EDPB: Linee Guida sul riconoscimento facciale in ambito Law Enforcement

Lo scorso 12 maggio 2022, L’European data protection board (“EDPB”) ha adottato le Linee Guida n. 05/2022¹ sull’uso della tecnologia di riconoscimento facciale da parte delle forze dell’ordine.

Allo stato attuale, si può riscontrare come un numero sempre maggiore di Law Enforcement Agencies (“LEA”) facciano ricorso alla tecnologia di riconoscimento facciale, con il fine di autenticare o identificare gli individui.

Tale tecnologia pone i suoi fondamenti sull’elaborazione dei dati biometrici, ossia, come indicato nel Regolamento sulla protezione dei dati (“GDPR”), i dati che “consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”, attraverso strumenti di intelligenza artificiale (IA) e Machine Learning (ML).

Nel caso dei volti delle persone, a partire da una foto o da un video di un volto, mediante l’utilizzo di questa tecnologia, è possibile giungere ad una rappresentazione digitale delle caratteristiche univoche di quel volto. Il modello così creato (template) sarà poi utilizzato dal sistema di riconoscimento facciale per confrontare tale modello con altri precedentemente calcolati. Per tale ragione, il processo di riconoscimento facciale è articolato in due fasi: creazione del modello, a partire da un’immagine; riconoscimento del volto tramite la comparazione con più modelli. Il processo di comparazione, grazie alla tecnologia in uso è molto veloce e in pochi minuti si è in grado di comparare un considerevole numero di volti. E’ di tutta evidenza l’elevata invasività dello strumento anche se per uso Law enforcement.

La tecnologia del riconoscimento facciale (o, facial recognition technology, “FRT”), può avere due applicazioni principali: l’autenticazione; l’identificazione.

• Con l’autenticazione di una persona, si accerta che l’identità di una persona sia quella dalla stessa dichiarata (un esempio può essere l’impiego di questa tecnologia per lo sblocco degli smartphone o autorizzare alcune operazioni tramite app). In questo caso si è davanti ad un’identificazione one-to-one;

• Con l’identificazione di una persona, si individua una persona all’interno di un gruppo di individui, relativamente ad un’area o ad un database specifico. In questa circostanza si è davanti ad un’identificazione one-to-many.

Nonostante le funzioni siano diverse, ambedue hanno ad oggetto il trattamento di dati biometrici di un determinato soggetto, pertanto saremo di fronte a un trattamento di dati personali, nello specifico di categorie particolari di dati (art. 9 “GDPR”).

Inoltre, in entrambi i casi le tecniche di riconoscimento facciale si basano su una comparazione tra modelli: quello da comparare e quello di riferimento. Tali tecniche, in particolare, comparano i predetti modelli tramite calcoli probabilistici che consentono di rilevare se vi è corrispondenza tra la persona da identificare/autenticare e il modello di riferimento; corrispondenza che, tuttavia, può essere desunta solo ove il risultato elaborato dal sistema presenti un elevato grado di attendibilità.

Alla stregua di ogni altra tecnologia, anche le FRT determinano la nascita di nuovi interrogativi. Infatti, diverse sono le sfide che sorgono dall’implementazione delle tecnologie FRT, sia per quanto riguarda la qualità e l’accuratezza dei dati inseriti all’inizio del processo; sia per quanto riguarda il risultato dell’elaborazione, soprattutto in termini di attendibilità del risultato. Da tali sfide derivano potenziali minacce per gli interessati, le quali risultano ancor più gravi nell’ambito delle attività di law enforcement.

Ebbene, è doveroso sottolineare come l’EDPB abbia rilevato che l’utilizzo delle FRT potrebbe pregiudicare gravemente i soggetti interessati relativamente alla normativa in materia sul trattamento dei dati personali e, di conseguenza, ciò potrebbe comportare diverse violazioni della Carta dei Diritti Fondamentali dell’Unione Europea da parte degli Stati membri nell’uso pubblico di queste tecnologie.

La disciplina del trattamento di dati biometrici con finalità di prevenzione, indagine e perseguimento dei reati gravi, richiede un’attenta riflessione in merito ad alcuni diritti fondamentali previsti nella Carta di Nizza. Innanzitutto, entra in gioco il rispetto della vita privata e delle comunicazioni, oltre che il diritto alla protezione dei dati personali, principi sanciti dagli artt. 7 e 8 della Carta. Pertanto, il trattamento del volto di un individuo così effettuato, anche in considerazione delle diverse circostanze di tempo e di luogo in cui il soggetto si trova, consente di dedurre molte informazioni degli interessati: stato di salute; religione; abitudini di vita; origine razziale; attività svolte; spostamenti; relazioni ed ambienti sociali frequentati. Risulta evidente il potenziale impatto sui principi sanciti dalla Carta agli artt. 7 e 8 su richiamati, tenendo in considerazione la vastità di informazioni che si possono ricavare attraverso l’impiego delle FRT.

