Sentenza

Riconoscimento facciale e Polizia: le linee guida n. 5/2022 dell'EDPB . Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement

Con le Linee Guida n. 5/2022, soggette alla consueta consultazione pubblica, l'European Data Protection Board (EDPB) ha deciso di affrontare la (delicata) questione dell'utilizzo della tecnologia di riconoscimento facciale (FRT) da parte di un'autorità preposta all'applicazione della legge.
di Gabriele Borghi - Avvocato, Fellow dell'Istituto Italiano per la Privacy e la Valorizzazione dei Dati

La FRT (Face Recognition Technology), spesso fondata sull'utilizzo di componenti d'intelligenza artificiale ovvero di apprendimento automatico, è una tecnologia biometrica probabilistica, in grado di riconoscere, automaticamente, un individuo in base al suo volto, al fine di autenticarlo ovvero di identificarlo: essa rientra nella più ampia categoria delle tecniche biometriche, costituite da processi automatizzati volti a riconoscere un individuo attraverso la quantificazione di caratteristiche fisiche, fisiologiche ovvero comportamentali (es. impronte digitali; struttura dell'iride; voce; andatura; pattern dei vasi sanguinei), al fine di autenticarlo ovvero di identificarlo.

Nello specifico, la FRT è, quindi, un processo a due fasi: da un lato, la raccolta dell'immagine di un volto e la sua trasformazione in un modello/template, e, dall'altro lato, il riconoscimento di quel volto, attraverso il confronto del modello corrispondente con uno o differenti template.

Come ogni processo biometrico, la FRT (la quale è, invero, una funzionalità software che può essere implementata all'interno di sistemi esistenti: es. telecamere; data base di immagini) può svolgere, come già anticipato, due distinte funzioni: l'autenticazione di una persona, finalizzata a verificare che questa sia chi afferma di essere (mediante la tecnica del confronto/verifica 1:1); l'identificazione di una persona, finalizzata a trovare una persona tra un gruppo di individui, in un'area specifica, in un'immagine ovvero in un data base (mediante la tecnica del confronto/verifica 1:molti).

Oltre che per rispondere a problemi di sicurezza pubblica ovvero per l'applicazione della legge, la FRT può essere utilizzata per una varietà di obiettivi, anche di natura commerciale, nonché in contesti differenti: accesso ad un servizio pubblico/privato e/o a un luogo specifico; ricerca, in un data base di fotografie, dell'identità di una persona fisica non identificata (es. vittima; sospetto); monitoraggio dei movimenti di una persona in uno spazio pubblico; ricostruzione del percorso di una persona, e le sue successive interazioni con altre persone.

Fatta questa doverosa premessa, l'EDPB ha precisato che la FRT – utilizzata ai fini della prevenzione, dell'indagine, dell'accertamento e del perseguimento di reati (anche gravi: es. criminalità organizzata; terrorismo) – solleva, inevitabilmente, la questione (delicata) del rispetto dei diritti fondamentali sanciti all'interno della Carta dei diritti fondamentali dell'UE (Carta), individuati, in particolar modo, nel rispetto della vita privata e delle comunicazioni ex art. 7 della Carta, nella protezione dei propri dati personali ex art. 8 della Carta, e, infine, nel rispetto della dignità, della libertà di pensiero, di coscienza e religione e di associazione ex artt. 1, 10, 11 e 12 della Carta.

In secondo luogo, l'EDPB ha ricordato che l'art. 52 della Carta (da leggersi, assieme, all'art. 8 della Convenzione europea dei diritti dell'uomo (CEDU) e alla Convenzione per la protezione delle persone fisiche con riguardo al trattamento automatizzato dei dati personali) richiede, ai fini di eventuali limitazioni ai diritti e alle libertà sancite dalla Carta, il requisito di una base giuridica specifica, precisa, sufficientemente chiara (e prevedibile) nei suoi termini (nel suo ambito, e nelle sue modalità di esercizio), al fine di fornire ai cittadini coinvolti un'indicazione adeguata delle condizioni e delle circostanze in cui un'autorità è tenuta a ricorrere a qualsiasi misura di raccolta di dati per questioni di sorveglianza.

Sul punto, l'EDPB ha, inoltre, evidenziato che le limitazioni ai diritti fondamentali, sanciti nella Carta, devono rispondere -in modo effettivo, proporzionato, appropriato e (strettamente) necessario - ad obiettivi di interesse generale riconosciuti dall'UE ovvero alla necessità di proteggere i diritti e le libertà altrui: a tal riguardo, l'EDPB ha posto l'accento sul fatto che i reati, da perseguire, devono, senz'altro, essere considerati sufficientemente gravi da giustificare la portata delle (necessarie) interferenze con i diritti fondamentali sanciti dalla Carta, senza, però, che questo determini un sistematico trattamento di dati personali.

Venendo al quadro giuridico specifico ivi applicabile, l'EDPB ha evidenziato, innanzitutto, che esso è, invero, rappresentato dalla Direttiva UE n. 2016/680, ove viene affermato, all'art. 8 paragrafo 2 (da leggersi, con specifico riguardo ai dati biometrici trattati tramite la FRT, con i successivi artt. 10 e 11), che qualsiasi trattamento, oltre ad essere necessario per il perseguimento delle finalità di cui all'art. 1 paragrafo 1 (ossia: prevenzione, indagine, accertamento e perseguimento di reati ovvero esecuzione di sanzioni penali, ivi inclusa la salvaguarda e la prevenzione di minacce alla sicurezza pubblica), deve essere disciplinato da una legge nazionale (nella portata interpretativa di cui al Considerando n. 33) che specifichi, almeno, gli obiettivi del trattamento, i dati personali da trattare e, infine, le finalità del trattamento.

Con riguardo alle informazioni ex art. 13 della Direttiva UE n. 2016/680 da fornire ai soggetti interessati (i cui dati personali sono oggetto di trattamento, previa rimozione ovvero anonimizzazione (mediante, ad esempio, la tecnica della sfocatura, senza la possibilità di recupero retroattivo degli stessi), laddove non pertinenti allo scopo (o meglio, all'indagine) perseguito), l'EDPB ha precisato che esse possono essere fornite tramite il sito internet del Titolare del trattamento ovvero attraverso altre fonti/metodi di agevole accesso per il soggetto interessato.

Oltre a ciò, l'EDPB ha ricordato che una valutazione d'impatto sulla protezione dei dati personali (DPIA) (il cui principale risultato/conclusione è preferibile pubblicare) è, ovviamente, un requisito obbligatorio (ma non sufficiente), prima dell'utilizzo della RFT: infatti, l'EDPB ritiene che la maggior parte dei casi di utilizzo di una RFT contiene un rischio intrinseco elevato per i diritti e le libertà dei soggetti interessati, e, di conseguenza, richiede la consultazione preventiva alla competente Autorità di Controllo.

Nel rispetto del principio di privacy by design e di privacy by default ex art. 25 del GDPR, l'EDPB ha raccomandato, infine, che, nei sistemi (automatizzati) di riconoscimento facciale, devono essere registrate le seguenti operazioni di trattamento: raccolta; modifica; consultazione; divulgazione; trasferimento; combinazione; cancellazione; tentativi di identificazione/verifica, ivi incluso il relativo esito e punteggio.

Da ultimo, l'EDPB ha concluso avvertendo che le moderne tecnologie, sebbene possano costituire (almeno in parte) una valida soluzione, possono comportare, in alcuni casi, rischi (soprattutto, di discriminazione ovvero di falsi risultati) non accettabili per gli individui e la società in generale: es. l'identificazione biometrica a distanza di persone in spazi accessibili al pubblico presenta un elevato rischio di intrusione nella vita privata degli individui, e non trova posto in una società democratica, giacché, per natura, comporta una sorveglianza di massa.

EDPB, linee guida 12 maggio 2022, n. 5