Consulenza
Checkup aziendale
Contenzioso
Formazione
Marzo 2022: il Garante per la protezione dei dati personali impone una sanzione di 20 milioni di euro alla società americana Clearview AI.
La società dichiara di possedere un database di oltre 10 miliardi di immagini di volti di persone di tutto il mondo, estratte da fonti web pubbliche (es. social network in primis) ed offre un servizio di ricerca che, grazie a sistemi di intelligenza artificiale, consente la creazione di profili basati sui dati biometrici estratti da tali immagini. I dati personali detenuti dalla società, inclusi quelli biometrici e di geolocalizzazione, sono stati acquisiti e vengono trattati del tutto illecitamente mancando una base giuridica che ne legittimi il trattamento. Tra i principi del GDPR violati vi sono gli obblighi di trasparenza – vista l’assoluta carenza di informazione degli utenti -, ed il principio di limitazione delle finalità del trattamento, dal momento che i dati personali sono stati trattati per scopi diversi rispetto a quelli per i quali erano stati pubblicati online.
Oltre alla sanzione pecuniaria, il Garante italiano ha ordinato a Clearview AI di cancellare i dati relativi a persone che si trovano in Italia, vietandone l’ulteriore raccolta e trattamento attraverso il sistema di riconoscimento facciale.
Non è la prima volta che il Garante italiano si occupa di “arginare” il rischio di abuso nell’utilizzo dei sistemi di riconoscimento facciale: è solo di qualche mese fa il parere negativo del GPDP sul software di riconoscimento facciale Sari Real Time reso a fronte dell’interrogazione del Ministero dell’Interno. Il sistema che il Garante ha bollato come realizzatore di una forma di sorveglianza indiscriminata di massa, permetteva a telecamere installate in una determinata area geografica di analizzare in tempo reale e registrare i volti dei soggetti ripresi, confrontandoli poi con quelli presenti su una banca dati predefinita; in caso di riscontro positivo poteva essere inviato un allarme alle forze dell’ordine. Nonostante il Ministero dell’Interno abbia rassicurato sul fatto che le registrazioni sarebbero stata subito cancellate, a parere dell’Autorità il sistema realizzerebbe un trattamento automatizzato su larga scala che può riguardare anche persone presenti a manifestazioni politiche e sociali, non soggette all’attenzione delle forze di Polizia. Come indicato sulla pagina istituzionale del Garante (https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9575842) <<L’identificazione di una persona sarebbe realizzata attraverso il trattamento dei dati biometrici di tutti coloro che sono presenti nello spazio monitorato, allo scopo di generare modelli confrontabili con quelli dei soggetti inclusi nella “watch-list”. Si determinerebbe così una evoluzione della natura stessa dell’attività di sorveglianza, che segnerebbe un passaggio dalla sorveglianza mirata di alcuni individui alla possibilità di sorveglianza universale>>.
La tecnica del riconoscimento facciale è una relativamente nuova tecnologia in grado di identificare un soggetto sulla base della rilevazione di alcuni dei suoi dati biometrici confrontando e analizzando modelli basati sui suoi “contorni facciali”.
Sebbene sia stata ideata per scopi legati alla sicurezza nazionale e tutela dell’ordine pubblico, oggi viene costante adoperata per finalità differenti, quali marketing o scopi commerciali.
Uno dei principali vantaggi di questo sistema di identificazione è il fatto che le immagini del volto possono essere catturate a distanza ed analizzate senza la necessità di avere un contatto diretto con l’interessato; tuttavia, tale tecnica è utilizzabile solo quando ci sono buone condizioni di luce e messa a fuoco del volto.
La maggior parte dei software di riconoscimento facciale, infatti, utilizza immagini 2D (la maggior parte delle foto che scattiamo con i nostri smarphone e la maggior parte delle immagini caricate sui social network sono in 2D). Si tratta quindi di immagini che hanno evidenti limiti: basandosi sulla luminosità tale tecnica non funziona al buio ed è inaffidabile in caso di scarsa illuminazione. Per ovviare a questi problemi spesso viene utilizzata la tecnologia 3D mediante la tecnica “lidar”, o ancora più semplicemente si utilizzano per il riconoscimento facciale delle termocamere, che consentono l’identificazione facciale 2D anche al buio.
