Accesso allo stadio con il riconoscimento facciale? «Viola la privacy dei tifosi»
Obbligare gli spettatori che devono entrare allo stadio per assistere a una partita di calcio a sottoporsi alla tecnologia di riconoscimento facciale per essere identificati viola la loro privacy.
A sostenerlo con severità è il garante per la protezione dei dati spagnolo (AEPD) che ha imposto una multa da 1 milione di euro per violazione del GDPR alla Liga (Liga Nacional de Fútbol Profesional), ovvero l’associazione sportiva composta dai 20 club calcistici del campionato di prima serie in Spagna, di cui fanno squadre blasonate a livello internazionale come il Barcellona e il Real Madrid allenato da Carlo Ancelloti.
Secondo l’Agencia Española de Protección de Datos, la Lega nazionale di calcio professionistico spagnola (LNFP) avrebbe violato le disposizioni relative al trattamento dei dati personali dei tifosi, chiedendo loro di fornire dati biometrici (come l'impronta digitale o appunto il riconoscimento facciale) al momento dell'acquisto dell'abbonamento per seguire le partite della loro squadra del cuore, senza però che fossero rispettate le garanzie richieste dal Regolamento UE sulla protezione dei dati (GDPR) vigente non solo in Spagna, ma anche in tutti gli altri paesi dell’Unione Europea, Italia compresa.
Nelle 139 pagine di cui è composto il procedimento sanzionatorio n. EXP202315637 che è stato disposto dall’autority a seguito di numerose denunce che erano state presentate da tifosi scontenti che non volevano rinunciare alla loro privacy per entrare allo stadio, si legge che la Liga spagnola aveva implementato sistemi di riconoscimento biometrico che memorizzavano i dati degli spettatori (minori compresi) e li utilizzavano per gestire gli accessi agli stadi, dove l'identità del tifoso veniva verificata confrontando il suo volto o la sua impronta digitale con le informazioni presenti nel sistema, negando l’ingresso a coloro che non venivano correttamente identificati, a meno che non comprovassero la loro identità esibendo un documento di riconoscimento al personale di sicurezza dello stadio o alle forze dell'ordine.
Il garante spagnolo ritiene che questa tipologia di controllo sia del tutto sproporzionata, e che l'identificazione degli spettatori possa avvenire anche mediante la sola esibizione della carta d'identità o di pass nominali, senza dover schedare i tifosi pretendendo di acquisire i loro dati biometrici con la scansione dei loro volti o delle loro impronte digitali.
Tale procedura non avrebbe infatti una valida base giuridica che renda legittimo il ricorso ad una tecnologia invasiva come quella del riconoscimento facciale, e la Liga si era difesa sostenendo che erano i tifosi a dare volontariamente il loro consenso, ma in realtà l’unica alternativa che questi avevano era quella di rinunciare ad entrare allo stadio e rimanere a casa a guardarsi la partita in tv.
Inoltre, la Liga avrebbe violato l'articolo 35 del GDPR che richiede di effettuare preventivamente una valutazione dell'impatto quando vengono trattati su larga scala dati biometrici come il volto o l’impronta digitale dei tifosi, adottando poi le relative misure di sicurezza per attenuare i rischi sui diritti e sulle libertà degli interessati, che potrebbero verificarsi se tali delicate informazioni finissero nelle mani di hacker o altri malintenzionati, oppure avviare una consultazione preventiva con l’autorità per verificarne i termini di fattibilità ai sensi dell’art.36 del Regolamento europeo.
Dal canto suo, la Liga si è giustificata sostenendo che l'uso dei sistemi biometrici era stato richiesto dalla Commissione statale contro la violenza, il razzismo, la xenofobia e l'intolleranza nello sport, e che la loro adozione era stata anche approvata dal Consiglio superiore dello sport spagnolo, motivo per cui la federcalcio spagnola ha già annunciato di avere intenzione di opporsi sia allo stop che alla sanzione del garante, anche se non sarà facile smontare la decisione dell’autorità, perché con l’ulteriore introduzione del Regolamento europeo sull’intelligenza artificiale (Artificial Intelligence Act) dal 2 febbraio scorso sono entrati in vigore i divieti di utilizzare sistemi che permettono l’identificazione biometrica remota in tempo reale in luoghi pubblici, salvo che non siano finalizzati alla ricerca di vittime di reati gravi come il rapimento, la tratta, o il terrorismo, o nell’ambito di indagini penali relative a crimini con pene superiori a quattro anni di reclusione, mentre l’utilizzo in via preventiva ed eventualmente predittiva spalancherebbe le porte a sistemi di sorveglianza di massa non ammessi in Europa.
