GRUPUL DE LUCRU PENTRU PROTECIA PERSOANELOR N CEEA CE PRIVETE PRELUCRAREA DATELOR CU CARACTER PERSONAL

00727/12/RO WP 192

Avizul 02/2012 cu privire la recunoaterea facial n cadrul serviciilor online i mobile

Adoptat la 22 martie 2012

Acest grup de lucru a fost instituit n temeiul articolului 29 din Directiva 95/46/CE i este un organ consultativ european independent privind protecia datelor i a vieii private. Atribuiile grupului de lucru sunt descrise la articolul 30 din Directiva 95/46/CE i la articolul 15 din Directiva 2002/58/CE. Secretariatul acestuia este asigurat de Direcia C (Drepturi fundamentale i cetenia Uniunii) din cadrul Comisiei Europene, Direcia General Justiie, B-1049 Bruxelles, Belgia, Biroul MO-59 02/013. Site internet: http://ec.europa.eu/justice/data-protection/index_ro.htm

1. Introducere
n ultimii ani, disponibilitatea i precizia tehnologiei de recunoatere facial au nregistrat o cretere rapid. n plus, aceast tehnologie a fost integrat n serviciile online i mobile n vederea identificrii, autentificrii/verificrii sau clasificrii persoanelor fizice. Tehnologia menionat, care reprezenta n trecut una din temele domeniului tiinifico-fantastic, este acum disponibil pentru a fi utilizat att de organizaiile publice, ct i de cele private. Cteva din exemplele utilizrii acesteia n serviciile online i mobile includ reelele sociale i telefoanele inteligente. Capacitatea de captare a datelor n mod automat i de recunoatere a feei unei persoane pe baza unei imagini digitale a fost examinat anterior de Grupul de lucru pentru protecia persoanelor n ceea ce privete prelucrarea datelor cu caracter personal (WP-29) n documentul de lucru privind datele biometrice (GL-80) i n Avizul 03/2012 (WP-193), recent publicat, cu privire la evoluia tehnologiilor biometrice. Recunoaterea facial este analizat n contextul datelor biometrice deoarece, n multe cazuri, aceasta conine suficiente detalii pentru a permite identificarea unic a unei persoane. n Avizul 03/2012 se precizeaz c: [datele biometrice] permit localizarea, urmrirea sau crearea automat de profiluri ale persoanelor fizice i, astfel, impactul potenial al acestora asupra vieii private i a dreptului la protecia datelor persoanelor este ridicat. Aceast meniune este valabil n special n cazul recunoaterii faciale n cadrul serviciilor online i mobile, atunci cnd imaginile unei persoane pot fi captate (cu sau fr cunotina persoanei) i, apoi, trimise ctre un server ndeprtat n vederea prelucrrii ulterioare. Serviciile online, din care multe sunt deinute i operate de ctre organizaii private, i-au constituit o vast colecie de imagini, ncrcate chiar de persoanele vizate. n unele cazuri, aceste imagini pot fi, de asemenea, obinute n mod ilegal prin recuperarea lor de pe alte siteuri publice, cum ar fi memoria cache a motoarelor de cutare. Dispozitivele mobile mici, prevzute cu camere video de nalt rezoluie, permit utilizatorilor s capteze imagini i s se conecteze n timp real la servicii online prin intermediul conexiunilor internet permanente. Prin urmare, utilizatorii pot s partajeze aceste imagini cu alte persoane sau s efectueze identificri, autentificri/verificri sau clasificri ale acestora n vederea accesrii de informaii suplimentare cu privire la persoanele cunoscute sau necunoscute din imagini. Prin urmare, recunoaterea facial n cadrul serviciilor online i mobile necesit o atenie special din partea GL-29 deoarece utilizarea acestei tehnologii implic o varietate de preocupri legate de protecia datelor. Obiectivul prezentului aviz este examinarea cadrului juridic i formularea unor recomandri adecvate aplicabile tehnologiei de recunoatere facial atunci cnd este folosit n contextul serviciilor online i mobile. Prezentul aviz se adreseaz autoritile legislative europene i naionale, operatorilor de date i utilizatorilor unor astfel de tehnologii. Avizul nu intenioneaz s repete principiile menionate n Avizul 03/2012, ci mai degrab se bazeaz pe acestea n contextul serviciilor online i mobile.

