L’evoluzione tecnologica sta cambiando le nostre vite in maniera radicale e a un ritmo esponenziale e per alcuni versi gli effetti risultano anche irreversibili. Questa evoluzione sta riguardando cambiamenti in tutti gli ambiti, come l’energia, i trasporti, le comunicazioni, i media, la salute, l’ alimentazione. E’ un momento importante e potremmo definirlo di vasta importanza storica, ma tali cambiamenti vanno gestiti all’interno di regole e limiti per salvaguardare l’umanità, il pensiero, la libertà, la privacy e la dignità di ogni singola persona. Uno degli avvenimenti tecnologici che ha preso piede maggiormente in quest’ultimo periodo è il rilevamento dei dati biometrici, in particolar modo di quelli relativi al riconoscimento facciale. L’utilizzo di questa tecnologia impone la necessaria riflessione su due punti fondamentali, da un lato la sicurezza e la prevenzione dei reati, dall’altro il trattamento su larga scala dei dati particolari con rischi per la privacy di ogni singolo individuo. Si auspica quindi che tutti i gestori, sia pubblici che privati, possano attuare comportamenti pertinenti e proporzionati al trattamento effettuato auspicando un pronto intervento normativo, rispettando al contempo le norme presenti nel GDPR Regolamento 2016/679, regolamento europeo in tema di trattamento di dati personali.
I dati biometrici e il riconoscimento facciale
Il dato biometrico è un dato personale relativo alle caratteristiche fisiche, fisiologiche o comportamentali di un individuo, dal quale deriva l’identificazione univoca della persona. Il dato biometrico rientra nelle categorie particolari di dati disciplinate dall’art. 9 reg. Eu 2016/679 GDPR. L’errato trattamento di detti dati che avvenga senza alcuna base giuridica, senza un interesse vitale dell’interessato e senza che vi sia necessità alcuna o proporzionalità, può certamente compromettere l’onore, la reputazione, l’integrità fisica, gli interessi economici dell’individuo. Il riconoscimento facciale si basa su tre elementi quali, identificazione del volto, la trasformazione dell’immagine del volto in dati operabili del software, il raffronto dei dati acquisiti su database. Tali dati quindi, possono essere utilizzati per attività quotidiane, come l’impronta digitale per lo sblocco del proprio smartphone, la scansione della retina per l’accesso in determinati luoghi di solo personale autorizzato, o per l’acquisizione di questi dati per motivi di sorveglianza o profilazione. L’utilizzo di queste informazioni, con una corretta base giuridica può risultare al contrario utile per la prevenzione di frodi, abusi e per garantire maggiore sicurezza. Tra i dati biometrici di rilevante importanza risulta essere il riconoscimento facciale, che viene definito come una tecnologia con la quale è possibile analizzare, mediante un processo automatizzato, l’immagine di un volto e riconoscere se corrisponde a quello presente in banca dati. I rischi del trattamento di questo dato biometrico possono essere molteplici. Al riguardo è opportuno, al fine di meglio chiarire i rischi legati alla gestione di tale tecnologia, richiamare il caso verificatosi negli stati uniti, nella città di detroit, dove un uomo è stato ingiustamente arrestato a causa di un errore del software che gestiva il riconoscimento facciale.[1]
Alla crescita esponenziale della tecnologia sul riconoscimento facciale, non corrisponde un altrettanto adeguato processo di regolamentazione giuridica, cosa che induce anche gli esperti a ripensare il quadro regolatorio all’interno del quale porre specifici limiti a un utilizzo indiscriminato. Al riguardo amnesty international ha lanciato la campagna “ ban the scan”, contro il riconoscimento facciale, con cui si è chiesto alla città di new york di bloccare l’uso della tecnologia da parte della polizia e del governo. Amnesty sostiene ciò in quanto crede che tale utilizzo possa ledere diritti fondamentali, quali quello della privacy e aumentare gli episodi di razzismo. Se il discorso relativo al riconoscimento facciale è molto forte in paesi come russia, cina, singapore, stati uniti, al contrario in europa sta avanzando in maniera meno rapida. Nel vecchio continente, sebbene non esista una normativa ad hoc, l’utilizzo più graduale di tale tecnologia è dovuto alla presenza del regolamento europeo 2016/679 che fornisce norme generali per il trattamento dei dati, integrato dalle linee guida 3/2019 adottate il 29 gennaio 2020, sul trattamento dei dati personali attraverso dispositivi video. [2]
Quali rimedi o tutele nei confronti dei cittadini europei?
