NEWS

Riconoscimento facciale: le linee guida del Comitato Consultivo della Convenzione 108+

Sin dal 1981, la Convenzione 108 costituiva l’unico strumento di diritto internazionale di tutela del diritto al rispetto della vita privata. Nel 2018, la Convenzione del 1981 ed il Protocollo addizionale sono stati “aggiornati” in un nuovo protocollo (Convenzione 108+). Il Protocollo di modifica del 2018 si propone l'ammodernamento della Convenzione 108; con legge n. 60 del 2021 il protocollo di modifica è stato ratificato in Italia, che è così diventata il dodicesimo paese a ratificare la Convenzione 108+ (Italia, 12° ratifica per la Convenzione 108+ - Sala stampa coe.int).

La sede del Consiglio D'Europa

Nell’ambito delle proprie funzioni, il Comitato Consultivo confermato dalla Convenzione 108+ selezionava due esperti per relazionare in tema di riconoscimento facciale: Frédéric Wickert per le questioni tecniche e l’avvocato Sandra Azria per i profili di attinenza legale. Quest’ultima, dopo una breve introduzione, si è soffermata sui rischi di tale tecnologia quale sub-categoria della sfera di intelligenza artificiale.

L’avvocato Sandra Azria ha giustamente indicato che gli scenari, sino a qualche anno fa propri solo di alcune pellicole televisive, costituiscono oggi rischi concreti (pensiamo per esempio alle applicazioni “affect recognition”). Sperimentazioni effettuate per ridurre i casi di guida in stato di ebbrezza, oppure tecnologie di riconoscimento facciale poi collegate ai propri account Facebook per ottenere sconti personalizzati e iniziative simili, espongono tutti gli interessati a potenziali rischio. Invero, l’utilizzo di tale tecnologia, e la repentinità alla stessa necessariamente collegata, mal si collima con l’adeguatezza delle informazioni trasmesse agli interessati e, quindi, con un consenso meditato ed effettivo. Inoltre la diffusione dei social network ha prodotto la diffusione di foto che, potenzialmente, potrebbero essere utilizzate per gli scopi più svariati.

Collegandosi alle note tecniche rese da Frédéric Wickert (algoritmi di Deep Learning e Deep Neural Networks), l’avvocato Azria si è soffermata inoltre sui potenziali rischi di errore, rammentando che la tecnologia di riconoscimento facciale si basa su valutazioni statistiche e, quindi, potenzialmente fallibili. Ancora i rischi sono collegati alla sicurezza, rammentando che i sistemi di riconoscimento facciale vengono utilizzati quali sistemi autorizzativi. L’esperienza, però, insegna che il volto dell’interessato può essere sostituito con foto o video dello stesso, lasciando così spazio ad utilizzi impropri di tali sistemi. Per non parlare, ancora, dei rischi connessi alle libertà di espressione e religione, ad abusi discriminatori ovvero alla libertà di movimento.

Domenico Battaglia, Delegato Federprivacy nella provincia di Bolzano

(Nella foto: l'Avv. Domenico Battaglia, Delegato Federprivacy nella provincia di Bolzano)

Riconoscendo tali rischi, il Comitato Consultivo istituito dalla Convenzione 108 (organo confermato anche dalla Convenzione 108+) ha pubblicato in data 28 gennaio 2021 le Linee guida sul riconoscimento facciale (Vedasi: Dal Consiglio d’Europa le linee guida sul riconoscimento facciale).

Con queste linee guida, le Parti della Convenzione 108+ intendono garantire che lo sviluppo e l'uso del riconoscimento facciale rispettino i diritti alla privacy e alla protezione dei dati, rafforzando così i diritti umani e le libertà fondamentali mediante l'attuazione dei principi sanciti dalla Convenzione.

Riprendendo l’articolo 6 della Convenzione 108+, le Linee guida indicano che il trattamento dei dati biometrici è lecito solo se basato su idonea base giuridica e in presenza di garanzie adeguate. Nell’ambito territoriale di applicazione del regolamento UE 2016/679, riferendosi all’articolo 9 GDPR, sappiamo che le tecnologie di riconoscimento facciale possono essere utilizzate unicamente con il consenso esplicito dell’interessato ovvero per scopi di interesse pubblico, unicamente in presenza di garanzie adeguate.

Però, le Linee Guida specificano che la legge nazionale, costituente la base giudica per i casi di interesse pubblico, deve specificare scopi, finalità e obiettivi (al fine di poter vagliare la proporzionalità tra le limitazioni dei diritti individuali rispetto all’interesse pubblico) e, ancora, parametri di affidabilità dell’algoritmo, criteri di retention duration, audit, tracciabilità e tutele per gli interessati.