2. Definiii
Tehnologia de recunoatere facial nu este nou, existnd deja o serie de definiii i interpretri ale terminologiei. Prin urmare, este util s se defineasc n mod clar tehnologia care face obiectul prezentului aviz. Imagine digital: o imagine digital este o reprezentare n form digital a unei imagini bidimensionale. Cu toate acestea, progresele recente nregistrate n tehnologia de recunoatere facial necesit includerea imaginilor tridimensionale n plus fa de imaginile statice, ct i de cele n micare (de exemplu, fotografii, imagini video nregistrate i transmise n direct). Recunoatere facial: recunoaterea facial este prelucrarea automat a imaginilor digitale n care sunt reprezentate feele unor persoane n scopul identificrii, autentificrii/verificrii sau clasificrii1 acestor persoane. Procesul de recunoatere facial n sine const ntr-o serie de subprocese distincte: a) achiziia imaginii: procesul de captare a unei imagini reprezentnd faa unei persoane i de convertire a acesteia n format digital (imagine digital). n cadrul unui serviciu online i mobil, este posibil ca imaginea s fi fost obinut printr-un sistem diferit, de exemplu fcnd o fotografie cu o camer digital, care este apoi transferat ctre un serviciu online; b) detectarea feei: procesul de detectare a prezenei unei fee ntr-o imagine digital i marcarea zonei unde apare aceasta; c) normalizarea: procesul de atenuare a variaiilor ntre regiunile faciale detectate, de exemplu, conversia ntr-un format cu dimensiuni standard, rotirea sau alinierea repartiiei culorilor; d) extragerea caracteristicilor: procesul de izolare i de transferare a caracteristicilor repetabile i distinctive ale imaginii digitale ale unei persoane. Extragerea caracteristicilor poate fi holistic2, bazat pe caracteristici3 sau o combinaie a celor dou metode4. Setul de caracteristici eseniale poate fi stocat n vederea comparrii ulterioare n cadrul unui model de referin5; e) nscriere: dac persoana face pentru prima dat obiectul sistemului de recunoatere facial, imaginea i/sau modelul de referin pot fi stocate ca nregistrri n vederea comparrii ulterioare; f) comparare: procesul de msurare a similaritii ntre o serie de caracteristici (eantionul) i o alt serie deja nscris n sistem. Obiectivele principale ale comparrii sunt identificarea i autentificarea/verificarea. Al treilea obiectiv al comparrii este clasificarea, care reprezint procesul de extragere a caracteristicilor
1 2 3 4 5

Identificarea, autentificarea/verificarea i clasificarea sunt definite n Avizul 03/2012. Extragerea holistic a caracteristicilor: o reprezentare matematic a ntregii imagini, cum ar fi cea care rezult din analiza componentelor principale. Extragerea bazat pe caracteristici: identificarea localizrii unor caracteristici faciale specifice, cum ar fi ochii, nasul i gura. Cunoscut, de asemenea, sub numele de metod hibrid de extragere a caracteristicilor. Modelul este definit n Avizul 03/2012 astfel: caracteristici eseniale extrase din datele biometrice n form brut (de exemplu, msurtorile faciale pornind de la o imagine) i stocate n vederea prelucrrii ulterioare, mai degrab dect datele brute n sine.

dintr-o imagine a unei persoane n scopul clasificrii acelei persoane ntr-una sau mai multe categorii largi (de exemplu, vrst, sex, culoarea mbrcmintei etc.). Nu este necesar ca un sistem de clasificare s fie prevzut cu un proces de nscriere.

