Riconoscimento facciale, quando il trattamento può dirsi legittimo?

Tracciati i limiti entro cui sono definiti i dati biometrici, sembra utile proseguire il discorso calandosi all'interno di uno degli ambiti applicativi che li vede protagonisti. Sul punto, ad oggi, non si può pensare alla tecnologia di riconoscimento facciale, senza riferirsi, ipso facto, al dato biometrico degli individui. Il riconoscimento facciale è una tecnica biometrica in grado di identificare in modo univoco una persona attraverso il confronto e l'analisi di modelli basati sui tratti del suo viso. è una tecnologia in grado di identificare una persona analizzandone i lineamenti. In particolare, prende in considerazione diversi parametri, come la forma del viso, la distanza tra gli occhi, la larghezza del naso e la forma della bocca. Grazie al riconoscimento facciale, è quindi possibile effettuare ricerche su base biometrica, cioè in base alle caratteristiche fisiche di una persona.

La tecnica di riconoscimento, si basa sull'utilizzo di un software biometrico in grado di identificare in modo univoco un soggetto, e verificare con certezza la sua identità. Il suo funzionamento si articola in diversi passaggi: rilevazione del volto e dei diversi elementi biometrici che lo compongono; analisi dell'immagine dal software che trasforma le caratteristiche del viso in dati biometrici digitali; conversione dei dati raccolti in un codice alfanumerico, attraverso un algoritmo. Il codice risultante dai diversi passaggi, che rappresenta la conformazione unica del volto, viene confrontato con quelli presenti in un database e, in caso di corrispondenza, il risultato darà l'identificazione del soggetto.

La tecnologia di riconoscimento facciale estrae ed elabora i dati biometrici di un individuo creando un "modello biometrico". Le due immagini del volto vengono confrontate e se la probabilità che le due immagini mostrino la stessa persona è superiore a una certa soglia, l'identità viene verificata. Inoltre, l'identificazione può effettuarsi attraverso il confronto con database in cui è già nota la persona in questione (cosiddetta identificazione a set chiuso) o con database in cui non è nota (cosiddetta identificazione a set aperto).

L'EDPB, il 12 luglio 2019, ha pubblicato le Linee Guida sul trattamento dei dati personali attraverso dispositivi video. Per ciò che in questo momento rileva, si è avuto modo di precisare che "per poter essere considerato come trattamento di particolari categorie di dati personali si richiede che i dati biometrici siano trattati al fine di identificare in modo univoco una persona fisica…si devono considerare tre criteri:
1) natura dei dati: dati relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica;
2) mezzi e modalità di elaborazione: dati risultanti da un'elaborazione tecnica specifica;
3) scopo del trattamento: i dati devono essere utilizzati allo scopo di identificare in modo univoco una persona fisica". Inoltre "è fondamentale che il ricorso a tali tecnologie avvenga nel rispetto dei principi legittimità, necessità, proporzionalità e minimizzazione dei dati, come previsto dal GDPR…i titolari dovrebbero prima di tutto valutare l'impatto sui diritti e sulle libertà fondamentali e prendere in considerazione mezzi meno invasivi per ottenere il loro scopo legittimo del trattamento".

Nonostante gli innegabili aspetti positivi che l'utilizzo di una simile tecnologia comporta, non possono ignorarsi i risvolti che un suo impiego spropositato solleverebbe sul piano etico-giuridico, a partire dal rischio concreto di un vulnus per i diritti fondamentali.

Si pensi, ad esempio, all'impiego della tecnologia di riconoscimento facciale in contesti aperti al pubblico e ancor più durante le manifestazioni di protesta. Una potenziale applicazione della tecnologia in questione in simili fattispecie può infatti, dare origine al cosiddetto "chilling effect", per cui un individuo, per paura di essere sorvegliato, tende a smettere di esercitare i propri diritti. Inoltre, si crea un clima di crescente diffidenza verso le nuove tecnologie e, in generale, verso le applicazioni dell'intelligenza artificiale, riflettendosi negativamente sul loro utilizzo e sviluppo.

Ciò posto, il riconoscimento automatico di un individuo tramite l'analisi delle sue sembianze facciali ha caratteristiche biometriche traccianti e biologiche. Il trattamento del dato biometrico per finalità identificative importa il rispetto di un procedimento per fasi, di seguito dettagliate:

• 1. enrollment: in questa prima fase si procede ad acquisire la caratteristica biometrica con una delle due forme di seguito descritte che devono essere idonee a garantire la correttezza dell'accreditamento nel sistema biometrico:
i. quella del campione biometrico facciale tramite algoritmi, talvolta basati sulle c.d. reti neurali, dal quale vengono estratti un certo numero di tratti, quali la posizione degli occhi, del naso, delle narici, del mento, delle orecchie, al fine di costruire un modello biometrico. Trattare un campione biometrico significa acquisire una rappresentazione digitale del dato personale che corrisponde a un file di dimensioni variabili a seconda del grado di precisione e dell'accuratezza del sensore;
ii. quella del modello biometrico che corrisponde a descrizione informatica sintetica della caratteristica biometrica ottenuta estraendo dal campione biometrico soltanto gli elementi salienti predefiniti.

