Con la recente pubblicazione della Strategia italiana per l’intelligenza artificiale e con la legge di conversione del c.d. Decreto Capienze si torna a parlare di nuove tecnologie e, in particolare, di riconoscimento facciale. Il tema tocca in modo particolare la sua applicazione nei luoghi pubblici, ed anche l’Italia sembra aver preso una posizione chiara.
Il riconoscimento facciale e la privacy
Il tema del riconoscimento facciale è forse il principale “campo di battaglia” di numerosi attivisti ed esperti in materia di intelligenza artificiale, con un susseguirsi di denunce ed appelli volti a limitarne – o a interromperne – l’utilizzo nei luoghi pubblici di tutto il mondo. Benché il ricorso a questi sistemi venga il più delle volte giustificato da ragioni sulla carta nobili, come la tutela della sicurezza pubblica, la garanzia dell’ordine pubblico o la prevenzione e soppressione dei reati di criminalità urbana, rimane un argomento controverso.
Ebbene, da tempo i principali sostenitori del rispetto dei diritti umani di fronte alle nuove tecnologie segnalano diverse applicazioni del riconoscimento facciale anche in Italia, criticando il loro carattere invasivo in termini di privacy oltre alla scarsa trasparenza sul funzionamento e sull’uso dei dati raccolti, alla pari dei sistemi utilizzati negli altri Stati. Nel 2019 il primo fu il Comune di Como, che installò telecamere per il riconoscimento facciale nei pressi della stazione, vicenda che condusse anche a un intervento del Garante privacy con un provvedimento del 26 febbraio 2020 per dichiararlo illegittimo. Anche alla luce dei recenti sviluppi nel nostro Paese, si è recentemente intervenuti sulla questione, facendo seguito alla posizione già assunta mesi fa dal Parlamento europeo.
Il parere dei Garanti europei
Nel giugno scorso, lo European Data Protection Supervisor (EDPS) e lo European Data Protection Board (EDPB) si sono “uniti” per proporre a gran voce un divieto generale del riconoscimento facciale in tutti i luoghi pubblici. Si trattava di un parere che, seppur non vincolante, ha pesato molto sugli equilibri istituzionali europei in tema di trattamento dei dati biometrici, soprattutto perché in forte contrasto con la bozza del nuovo Regolamento sull’Intelligenza Artificiale dell’Unione Europea, che proponeva invece l’uso in pubblico della tecnologia per motivi di sicurezza.
Secondo le due Autorità, soltanto un ban totale dell’AI dai luoghi pubblici può garantire un punto di partenza valido per preservare le libertà e creare un quadro giuridico per l’intelligenza artificiale che abbia come riferimento principale la persona umana, elemento che caratterizza il modello europeo di tutela dei dati personali. In altri termini, secondo i Garanti comunitari, per aspirare a una normativa generale sull’AI in Europa che sia coerente con i principi cardine dell’Unione, non si può prescindere da un divieto generale di utilizzo delle tecnologie di trattamento dei dati biometrici nei luoghi pubblici, il quale invece rischierebbe di sfociare in derive particolarmente lesive dei diritti umani.
Ma non solo il riconoscimento facciale. Secondo l’EDPB e l’EDPS, infatti, tutte le tecnologie in grado di riconoscere i volti, le impronte digitali o l’etnia di un soggetto in maniera automatica andrebbero interdette dall’uso negli spazi pubblici. Inoltre, dovrebbe essere vietato anche qualunque utilizzo di queste tecnologie per attribuire punteggi in vari settori sociali, perché contrario ai valori fondamentali dell’UE e possibile elemento discriminatorio. Stessa sorte, secondo le Autorità, dovrebbe essere riservata all’uso di sistemi di riconoscimento comportamentale, se non a fini medici e in strutture sanitarie.
La risoluzione del Parlamento UE
Il parere di EDPB e EDPS che, come si diceva, ha pesato molto sulla posizione europea rispetto al trattamento dei dati biometrici, ha visto il susseguirsi di diverse reazioni, dalle principali associazioni a difesa dei diritti dell’uomo fino a quelle istituzionali. Di queste ultime, la più importante è senz’altro quella del Parlamento europeo, il quale è intervenuto in materia per la prima volta con una risoluzione adottata il 6 ottobre scorso con 377 voti a favore, 248 contrari e 62 astensioni.
Anche in questo caso bisogna precisare che non si tratta di un provvedimento vincolante, ma il fatto che proviene da una delle più importanti istituzioni europee – nonché l’unica eletta con voto popolare – lo rende un punto di riferimento importante in tema di applicazione dell’AI sul territorio dell’Unione.
