Tanto è stato scritto sulle opportunità offerte dal riconoscimento facciale sulla base di dati biometrici: ma quali sono i limiti di applicazione di questa tecnologia al fine di tutelare, nel contempo, gli interessi generali riconosciuti dal diritto dell’Unione Europea e proteggere le libertà e i diritti delle persone?
L’Avv. Giovanni Ricci, Studio Edoardo Ricci – Avvocati, spiega le ragioni che hanno spinto l’EDPB (European Data Protection Board) a emanare nello scorso mese di maggio le Linee Guida sul trattamento dei dati utili al riconoscimento facciale per finalità di giustizia.
La tecnologia
Il riconoscimento facciale, così come altre applicazioni rientranti nel più ampio campo della identificazione e del tracciamento delle caratteristiche biometriche delle persone, si basa su un mix di tecnologie hardware e software; ma mentre lato hardware i device impiegati possono ben essere quelli di più comune utilizzo, lato software l’elemento più interessante e caratterizzante è costituito dall’impiego di sofisticati algoritmi e dell’intelligenza artificiale.
Con specifico riferimento al riconoscimento del volto, questo avviene acquisendo da una immagine (che può essere una fotografia o un video sia di natura analogica che digitale) una serie di elementi caratteristici e di relazioni matematiche esistenti tra di loro che costituiscono a tutti gli effetti una versione digitale del volto, comunemente chiamata “template”.
Il riconoscimento facciale, dunque, avviene mediante il raffronto di template: quello estratto da una immagine con quello/quelli memorizzati in un archivio. Comportando l’intervento dell’intelligenza artificiale, va da sé che tale raffronto si basa su meccanismi di natura probabilistica, dunque intrinsecamente caratterizzati da una probabilità di errore determinata aritmeticamente.
Ciò premesso, il riconoscimento facciale avviene essenzialmente per ottenere alternativamente uno dei seguenti risultati: autenticazione o identificazione.
– L’autenticazione consente di accertare se una persona è chi dice di essere: questo processo avviene per esempio quando si viene ammessi a superare un varco o un ingresso (come quando si accede al posto di lavoro o a un impianto sportivo), ovvero quando si sblocca lo smartphone ricorrendo alla videocamera. In questi particolari casi vengono paragonati due template: quello memorizzato in un archivio e quello estratto in tempo reale dal volto della persona da autenticare.
– L’identificazione, invece, permette di trovare una singola persona tra molte (per esempio in una piazza, in un aeroporto, in uno stadio).
Ciò avviene raffrontando il template estratto in tempo reale da un volto con i numerosi template memorizzati in un archivio.
Come si è anticipato sopra, poiché il riconoscimento facciale si poggia su algoritmi di intelligenza artificiale e sull’elaborazione di dati biometrici su base probabilistica, va da sé che sia anche intrinsecamente soggetto all’errore.
Sotto questo profilo due sono le osservazioni da fare:
- la precisione e l’accuratezza del riconoscimento facciale dipendono intrinsecamente dalla qualità dell’immagine dalla quale si ricava il template;
- la delicatissima natura dei dati trattati e la natura probabilistica del trattamento in sé stesso rendono tale trattamento intrinsecamente rischioso e, soprattutto, lo rendono concretamente rischioso e pericoloso per i più delicati e importanti diritti e libertà fondamentali della persona umana.
Questa è la ragione che ha spinto l’EDPB (European Data Protection Board) a emanare nello scorso mese di maggio le Linee Guida sul trattamento dei dati utili al riconoscimento facciale per finalità di giustizia.
Il quadro giuridico di riferimento
La delicatissima natura dei dati trattati nell’ambito del riconoscimento facciale fa ritenere a ciascuno di noi che le norme rilevanti a disciplinarne il trattamento, anche per finalità di giustizia, siano collocate nel GDPR; ma le cose non stanno così.