Per di più, non è difficile ipotizzare come questi trattamenti possano comportare ulteriori conseguenze indesiderate. In special modo, se si tiene conto del fatto che le persone potrebbero incontrare difficoltà nell’esercizio financo dei diritti fondamentali, come la libertà di parola, pensiero e religione. Così come non mancherebbero episodi di discriminazione, a causa dell’effettuazione di potenziali catalogazioni in base alle informazioni così ottenute.

L’art. 52 della Carta stabilisce il requisito della base giuridica specifica. Infatti, così recita il paragrafo 1: “Eventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti dalla presente Carta devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà. Nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui”. Alla luce di questo precetto, dal momento che i dati trattati dalle FRT sono dati biometrici, al fine di poter utilizzare le tecnologie FRT è doveroso prevedere una legge ad hoc che disciplini le modalità e le condizioni per il loro impiego.

Anche secondo la giurisprudenza consolidata della Corte di giustizia dell’Unione², le limitazioni in materia di protezione dei dati personali devono attuarsi solo nella misura strettamente necessaria. Inoltre, le norme in materia devono riguardare solo soggetti determinati in relazione all’obiettivo, ad esempio nel caso del contrasto ai reati più gravi. Al contrario, una misura generalmente indirizzata nei confronti della popolazione o comunque nei confronti di una vastità di soggetti rafforzerebbe l’interferenza.

Nell’ambito della Direttiva 680/2016 (Law Enforcement Directive, “LED”), l’art. 10 detta una disciplina per quanto riguarda il trattamento dei dati biometrici, in particolare così afferma: “Il trattamento di dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, e il trattamento di dati genetici, di dati biometrici intesi a identificare in modo univoco una persona fisica o di dati relativi alla salute o di dati relativi alla vita sessuale della persona fisica o all’orientamento sessuale è autorizzato solo se strettamente necessario, soggetto a garanzie adeguate per i diritti e le libertà dell’interessato e soltanto: a) se autorizzato dal diritto dell’Unione o dello Stato membro; b) per salvaguardare un interesse vitale dell’interessato o di un’altra persona fisica; c) se il suddetto trattamento riguarda dati resi manifestamente pubblici dall’interessato”. A riguardo, l’EDPB si è soffermato sui concetti di strettamente necessario e di manifestamente reso pubblico, stabilendo che il trattamento di dati particolari, come i dati biometrici nel caso in questione, si ritiene strettamente necessario solo se l’interferenza con la normativa sulla protezione dei dati è limitata allo strettamente necessario, requisito da interpretarsi in chiave restrittiva. Per quanto riguarda il concetto di dato reso manifestamente pubblico, affinché un dato biometrico venga considerato pubblico, è necessario che l’interessato abbia pubblicato un modello biometrico (e non la semplice immagine del volto) accessibile a tutti.

Alla luce di quanto evidenziato in termini di invasività delle FRT, il Comitato europeo pur cogliendo l’esigenza, da parte delle Autorità di Law Enforcement, di poter ricorrere a questo tipo di tecnologia ai fini dell’identificazione di autori di atti terroristici o altri gravi reati, ne ammette l’utilizzo nel rispetto della cornice giuridica applicabile, soprattutto in riferimento ai principi espressi nella Carta. In aggiunta, negli Allegati alle Linee Guida, ipotizza una serie di scenari in cui è consentito l’utilizzo delle FRT, come nei casi di: riconoscimento facciale alle frontiere, solo se accompagnato da una verifica ex post; sottrazione di minori, al fine di poter accertare la corrispondenza del dato biometrico con le banche dati di riferimento; manifestazioni e disordini, al fine di poter individuare i soggetti coinvolti; ricerca di soggetti sospettati di aver commesso un reato grave, solo se già ripresi dalle telecamere. In ogni caso, sottolinea i gravi rischi che potrebbero derivare dall’identificazione tramite FRT di soggetti nell’ambito di spazi aperti al pubblico.

In conclusione, l’incremento nell’impiego delle FRT a cui assistiamo, ci costringe ad affrontare un’attenta riflessione sui nuovi scenari aperti da tale tecnologia, guardando anche ai percorsi già intrapresi negli altri ordinamenti che ne fanno un utilizzo più avanzato.