Per quel che riguarda il riconoscimento facciale, con l’introduzione del GDPR, l’Europa ha manifestato una forte attenzione alla tematica e l’Italia ha introdotto una norma specifica.
Il Garante Privacy ha positivamente recepito le norme europee ed italiane per la regolamentazione del riconoscimento facciale sottolineandone le eccezioni ed i limiti.
Scopriamo nella nostra approfondita analisi cos’è il riconoscimento facciale e come le norme lo regolamentino nel nostro paese.
Il Garante Privacy ha positivamente recepito le norme europee ed italiane per la regolamentazione del riconoscimento facciale sottolineandone le eccezioni ed i limiti.
Scopriamo nella nostra approfondita analisi cos’è il riconoscimento facciale e come le norme lo regolamentino nel nostro paese.
RICONOSCIMENTO FACCIALE: COS’È E COME FUNZIONA
Il riconoscimento facciale è una tecnica che nasce principalmente per scopi di sicurezza.
Negli ultimi anni se ne è registrata una notevole crescita, tant’è che l’utilizzo di essa non risulta essere più limitato ai solo fini della sicurezza; ad oggi ritroviamo, infatti, la tecnica del riconoscimento facciale nei più disparati ambiti della nostra vita quotidiana, anche solo per fini commerciali.
Il riconoscimento facciale è quindi tra i principali protagonisti tecnologici del nostro tempo.
Altro non consiste che in una tecnica biometrica atta a identificare in modo univoco una persona, operando poi un confronto e analizzando modelli basati sui suoi contorni facciali.
Del riconoscimento facciale vi sono diverse tecniche, quale quello “generalizzato”, o ancora, “regionale adattativo”.
Principalmente gran parte dei sistemi di riconoscimento facciale funzionano seguendo i diversi punti nodali di un volto umano, i valori misurati rispetto alla variabile associata ai punti del volto di una persona permettono di identificare o verificare quella singola persona.
In questo modo, le applicazioni, acquisiti i dati dai volti, li utilizzano al fine di identificare accuratamente e rapidamente gli individui interessati.
Il riconoscimento facciale va sempre più rapidamente evolvendosi, specie a seguito della nuova tecnologia 3D che ha aiutato a superare alcune problematiche di tipo tecnico.
Ma il riconoscimento facciale come funziona?
In linea generale vi sono tre tipi di applicazione di questa tecnica.
Esiste un riconoscimento facciale detto di base, più nello specifico si parla di un software che ricerca volti; in questo caso possiamo prendere a titolo di esempio social quali Instagram o anche Snapchat e i relativi filtri utilizzati attraverso l’utilizzo di essi, tramite la fotocamera del dispositivo si cercano le caratteristiche del volto, con particolare attenzione agli occhi, bocca e naso, e si utilizzano i diversi algoritmi, una volta riconosciuto il volto possono essere percepiti tutti i movimenti effettuati da esso, ad esempio se apre o chiude la bocca, se guarda in punto piuttosto che in un altro ecc..
Vi è poi, tra i più comuni, il riconoscimento del volto per sbloccare un dispositivo, qui la tecnologia tende a scattare una foto per misurare tutti i tratti del viso così da misurare e confermare l’identità del soggetto che va a sbloccare il dispositivo.
Per scopi di sicurezza, invece, viene utilizzata la tecnica del riconoscimento facciale per identificare degli sconosciuti, in questo caso gli algoritmi che lavorano effettuano la ricerca in un database di volti cercando di associarne uno con quello preso in esame.
RICONOSCIMENTO FACCIALE: QUALI SONO I RISCHI
Il riconoscimento facciale possiamo affermare, in linea generale, sia un processo di trattamento di dati personali che riguarda, più nello specifico, i dati biometrici e tutti quei dati personali relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici.
Il riconoscimento facciale, quindi, se riprendiamo quanto sancito nel primo paragrafo dell’art.9 del GDPR, dovrebbe in teoria essere sottoposto a divieto.
Viste, però, le deroghe al divieto previste dallo stesso art.9 nel successivo paragrafo 2 è spesso inspiegabile la base giuridica che permette di stabilire la liceità del trattamento operato tramite il riconoscimento facciale.
Questo perché, sempre all’art.9, è previsto per gli Stati membri la possibilità di fissare regole più limitative in maniera, dunque, discrezionale, per tutto ciò che attiene all’utilizzo dei dati biometrici. L’Italia, ad esempio, ha colto tale potere discrezionale attraverso il nuovo art. 2 septies introdotto nel D.lgs. 196/2003, il quale prevede la possibilità per il Garante per la Protezione dei Dati Personali di stabilire specifiche misure di garanzie per il trattamento dei dati biometrici e, di conseguenza, anche per i dati trattati nell’ambito del riconoscimento facciale.