Il quadro giuridico di riferimento in questo specifico ambito è invece costituito da due poli:
– da un lato, la Carta dell’Unione Europea sui diritti fondamentali (la Carta) e la Convenzione Europea sui diritti umani (la Convenzione);
– dall’altro lato, la Direttiva del Parlamento europeo e del Consiglio del 27 aprile 2016, sulla protezione delle persone fisiche, con riguardo al trattamento dei dati personali a fini di prevenzione, indagine, accertamento e perseguimento di reati od esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati (la Direttiva).
La Carta e la Convenzione
Tenuto conto del tipo di dati oggetto di trattamento (dati biometrici) e della finalità di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali sottese al medesimo, detto trattamento è intrinsecamente idoneo a interferire con il diritto al rispetto della vita privata e alla protezione dei dati personali oggetto degli articoli 7 ed 8 della Carta nonché col diritto al rispetto della dignità umana (inteso come diritto a non essere trattati come meri oggetti) e con il diritto alla libertà di pensiero e di associazione oggetto degli articoli 1, 10, 11 e 12 della Carta.
In questa luce la Carta (art. 52) impone che la limitazione ai diritti sopra menzionati possa avvenire solo nel rispetto del principio di proporzionalità, cioè solo laddove sia necessaria alla tutela di interessi generali riconosciuti dal diritto dell’Unione o alla necessità di proteggere le libertà e i diritti di altre persone.
Inoltre, la base giuridica del trattamento dei dati biometrici deve essere chiara: la legge, dunque, deve indicare lo scopo e le modalità del trattamento, nonché le condizioni e le circostanze in forza delle quali la pubblica autorità è autorizzata a raccogliere i dati biometrici nell’ambito di attività di sorveglianza secretate.
Anche laddove il trattamento implichi limitazioni dei diritti fondamentali, tali limitazioni dovranno sempre evitare di ledere il nucleo fondamentale dei medesimi diritti, come ad esempio ricorrere, da un punto di vista normativo, nei seguenti casi:
- prevedere limitazioni senza tenere conto della condotta individuale delle persone o di circostanze particolari (quindi trattare tutti nello stesso modo a prescindere dalle differenze soggettive e di contesto);
- rendere impossibile o difficile il ricorso ai tribunali;
- non prevedere principi di base per la protezione e la conservazione dei dati raccolti.
A questo ultimo riguardo, laddove nello schema di trattamento sia presente anche un responsabile del trattamento, si dovrà inibire a quest’ultimo di tenere conto esclusivamente dei costi nel determinare il livello di sicurezza del medesimo e dei sistemi di memorizzazione dei dati.
In applicazione del principio di stretta proporzionalità, le norme giuridiche dovranno individuare con precisione i casi nei quali un trattamento dei dati biometrici per il riconoscimento facciale può incidere sul diritto alla vita privata ed alla sicurezza dei dati personali per esigenze legate al contrasto delle attività criminali; e va da sé che in tali ambiti dovrà essere altresì garantito il rispetto dei principi del GDPR, tra i quali, ovviamente, la possibilità per il Garante di controllare la legittimità dei trattamenti di questo tipo. Il Garante nel valutare la rispondenza ai principi di necessarietà e proporzionalità del trattamento, dovrà in particolare identificare e considerare tutte le implicazioni del trattamento rispetto ai diritti fondamentali, come il diritto alla dignità umana, il diritto alla libertà di pensiero/di coscienza/religione, la libertà di associazione. Il tema è talmente delicato che le Linee Guida individuano nel trattamento sistematico attuato occultamente nei confronti dei proprietari dei dati biometrici finalizzati alla sorveglianza costante nel tempo, qualcosa di intrinsecamente capace di congelare alcuni o tutti i diritti fondamentali sopra considerati.
