Riconoscimento facciale assimilato a "monitoraggio del comportamento", si applica il GDPR anche a società ExtraUe

L'Autorità italiana ha condotto una complessa istruttoria sui prodotti di riconoscimento facciale della società statunitense Clearview AI Inc , infliggendole – tra l'altro - una sanzione di 20 milioni di euro per aver messo in atto un monitoraggio biometrico di persone che si trovano nel territorio italiano.

In sintesi, la Società possiede un database di oltre 10 miliardi di immagini di volti di persone di tutto il mondo, recuperate da fonti web pubbliche come siti di informazione, social media e video online, da cui estrae, grazie a sistemi di intelligenza artificiale, dati biometrici creando poi profili con l'aggiunta di altre informazioni, come titolo e geolocalizzazione della foto, pagina web di pubblicazione, nome e cognome, ecc. Il database non è liberamente accessibile al pubblico ma è destinato a determinate categorie di clienti, soprattutto forze di polizia, che tramite una piattaforma possono effettuare ricerche e comparazioni di immagini facciali.

Il tema che viene prepotentemente alla luce è quello dell'applicabilità del Regolamento europeo sulla protezione dei dati nei confronti di soggetti operanti al di fuori del territorio europeo, come sottolineato dalla stessa Clearview la quale, pur non sottraendosi alla richiesta d'informazioni dell'Autorità in sede istruttoria, ha obiettato: posto che la Società ha sede negli U.S.A. e non ha alcuna filiale nell'Unione Europea, il Regolamento non sarebbe ad essa applicabile e il Garante italiano non avrebbe giurisdizione in merito.

Dunque, il tema centrale riguarda l'ambito di applicazione territoriale del Regolamento europeo n. 2016/679, che, come noto, ha introdotto soluzioni innovative in merito rispecchiando la volontà del legislatore di assicurare una tutela globale dei diritti degli interessati nell'UE, in considerazione della estensione dei flussi di dati su scala mondiale.

In particolare, l' articolo 3 del GDPR definisce l'ambito di applicazione territoriale del Regolamento sulla base di due criteri principali: il criterio dello «stabilimento», di cui all'articolo 3, paragrafo 1, e il criterio dell'«indirizzamento (targeting)» del trattamento, di cui all'articolo 3, paragrafo 2. E così, l'assenza di uno stabilimento nell'Unione non significa necessariamente che le attività di trattamento da parte di un titolare stabilito in un paese terzo siano escluse dall'ambito di applicazione del GPDR, poiché la sussistenza dei requisiti del targeting comporterebbero l'applicazione del Regolamento anche a un titolare non stabilito nell'Unione.

Nella fattispecie, rilevato che la società effettivamente non ha uno stabilimento in un paese dell'Unione, l'individuazione dell'esatto confine di applicazione della disciplina unionale deve essere ricercato con l'ausilio dei criteri dell'«indirizzamento (targeting)» del trattamento.

In particolare, la lettera b) del citato par. 2 estende l'applicabilità del regolamento al trattamento dei dati personali di interessati che si trovino nell'unione quando il trattamento concerne « il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'unione ». In forza di tale criterio, l'elemento determinante per l'applicazione territoriale del GPDR risiede non più nella qualità (o nella provenienza) del titolare bensì nella valutazione delle attività di trattamento da esso concretamente svolte.

Per tale ragione occorre addentrarsi sul piano prettamente tecnico delle attività di trattamento realizzate.

Sul punto l'Autorità ha accertato che il trattamento consiste nella raccolta di immagini dal web e nella loro elaborazione con strumenti automatizzati, al fine di creare rappresentazioni vettoriali di volti. Successivamente, tali informazioni vengono sottoposti ad una funzione di hash allo scopo di indicizzare i dati e consentire una correlazione con le immagini oggetto di comparazione caricate dagli utenti. In altri termini, l'attività svolta comporta una rielaborazione tecnica delle immagini tanto da renderle "dati biometrici", a cui sono associate informazioni idonee a identificare la persona ritratta.

Ebbene, secondo l'interpretazione fatta dall'Autorità tale attività rientra nel più ampio concetto di «monitoraggio del comportamento», forte anche della previsione del Considerando 24 del Regolamento, secondo cui per controllo del comportamento è da intendersi quell'attività con cui «le persone fisiche sono tracciate su internet, compreso l'eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali » (C24).

La chiave di lettura dell'intero processo di raccolta ed elaborazione posto in essere da Clearview, secondo l'interpretazione dell'Autorità, risiede nella circostanza che le informazioni archiviate nel database vengono arricchite nel tempo in modo da «riflettere anche i cambiamenti fisici avuti dallo stesso soggetto». In altri termini, la società dispone di un archivio di dati personali e biometrici che si arricchisce nel tempo, per di più all'insaputa degli interessati e al fine di realizzare un riconoscimento facciale, circostanze che ne legittimano l'assimilazione al controllo del comportamento.

Sulla base di siffatte argomentazioni l'Autorità ha concluso circa l'applicabilità del Regolamento al trattamento effettuato dalla Clearview, infliggendo alla società oltre che una cospicua sanzione anche il divieto di ulteriore trattamento dei dati personali nonché l'obbligo di procedere alla cancellazione dei dati finora trattati.

Lo sforzo interpretativo che ha portato l'Autorità italiana da assimilare una tecnica di riconoscimento facciale ad un più generale «monitoraggio del comportamento» degli utenti si giustifica considerando il contesto di riferimento. Da un lato, le innovazioni tecnologiche, in generale, rappresentano un terreno in magmatica evoluzione di cui non si conoscono appieno le implicazioni per la società, l'ambiente e le persone, motivo per cui il legislatore fa fatica a stare al passo con l'evolversi delle tecnologie. E, in effetti, anche il tema del riconoscimento facciale non è di semplice regolazione, come dimostrato dall'iniziativa assunta dal Governo italiano che ha adottato una moratoria dei sistemi biometrici di riconoscimento facciale in luoghi pubblici o aperti al pubblico fino al 31 dicembre 2023 ( d.l. 139/2021 cd. "decreto capienze" ).

Per altro verso, si noti che l'intervento dell'Autorità italiana non è isolato nel panorama europeo, anzi esso si pone in linea coi precedenti dell'Autorità di controllo tedesca del Land di Amburgo (decisione 545/2020; 32.02-102) e della Commission Nationale de l'Informatique et des Liberté (CNIL, Decision n° MED 2021-134 of 1st November 2021 issuing an order to comply to the company CLEARVIEW AI).

Tanto per evidenziare la portata e la complessità del fenomeno, molto sentito dall'Autorità italiana e oggetto di un vivace dibattito nell'ambito dell'Unione Europea, che, volendo interpretare un ruolo da leader nella tutela dei diritti fondamentali nell'era digitale, tenta di arginare la visione d'oltre oceano che predilige esigenze di sicurezza piuttosto che di protezione dei dati personali.

_____

*A cura dell'Avv. Gianluca Fasano, Istituto di Ricerca ISTC-CNR

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più