Il riconoscimento facciale è un tema tanto popolare quanto delicato.
L’uso del riconoscimento facciale per monitorare i grandi eventi o anche per consentire l’accesso a partite di calcio è stata più volte ipotizzata, ma anche criticata. La Spagna, ad esempio ha avviato nel mese di aprile la sperimentazione per le sue gare casalinghe di Liga. L’implementazione di questa tecnologia pionieristica nel calcio spagnolo punta a essere un nuovo sistema di accesso allo stadio su base volontaria, che affianca le altre modalità di ingresso già esistenti nell’impianto del club spagnolo, come biglietti cartacei, tessere di abbonamento, biglietti su smartphone o QR code, ecc.
Ma è una tecnologia che pone multi dubbi, anche all’interno dell’Unione europea, sulla sua liceità rispetto al trattamento dei dati e suo utilizzo etico tanto da spingere il legislatore italiano nel così detto “decreto capienze ” a introdurre limitazione importanti per il suo utilizzo da parte di privati.
Il tema, quindi è di grande attualità nel dibattito normativo nazionale e dell’Unione Europea.
Ma andiamo con ordine e cerchiamo di inquadrare meglio la portata del problema.
Indice
Cos’è il riconoscimento facciale?
Secondo la CNIL, l’Autorità francese per la protezione dei dati, il riconoscimento facciale (facial recognition technology, o FRT) è una tecnica che permette, a partire dalle caratteristiche del viso di:
– autenticare una persona: cioè, verificare che essa sia chi dice di essere (nel contesto del controllo d’accesso)
– identificare una persona: cioè, trovare una persona in un gruppo di individui, in un luogo, un’immagine o un database.
In pratica, il riconoscimento può essere effettuato con immagini fisse (foto) o immagini animate (registrazioni video) e si svolge in due fasi: dall’immagine viene creato un modello o “template” che rappresenta, da un punto di vista informatico, le caratteristiche di questo volto. I dati estratti per comporre questo modello si qualificano come dati biometrici ai sensi del Regolamento Generale sulla protezione dei dati (di seguito solo GDPR). La fase di riconoscimento viene poi effettuata confrontando questi modelli creati in precedenza con i modelli calcolati dal vivo sui volti presenti nell’immagine candidata.
Nel caso dell’autenticazione, il sistema verifica se l’identità dichiarata è effettivamente quella corretta confrontando il modello del volto presentato con il modello precedentemente registrato corrispondente all’identità dichiarata.
In caso di identificazione, il sistema verifica se il modello facciale presentato corrisponde a uno dei modelli contenuti nel database. I risultati del confronto corrispondono a quello o a quelli con il più alto punteggio di somiglianza tra quelli che superano una certa soglia predeterminata.
Il riconoscimento facciale non deve essere confuso con il rilevamento del volto, che caratterizza la presenza o l’assenza di un volto in un’immagine indipendentemente dalla persona a cui appartiene.
Dietro il “riconoscimento facciale” c’è una grande varietà di usi possibili, che vanno dallo sblocco di computer al riconoscimento di una persona ricercata dalle forze di polizia, all’apertura di conti bancari. Non tutti questi usi pongono gli stessi problemi, in particolare in termini di controllo delle persone sui loro dati personali. Ecco perché, come sottolinea la CNIL, è necessario ragionare caso per caso.
I rischi tecnologici sul riconoscimento facciale e gli interventi legislativi
E’ importante sottolineare i rischi tecnologici, etici e sociali associati al riconoscimento facciale.
Questi rischi sono legati alla natura biometrica del riconoscimento facciale e il fatto che spesso il riconoscimento si basa su algoritmi, intelligenza artificiale machine learning.
Ne comporta che qualsiasi violazione o abuso dei dati comporterebbe rischi significativi (blocco dell’accesso a un servizio, furto d’identità, ecc.).
C’è un ulteriore aspetto: il riconoscimento facciale si basa anche su una probabilità, non sulla certezza assoluta, di una corrispondenza tra il confronto dei volti. Pertanto, gli errori possono avere conseguenze molto significative per gli individui.
I dubbi tecnici sono rappresentanti dal Parlamento europeo nella risoluzione del 20 gennaio 2021 sull’intelligenza artificiale. Nel documento il Parlamento invita la Commissione a valutare le conseguenze di una moratoria sull’utilizzo dei sistemi di riconoscimento facciale. Il punto critico per il Parlamento è attendere norme tecniche che affinché tali sistemi siano pienamente conformi ai diritti fondamentali, i risultati privi di distorsioni e di discriminazioni e non vi siano rigorose garanzie contro gli utilizzi impropri in grado di assicurare la necessità e la proporzionalità dell’utilizzo di tali tecnologie.
Successivamente, Il 28 gennaio 2021, il Comitato della Convenzione 108 ha adottato delle linee guida sul riconoscimento facciale. Nelle Linee Guida sono raccolte delle misure di riferimento che i governi, gli sviluppatori di riconoscimento facciale, i produttori, i fornitori di servizi e – in generale – chiunque utilizzi la tecnologie di riconoscimento facciale dovrebbero seguire e applicare. Lo scopo di tali misure è quello di evitare l’impatto negativo di tale tecnologia sulla dignità umana, i diritti umani e le libertà fondamentali di qualsiasi persona, compreso il diritto alla protezione dei dati personali.
In Italia lo scorso anno il legislatore, proprio per i rischi tecnologici di tale sistema, ha scelto di introdurre nel decreto capienze un divieto per l’utilizzo del riconoscimento facciale.
In particolare “l’installazione e l’utilizzazione di impianti di videosorveglianza con sistemi di riconoscimento facciale operanti attraverso l’uso dei dati biometrici di cui all’articolo 4, numero 14), del citato regolamento (UE) 2016/679 in luoghi pubblici o aperti al pubblico, da parte delle autorità pubbliche o di soggetti privati, sono sospese fino all’entrata in vigore di una disciplina legislativa della materia e comunque non oltre il 31 dicembre 2023”
È tuttavia prevista un’eccezione: il divieto non si applica “ai trattamenti (di dati personali per il riconoscimento biometrico, ndr.) effettuati dalle autorità competenti a fini di prevenzione e repressione dei reati o di esecuzione di sanzioni penali di cui al decreto legislativo 18 maggio 2018, n. 51, in presenza, salvo che si tratti di trattamenti effettuati dall’autorità giudiziaria nell’esercizio delle funzioni giurisdizionali nonché di quelle giudiziarie del pubblico ministero, di parere favorevole del Garante reso ai sensi dell’articolo 24, comma 1, lettera b), del medesimo decreto legislativo n. 51 del 2018”
La scelta del legislatore italiano di sospendere in via cautelativa ed ex lege, l’adozione di sistemi di riconoscimento facciale in luoghi pubblici o aperti al pubblico rappresenta una decisione tutelante e in linea anche con le preoccupazioni Europee.
L’eccezione per l’uso da autorità competenti attraverso il filtro del parere del Garante dovrebbe salvaguardare i diritti e le libertà delle persone.
La posizione dell’European Data Protection Board
Altri documenti di interesse su questo tema sono: le Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video (EDPB), ma soprattutto la recentissima linee guida 5/2022 sull’uso della tecnologia di riconoscimento facciale nell’area delle forze dell’ordine attualmente in consultazione.
Lo scopo di tali ultime Linee Guida è effettuare una valutazione sull’impiego di queste tecnologie e sul contemperamento dei vari interessi in gioco, diritti umani su tutti, offrendo agli Stati membri dell’UE un documento sulla base del quale valutare le proprie scelte legislative.
L’ EDPB ha approfondito molto le problematiche che le FRT pongono intrinsecamente dal punto di vista tecnologico.
Il documento è una sintesi delle normative e degli arresti giurisprudenziali in materia di data retention e impiego di dati biometrici, fino alle conclusioni, dove l’EDPB ha individuato davvero il punto delicato della questione.
Se da una parte l’EDPB comprende la necessità di utilizzare tali tecnologie, dall’altra parte ribadisce la necessità che tali strumenti dovrebbero essere utilizzati nel rigoroso rispetto del quadro giuridico applicabile e solo nei casi in cui essi soddisfino i requisiti di necessità e proporzionalità.
L’EDPB ha, inoltre, chiesto il divieto generale dell’impiego delle FRT in contesti pubblici, in modo indiscriminato e in tutti i casi in cui queste tecnologie possono determinare la classificazione di individui per sesso, razza, religione o appartenenza politica, esprimendo la massima preoccupazione per le tecnologie che riescono anche a determinare lo stato d’animo di un soggetto a partire dalla fisionomia e fisiologia del viso.
Ma l’EDPB prevede anche alcuni impegni consentiti come ad esempio il riconoscimento facciale alle frontiere, in connessione con i documenti dell’interessato (ad esempio il passaporto), nelle ipotesi di sottrazione di minori o in contesti di manifestazioni violente.
In questo caso poiché, come noto, spesso vengono impiegate le riprese di telecamere a circuito chiuso, non vi sarebbero grandi novità, salvo che non siano le telecamere stesse ad essere dotate di FRT.
Lo scenario proposto vede la ricerca giudiziale di un soggetto sospettato di aver commesso un reato ed il cui volto sia stato già ripreso da una telecamera; in questo caso l’uso delle FRT sarebbe consentito per verificare la corrispondenza tra il viso ripreso ed i database delle forze dell’ordine.
Conclusioni
Probabilmente l’approvazione del Regolamento sull’Intelligenza Artificiale inciderà ancora sulle posizioni degli Stati Membri e dell’Unione Europea, ma ad oggi la parola d’ordine sembra essere “prudenza”.
Prudenza per una tecnologia che ancora non è sicura e presenta alti rischi per il diritto alla protezione dei dati, ma anche consapevolezza che le FRT possono essere una risorsa importante per le Forze dell’Ordine e la Pubblica Autorità.
All’interno dello stadio, ma non solo, il riconoscimento facciale potrebbe diventare un interessante ausilio per le Forze dell’Ordine. Il Decreto capienze, quindi, perfettamente in linea con le indicazioni dell’UE, ne consente l’utilizzo solo se a farlo sono le Autorità Pubbliche competenti previo parere del Garante Privacy.
In tema di riconoscimento facciale negli stadi, in Italia abbiamo un interessante precedente autorizzato dal Garante nel 2016. Si trattava di un sistema di videosorveglianza da installare presso lo Stadio Olimpico, provvisto di una funzione di riconoscimento facciale, che forniva le immagini degli spettatori abbinate automaticamente al nominativo della persona che risulta dal sistema di controllo degli accessi ai tornelli e dal sistema di biglietteria.
La finalità era principalmente legata alla sicurezza: la questura voleva implementare una misura per prevenire, contrastare e reprime illeciti durante le manifestazioni calcistiche. Con il decreto capienze, le Autorità Pubbliche possono decidere di implementare misure analoghe previo parere del Garante.
E altri usi?
Per l’accesso allo stadio in alternativa al biglietto, come sta sperimentando la Spagna per esempio?
Sicuramente, in generale, per l’uso da parte dei privati del FRT è necessario attendere nuovi scenari normativi. Ma la domanda nasce spontanea: è davvero necessario esporci ai rischi del riconoscimento facciale per entrare allo stadio?