IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale; Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati (di seguito, «regolamento»); Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) 2016/679 (decreto legislativo 30 giugno 2003, n. 196, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito «Codice»); Viste le Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video (Versione 2.0) e le Linee guida 05/2022 sull'utilizzo delle tecnologie di riconoscimento facciale per compiti di polizia (Versione 2.0), adottate dal Comitato europeo per la protezione dei dati (di seguito «EDPB»); Rilevato che, a partire dal luglio 2023, agenzie di stampa nazionali hanno riportato il lancio del progetto Worldcoin da parte della Worldcoin Foundation, progetto basato sulla scansione dell'iride per verificare l'identita' degli utenti e sul collegamento di tale trattamento al mercato degli strumenti finanziari, nel caso specifico la cryptovaluta chiamata «WLD». In tale quadro, a fronte della richiesta di informazioni formulata nell'ambito dell'istruttoria avviata da questa autorita', la societa' ha fornito riscontro producendo relativa documentazione a supporto, compreso il Data Protection Impact Assessment; Preso atto, in particolare, della circostanza che la scansione dell'iride avviene attraverso uno strumento denominato «Orb» che utilizza il volto e la struttura oculare di un individuo per creare un codice di identificazione univoco, il c.d. «IrisCode»; una volta scansionato l'iride e salvato il predetto IrisCode, l'Orb crea una ID per ciascun utente a livello mondiale (World ID), eliminando l'immagine raccolta; Rilevato, inoltre, che l'ecosistema Worldcoin e' costituito anche dalla World App che consente la verifica dell'utente, scambiando la chiave pubblica di identificazione con l'Orb mediante un QR code generato dalla stessa App e rende disponibile a ciascun utente il World ID e i WLD riscattati o acquistati; Rilevato, ancora, che il consenso richiesto per il trattamento dei dati biometrici e' esteso anche al processo decisionale automatizzato sotteso all'autenticazione degli individui e che lo stesso consenso risulta necessario per riscattare i WLD token gratuiti offerti in cambio dal titolare del trattamento; Preso atto che, attualmente, gli Orb non sono presenti in Italia ma che i cittadini italiani possono gia' scaricare, dagli app store, la World App, fornire i relativi dati personali e prenotare i propri WLD token gratuiti e che la disponibilita' della App dal territorio italiano potrebbe anticipare l'istallazione degli ORB in Italia; Rilevato inoltre che non risulta alcun meccanismo di verifica dell'eta' degli utenti in fase di acquisizione dell'iride, ne' di installazione della App; cio', nonostante l'ecosistema Worldcoin e la World App non siano destinati ai minori di 18 anni; Considerato che l'art. 4 punto 14) del regolamento definisce «dati biometrici» «i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici». Dalle informazioni disponibili in merito agli Orb e alla creazione dell'IrisCode, risulta che i dati cosi' trattati rientrino nella definizione di dato biometrico; Considerato che l'art. 9 del regolamento impone un divieto generale al trattamento, tra gli altri, anche dei «dati biometrici intesi a identificare in modo univoco una persona fisica», salvo le deroghe previste al successivo par. 2 e, in particolare, alla lettera a) che fa riferimento all'esplicito consenso dell'interessato. Inoltre il successivo par. 4 prevede che «Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute»; Considerato che, in attuazione di tale ultima disposizione, il Codice ha espressamente previsto una ipotesi di trattamenti di dati biometrici, con riferimento agli obblighi dell'art. 32 del regolamento, che ne ammette l'utilizzo con riguardo esclusivamente alle procedure di accesso fisico e logico ai dati da parte dei soggetti autorizzati (art. 2-septies, comma 7). Considerato inoltre che secondo il considerando 51 del regolamento «Tali dati personali [dati biometrici] non dovrebbero essere oggetto di trattamento, a meno che il trattamento non sia consentito nei casi specifici di cui al presente regolamento [...]» e che «Oltre ai requisiti specifici per tale trattamento, dovrebbero