NEWS

Riconoscimento facciale, gli impatti privacy alla luce degli ultimi orientamenti europei

A metà Febbraio 2021 il Consiglio d’Europa ha rilasciato, tramite il Comitato della Convenzione 108, le linee “di indirizzo” per i governi, i legislatori, i fornitori e le imprese interessati dalla tecnologia del riconoscimento facciale e ad Aprile 2021 la Commissione Europea ha rilasciato la proposta di Regolamento del Parlamento Europeo e del Consiglio, che stabilisce regole armonizzate sull’intelligenza artificiale.

Riconoscimento Facciale

Le recenti novità di natura regolamentare e normativa hanno ricondotto l’utilizzo degli algoritmi di face recognition a rigide valutazioni di impatto privacy, obbligando i titolari del trattamento a valutazioni preventive per non incorrere in pesanti sanzioni amministrative.

Se da un lato, l’applicazione alla videosorveglianza degli algoritmi basati sull’intelligenza artificiale ha consentito di aumentare i livelli di security, dall’altro, sono aumentate le minacce alla riservatezza e protezione dei dati personali.

La sfida è stata raccolta dal Comitato sulla protezione dei dati (T-PD) istituito dall’articolo 18 della Convenzione 108/1981, che ha rilasciato in data 28 gennaio 2021 le: “Guidelines on Facial Recognition T-PD(2020)03rev4”.

Quando si parla di nuove sfide del riconoscimento facciale si fa riferimento non tanto al “trattamento di immagini” (profilo comune a ogni tipo di sistema di videosorveglianza) quanto al fatto che quelle immagini rappresentano “dati biometrici intesi a identificare in modo univoco una persona fisica” attratti nella categoria dei dati particolari (art. 9 Reg. UE 679/2016).

Si tratta di un tema estremamente delicato, tanto che ad occuparsene sono stati, in primis, proprio il Comitato sulla protezione dei dati (T-PD) della Convenzione 108 del Consiglio d’Europa (c.d. Convenzione di Strasburgo del 1981) che, come noto, è l'unico strumento sulla protezione dei dati vincolante a livello internazionale e, da ultimo, la Commissione Europea con una proposta di regolamento sull’intelligenza artificiale.

Le linee guida sul riconoscimento facciale del Comitato sulla protezione dei dati (T-PD) prendono in esame l’utilizzo delle tecnologie di face recognition sia nel settore pubblico che in quello privato. Con riferimento al primo, auspicano un intervento legislativo che definisca le regole di ingaggio di questa tecnologia, che non può ovviamente fondarsi sul consenso.

Al contrario, l’utilizzo delle tecniche di riconoscimento facciale nel settore privato, ad eccezione di casi particolari, deve fondarsi sul consenso esplicito, informato e libero degli interessati di cui sono trattati i dati biometrici. Inoltre, i titolari, che utilizzano sistemi di riconoscimento facciale, dovranno garantire che questi sistemi non abbiano alcun impatto nei confronti di coloro che ne vengono involontariamente in contatto.

Marco Soffientini

Le linee guida forniscono, inoltre, una serie di misure tecniche e organizzative indirizzate a governi, ricercatori, produttori, fornitori di servizi e, in generale, a tutti i titolari del trattamento che utilizzano tecnologie di riconoscimento facciale, affinché venga gestito il c.d. rischio inerente il trattamento e cioè gli impatti negativi sui diritti, libertà fondamentali e dignità degli interessati.

Le linee guida rimarcano la necessità di definire i tempi di conservazione dei dati (data life duration), in quanto un sistema di riconoscimento facciale necessita di un aggiornamento periodico delle immagini dei volti da riconoscere, affinché l’algoritmo di face recognition utilizzato lavori al meglio e si possano ridurre errori di falsi positivi o negativi.

Inoltre, analogamente a quanto contiene il regolamento UE 679/2016, richiamano la necessità di condurre adeguate valutazioni di impatto ai fini del principio di responsabilizzazione (accountability).

Infine, la proposta di un regolamento sull’intelligenza artificiale definisce regole armonizzate per lo sviluppo, l'immissione sul mercato e l'utilizzo di sistemi di IA nell'Unione, seguendo un approccio proporzionato basato sul rischio, differenziando tra gli usi dell'IA che creano:

i) un rischio inaccettabile;
ii) un rischio alto;
iii) un rischio basso o minimo.

L’uso di sistemi di identificazione biometrica remota "in tempo reale" (come i sistemi di riconoscimento facciale) in spazi accessibili al pubblico sono inaccettabili, fatta salva l'applicazione di eccezioni limitate, individuate nella proposta di regolamento europeo, quali:

a) la ricerca mirata di potenziali vittime specifiche di reato, compresi i minori scomparsi;
b) la prevenzione di una minaccia specifica, sostanziale e imminente per la vita o l’incolumità fisica delle persone o di un attacco terroristico;
c) il rilevamento, la localizzazione, l’identificazione o l’azione penale nei confronti di un autore o di un sospetto di un reato di cui all’art. 2, paragrafo 2, della decisione quadro 2002/584/GAI del 13 Giugno 2002 Consiglio relativa al mandato di arresto europeo e alle procedure di consegna tra Stai membri.

Note sull'Autore

Marco Soffientini Marco Soffientini

Avvocato esperto di protezione dei dati personali, Data Protection Officer di Federprivacy. Autore Ipsoa, docente Unitelma Sapienza, Privacy Officer certificato TÜV Italia, Fellow Istituto Italiano Privacy.  - Twitter: @msoffientini1

Prev Il diritto alla difesa ha la meglio sulla privacy nella corrispondenza e nella produzione dei documenti in giudizio
Next Privacy, il verbale di accertamento non è direttamente impugnabile

Siamo tutti spiati? il presidente di Federprivacy a Cremona 1 Tv

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy