Le nuove linee guida in materia di videosorveglianza

Le forze dell'ordine ricorrono sempre più spesso a sistemi di riconoscimento facciale (FRT - Facial Recognition Technology) al fine di identificare o autenticare una persona attraverso sistemi video (CCTV) o di fotografia. L'aspetto peculiare è dato dal fatto che i sistemi FRT  processo dati biometrici, ossia, una particolare categoria di dati personali.

A questo si deve aggiungere che, spesso, i FRT fanno ricorso a sistemi di intelligenza artificiale (AI) o di machine learning (ML).  Appare chiaro, dunque, come l'impiego di questa tecnologia ponga delle problematiche per quanto attiene alle tutele e garanzie da apprestare a determinati diritti fondamentali sanciti a livello europeo. In primis, il riferimento va alla tutela dei dati personali e al diritto alla privacy. 

Sin da ora si deve precisare che vi è una differenza tra l'autenticazione  e il riconoscimento. Con la prima espressione si fa riferimento all'attività di verifica circa la corrispondenza dei dati forniti da una persona e la riferibilità degli stessi a un determinato soggetto. L'identificazione, invece, è finalizzata a individuare una determinata persona all'interno di un gruppo di individui presenti in una determinata area o in una immagine o database. In entrambi i casi si tratta di una valutazione probabilistica effettuata dal sistema di intelligenza artificiale poichè si determina a livello probabilistico, che può essere più o meno elevato, se l'immagine della persona corrisponde realmente alla persona che si vuole identificare o autenticare. 

A partire da queste premesse, l'European Data Protection Board (EDP) in data 26 aprile ha adottato le linee guida in materia di tecnologia di riconoscimento facciale da parte delle forze dell'ordine. 

Volendo entrare maggiormente nel dettaglio, FRT può essere usato per consentire, in modo automatico,il riconoscimento di un determinato individuo sulla base di sistemi di intelligenza artificiale, come, ad esempio, la ML technology. L'applicazione di questi sistemi di riconoscimento facciale sta trovando sempre di più un'applicazione sia per quanto attiene una finalità che potrebbe essere definita come privata sia finalizzata a uno scopo pubblico. A questo si deve aggiungere che le forze di pubblica sicurezza ripongono estrema fiducia su questi nuovi meccanismi poichè, attraverso il loro utiilizzo, è possibile riuscire a recuperare una copiosa quantità di prove durante lo svolgimento di attività di indagine. 

Sempre da una prospettiva tecnica, FRT viene definita dalle linee guida come una "probabilistic technology " grazie alla quale è possibile riconoscere in modo automatico un individuo a partire dall'immagine del suo volto per, alla fine, arrivare ad autenticarlo o identificarlo. A ciò si deve aggiungere che FRT è una tecnologia che consente di carpire dati biometrici per tali intendendo tutti quei dati che si riferiscono a caratteristiche fisiche, psicologiche o comporamentali di un determinato soggetto.  

Per quanto attiene il quadro normativo di riferimento, nelle linee guida viene menzionata, ovviamente, la Convenzione Europea per i Diritti dell'Uomo e delle Libertà Fondamentali e, più precisamente, gli artt. 7 e 8. RFT, infatti, è una tecnologia suscettibile di intaccare i diritti garantiti dalle disposizioni poc'anzi richiamate oltre a poter pregiudicare altri diritti come, ad esempio, il diritto alla dignità umana, il diritto a un giusto processo e alla presunzione di innocenza. In questo contesto, tuttavia, le stesse linee guida prevedono la possibilità di effettuare un bilanciamento ricorrendo al test di necessità e di proporzionalità. In base a esso, dunque, la limitazione alla protezione dei dati personali può avvenire solamente se strettamente necessario: in altri termini, non deve esservi una misura ulteriore, e/o diversa, che sia meno invasiva nel perseguire l'obiettivo. A ciò si aggiunga che si deve altresì prendere in considerazione il rischio che può comportare un ricorso costante a RFT, ossia, ingenerare una constante percezione di videosorveglianza. 

Se questa è il quadro normativo generale, quello speciale è dato dalla Law Enforcement Directive (2016/680). L'articolo 10 di questa Direttiva si riferisce al trattamento di particolari categorie di dati, tra cui quelli biometrici prevedendo la possibilità di procedere al loro trattamento solamente se: 1) strettamente necessario; 2) se vi è stata una autorizzazione; 3) rispetta adeguate garanzie per i diritti e le libertà dell'interessato; 4) riconorrono le seguenti ipotesi: 

• Vi è stata l'autorizzazione dell'Unione Europea o dello Stato Membro.
• E' preordinata a tutelare un interesse vitale dell'interessato o di altra persona fisica. 
• Il suddetto trattamento riguarda dati resi manifestamente pubblici dall'interessato. 

A questo legal framework si aggiunge, ovviamente, quanto previsto dal GDPR. 

Le linee guida di cui si tratta forniscono, altresì, delle indicazioni pratiche attraverso alcuni esempi cui viene associato sia la normativa cui fare riferimento sia il bilanciamento che deve essere adottato. Più precisamente, il riferimento va ai controlli di sicurezza alle frontiere, alla possibilità di identificare i minori rapiti e,infine, nell'attività di indagine da svolgersi nei confronti di persone già identificate come sospettate a seguito di precedenti indagini. 

In conclusione, i sistemi di riconoscimento facciale sono intimamente legati al trattamento di una quantità significativa di dati personali, comprese particolari categorie di dati come, ad esempio, il volto e, più in generale, tutti i dati biometrici. Di conseguenza, il ricorso a RFT ha un impatto sia diretto che indiretto sui diritti e sulle libertà fondamentali sanciti dalla Carta dell'Unione Europea dei Diritti fondamentali.

A partire da queste premesse l'EDPB comprende sia la necessità di fornire strumenti alle forze dell'ordine che consentano una rapida identificazione degli autori di atti terroristici e altri reati gravi sia il dovere di apprestare adeguate garanzie ai diritti fondamentali riconosciuti dalla Carta dell'Unione Europea dei Diritti Fondamentali. E' doveroso altresì rammentare che esistono alcuni casi di utilizzo di queste tecnologie che comportano rischi inaccettabilmente elevati sia per gli individui che per la società (le cd. "red lines"). Un riferimento è all'identificazione biometrica remota delle persone in spazi accessibili al pubblico: questa attività di riconoscimento costituisce un problema elevato di intrusione nella vita privata degli individui.

Essa rappresenterebbe una videosorveglianza di massa non compatibile con i principi propri di una società democratica. Ulteriore riconoscimento ritenuto non accettabile è quello che permette la classificazione degli individui in base ai loro dati biometrici in "cluster" di etnia, genere, orientamento sessuale o politico. Il terzo ed ultimo RFT non consentito è quello che consente di dedurre le emozioni di una persona. 

Quello che si può evidenziare, in altri termini, è come una raccolta indiscriminata di dati personali, sia essa reale o virtuale per tale intendendo il ricorso ai database dei social network, non è compatibile con i principi che informano l'ordinamento giuridico dell'Unione Europea.