Sopra si è accennato anche alla Convenzione Europea per i diritti dell’uomo come parte costitutiva del quadro giuridico di riferimento rilevante per il trattamento a scopo di giustizia dei dati biometrici funzionali al riconoscimento facciale. A questo specifico riguardo bisogna ora aggiungere che dove la Convenzione prevede un set di diritti meno esteso rispetto a quello previsto dalla Carta, si dovrà applicare comunque la tutela garantita dalla Carta dell’Unione Europea sui diritti fondamentali.
Ciò premesso, la Convenzione pone uno standard per la redazione della normativa che comporta trattamenti lesivi dei diritti umani, imponendo la prevedibilità delle limitazioni: ciò significa che il cittadino deve essere messo in condizione, leggendo la norma giuridica che disciplina il trattamento, di comprendere con precisione e chiarezza quando una pubblica autorità si trova nelle condizioni di farvi ricorso.
La Direttiva del Parlamento Europeo e del Consiglio del 27 aprile 2016: introduzione
La direttiva pone numerosi principi rilevanti per il trattamento dei dati funzionali al riconoscimento facciale per scopi di giustizia. Il primo di essi impone che la legge nazionale specifichi per lo meno gli obiettivi del trattamento ed il set di dati oggetto del medesimo.
In considerazione della natura speciale dei dati da trattare (dati biometrici) la Direttiva (art. 10) prevede che i trattamenti funzionali al riconoscimento facciale siano posti in essere solo quando strettamente necessari e modellati in funzione della tutela dei diritti e delle libertà delle persone titolari dei dati biometrici, solo se espressamente autorizzati dalla legge dell’Unione o degli stati membri, oppure se riferiti a dati già resi pubblici dai rispettivi titolari, al fine di proteggere gli interessi dei medesimi o di altre persone. Molto emblematicamente le Linee Guida Stesse fanno presente che la formulazione estremamente ampia dell’art. 10 della Direttiva in sé stessa evidenzia la delicatezza dei trattamenti dei dati biometrici funzionali al riconoscimento facciale per fini di giustizia.
I. Le previsioni legislative nei singoli stati membri: caratteristiche
La traduzione in pratica di tale clausola generale impone che la normativa nazionale che autorizza un trattamento del tipo in oggetto non può limitarsi alla mera parafrasi della stessa, ma deve indicare con precisione, scopi e mezzi del trattamento, il set di dati da trattare, le misure di sicurezza e le garanzie per la conservazione e la distruzione dei dati biometrici. Ciò implica che trasposizioni nazionali dell’art. 10 della Direttiva prive della necessaria precisione e chiarezza non possono costituire la copertura giuridica di trattamenti basati su dati biometrici ai fini del riconoscimento facciale per scopi di giustizia.
II. La natura strettamente necessaria del trattamento
Il trattamento dei dati deve essere “strettamente necessario”: ciò significa che esso deve rappresentare qualcosa di ancora più imprescindibile rispetto ad un trattamento coerente col semplice principio di necessarietà. Esso, in altre parole, deve essere imprescindibile, e ciò riduce la discrezionalità riconosciuta alla pubblica autorità a una entità assolutamente risibile. Da altro punto di vista, ciò significa che i criteri utili a individuare i casi di “stretta necessità” devono essere oggettivi, e devono sempre escludere la possibilità di attuare trattamenti generalizzati e/o sistematici.
III. Il trattamento dei dati resi “manifestamente pubblici” dai loro titolari: significato
Se una fotografia è resa manifestamente pubblica dal titolare della stessa, ciò non significa che tale caratteristica si estenda ai dati biometrici ricavabili dalla medesima. Quello che deve essere reso manifestamente pubblico dal titolare dei dati è il template in sé stesso.
In questa luce, ad esempio, non possono essere considerati dati biometrici resi manifestamente pubblici dal loro titolare quelli ricavabili da immagini pubblicate sui social network solo perché costui non ha attivato le risorse atte a proteggerli.
Quello che rileva è il palesarsi di una precisa intenzione da parte del titolare dei dati.
