associati con altre informazioni personali – sarebbero stati poi confrontati con quelli già censiti o presenti in altri archivi, ad esempio per l’identificazione di soggetti ricercati. La ricerca sarebbe poi stata estesa anche a immagini pubblicate sulla stampa e su internet.

Nel corso dell’istruttoria per la verifica preliminare del progetto sottoposto alla sua attenzione, l’Autorità ha innanzitutto evidenziato che non può ritenersi necessario e proporzionato un uso generalizzato e incontrollato dei dati biometrici dei clienti che, tra l’altro, si possono prestare a utilizzi impropri e possibili abusi .

Il Garante, inoltre, ha individuato molteplici criticità relative al nuovo sistema, che peraltro avrebbe comportato la raccolta dei volti di un numero enorme di persone (si pensi che le posizioni creditizie attualmente attive in Italia sono diverse decine di milioni). Risultava, ad esempio, scarsamente affidabile il processo di confronto delle fotografie delineato dalla società, con un alto rischio di falsi positivi e falsi negativi, e mancava del tutto una rigorosa garanzia di affidabilità ed integrità dei dati trattati. Dagli elementi forniti all’Autorità è poi emerso che non erano state previste neppure adeguate misure di sicurezza – tra le altre, quelle a protezione della rete di comunicazione elettronica sulla quale i dati biometrici sarebbero stati trasmessi al sistema centralizzato di acquisizione dati – con conseguenti ripercussioni per i diritti individuali in caso di violazione, di accessi di persone non autorizzate o, comunque, di abusi riguardo alle informazioni memorizzate.

Neppure la modalità di acquisizione del consenso  al trattamento dei propri dati biometrici era conforme al Codice della privacy, risultando il consenso di fatto obbligato e senza che fossero previsti metodi alternativi di verifica dell’identità per accedere al finanziamento.