3. Exemple de recunoatere facial n cadrul serviciilor online i mobile

Recunoatere facial poate fi inclus n serviciile online i mobile n moduri diferite i ntr-o varietate de scopuri. n contextul prezentului aviz, GL-29 se concentreaz asupra unui numr de exemple diferite care urmresc s asigure un context suplimentar analizei juridice i s includ utilizarea recunoaterii faciale n vederea identificrii, autentificrii/verificrii i clasificrii. 3.1. Recunoaterea facial ca mijloc de identificare

Exemplul 1: un serviciu de socializare n reea (SSR)6 permite utilizatorilor s adauge o imagine digital n profilul lor. Mai mult, utilizatorii pot s ncarce imagini pe care s le partajeze cu ali utilizatori nregistrai sau nenregistrai. Utilizatorii nregistrai pot identifica i marca (tag) manual alte persoane (care pot sau nu s fie utilizatori nregistrai) n imaginile pe care le ncarc. Astfel de marcaje (tags) pot fi vzute de autorul lor, pot fi partajate cu un grup mai larg de prieteni sau cu toi utilizatorii nregistrai sau nenregistrai. SSR-ul poate folosi imaginile marcate pentru a crea un model de referin pentru fiecare utilizator nregistrat i, prin utilizarea unui sistem de recunoatere facial, sugereaz n mod automat marcaje pentru imaginile noi pe msur ce acestea sunt ncrcate. Astfel de imagini ale persoanelor care sunt puse la dispoziia publicului de ctre utilizatori ar putea fi ulterior accesate i plasate n memoria cache de ctre un motor de cutare pe internet. Motorul de cutare ar putea s-i mbunteasc funciile de cutare, permind utilizatorilor s ncarce o imagine a unei persoane i s primeasc rezultatele cele mai relevante ale cutrii, nsoite de un link ctre pagina profilului persoanei de pe SSR. Imaginea care face obiectul cutrii poate fi captat direct cu ajutorul camerei foto a unui telefon inteligent. 3.2. Recunoaterea facial ca mijloc de autentificare/verificare

Exemplul 2: un sistem de recunoatere facial este utilizat pentru a nlocui numele de utilizator/parola pentru controlul accesului la un serviciu sau dispozitiv online sau mobil. n timpul nscrierii, se utilizeaz camera cu care este prevzut dispozitivul pentru a capta imaginea utilizatorului autorizat al dispozitivului i se creeaz un model de referin care ar putea fi stocat pe dispozitiv sau la distan prin intermediul unui serviciu online. Pentru a avea acces la serviciu sau la dispozitiv, se capteaz o nou imagine a persoanei care ncearc s obin accesul, aceasta fiind comparat cu imaginea de referin. Accesul este acordat dac sistemul stabilete c imaginile sunt identice.

Un serviciu de socializare n reea este definit n linii mari n Avizul 5/2009 privind socializarea n reelele online ca o platform de comunicare online care ofer persoanelor posibilitatea de a se altura sau de a crea reele de utilizatori care mprtesc aceleai opinii.

3.3.

Recunoaterea facial ca mijloc de clasificare

Exemplul 3: SSR-ul descris n exemplul 1 poate acorda, pe baza unei licene, accesul la galeria sa de imagini unei pri tere care opereaz un serviciu de recunoatere facial online. Serviciul permite clienilor prii tere s ncorporeze tehnologia de recunoatere facial n alte produse. Funcionalitatea permite acestor alte produse s utilizeze imagini ale persoanelor n scopul detectrii i al clasificrii imaginilor cu feele acestora ntr-un set sau pe baza unor criterii predefinite, de exemplu vrsta, sexul i starea de spirit. Exemplul 4: o consol de jocuri utilizeaz un sistem de control al gesturilor care detecteaz micrile utilizatorului n vederea efecturii aciunilor necesare n cadrul jocului. Camera (camerele) utilizat(e) de sistemul de control al gesturilor partajeaz imaginile persoanelor cu un sistem de recunoatere facial, care efectueaz previziuni privind vrsta probabil, sexul i starea de spirit a juctorilor. Datele, inclusiv cele obinute prin intermediul altor factori multimodali, permit modificarea ulterioar a jocului pentru a optimiza experiena utilizatorului sau pentru a schimba mediul, astfel nct acesta s reflecte profilul preconizat al utilizatorului. n mod similar, un sistem ar putea s clasifice utilizatorii pentru a le permite/refuza accesul la coninuturi n funcie de vrst sau pentru a afia, pe parcursul jocului, mesaje publicitare specifice.