applicarsi i principi generali e altre norme del presente regolamento, in particolare per quanto riguarda le condizioni per il trattamento lecito»; Considerato che secondo il considerando 39 del regolamento «E' opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali» e che, nel caso di specie, tale necessita' appare piu' pressante per la presenza di rischi elevati collegati ai trattamenti di dati biometrici degli interessati, potenzialmente anche minori; Considerato che «L'uso di dati biometrici, in particolare il riconoscimento facciale, comporta maggiori rischi per i diritti degli interessati. E' fondamentale che il ricorso a tali tecnologie avvenga nel dovuto rispetto dei principi di liceita', necessita', proporzionalita' e minimizzazione dei dati sanciti nel RGPD. Sebbene l'uso di queste tecnologie possa essere percepito come particolarmente efficace, i titolari del trattamento dovrebbero in primo luogo valutare l'impatto sui diritti e sulle liberta' fondamentali e considerare mezzi meno intrusivi per raggiungere il legittimo scopo del rispettivo trattamento» (par. 73, Linee guida 3/2019) e che «il trattamento dei dati biometrici, in ogni circostanza, costituisce di per se' un'ingerenza grave» (Linee guida 05/2022); Valutato che, dalle informazioni inviate dalla societa' - a seguito della richiesta formulata dall'Autorita' - e da quelle reperibili sul sito https://worldcoin.org/ il trattamento dei dati biometrici e' basato sul presupposto giuridico del consenso degli interessati che viene richiesto a fronte di una informativa che, allo stato, non risulta fornire informazioni circa i rischi legati al trattamento di tale tipologia di dati; Valutato, quindi, che, nel caso concreto, gli utenti non risultano avere a disposizione sufficienti informazioni per garantire loro una piena consapevolezza circa i rischi elevati collegati al trattamento dei propri dati biometrici; Valutato che, in tale contesto di scarsa trasparenza, il consenso per il trattamento dei dati biometrici degli interessati non potrebbe soddisfare i requisiti richiesti dal regolamento e che, pertanto, non potrebbe costituire una adeguata base giuridica del trattamento; Valutato inoltre che la promessa di WLD token gratuiti da parte del titolare del trattamento incide negativamente sulla sussistenza delle condizioni per il consenso prescritte dal regolamento (art. 7); Considerato, inoltre, che i rischi elevati del trattamento sopra indicato risultano ulteriormente amplificati dall'assenza di filtri per impedire l'accesso agli Orb e alla World App ai minori di eta' di 18 anni; Ravvisata, pertanto, la necessita' di rivolgere, ai sensi dell'art. 58, par. 2, lettera a), del regolamento e dell'art. 154, comma 1, lettera f), del Codice , un avvertimento nei confronti di Worldcoin Foundation, in qualita' di titolare del trattamento dei dati, sul fatto che i trattamenti di dati biometrici che dovessero essere effettuati in Italia, attraverso gli ORB e con le modalita' sopra descritte, possono verosimilmente violare della disposizioni del regolamento, con tutte le conseguenze, anche di carattere sanzionatorio, ivi previste; Ritenuto opportuno, per le medesime ragioni sopra esplicitate, disporre, ai sensi dall'art. 154-bis, comma 3, del Codice, la pubblicazione del presente provvedimento nella Gazzetta Ufficiale della Repubblica italiana; Vista la documentazione in atti; Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento n. 1/2000; Relatore il prof. Pasquale Stanzione;
Tutto cio' premesso il Garante:
ai sensi dell'art. 58, par. 2, lettera a), del regolamento e dell'art. 154, comma 1, lettera f), del Codice, avverte Worldcoin Foundation, con sede in Suite 3119, 9 Forum Lane, Camana Bay, PO Box 144, George Town, Grand Cayman KY1-9006, Cayman Islands, in qualita' di titolare del trattamento dei dati personali, che i trattamenti di dati biometrici che dovessero essere effettuati in Italia, attraverso gli ORB e con le modalita' sopra descritte, possono verosimilmente violare della disposizioni del regolamento; ai sensi dell'art. 154-bis, comma 3, del Codice dispone la pubblicazione del presente provvedimento nella Gazzetta Ufficiale della Repubblica italiana.
Il presidente e relatore: Stanzione Il segretario generale: Mattei |