Così, se da un lato non selezionare alcune opzioni di sicurezza non è sufficiente a chiarire che i dati biometrici sono manifestamente pubblici, l’inesistenza di tali opzioni consente di affermare con certezza che non vi è alcuna evidenza di una manifesta volontà di rendere i dati pubblici.
IV. I trattamenti implicanti decisioni automatizzate, inclusa la profilazione
I trattamenti implicanti decisioni automatizzate basate sulla elaborazione di dati speciali, come quelli biometrici sono assolutamente proibiti, con l’unica eccezione di quelli che prevedono adeguate misure per la salvaguardia dei diritti e delle libertà dei titolari. In questa luce, è assolutamente proibita la profilazione sulla base dei dati biometrici che si traduce in scelte discriminatorie in danno dei titolari degli stessi.
V. Le categorie dei soggetti titolari dei dati
L’articolo 6 della Direttiva chiarisce che i principi di necessità e proporzionalità devono guidare anche la selezione delle categorie di persone titolari dei dati che possono legittimamente essere oggetto di trattamento. Questo significa che se una persona non ha un collegamento diretto o indiretto con una fattispecie rilevante ai fini della direttiva, i suoi dati biometrici non possono essere trattati per fini di giustizia.
VI. La valutazione dei diritti dei titolari dei dati alla luce della Direttiva
Considerata la delicatissima natura del trattamento implicante il riconoscimento facciale, il titolare dello stesso dovrà valutare attentamente a priori se detto trattamento è conforme alle disposizioni della Direttiva analizzando, in particolare, chi sono i titolari dei dati, come essi sono informati del trattamento, come possono esercitare i loro diritti.
Premesso che anche in questo ambito vige il principio di minimizzazione dei dati, in virtù del quale le autorità dovranno cancellare tutti i dati non funzionali e necessari per il trattamento, le stessa hanno il dovere e responsabilità di fornire le informazioni essenziali ai titolari dei dati per l’esercizio dei loro diritti.
Al riguardo, l’articolo 13 della Direttiva impone che vengano fornite almeno le seguenti informazioni:
- identità e dati di contatto del titolare del trattamento e del DPO;
- scopo del trattamento con specificazione che esso comporta il riconoscimento facciale;
- menzione dei diritti di accesso, di rettifica/cancellazione, di limitazione del trattamento.
Qualora lo prevedano le normative nazionali in aderenza con l’ispirazione della summenzionata norma della direttiva, dovranno essere fornite le seguenti informazioni ulteriori:
- copertura giuridica del trattamento;
- informazioni sul luogo di raccolta dei dati senza il consenso del titolare degli stessi;
- periodo di conservazione dei dati ovvero il criterio per determinarlo, in dipendenza dalle situazioni eventuali terzi destinatari dei dati personali, ivi comprese nazioni terze o organizzazioni internazionali.
Questa ulteriore serie di informazioni deve essere fornita in casi specifici, nei quali, secondo le Linee Guida, rientra certamente la raccolta di dati all’insaputa del titolare, così che fornirgli le informazioni supplementari sopra individuate è l’unico mezzo per consentirgli di esercitare i propri diritti. Altri casi specifici possono essere individuati nella raccolta occulta di dati nell’ambito di una procedura di collaborazione internazionale contro la criminalità, nonché nella raccolta di dati funzionale a una decisione automatizzata che coinvolge il titolare degli stessi.
Infine, va sottolineato che in specifici casi, le legislazioni nazionali possono limitare o escludere il dovere di informare il titolare dei dati quando questo costituisca una misura necessaria e proporzionata nell’ambito di una società democratica nel rispetto e nella considerazione dei diritti fondamentali e dei legittimi interessi del medesimo. E così, la legittima limitazione dell’informazione da fornire al titolare dei dati può configurarsi laddove vi sia l’esigenza di tutelare le investigazioni rispetto ad un crimine, oppure l’esigenza di proteggere la sicurezza nazionale ovvero pubblica.
VII. Il diritto di accesso
Il diritto di accesso comporta che il titolare dei dati debba essere informato della esistenza di un trattamento o meno, e, in caso affermativo, essere messo al corrente dei dati oggetto del medesimo.