Molti Paesi nel mondo hanno iniziato ad utilizzare massivamente la tecnologia del riconoscimento facciale non solo quale strumento di sicurezza per contrastare e prevenire la diffusione della criminalità, ma anche nell’ambito dello sviluppo dei sistemi alternativi di autenticazione dell’identità digitale del cittadino. Oltre agli usi “pubblici”, in nazioni non lontano dalla nostra (leggi Regno Unito) queste tecnologie vengono utilizzate per il monitoraggio degli accessi negli spazi privati, come musei, centri commerciali, ecc.
Ma nell’UE è lecito?
Il riconoscimento facciale permette di raccogliere informazioni sulle caratteristiche facciali di una persona e sulla sua classificazione sotto forma di dati biometrici, quegli stessi dati che l’art. 9.1 del GDPR include tra i dati Particolari (ex dati sensibili, quelli più meritevoli di tutela), in quanto consentono di identificare in modo univoco una persona fisica.
L’art. 4 al n. 14 del GDPR definisce i dati biometrici come i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici. Il Considerando 51 del GDPR specifica altresì che “il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione di una persona fisica”.
L’art. 5, inoltre, indica i principi che regolano il trattamento dei dati personali (trasparenza, limitazione della finalità, minimizzazione, correttezza, ecc.) e l’art. 6 ne definisce invece le condizioni di liceità.
Il GDPR, quindi, fornisce alcune norme generali per il trattamento di tali dati, sebbene nel nostro ordinamento non esistano ancora normative ad hoc che regolano il riconoscimento facciale. La normativa sulla privacy deve essere tuttavia letta in combinato con le altre fonti normative europee, tra cui importantissime sono le Linee Guida n. 3/2019 del Comitato Europeo per la Protezione dei dati personali (EDPB) che si occupano del trattamento dei dati personali attraverso dispositivi di videosorveglianza ove viene dedicata particolare attenzione al riconoscimento facciale ed alla videosorveglianza intelligente.
Proprio l’autorità europea, indica, per esempio che tali tecnologie non dovrebbero essere consentite nelle procedure di assunzione del personale, nell’accesso ai servizi assicurativi e di istruzione, disponendo che il loro utilizzo da parte delle forze di polizia dovrebbe avvenire solo quando strettamente necessario.
Le linee guida sostengono che “l’articolo 9 (GDPR) si applica se il titolare del trattamento conserva i dati biometrici (comunemente attraverso modelli creati estraendo le caratteristiche chiave dalla forma grezza dei dati biometrici, ad esempio misurazioni facciali ricavate da un’immagine), al fine di identificare in modo univoco una persona. Se un titolare del trattamento desidera individuare un interessato che rientra nella zona sorvegliata o entra in un’altra zona (ad esempio, per proiettare annunci pubblicitari personalizzati in modo continuo), in questo caso lo scopo sarebbe quello di identificare in modo univoco una persona fisica e quindi l’operazione rientrerebbe fin dall’inizio nel campo di applicazione dell’articolo 9. Ciò potrebbe accadere se il titolare conserva i modelli generati per fornire ulteriore pubblicità personalizzata su diversi cartelloni pubblicitari in vari punti all’interno del negozio. Poiché il sistema utilizza caratteristiche fisiche per individuare soggetti specifici che tornano nell’area di ripresa della telecamera (come i visitatori di un centro commerciale) e li traccia, questa funzione costituirebbe un metodo di identificazione biometrica perché è finalizzata al riconoscimento attraverso l’uso di un trattamento tecnico specifico” (cfr. https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32019-processing-personal-data-through-video_it).
Come spesso accade nel rapporto con il settore della protezione dei dati personali non si può parlare in termini assoluti di una incompatibilità con l’utilizzo di queste nuove tecnologie, in quanto se il trattamento dei dati è conforme ai principi di legalità, necessità, proporzionalità e minimizzazione dettati dal Regolamento UE n. 2016/679 (GDPR) può essere sicuramente possibile e lecito.
Nello specifico per trattare legittimamente i dati biometrici anche ai sensi dell’art. 9 del GDPR è necessario utilizzare una delle basi giuridiche dallo stesso Regolamento UE previste e nello specifico chiedere il consenso dell’interessato.
