Il Dipartimento per la protezione sociale del Governo irlandese è stato sanzionato con una multa di 550.000 euro dall’Autorità per la protezione dei dati.
La sanzione arriva dopo che la DPC ha riscontrato “una serie di carenze” nel rispetto delle normative europee sulla privacy, in particolare per l’uso delle scansioni facciali nell’emissione delle carte dei servizi pubblici. Queste carte sono strumenti estremamente diffusi in Irlanda, tanto che nel 2021 il Dipartimento governativo deteneva dati biometrici di circa il 70% della popolazione.
Le Gravi Carenze Rilevate dalla Data Protection Commission
La DPC ha imposto al Dipartimento non solo la multa, ma anche l’obbligo di trovare una valida base giuridica per l’utilizzo delle scansioni facciali e del software di corrispondenza facciale per la registrazione delle carte dei servizi pubblici entro nove mesi. In caso contrario, il Dipartimento dovrà cessare l’uso dei dati biometrici dei cittadini irlandesi.
Le criticità individuate dall’Autorità sono molteplici e significative:
- Violazione dell’Art. 9 del GDPR: Il processo “Safe 2”, utilizzato per la verifica dell’identità tramite foto del richiedente e successivo confronto con altre immagini, non rispetta le soglie legali necessarie per l’elaborazione delle categorie particolari di dati, come i dati biometrici, ai sensi dell’Articolo 9 del Regolamento Generale sulla Protezione dei Dati (GDPR).
- Conservazione Illegittima dei Dati Biometrici: La conservazione stessa dei dati biometrici è stata giudicata una violazione del Regolamento UE.
- Mancanza di Trasparenza: Il Dipartimento governativo non ha operato con un’adeguata trasparenza nei confronti degli interessati, non informandoli in modo chiaro e completo sull’uso dei loro dati biometrici.
- Valutazione d’Impatto sulla Protezione dei Dati (DPIA) Carente: La DPIA del Dipartimento è stata ritenuta insufficiente, in quanto priva di dettagli critici sulla natura e sulla portata del trattamento dei dati coinvolti.
Il Futuro delle Carte dei Servizi Pubblici in Irlanda
Se il Dipartimento per la protezione sociale non sarà in grado di stabilire un quadro giuridicamente valido entro i primi del 2026, sarà obbligato per legge a interrompere l’elaborazione dei dati biometrici relativi all’emissione delle carte dei servizi pubblici.
Questa eventualità solleva diversi interrogativi sul futuro delle alternative da adottare alla carta attuale, che si basa proprio sui dati biometrici come “gateway” di accesso per i servizi sociali in Irlanda. La decisione della DPC sottolinea l’importanza cruciale del rispetto delle normative sulla privacy nell’era digitale, specialmente quando si tratta di dati sensibili come quelli biometrici.