4. Cadru juridic
Cadrul juridic relevant privind recunoaterea facial este reprezentat de Directiva privind protecia datelor (95/46/CE), care a fost analizat n acest sens n Avizul 03/2012. Prezenta seciune urmrete doar s prezinte o sintez a cadrului juridic n contextul recunoaterii faciale n cadrul serviciilor online i mobile, pe baza exemplelor furnizate n seciunea 3. Alte exemple de recunoatere facial sunt analizate n Avizul 03/2012. 4.1. Imaginile digitale ca date cu caracter personal Atunci cnd o imagine digital conine faa unei persoane, care este vizibil n mod clar i permite identificarea persoanei respective, aceasta poate fi considerat ca fcnd parte din categoria datelor cu caracter personal. Acest lucru depinde de o serie de parametri, cum ar fi calitatea imaginii sau perspectiva. De cele mai multe ori, este puin probabil ca imaginile reprezentnd scene n care persoanele apar n deprtare sau n care feele sunt estompate s fie considerate drept date cu caracter personal. Cu toate acestea, este important de notat c imaginile digitale pot conine datele cu caracter personal ale mai multor persoane (de exemplu, mai muli juctori pot aprea n cadru n exemplul 4), iar prezena altor persoane n fotografie poate implica existena unei relaii ntre acestea. Avizul 04/2007 privind conceptul de date cu caracter personal reitereaz faptul c, n cazul n care datele se refer la caracteristicile sau comportamentul unei persoane sau, n cazul n care aceste informaii sunt utilizate pentru a stabili sau influena modul n care respectiva persoan este tratat sau evaluat, atunci acestea sunt, de asemenea, considerate ca fiind date cu caracter personal. Prin definiie, un model de referin creat pe baza imaginii unei persoane intr, de asemenea, n categoria datelor cu caracter personal, deoarece conine o serie de trsturi distinctive ale feei unei persoane, care sunt apoi asociate unei anumite persoane i stocate pentru a servi ca referin pentru comparri ulterioare n vederea identificrii i a autentificrii/verificrii. Un model sau un set de trsturi distinctive folosite doar ntr-un sistem de clasificare nu ar putea, n general, conine informaii suficiente pentru a identifica o persoan. Acestea ar trebui s conin doar informaii suficiente n vederea unei clasificri (de exemplu, brbat sau 4

femeie). n acest caz, nu ar putea fi vorba de date cu caracter personal dac modelul (sau rezultatul) nu este asociat nregistrrii, profilului sau imaginii originale a unei persoane (care vor fi considerate, n continuare, date cu caracter personal). Mai mult, ntruct imaginile digitale ale persoanelor i modelele sunt legate de proprietile biologice, aspectele comportamentale, caracteristicile fiziologice, trsturile vitale sau aciunile repetabile, att trsturile, ct i/sau aciunile fiind caracteristice persoanei i fiind msurabile7, acestea ar trebui considerate drept date biometrice. 4.2. Imaginile digitale n calitate de categorii speciale de date cu caracter personal Imaginile digitale ale persoanelor pot, n anumite cazuri, s fie considerate ca reprezentnd o categorie special de date cu caracter personal8. n special, n cazul n care imaginile digitale ale persoanelor sau modelele fac obiectul unei prelucrri suplimentare n vederea obinerii unor categorii speciale de date, acestea pot fi ncadrate cu certitudine n categoria menionat anterior. De exemplu, este cazul imaginilor care urmeaz s fie utilizate pentru a obine informaii privind originea etnic, religia sau sntatea persoanelor vizate. 4.3. Prelucrarea datelor cu caracter personal n contextul unui sistem de recunoatere facial Astfel cum s-a menionat anterior, recunoaterea facial are la baz o serie de etape de prelucrare automat a datelor. Prin urmare, recunoaterea facial constituie o form automatizat de prelucrare a datelor cu caracter personal, inclusiv a datelor biometrice. Prin utilizarea datelor biometrice, sistemele de recunoatere facial pot fi supuse, n statele membre, unor controale suplimentare sau altor legi, cum ar fi autorizarea prealabil sau legislaia muncii. Utilizarea datelor biometrice n contextul ocuprii forei de munc este analizat n detaliu n Avizul 03/2012. 4.4. Operatorul de date Pe baza exemplelor furnizate, operatorii de date vor fi, n general, proprietarii site-urilor internet i/sau furnizorii de servicii online, precum i operatorii aplicaiilor mobile, implicai n procesul de recunoatere facial dat fiind c stabilesc scopurile i/sau mijloacele de prelucrare9. Aceasta include concluzia formulat n Avizul 5/2009 privind socializarea n reelele online care prevede c furnizorii de SSR sunt operatori de date n temeiul Directivei privind protecia datelor. 4.5. Motivul legitim Directiva 95/46/CE stabilete condiiile care trebuie respectate n cazul prelucrrii datelor cu caracter personal. Aceasta nseamn c activitile de prelucrare trebuie, n primul rnd, s fie n conformitate cu cerinele privind calitatea datelor (articolul 6). n acest caz, imaginile digitale ale persoanelor i modelele respective trebuie s fie relevante i neexcesive pentru a fi prelucrate n scopul recunoaterii faciale. n plus, prelucrarea se poate realiza numai n cazul ndeplinirii unuia dintre criteriile specificate la articolul 7. Avnd n vedere riscurile specifice implicate de datele biometrice, acest lucru va necesita, prin urmare, consimmntul n cunotin de cauz al persoanei, nainte de a ncepe prelucrarea imaginilor digitale n scopul recunoaterii faciale. Cu toate acestea, n unele
7 8 9

Definiia datelor biometrice din Avizul 03/2012. Jurisprudena din anumite ri a clasificat imaginile digitale ale feelor ca reprezentnd categorii speciale de date LJN BK6331, Curtea Suprem a rilor de Jos, 23 martie 2010. A se vedea Avizul nr. 01/2010 privind conceptele de operator i persoan mputernicit de ctre operator.

cazuri, este posibil ca operatorul de date s fie nevoit, n mod temporar, s efectueze anumite etape ale prelucrrii n scopul recunoaterii faciale, chiar n vederea stabilirii faptului c un utilizator i-a dat sau nu consimmntul, acesta servind ca temei juridic pentru prelucrarea datelor. Aceast prelucrare iniial (adic achiziia imaginii, detectarea feei, compararea etc.) poate avea, n acest caz, un temei juridic separat, n special, interesul legitim al operatorului de date de a respecta normele de protecie a datelor. Datele prelucrate n aceste etape ar trebui folosite numai n scopul care se limiteaz strict la verificarea consimmntului utilizatorului i, prin urmare, ar trebui s fie terse imediat dup terminarea verificrii. n exemplul 1, operatorul de date a stabilit c toate imaginile noi, ncrcate de utilizatorii nregistrai ai SSR-ului, ar trebui s fac obiectul unei detectri a feelor, unei extrageri a caracteristicilor i unei comparri. Numai imaginile utilizatorilor nregistrai care au un model de referin nscris n baza de date de identificare vor fi comparate cu aceste noi imagini i, prin urmare, se va sugera n mod automat o marcare al acestora. n cazul n care consimmntul persoanei ar fi fost considerat ca singurul motiv legitim posibil pentru orice operaiune de prelucrare, ntregul serviciu ar fi blocat deoarece, de exemplu, nu exist niciun mijloc pentru a obine consimmntul utilizatorilor nenregistrai, ale cror date cu caracter personal ar putea fi prelucrate n timpul etapei de detectare a feelor i a extragerii caracteristicilor. n plus, nu ar fi posibil distincia ntre imaginile care cuprind feele utilizatorilor nregistrai care i-au dat consimmntul i care nu i-au dat consimmntul, fr efectuarea prealabil a recunoaterii faciale. Numai dup ce a avut loc identificarea (sau dup eecul identificrii), un operator de date ar fi capabil s stabileasc dac dispune sau nu de consimmntul adecvat n vederea prelucrrii specifice. nainte ca un utilizator nregistrat s ncarce o imagine n SSR, acesta trebuie, n primul rnd, s fie informat n mod clar de faptul c imaginile vor fi supuse unui sistem de recunoatere facial. Mai important, utilizatorilor nregistrai trebuie, de asemenea, s le fie oferit o opiune suplimentar prin care s se stabileasc dac sunt sau nu de acord ca modelul lor de referin s fie nscris n baza de date de identificare. Prin urmare, numele utilizatorilor nenregistrai i ale celor nregistrai care nu i-au dat consimmntul cu privire la prelucrare nu vor fi sugerate n mod automat pentru a fi marcate, deoarece nu se va afia niciun rezultat care s includ imaginile n care apar acetia. Consimmntul exprimat de persoana care ncarc imaginea nu ar trebui confundat cu necesitatea unui motiv legitim pentru prelucrarea datelor cu caracter personal ale altor persoane care pot aprea n imagine. n acest scop, operatorul de date se poate baza pe un alt motiv legitim n vederea prelucrrii n etapele intermediare (detectarea feei, normalizarea i compararea), ca de exemplu c acest lucru este n interesul legitim al operatorului de date, cu condiia instituirii unui numr suficient de restricii i controale pentru a proteja drepturile i libertile fundamentale ale persoanelor vizate care nu efectueaz operaiunea de ncrcare a imaginii. Astfel de controale ar include garantarea faptului c nu sunt pstrate niciun fel de date rezultate din prelucrare atunci cnd nu se afieaz niciun rezultat (de exemplu, toate modelele i datele conexe sunt eliminate n siguran). De asemenea, operatorul de date poate avea n vedere furnizarea de instrumente utilizatorilor care s permit persoanei care ncarc imaginea s estompeze feele persoanelor cu privire la care nu exist nicio concordan n baza de date de referin. nscrierea modelului unei persoane ntr-o baz de date de identificare (permind, astfel, obinerea unei concordane i a unor sugestii de marcare ulterioare) ar fi posibil doar cu consimmntul n cunotin de cauz al persoanei vizate. Exemplul 2 prezint o posibilitate evident de a obine consimmntul persoanei autorizate n vederea accesrii dispozitivului n cursul procesului de nscriere. n scopul obinerii unui consimmnt valabil, trebuie instituit un sistem de control al accesului alternativ i la fel de 6

sigur (cum ar fi o parol puternic). Aceast opiune alternativ, care respect confidenialitatea, ar trebui s fie implicit. n cazul n care un utilizator individual se prezint n faa unei camere conectate la dispozitiv, n scopul explicit de a obine accesul la acesta, se poate considera c persoana n cauz i-a dat consimmntul pentru prelucrarea datelor privind trsturile faciale necesare n vederea autentificrii, chiar dac persoana respectiv nu este un utilizator autorizat al dispozitivului. Cu toate acestea, nivelul informaiilor furnizate trebuie s fie suficient pentru a garanta validitatea consimmntului. Exploatarea ulterioar a galeriei foto a SSR-ului, descris n exemplul 3, ar reprezenta un caz clar de nclcare a principiului limitrii scopului i, prin urmare, trebuie obinut consimmntul valabil al persoanei nainte de introducerea unei astfel de caracteristici, care s indice n mod clar c se va efectua o astfel de prelucrare a imaginilor. Acesta este i cazul motorului de cutare descris n exemplul 1. Imaginile obinute de motorul de cutare au fost afiate n scopul vizualizrii i nu n cel al tratrii de ctre un sistem de recunoatere facial. Furnizorul motorului de cutare va trebui s obin consimmntul persoanelor vizate, anterior nscrierii acestora n cel de-al doilea sistem de recunoatere facial. Acest lucru ar fi valabil i n exemplul 4, ntruct utilizatorul nu s-ar putea atepta ca imaginile achiziionate pentru sistemul de control al gesturilor s fie supuse unei prelucrri ulterioare. n cazul n care operatorul de date solicit consimmntul pentru prelucrarea datelor pe termen mai lung (i anume, n timp sau de la o parte la alta a jocului), operatorul de date trebuie s reaminteasc periodic utilizatorilor faptul c sistemul este activat i s se asigure c prelucrarea este oprit n mod implicit. Avizul 15/2011 referitor la definiia consimmntului analizeaz calitatea, accesibilitatea i vizibilitatea informaiilor cu privire la prelucrarea datelor cu caracter personal. Avizul menioneaz c: informaiile trebuie furnizate direct persoanelor fizice. Nu este suficient ca informaiile s fie disponibile ntr-un anumit loc. Prin urmare, informaiile referitoare la funcia de recunoatere facial de care dispune un serviciu online sau mobil nu ar trebui s fie ascunse, ci disponibile ntr-un mod uor accesibil i inteligibil. Acest lucru va include garantarea faptului c nsi camerele nu funcioneaz n mod disimulat. Operatorii de date ar trebui s in cont de ateptrile rezonabile ale publicului cu privire la respectarea confidenialitii n momentul punerii n aplicare a tehnologiei de recunoatere facial i s abordeze aceste preocupri n mod corespunztor. n acest context, consimmntul pentru nscriere nu poate fi derivat din acceptarea de ctre utilizator a termenilor i condiiilor generale ale serviciului de baz, cu excepia cazului n care scopul principal al serviciului ar trebui s includ recunoaterea facial. Aceasta se datoreaz faptului c, n cele mai multe cazuri, nscrierea va fi o caracteristic suplimentar, care nu este direct legat de exploatarea serviciului online sau mobil. Este posibil ca utilizatorii s nu se atepte n mod necesar ca o astfel de funcie s fie activat, atunci cnd utilizeaz serviciul. n acest sens, utilizatorilor ar trebui s li se ofere n mod explicit posibilitatea de a-i da consimmntul cu privire la aceast funcie, fie pe parcursul nregistrrii, fie la o dat ulterioar, depinznd de momentul n care funcia este introdus. Pentru a putea considera consimmntul ca fiind valabil, trebuie s fi fost furnizate informaii adecvate privind prelucrarea datelor. Utilizatorii ar trebui s beneficieze ntotdeauna de posibilitatea de a-i retrage consimmntul ntr-un mod simplu. Odat ce

consimmntul este retras, prelucrarea n scopul recunoaterii faciale ar trebui s nceteze imediat.

5. Riscuri specifice i recomandri

Riscurile privind confidenialitatea prezentate de un sistem de recunoatere facial vor depinde, n totalitate, de tipul prelucrrii n cauz i de scopul(urile) acesteia. Cu toate acestea, exist anumite riscuri care pot aprea, n special, n etape specifice ale recunoaterii faciale. Urmtoarea seciune subliniaz riscurile majore i ofer recomandri de bune practici relevante. 5.1. Prelucrarea ilegal n scopul recunoaterii faciale ntr-un mediu online, imaginile pot fi obinute de ctre operatorul de date n mai multe moduri, cum ar fi furnizarea acestora de ctre utilizatorii serviciilor online sau mobile, de prietenii i colegii acestora sau de o parte ter. Imaginile pot conine chiar feele utilizatorilor i/sau cele ale altor utilizatori nregistrai sau nenregistrai sau pot fi dobndite fr cunotina persoanei vizate. Indiferent de mijloacele prin care aceste imagini pot fi dobndite, este necesar s existe un temei juridic n vederea prelucrrii lor. Recomandarea 1: n cazul n care operatorul de date achiziioneaz imaginea n mod direct (de exemplu, ca n cazurile menionate n exemplele 2 i 4), acesta trebuie s se asigure c dispune de consimmntul valabil al persoanelor vizate nainte de achiziionarea imaginii i c furnizeaz suficiente informaii referitoare la momentul n care o camer funcioneaz n scopul recunoaterii faciale. Recomandarea 2: n cazul n care persoanele achiziioneaz imagini digitale i le ncarc n aplicaii ale unor servicii online i mobile n scopul recunoaterii faciale, operatorii de date trebuie s se asigure c cei care ncarc imaginile i-au dat consimmntul cu privire la prelucrarea imaginilor, care poate fi efectuat n scopul recunoaterii faciale. Recomandarea 3: n cazul n care operatorii de date achiziioneaz imagini digitale ale unor persoane de la pri tere (de exemplu, imagini copiate de pe un site internet sau cumprate de la un alt operator de date), acetia trebuie s analizeze cu atenie sursa i contextul n care imaginile originale au fost achiziionate, iar imaginile trebuie prelucrate numai dac persoanele vizate i-au dat consimmntul privind o astfel de prelucrare. Recomandarea 4: Operatorii de date trebuie s se asigure c imaginile digitale i modelele sunt folosite doar n scopul precis pentru care au fost furnizate. Operatorii de date ar trebuie s instituie controale tehnice pentru a reduce riscul ca imaginile digitale s fie prelucrate ulterior de ctre pri tere n scopuri pentru care utilizatorul nu i-a dat consimmntul. Operatorii de date ar trebui s pun la dispoziia utilizatorilor instrumente care s permit controlul vizibilitii imaginilor pe care le-au ncrcat acetia din urm, n cazul n care opiunea de a restriciona accesul prilor tere este implicit. Recomandarea 5: Operatorii de date trebuie s se asigure c imaginile digitale ale persoanelor care nu sunt utilizatori nregistrai ai serviciului sau care nu i-au dat consimmntul pentru o astfel de prelucrare, sunt prelucrate doar n msura n care operatorul de date are un interes legitim pentru acest tip de prelucrare. n ceea ce privete exemplul 1, ar putea fi vorba de oprirea prelucrrii i de eliminarea tuturor datelor atunci cnd nu se afieaz niciun rezultat.