L’errato trattamento di tali dati, infatti, può di fatto compromettere l’onore, la reputazione oltre che l’integrità fisica e gli interessi economici dell’individuo coinvolto. Il riconoscimento facciale, infatti si basa su un processo preciso composto da tre fasi: l’identificazione del volto da una immagine, la trasformazione di tale immagine del volto in dati analizzabili da un software ed il raffronto automatizzato di tali dati trasformati con quelli presenti su certo database. Questi dati possono essere utilizzati per attività quotidiane come sbloccare il proprio smartphone o scansionare la retina per l’accesso in determinati luoghi, ma anche per lo svolgimento di attività di marketing e di profilazione. Per evitare problemi e gravi compromissioni della libertà personale e della riservatezza è necessario che allo sviluppo tecnologico corrisponda l’adozione di tutte le misure idonee a regolamentarne l’utilizzo ed evitarne l’abuso indiscriminato
Ciò è possibile qualora si ottenga il consenso del soggetto interessato, informandolo previamente delle finalità per cui il suo specifico dato biometrico viene raccolto. È necessaria una dichiarazione o un’azione positiva inequivocabile ed esplicita che autorizzi il trattamento di quello specifico dato per una data finalità: a tal fine è sempre consigliabile raccogliere il consenso scritto, assolutamente imprescindibile sul piano del valore probatorio. Se il consenso viene raccolto online è sufficiente l’esplicitazione dell’autorizzazione mediante la compilazione di un form elettronico o l’invio di una e-mail caricando il documento scansionato con la propria firma anche elettronica.
In tal modo il problema viene superato alla radice nel rispetto dei principi di trasparenza, limitazione della finalità del trattamento e minimizzazione.
Oltre alle Linee Guida sopradette, sono recentissime le nuove Linee Guida n. 5/2022 sempre a firma dell’EDPB, con cui vengono individuate le regole sull’implementazione e l’utilizzo di sistemi basati su tecnologie di riconoscimento facciale in relazione agli impieghi da parte delle autorità di law enforcement.
Scopo delle stesse è dettare indicazioni uniformi a livello europeo circa l’impiego di tali strumenti per finalità di indagine e prevenzione di reati, fornendo indicazioni non solo per l’utilizzazione dei dati acquisiti mediante sistemi di riconoscimento facciale nel settore pubblico, ma anche in quello privato.
Al fine di evitare abusi di questa tecnologia l’Autorità indica che l’utilizzo di tali sistemi debba sempre essere eseguito nel rispetto della Carta europea dei diritti fondamentali, rammentando che in ogni caso resta vietato utilizzare i sistemi di riconoscimento facciale per creare data base di dati catalogati in base alla diversa natura etnica, politica, religiosa, razziale, ecc, degli interessati.
L’impiego dei sistemi di riconoscimento facciale dovrebbe avvenire sempre sotto la vigilanza delle Autorità Garanti nazionali e sul titolare del trattamento grava l’obbligo di considerare quale impatto abbia questo tipo di tecnologia sugli altri diritti fondamentali dell’interessato medesimo (es. rispetto della vita privata e familiare, libertà di espressione e informazione, ecc.).
In forza del fatto che il trattamento mediante riconoscimento facciale avviene senza l’interazione dell’interessato, le Linee Guida stabiliscono che il titolare del trattamento deve prestare particolare attenzione a: 1) chi sono gli interessati; 2) in che modo vengono a conoscenza del trattamento mediante riconoscimento facciale; 3) come possono esercitare i propri diritti
Pertanto, anche alla luce delle nuove disposizioni europee, diventa assolutamente necessario:
- informare l’interessato al momento della raccolta dei suoi dati;
- rendere le informazioni di cui all’art. 13 del GDPR, e ciò sia in formato cartaceo che caricando l’informativa online sul sito del titolare del trattamento;
- indicare esplicitamente le finalità del trattamento;
- specificare la base giuridica del trattamento nonché il periodo di conservazione dei dati personali;
- informare l’interessato sui suoi diritti e sulle modalità in cui li può esercitare.
Insomma, ciò che conta è e resta essere compliant in punto privacy anche nel caso di utilizzo di questa nuova tecnologia di raccolta dei dati personali.