Ciò che spesso si ignora è che, di base, Il trattamento dei dati utilizzati tramite il riconoscimento facciale, espone, non di poco, gli interessanti a determinati rischi.
È pertanto doveroso sensibilizzare la società affinché sappia concretamente a quali rischi espone la propria persona.
Tra i rischi più rilevanti vi sono sicuramente quelli della geolocalizzazione, se il riconoscimento facciale è associato ad un sistema di videosorveglianza diffuso, quale a titolo semplificativo ma non esaustivo può essere quello impiegato dalla Polizia Locale di un Comune, è possibile che siano tracciati e memorizzati gli spostamenti dell’interessato.
Questo diventerebbe, quindi, un trattamento ulteriore che potrebbe realizzare dei concreti rischi che andrebbero a compromettere i diritti e le libertà della persona.
Il riconoscimento facciale, dunque, porta con sé degli elevati rischi per i diritti e le libertà degli individui, e questo incide particolarmente quando tale tecnica viene utilizzata oltre i confini dell’UE.
Si prenda d’esempio gli USA, luogo in cui le forze dell’ordine utilizzano, con frequenza, software per la scansione di milioni di foto di cittadini, la maggior parte delle volte a loro insaputa o senza il loro consenso.
Questo altro non rappresenta che una totale ed innegabile violazione dei diritti e delle libertà della persona.
RICONOSCIMENTO FACCIALE: COSA SUCCEDE IN AMBITO EUROPEO
A partire dall’introduzione del GDPR l’Europa ha mostrato una notevole attenzione ai rischi cui un individuo può essere esposto quando vengono trattati dei dati personali.
A partire dal 2018, con l’introduzione della tecnica del riconoscimento facciale impostata da Facebook, già la Francia aveva espresso i suoi dubbi sulla liceità di tale strumento, dubbi chiariti poi dalla Commissaria alla Protezione dei Consumatori e all’uguaglianza di genere, la quale precisava che il caso ricadeva tra le fattispecie per le quali è necessario, per il titolare, effettuare una valutazione d’impatto sulla protezione dei dati ex art. 35 del GDPR.
La vigilanza su questo obbligo spettava, quindi, alle singole autorità di controllo nazionali, le quali avrebbero potuto avvalersi del meccanismo di cooperazione previsto dallo stesso GDPR.
Anche con riguardo al caso del Governo statunitense c’è stata poca consapevolezza e fermezza nel bloccare l’uso irregolare di tecniche di riconoscimento facciale.
Nel caso concreto il Governo statunitense utilizzava, senza il dovuto consenso, le immagini dei volti di turisti, tra cui anche cittadini europei, per testare un software di riconoscimento facciale.
Qui la risposta della Commissione è stata ancor più evasiva ritenendo la notizia non fondata e, in ogni caso, dichiarava come l’art. 3 del GDPR, riguardante l’Ambito di applicazione territoriale, avrebbe, comunque, garantito una salvaguardia per i cittadini europei costringendo il titolare, in questo caso il Governo americano, ad applicare integralmente gli obblighi della normativa europea.
C’è da dire, dunque, che l’interesse per la tecnologia e l’uso del riconoscimento facciale ha indotto le istituzioni europee a considerare prioritaria un’attività legislativa in questo specifico ambito.
L’Unione Europea ha infatti tutte le intenzioni di attivarsi sotto questo punto di vista attraverso una proposta legislativa atta a regolare con maggiore incisività l’uso del riconoscimento facciale.
In Europa, è addirittura presente da qualche anno il movimento Reclaim Your Face.
Esso chiede la protezione dei dati biometrici e la proibizione dell’uso del riconoscimento facciale tramite intelligenza artificiale.
Il rischio principale che più preoccupa è che i sistemi di questo tipo vengano usati per creare una rete di sorveglianza continua e onnipresente, cancellando di fatto la privacy dell’individuo.
In questo senso è stata, poi, anche chiesta la proibizione dell’uso dell’AI per il riconoscimento facciale negli spazi pubblici, perché potrebbe configurarsi in comportamenti discriminatori.
Questo perché le tecnologie utilizzate sono si intelligenti ma non infallibili, e soprattutto possono rispecchiare errori e pregiudizi di chi le programma.
RICONOSCIMENTO FACCIALE: IL DIVIETO IN ITALIA
In Italia è stata introdotta una legge ben specifica che blocca l’utilizzo del riconoscimento facciale fino al 31 dicembre 2023.
Vediamola nello specifico.
In attesa di una legislazione ben più incisiva e specifica riguardante il riconoscimento facciale, anche nell’ambito di un contesto normativo più ampio quale quello europeo, la Legge n.205 del 2021 contiene la moratoria sui tali sistemi.
