Via libera del Garante privacy ad un sistema informatico che consente di verificare l’effettiva corrispondenza tra l’identità degli avvocati iscritti a corsi di formazione professionali, erogati in streaming, a quella delle persone effettivamente connesse.
Il sistema, sottoposto a verifica preliminare dell’Autorità, è finalizzato a evitare che alcuni partecipanti pongano in essere comportamenti sleali per farsi attribuire crediti formativi simulando la partecipazione ai corsi a distanza.
Secondo quanto dichiarato dalla società il controllo dell’identità avverrà acquisendo, a intervalli casuali durante lo svolgimento del corso, la fotografia dei partecipanti collegati in diretta streaming, mediante la webcam del pc di ciascun professionista. Al termine dell’evento le immagini acquisite verranno inserite nelle schede personali insieme al diagramma di connessione.
Successivamente un operatore confronterà le fotografie con quelle dei documenti di identità raccolti in fase di iscrizione, mediante un’operazione che non comporta alcun trattamento biometrico, non essendo prevista la verifica automatizzata di immagini digitali.
Il Garante ha richiamato a tale proposito la definizione di riconoscimento facciale elaborata dal Gruppo Art. 29 secondo cui “il riconoscimento facciale è il trattamento automatizzato di immagini digitali contenenti i volti degli individui allo scopo di identificarli, verificarne l’identità o categorizzarli“.
L’Autorità ha ritenuto lecito il trattamento dei dati personali che dovrà essere oggetto di una specifica e articolata informativa che consenta agli interessati l’esercizio dei diritti, espliciti le finalità e le modalità del trattamento, descriva le caratteristiche tecniche del sistema ed evidenzi i tempi di conservazione dei dati personali.
Il Garante ha prescritto inoltre alla società di raccogliere dagli interessati uno specifico consenso informato al trattamento delle immagini e di configurare il sistema in modo da trattare i dati nel rispetto dei principi di proporzionalità, necessità e correttezza.
La società dovrà consentire l’accesso ai dati personali acquisiti solo a soggetti adeguatamente formati, designati “responsabili” e “incaricati” del trattamento, e dovrà adottare idonee misure di sicurezza a tutela della privacy degli interessati.