• 2. match: in questa seconda fase si procede a confrontare il campione o il modello biometrico dell'interessato, acquisito nella fase di enrollment, con quello immediatamente fornito dallo stesso per l'identificazione. Quando il risultato del confronto è positivo si potrà avere identificazione univoca dell'interessato. Inoltre, le richiamate Linee Guida dell'EDPB nel presente paragrafo, dispongono che "il titolare deve adottare tutte le precauzioni necessarie per preservare la disponibilità, l'integrità e l'affidabilità del sistema e la riservatezza dei dati trattati. A tal fine, tiene conto in particolare delle seguenti misure: segregazione dei dati durante la trasmissione e la memorizzazione; memorizzazione dei modelli biometrici su banche dati distinte; crittografia dei dati biometrici; definizione di policy interne per la cifratura e la gestione delle chiavi di accesso; predisposizione di una misura organizzativa e tecnica per il rilevamento delle frodi; associazione di un codice di integrità ai dati (ad esempio firma o hash); divieto assoluto di accesso esterno ai dati biometrici". Non va, poi, dimenticato il rispetto dei principi di limitazione delle finalità e limitazione della conservazione. Pertanto, esaurita la finalità riportata all'interno dell'informativa di cui all'art. 13 GDPR, il dato acquisito nei sistemi andrebbe eliminato.

A tal proposito, si ricorda che la proposta di Regolamento dell'Unione Europea sull'Intelligenza artificiale del 21 aprile 2021, COM/2021/206 final (" AI Act "), classifica il trattamento effettuato attraverso tecnologie di riconoscimento facciale tra quelli "ad alto rischio". Nei punti da 18 a 24 delle premesse la proposta di Regolamento chiarisce che "L'uso di sistemi di intelligenza artificiale per l'identificazione biometrica remota in tempo reale di persone fisiche in spazi accessibili al pubblico evoca un sentimento di costante sorveglianza e dissuade indirettamente l'esercizio della libertà di riunione e di altri diritti fondamentali".

Sono previste 3 ipotesi eccezionali nelle quali potrà essere possibile utilizzare tali sistemi:
• la ricerca di potenziali vittime di reati;
• determinate minacce alla vita o all'incolumità fisica di persone fisiche o di attacchi terroristici;
• l'individuazione, la localizzazione, l'identificazione o il perseguimento di autori o sospettati dei reati punibili nello Stato membro con una pena detentiva o un ordine di detenzione per un periodo di almeno tre anni:

Inoltre, il Garante Europeo per la Protezione dei Dati (EDPA), tramite comunicato del 24 aprile 20217 - attraverso il quale si dimostrava favorevole all'adozione di una disciplina normativa uniforme sull'intelligenza artificiale in tutti gli Stati Membri – ha palesato la necessità dell'introduzione di una estremamente rigorosa disciplina tenuto conto di come il c.d. riconoscimento automatizzato negli spazi pubblici possa determinare una eccessiva intrusione nella vita privata dei soggetti coinvolti. Intrusione che – a detta dell'Autorità – è "non democratica".

Nel bilanciamento degli opposti interessi in gioco, un ruolo importante sembra essere rivestito dalle pratiche di soft law e dallo sviluppo di prassi amministrative finalizzate a rendere concreta l'attuazione del principio di trasparenza.

Negli ultimi anni, al riguardo, numerose sono state le linee guida adottate sul riconoscimento facciale. A titolo esemplificativo, si ricorda che il 28 gennaio 2021 il Comitato consultivo della Convenzione per la protezione delle persone rispetto al trattamento automatizzato dei dati di carattere personale (la cosiddetta Convenzione 108) ha adottato le "Linee guida sul riconoscimento facciale".

Il documento proponeva l'obiettivo di definire una serie di interventi che non solo i governi, ma anche gli sviluppatori di sistemi di riconoscimento facciale, i produttori, i fornitori di servizi e le organizzazioni di utenti avrebbero dovuto considerare, al fine di garantire un utilizzo di tale tecnologia rispettoso dignità umana, i diritti umani e le libertà fondamentali, compreso il diritto alla protezione dei dati personali, di qualsiasi persona.

In seguito, il 12 maggio 2022, il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato le Linee guida sul riconoscimento facciale da parte delle forze dell'ordine.

Nel documento, l'EDPB, sebbene riconoscesse gli indiscutibili vantaggi che queste tecnologie possono offrire alle forze dell'ordine, ha ribadito la necessità che questi strumenti vengano utilizzati nel pieno rispetto della normativa applicabile, unicamente laddove siano soddisfatti i requisiti di necessità e proporzionalità di cui all'articolo 52, paragrafo 1, della Carta europea dei diritti fondamentali.

Il Comitato, inoltre, nel fornire le sue linee guida, ha ritenuto che "'utilizzo indiscriminato delle tecnologie di riconoscimento facciale in ambienti pubblici e in tutti i casi in cui queste tecnologie possono classificare gli individui in base al sesso, alla razza, alla religione o all'affiliazione politica, dovrebbe essere vietato".

In Italia, in tal senso, con l'emanazione della Legge n. 205/2021 , sono state sospese, fino al 31 dicembre 2023, le attività dell'installazione e utilizzo di sistemi di videosorveglianza con riconoscimento facciale tramite dati biometrici in luoghi pubblici o aperti al pubblico, da parte di autorità pubbliche o enti privati.