Per gli “uncontrolled environments” (spazi pubblici, scuole, ospedali etc) viene inoltre specificato che l’istituzione di tali processi debba essere preceduta ad un ampio dibattito democratico. In ogni caso, strumenti di face recognition per colore della pelle di una persona, credenze religiose o di altro tipo, sesso, origine razziale o etnica, età, condizione di salute o condizione sociale oppure, ancora, strumenti di affect recognition dovrebbero essere vietati a meno che non siano previste per legge tutte le garanzie necessarie per evitare discriminazioni e/o abusi ovvero tutele in caso di errori. Per l’emanazione delle norme di legge di cui sopra, le Linee Guida indicano la necessità di consultazione preventiva delle autorità di riferimento e, in ogni caso, tali trattamenti dovrebbero essere effettuati esclusivamente dalle autorità di pubblica sicurezza.

Per quanto concerne i titolari del trattamento privati (al netto di coloro che svolgono compiti di interesse pubblico) l’unica base giuridica è il consenso esplicito, libero, informato e specifico. In pratica non basta apporre un cartello informativo, non potendosi certo attribuire valore di consenso implicito alla volontà di transitare in una zona nella quale viene utilizzata la tecnologia di riconoscimento facciale. Se si tratta di un metodo di autenticazione, affinché tale consenso venga considerato libero, le Linee Guida indicano che dovrebbe essere offerta all’interessato un valida alternativa – anche in termini di semplicità e velocità di utilizzo – al riconoscimento facciale.

Riconoscimento facciale: se ne è occupato del tema il Comitato Consultivo della Convenzione 108+

L’utilizzo dei dati biometrici è possibile solo per le finalità inizialmente acconsentite, salvo il rilascio di altro consenso (della sorta sopra descritta) per le nuove finalità; stessa cosa dicasi per la comunicazione a terzi, soggetta al consenso sopra descritto. Viene inoltre specificato che tali tecnologie non dovrebbero essere usate in centri commerciali, magari per identificare gli interessati per scopi di marketing o per motivi di sicurezza privata (Vedasi: Sanzione da 2,5 milioni di euro alla catena di supermercati che usava il riconoscimento facciale per scovare i clienti con pendenze con la giustizia).

Per giunta, le Linee Guida invitano i Legislatori a sottoporre sviluppatori, produttori,fornitori di servizi o entità che utilizzano queste tecnologie a meccanismi di certificazione, suggerendo certificazioni per le strutture e certificazioni per gli algoritmi.

Inoltre, le Linee Guida “pretendono” che l’utilizzo della tecnologia avvenga secondo principi di trasparenza e correttezza del trattamento, provvedendo agli interessati le informazioni di cui all’articolo 8 della Convenzione 108+ e, ancora, le informazioni indicate al paragrafo III.1 delle Linee Guida (comunicazione a terze parti, tempi di conservazione e punti di contatto). Le informazioni dovranno essere fornite su due livelli.

Sui tempi di conservazione, le Linee guida prevedono indicazioni specifiche in caso di match tra modello biometrico e dati del singolo soggetto ovvero in caso di non corrispondenza. Inoltre, il Titolare dovrà assicurarsi che la qualità delle immagini sia tale da limitare il numero di false match e, per giunta, dovrà adottare procedure documentate per dimostrare di aver predisposto garanzie per gli interessati in caso di errori di questo genere.

Massima attenzione, poi, è da assegnare alla sicurezza delle informazioni, adottato le misure necessarie per evitare data breach. Ovviamente, l’utilizzo di tale tecnologia rende necessaria una DPIA, da predisporre secondo le indicazioni di cui al paragrafo III.3.1.

Note sull'Autore

Domenico Battaglia Domenico Battaglia

Avvocato del foro di Bolzano, socio membro Federprivacy e Delegato per la provincia di Bolzano. Membro dei gruppi di lavoro per la tutela della privacy nella gestione del personale, cybersecurity e studi professionali di Federprivacy. Docente a contratto presso l'Università di Padova. Data Protection Officer del Consiglio dell'Ordine degli Avvocati di Bolzano. - Email: [email protected]

Prev Scaturita dal meccanismo di cooperazione e coerenza la maxi sanzione a WhatsApp da 225 milioni di euro
Next Istruzione, formazione e aggiornamento degli autorizzati: prerequisito fondamentale per la compliance al Gdpr

Il presidente di Federprivacy a Rai Parlamento

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy