Il Garante italiano per la protezione dei dati personali ha espresso parere negativo all’implementazione del dispositivo S.A.R.I. Real Time da parte delle Forze di Polizia. Per le incisive implicazioni sulla privacy e sui diritti e le libertà fondamentali dei soggetti coinvolti nel trattamento “di massa”, tale dispositivo richiederebbe, secondo il Garante per la privacy, un’apposita base normativa che ne disciplini le condizioni ed i limiti di utilizzo. Tale posizione esprime una preoccupazione largamente condivisa anche dalle istituzioni europee, consapevoli del rischio di biosorveglianza che è insito nell’utilizzo di tali dispositivi. Per il watchdog dell’UE sulla privacy tali sistemi andrebbero semplicemente vietati perché nessuna esigenza di tutela, ancorché di rango pubblicistico, potrebbe giustificare la sorveglianza di massa dei cittadini europei.
Tra i dispositivi di riconoscimento facciale (in questo Osservatorio ne abbiamo discusso, anche di recente, QUI e QUI), i sistemi “real time” – che verificano, cioè, istantaneamente l’eventuale corrispondenza tra il soggetto ripreso dalla telecamera di sorveglianza con uno dei profili presenti sul database di riferimento – sono tra quelli maggiormente invasivi, soprattutto nel caso in cui siano utilizzati per scopi di sorveglianza e repressione della criminalità.
Sin dal 2107 la Polizia di Stato italiana utilizza il dispositivo di riconoscimento facciale S.A.R.I. (acronimo per “Sistema Automatico di Riconoscimento Immagini”) per confrontare l’immagine di individui sospetti con quelle incluse nei database delle forze dell’ordine (sul funzionamento di SARI si è parlato QUI nell’Osservatorio).
Più di recente, però, il Ministero dell’Interno ha previsto di estenderne l’utilizzo di S.A.R.I. anche in modalità “Real Time” allo scopo di analizzare – grazie ad una rete di telecamere installate in luoghi pubblici ed aperti al pubblico – i volti dei soggetti registrati, per poi confrontarli in tempo reale con quelli presenti in un’apposita watch-list, nella quale sono registrati 10.000 volti di soggetti attenzionati per motivi di sicurezza e di ordine pubblico. Nel caso in cui l’algoritmo di riconoscimento facciale riscontri una corrispondenza tra un volto presente nella watch-list ed un volto ripreso da una delle telecamere di sorveglianza, il sistema genera un alert per le Forze di Polizia, le quali adotteranno tutte le misure conseguenti.
Questo sistema non ha però superato il vaglio del Garante italiano per la protezione dei dati personali. Con il parere n. 127 pubblicato lo scorso 25 marzo, il Garante ha infatti bocciato SARI Real Time ritenendolo non in linea con gli standard imposti dalla normativa in materia di privacy.
In via preliminare, il Garante italiano ha richiamato l’attenzione sull’«estrema delicatezza» del trattamento di immagini volte ad identificare le persone nel contesto pubblico, principalmente in considerazione del rischio che singole iniziative, sommate tra loro, contribuiscano ad innestare «un nuovo modello di sorveglianza» ed «introducano, di fatto, un cambiamento non reversibile nel rapporto tra individuo ed autorità». Nel caso di SARI Real Time, il dispositivo – in quanto installato in luoghi pubblici ed aperti al pubblico – realizzerebbe un trattamento automatizzato su larga scala che si estenderebbe anche a coloro che non sono inclusi nella watch-list della Polizia, dal momento che per l’identificazione della persona sospetta si renderebbe necessario il trattamento biometrico anche di tutte le altre persone che si trovino a circolare nello spazio pubblico monitorato.
Ciò comporterebbe – secondo il Garante – un’evoluzione della natura stessa dell’attività di sorveglianza, determinando il passaggio «dalla sorveglianza mirata di alcuni individui alla possibilità di sorveglianza universale allo scopo di identificare alcuni individui».
Proprio a causa dell’incisiva interferenza con la vita privata delle persone – con il correlato rischio di compressione di alcune prerogative individuali e collettive di carattere essenziale, tra cui il diritto al rispetto della vita personale e la libertà di espressione – il Garante ritiene che tale dispositivo debba essere giustificato da una adeguata base normativa che ne individui le condizioni di ammissibilità ed i limiti. Secondo il Garante, per essere soddisfacente, tale base normativa dovrebbe tener conto di tutti i diritti e le libertà coinvolte e definire le situazioni in cui è possibile l’uso di tali sistemi, evitando di conferire « una discrezionalità così ampia che il suo utilizzo dipenda in pratica da coloro che saranno chiamati a disporlo, anziché dalla emananda previsione normativa». Fondamento normativo ritenuto dall’Authority per la privacy a tutt’oggi inesistente nel diritto nazionale, non potendo rinvenirsi un’adeguata base giuridica per il trattamento dei dati biometrici né nel D.Lgs. n. 51/2018 (che disciplina il trattamento dei dati personali per fini di prevenzione, indagine, accertamento e perseguimento di reati) né nel codice di procedura penale.
La posizione del Garante italiano esprime una preoccupazione condivisa anche a livello delle istituzioni eurounitarie. Nella Proposta di regolamento europeo in materia di IA presentata dalla Commissione europea il 21 aprile 2021 il riconoscimento facciale in modalità “real time” è stato annoverato tra i dispositivi di intelligenza artificiale “ad alto rischio” proprio per la sua idoneità a mettere repentaglio tanto il diritto alla privacy negli spazi pubblici quanto gli stessi diritti alla libertà di espressione, protesta e riunione. Per queste ragioni, nella bozza di regolamento viene previsto un divieto generale all’utilizzo di tale tecnologia, salvo al ricorrere di tre ipotesi di deroga, e sempre che il relativo uso risulti strettamente necessario al conseguimento di un interesse pubblico sostanziale: per la ricerca di potenziali vittime di crimini, inclusi i bambini scomparsi; per l’individuazione, la localizzazione e l’identificazione di un autore di reato sospettato di avere commesso un reato punibile da uno Stato membro con una pena detentiva non inferiore a tre anni; per prevenire un’imminente minaccia all’incolumità fisica delle persone. In tutti questi casi, resta pur sempre necessario che l’uso sia autorizzato da uno specifico atto autorizzativo da parte di un’autorità giudiziaria ovvero da parte di un’autorità amministrativa indipendente.
Si tratta di un intervento certamente rilevante, espressione del tentativo di addivenire ad una governance proattiva anche dei sistemi di riconoscimento facciale, ma probabilmente – anche considerata l’ampiezza delle deroghe – non idoneo ad assicurare un robusto controlimite.
Non a caso, nel suo comunicato del 24 aprile 2021, il Garante Europeo per la Protezione dei Dati (GEPD), pur salutando con favore la volontà dell’Unione Europea di adottare un regolamento sull’intelligenza artificiale in grado di fornire un quadro normativo uniforme a livello eurounitario, ha ritenuto largamente insoddisfacenti le disposizioni regolamentari relative al riconoscimento facciale, sia da remoto che “in tempo reale”. Per i rischi estremamente elevati di intrusione profonda e non democratica nella vita privata degli individui, necessaria sarebbe per il GEPD una vera e propria moratoria sull’uso dei sistemi di identificazione biometrica a distanza, indipendentemente dalla sussistenza di un’adeguata base normativa e dal rango degli interessi pubblici che essi mirano a salvaguardare.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 4.0 Internazionale