VIII. Il diritto di rettifica
Considerato che il riconoscimento facciale non è esente da errori, è vitale che il titolare del trattamento, su richiesta del titolare dei dati, li rettifichi ove essi siano errati o siano stati organizzati in modo errato, per esempio memorizzando il template di una persona nell’archivio dedicato ai sospettati di un determinato crimine se questi non è coinvolto nelle indagini.
IX. Il diritto di cancellazione
È altresì vitale che il titolare del trattamento, in ottemperanza del principio di minimizzazione dei dati, di stretta necessarietà e di proporzionalità, accolga le richieste di cancellazione dei dati che sono sovrabbondanti rispetto agli scopi e alle modalità di svolgimento del trattamento.
X. Il diritto di limitazione del trattamento
Quando l’accuratezza dei dati è contestata dal titolare degli stessi e non possono essere fatti accertamenti al riguardo che chiariscano la situazione (oppure laddove i dati non possano essere cancellati in quanto hanno acquisito il valore di prove) il loro utilizzo deve essere limitato al trattamento che ne impedisca intrinsecamente la cancellazione.
Con riferimento al riconoscimento facciale, questo può avvenire, ad esempio, quando i dati vengono inseriti in un elenco che non è stato aggiornato, così da aumentare la possibilità di falsi positivi o di falsi negativi nel riconoscimento, ovvero ancora, laddove la qualità delle immagini dalle quali sono stati estratti i template sia bassa, così da aumentare la probabilità di riconoscimenti errati.
Ulteriori requisiti legali e salvaguardie
I. Valutazione d’impatto del trattamento
Considerata la natura dei dati trattati e il pericolo per i diritti e le libertà fondamentali delle persone che lo stessa comporta, è ovvio che una valutazione d’impatto del trattamento vada sempre svolta a priori rispetto al medesimo.
II. Consultazione preventiva dell’autorità di regolazione
È altresì evidente che il titolare del trattamento deve consultare preventivamente il Garante:
- laddove l’esito della valutazione d’impatto evidenzi una alta rischiosità del trattamento se non sono state adottate le più idonee misure per mitigarlo;
- laddove il tipo di trattamento, comportante l’utilizzo di nuove tecnologie e/o procedure generi un alto rischio per i diritti e le libertà dei titolari dei dati.
III. Misure di sicurezza
Va altresì da sé che in considerazione della delicatezza del trattamento, della natura sensibile dei dati e della alta rischiosità del primo per le persone titolari dei secondi, il titolare del trattamento deve adottare le più qualificate e aggiornate misure di sicurezza a protezione del trattamento stesso e dei dati biometrici coinvolti.
Da questo punto di vista, una delle più importanti misure di sicurezza da adottare è un accurato e sofisticato sistema di logging: il titolare del trattamento deve infatti acquisire i dati di log delle attività di raccolta, consultazione, alterazione, rivelazione (incluso il trasferimento) e cancellazione dei dati.
Ma vi è di più: i logs relativi a consultazione e rivelazione devono rendere evidente la ragione delle predette operazioni, le loro circostanze temporali, l’identità del soggetto che le ha poste in essere e l’identità di eventuali soggetti terzi cui i dati siano stati trasferiti.
Infine, con specifico riferimento al riconoscimento facciale, è caldamente raccomandato il logging delle seguenti attività:
- mutamenti del database (aggiunte, cancellazioni, aggiornamenti), memorizzando le diverse immagini dell’archivio nel suo complesso;
- tentativi di identificazione e verificazione e identità dei soggetti che hanno posto in essere tali attività.
Va da sé che gli stessi dati di log devono e possono essere utilizzati solo ed esclusivamente per le finalità loro proprie e devono a loro volta essere protetti mediante le più aggiornate misure di sicurezza.
Potrebbero interessarti: gli altri articoli dello stesso autore