Nel nostro ordinamento non esistono normative ad hoc che regolano il riconoscimento facciale, ma il trattamento di tali dati, deve rispettare alcune norme fondamentali, presenti nel GDPR, quali l’articolo 5 che disciplina i principi applicabili al trattamento di dati personali, l’art.6 che definisce le condizioni di liceità del trattamento e l’art.9 che disciplina il trattamento di categorie particolari di dati tra cui quelli biometrici. Potremmo citare anche le linee guida n. 3/2019 sul trattamento dei dati personali attraverso dispositivi di videosorveglianza, emanate dal comitato europeo per la protezione dei dati personali (edpb).una lettura delle linee guida ci suggerisce che l’art. 9 del gdpr si applica se il titolare del trattamento memorizza dati biometrici al fine di identificare in modo univoco una persona e in tal caso deve adottare tutte le precauzioni necessarie per preservarne la disponibilità, l’integrità e la riservatezza dei dati trattati.[3] le linee guida, comunque, esprimono una generale preoccupazione circa l’ utilizzo massivo di questa tecnologia e infatti spiegano che dovrebbero essere vietate e non impiegate nelle procedure di assunzione del personale, nell’accesso ai servizi assicurativi e di istruzione, o per determinare la pelle di una persona, le convinzioni religiose, il sesso, l’origine etnica, l’età, le condizioni di salute o le condizioni sociali. Su questo indirizzo, spiegano le linee guida, l’utilizzo di tale tecnologia da parte delle forze dell’ordine, dovrebbe avvenire solo quando risulta strettamente necessario, per prevenire un rischio imminente e grave alla sicurezza pubblica. Importante risulta essere anche il compito degli sviluppatori di questa tecnologia, circa l’attendibilità degli algoritmi e l’accuratezza dei dati che verranno trattati, al fine di evitare disparità e possibili discriminazioni. Tale utilizzo o sperimentazione, deve avvenire sempre previa consultazione e parere delle autorità garanti per favorire un maggiore equilibrio tra sicurezza e rispetto dei diritti umani.
Italia: parere negativo del Garante della privacy
In italia il sistema operativo sari real time, per il riconoscimento facciale, ha ricevuto parere negativo da parte dell’autorità garante italiana circa l’interrogazione ricevuta dal ministero dell’interno. Il sistema citato, oltre a non avere legittima base giuridica che giustifichi il trattamento automatizzato dei dati biometrici per il riconoscimento facciale ai fini della sicurezza, in realtà realizzerebbe una forma di sorveglianza indiscriminata di massa. Tale sistema, non ancora attivo, permetterebbe a delle telecamere installate in una determinata area geografica di analizzare in tempo reale i volti dei soggetti ripresi e di confrontarli con una banca dati predefinita e nel caso di riscontro positivo, creare un alert per le forze dell’ordine. Queste telecamere inoltre avrebbero anche la funzione della videosorveglianza in quanto dotate di registrazione. Il ministero, nella valutazione d’impatto, ha fatto presente che tali registrazioni verrebbero subito cancellate ma il garante ha replicato che l’identificazione di una persona sarebbe realizzata attraverso il trattamento dei dati biometrici di tutti coloro che sono presenti nello spazio monitorato, con lo scopo di confrontare tutti i volti con quelli presenti nella banca dati “ watch list”. Si passerebbe quindi da una sorveglianza mirata a una sorveglianza di massa. Il garante ha dato quindi parere negativo alla richiesta del ministero dell’interno circa l’utilizzo di questo sistema di riconoscimento facciale in quanto la base normativa deve tenere conto di tutti i soggetti coinvolti, dei loro diritti e delle loro libertà, senza margini di discrezionalità da parte di chi gestisce tali tecnologie, come avverrebbe con il progetto presentato dal ministero.[4]
Francesco Lo Chiatto
[1] https://www.altalex.com/documents/news/2021/04/23/dati-biometrici-quo-vadis-per-un-trattamento-legittimo
[2] https://www.agendadigitale.eu/sicurezza/riconoscimento-facciale-piovono-divieti-a-occidente-lo-scenario-globale/
[3] https://www.federprivacy.org/informazione/primo-piano/il-riconoscimento-facciale-e-gli-aspetti-piu-problematici-in-materia-di-protezione-dati
[4] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9575842