Questa moratoria è stata ricevuta positivamente dal Garante della privacy, ma prevede un’eccezione per le autorità giudiziarie: al comma 12 si precisa che il divieto non si applica “ai trattamenti (di dati personali per il riconoscimento biometrico, ndr) effettuati dalle autorità competenti a fini di prevenzione e repressione dei reati o di esecuzione di sanzioni penali di cui al decreto legislativo 18 maggio 2018, n. 51, in presenza, salvo che si tratti di trattamenti effettuati dall’autorità giudiziaria nell’esercizio delle funzioni giurisdizionali nonché di quelle giudiziarie del pubblico ministero, di parere favorevole del Garante reso ai sensi dell’articolo 24, comma 1, lettera b), del medesimo decreto legislativo n. 51 del 2018″.
La proibizione consiste quindi nell’utilizzo di sistemi di videosorveglianza mediante riconoscimento facciale.
Questo decreto rappresenta quello che è il grande sforzo europeo nel voler anzitutto ridefinire il concetto di dati personali alla luce degli ultimi sviluppi tecnologici e dell’evoluzione dell’ecosistema digitale e garantirne di conseguenza un’adeguata protezione.
RICONOSCIMENTO FACCIALE: IL GARANTE PRIVACY IN TEMA DI VIDEOSORVEGLIANZA
Vista la normativa europea e nazionale, il Garante ci ha tenuto a ricordare come il trattamento di dati personali realizzato da soggetti pubblici, mediante dispositivi video, sia ammesso solo se necessario ai fini dell’esecuzione di un compito di interesse pubblico o, comunque, connesso all’esercizio di pubblici poteri.
Va sottolineato, inoltre, che tale divieto, con relativa eccezione ai fini delle indagini da parte della magistratura, è definitivo quantomeno fino all’entrata in vigore di una specifica legge in materia, e ad ogni modo sino al 31 dicembre 2023.
In Italia non è, quindi, consentita l’installazione e il consequenziale uso di sistemi di riconoscimento facciale tramite dati biometrici.
RICONOSCIMENTO FACCIALE: I CASI DEL COMUNE DI LECCE E AREZZO
Quanto detto è stato confermato nel concreto dal Garante della Privacy a seguito di un’istruttoria avviata nei confronti del Comune di Lecce per bloccare l’avvio di un sistema che prevede l’impiego di tecnologie di riconoscimento facciale.
“In base alla normativa europea e nazionale, dice il Garante, il trattamento di dati personali realizzato da soggetti pubblici, mediante dispositivi video, è generalmente ammesso se necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri”.
I Comuni, nello specifico, possono utilizzare impianti di videosorveglianza, solo a condizione che venga stipulato il cosiddetto “patto per la sicurezza urbana tra Sindaco e Prefettura“.
Il Comune, in tal caso, dovrà quindi fornire all’Autorità una descrizione dei sistemi adottati, le finalità e le basi giuridiche dei trattamenti, un elenco delle banche dati consultate dai dispositivi e la valutazione d’impatto sul trattamento dati, che il titolare è sempre tenuto ad effettuare nel caso di “sorveglianza sistematica su larga scala di una zona accessibile al pubblico”.
Di conseguenza il regolamento europeo configura, in capo al responsabile, un dovere generale di verifica e controllo generale della conformità delle procedure aziendali con conseguente responsabilità, in solido col titolare, nel caso di omesso controllo o omessa informazione al titolare.
Anche nei confronti del Comune di Arezzo è stata avviata un’istruttoria da parte del Garante, in questo caso si parla però di una sperimentazione per dei “super-occhiali infrarossi”.
Gli occhiali in questione sarebbero capaci di rilevare le infrazioni dal numero di targa e, collegandosi ad alcune banche dati nazionali, sarebbero in grado di verificare la validità dei documenti del guidatore.
L’Autorità ha però voluto chiarire come l’utilizzo di detti dispositivi possano comportare, anche indirettamente, un controllo a distanza sulle attività del lavoratore e ha invitato al rispetto delle garanzie previste dalla disciplina privacy e dallo Statuto dei lavoratori.
Anche il Comune di Arezzo dovrà quindi fornire copia dell’informativa che sarà resa agli interessati, sia cittadini a cui si riferiscono i veicoli e sia personale che indosserà i dispositivi, e la valutazione d’impatto sul trattamento dei dati che li riguarda.
Se vuoi sapere di più riguardo l’ultilizzo del riconoscimento facciale, o comunque avere un aiuto per conformare la tua attività a quanto previsto dal GDPR per non rischiare sanzioni, scrivici all’indirizzo info@abinnovationconsulting.com, oppure compila i modulo seguente.