Avete presente quando, nei film, vedete la polizia confrontare le immagini delle telecamere di sicurezza con i volti dei criminali schedati per individuare il colpevole?
Ecco, questa tecnica, definita di “riconoscimento facciale”, viene ormai utilizzata anche in Italia non solo in ambito di sicurezza nazionale, ma anche negli aeroporti, negli hotel, oltre che sui nostri smartphone.
Gli aspetti positivi di questo strumento sono diversi. Uno fra tutti: riduce i tempi di raggiungimento dello scopo che ci siamo prefissati. Nell’individuazione di un soggetto ricercato, nello smaltimento delle code in fase di accettazione o di imbarco dei passeggeri, nell’accesso ai nostri apparecchi elettronici. Il tutto mostrando unicamente il nostro volto.
Ma come accade per ogni situazione, c’è sempre qualche compromesso da fare.
L’utilizzo di dispositivi video capaci di effettuare riprese intelligenti e, dunque, di identificare una persona in base a degli incroci di dati biometrici comporta inevitabilmente una riduzione della nostra privacy.
I dati biometrici
Ma andiamo con ordine. Cosa sono i dati biometrici?
Il GDPR li indica come quei: “dati personali ottenuti da un trattamento tecnico specifico, relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica e che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.
La loro raccolta avviene attraverso strumenti tecnologici sempre più avanzati e si svolge in due fasi distinte.
Nella prima interviene un apposito lettore che effettua materialmente il riconoscimento biometrico.
Nella seconda fase viene utilizzata la componente software attraverso la quale i dati raccolti vengono messi a confronto con altri dati già presenti per verificare la corrispondenza con una determinata persona.
Tali dati, però, per essere utilizzati necessitano di essere raccolti, conservati, per dirlo in un’unica espressione: trattati. E il regolamento sul punto è molto chiaro.
L’art. 9 del GDPR, al primo paragrafo, vieta espressamente il trattamento di determinate categorie di dati, tra cui i dati biometrici, per garantire la massima tutela ai diritti e alle libertà della persona fisica.
GDPR ed eccezioni
La tutela prevista dal Legislatore comunitario prevede dunque il divieto del trattamento di quei dati che possono essere particolarmente delicati e che possono incidere maggiormente sulla sfera più personale dell’interessato, come i dati biometrici, appunto, e come i dati relativi a stati di salute, orientamento sessuale o opinioni religiose e politiche.
Perché vengano trattati lecitamente è necessario individuare, quale motivazione, una delle eccezioni riportate al paragrafo 2 dell’art. 9 del Regolamento.
Laddove sia possibile, la parola chiave per il corretto funzionamento del trattamento è “controbilanciare” questa intrusione rispettando i principi di legalità, proporzionalità, trasparenza e di minimizzazione dei dati nonché garantire sempre un livello di sicurezza elevatissimo.
Riconoscimento facciale e videosorveglianza
La questione più spinosa è legata alla diffusione di uno strumento sempre più utilizzato: la sorveglianza sistematica e automatizzata di uno spazio specifico con mezzi ottici o audiovisivi, per lo più con la finalità di proteggere la proprietà, o per tutelare la vita e la salute delle persone.
Questa attività comporta la raccolta e la conservazione di informazioni grafiche o audiovisive su tutte le persone che entrano nello spazio monitorato, identificabili in base al loro aspetto o ad altri elementi specifici. L’identità di tali persone può essere stabilita sulla base delle informazioni così raccolte, attraverso il cosiddetto riconoscimento facciale.
Il rischio che nasce in questi casi è quello di un uso non corretto di tali dati, che cresce in relazione all’ampiezza dello spazio monitorato, al numero di persone riprese e alla tipologia dei dati trattati.
Per tale motivo, l’uso degli strumenti di videosorveglianza con la funzionalità di riconoscimento biometrico, installata da soggetti privati per scopi propri, richiede come ulteriore condizione il consenso esplicito degli interessati.
Linee guida del Comitato Europeo per la Protezione dei Dati
Il Comitato Europeo per la Protezione dei Dati, in qualità di organismo che contribuisce all’applicazione corretta delle norme sulla protezione dei dati, é intervenuto di recente sul tema per provare a sciogliere questo nodo: come permettere l’utilizzo dei dispositivi video intelligenti per captare i dati biometrici e, al contempo, tutelare le informazioni sensibili a norma del GDPR.
All’interno delle linee guida, il Comitato ha previsto che, per rilevare un trattamento di categorie particolari di dati personali, è necessario analizzare:
- la natura dei dati (relativi alle caratteristiche fisiche, fisiologiche o comportamentali);
- i mezzi e le modalità del trattamento;
- le finalità del trattamento, teso a identificare inequivocabilmente un soggetto.
Una volta individuata la categoria dei dati particolari, questi sistemi di videosorveglianza dotati di intelligenza artificiale devono essere sottoposti a delle misure di garanzia stringenti.
Il Comitato le ha individuate all’interno delle linee guida, riservandosi di aggiornarle con il tempo.
Ad esempio, è stato previsto che i titolari del trattamento dovranno garantire la suddivisione dei dati durante la trasmissione e la memorizzazione degli stessi, la conservazione dei modelli biometrici e dei dati grezzi o dati d’identità in banche dati distinte, la cifratura dei dati biometrici e l’individuazione di una politica di cifratura per la gestione delle chiavi, la previsione di un sistema di rilevamento delle frodi, l’associazione di un codice d’integrità ai dati ed il divieto di qualsiasi accesso esterno ai suddetti dati.
Conclusioni
Con le linee guida di recente adozione, l’Unione Europea ha provato a dare un indirizzo più delineato rispetto a cosa sia o meno permesso in tema di dati biometrici e strumenti audiovisivi.
Partendo dall’individuazione della tipologia di dati trattati, passando per le modalità del trattamento e arrivando alla sua finalità, dovranno comunque essere sempre garantiti la disponibilità, l’integrità e la riservatezza dei dati.
Senza dubbio le misure da adottare dovranno essere sottoposte ad un continuo aggiornamento, in linea con l’evoluzione del progresso tecnologico. Staremo a vedere quale ulteriore ostacolo dovrà affrontare il Comitato Europeo per gestire l’avanzamento delle nuove intelligenze artificiali in sintonia con le esigenze di tutela dei dati personali coinvolti.
Redazione Diritto dell’informatica