nclcarea securitii datelor n timpul transferului n cazul serviciilor online i mobile, este probabil c va exista un transfer de date ntre momentul achiziiei imaginii i celelalte etape ale procesului de prelucrare (de exemplu, ncrcarea unei imagini provenind de la o camer pe un site internet n vederea extragerii caracteristicilor i a comparrii). Recomandarea 6: Operatorul de date trebuie s ia msurile necesare pentru a asigura securitatea transferului de date. Acestea pot include canale de comunicaii criptate sau criptarea imaginii achiziionate. Atunci cnd este posibil i, n special, n cazul autentificrii/verificrii, prelucrarea local ar trebui privilegiat. 5.2. Detectarea feei, normalizarea, extragerea caracteristicilor Minimizarea datelor Modelele generate de un sistem de recunoatere facial pot conine mai multe date dect sunt necesare pentru atingerea obiectivului (obiectivelor) declarat(e). Recomandarea 7: Operatorii de date trebuie s garanteze c datele extrase dintr-o imagine digital n vederea elaborrii unui model nu vor fi excesive i vor conine doar informaiile necesare n scopul declarat, evitnd astfel orice eventual prelucrare ulterioar. Modele nu ar trebui s fie transferabile ntre sistemele de recunoatere facial. nclcarea securitii datelor n timpul stocrii acestora Este probabil ca procesele de identificare i de autentificare/verificare s necesite stocarea modelului n vederea utilizrii n comparri ulterioare. Recomandarea 8: Operatorul de date trebuie s stabileasc cea mai adecvat locaie pentru stocarea datelor. Aceasta poate include dispozitivul utilizatorului sau sisteme ale operatorului de date. Operatorul de date trebuie s ia msurile necesare pentru a asigura securitatea datelor stocate. Una dintre msuri poate fi criptarea modelului. Nu ar trebui s fie posibil obinerea accesului neautorizat la model sau la locul de stocare. Pot fi utilizate tehnici de criptare biometrice, n special, n cazul recunoaterii faciale n scopul verificrii; aceste tehnici permit ca cheia criptografic s fie direct legat de datele biometrice i s fie recreat numai dac eantionul biometric corect este prezentat cu ocazia verificrii, fr a fi stocat nicio imagine sau niciun model (formnd, astfel, un tip de date biometrice nedetectabile). Accesul persoanelor vizate Recomandarea 9: Operatorul de date ar trebui s pun la dispoziia persoanelor vizate mecanisme adecvate pentru ca acestea s-i exercite, dac este cazul, dreptul de acces att la imaginile originale, ct i la modelele generate n contextul recunoaterii faciale.

Adoptat la Bruxelles, la 22 martie 2012

Pentru Grupul de lucru Preedintele Jacob KOHNSTAMM 9