Riprendendo quasi integralmente il parere dei Garanti europei, i deputati hanno chiesto un divieto permanente dell’utilizzo del riconoscimento biometrico negli spazi pubblici, ritenendo che i cittadini dovrebbero essere monitorati solo se sospettati di un crimine, e non a tappeto per il solo fatto di trovarsi in un dato luogo in un preciso momento. Allo stesso modo, il Parlamento ha chiesto di vietare anche l’uso di banche dati private di riconoscimento, i sistemi di polizia predittiva basati sui dati comportamentali, nonché tutti quei sistemi di punteggio sociale che hanno la presunzione di valutare il grado di affidabilità dei cittadini in base al loro comportamento, alla loro personalità, o – il più delle volte – alla loro etnia. Infine, il Parlamento si espresso in senso fortemente contrario rispetto all’uso di dati biometrici per identificare a distanza le persone, ad esempio, alle frontiere, sollecitando la Commissione ad aprire, se necessario, procedure di infrazione contro gli Stati membri che ne fanno uso.
Riconoscimento facciale: la posizione dell’Italia nella legge di conversione del Decreto Capienze
Come anticipato in introduzione, il tema del riconoscimento facciale nei luoghi pubblici è di attualità anche nel nostro Paese, dopo diversi progetti attivati da alcuni comuni per tutelare la sicurezza pubblica. Ciononostante, l’Italia sembra aver preso una posizione chiara, diventando il primo Stato membro dell’UE a vietare i sistemi di riconoscimento facciale nei luoghi pubblici, seppur con alcune eccezioni.
Nel percorso di conversione in legge del D.L. 8 ottobre 2021, n. 139 (c.d. Decreto Capienze) il Parlamento italiano ha infatti fatto spazio a una serie di commi che fissano dei paletti sull’utilizzo dei sistemi videosorveglianza biometrica nei luoghi pubblici. Da un lato vengono sospese fino al 31 dicembre 2023 le installazioni e gli utilizzi di impianti di riconoscimento facciale, ma dall’altro lo stop non si applica “ai trattamenti effettuati dalle autorità competenti a fini di prevenzione e repressione dei reati” se “in presenza di parere favorevole del Garante”.
In altri termini, il Parlamento ha optato per vietare il riconoscimento biometrico nei luoghi pubblici per due anni, senza però estendere il divieto a tutte le autorità competenti. Quindi, nello specifico, con l’approvazione di questo emendamento, un privato non potrà mai installare un sistema di riconoscimento facciale, nemmeno in negozi, sui cartelli pubblicitari o sui mezzi di trasporto. I comuni, invece, potranno installarli ai fini di prevenzione dei reati, ma solo con il parere positivo del Garante privacy che – è bene precisarlo – finora non ha mai visto di buon occhio l’utilizzo di questi strumenti.
Diverso il discorso per l’autorità giudiziaria, in quanto il parere del Garante è necessario “salvo che si tratti di trattamenti effettuati dall’autorità giudiziaria nell’esercizio delle funzioni giurisdizionali nonché di quelle giudiziarie del pubblico ministero”. Per i magistrati, sia requirenti che giudicanti, non è quindi necessario il parere dell’Autorità garante, con un margine di discrezionalità piuttosto ampio.
Conclusioni: le prime reazioni
Come spesso accade, le prime reazioni non sono mai unanimi.
La politica, specialmente tra i proponenti dell’emendamento in questione, ha accolto piuttosto bene la novità, ritenendola un primo passo importante per accendere un riflettore sul tema e per la tutela dei diritti delle persone, rivendicando con forza il fatto che l’Italia è il primo Stato europeo a pronunciarsi. Sulla stessa linea anche il Garante privacy, che tramite i suoi rappresentanti ha espresso sensazioni positive, specialmente per quanto riguarda il rapporto regola – eccezione piuttosto chiaro, nonché l’importante ruolo attribuito all’Autorità nell’esprimersi, con forza vincolante, su qualsiasi iniziativa in merito all’istallazione di impianti di riconoscimento facciale da parte dei soggetti pubblici.
Le principali critiche e perplessità sono però arrivate dalle associazioni per i diritti umani digitali, nonché da diversi avvocati ed esperti del settore.
Il primo elemento alla base delle critiche risiede nel carattere temporale della moratoria, la quale ha infatti durata triennale. Non è un lasso di tempo breve, ma questo fa sì che si debba sperare in una tempestiva iniziativa legislativa definitiva nazionale o sovranazionale che possa stabilizzare le regole in materia – che ancora mancano – e fornire un punto di riferimento che non richieda continue integrazioni delle lacune da parte delle autorità.
Altro dato controverso è la mancata previsione di una moratoria generale, valida cioè per tutti i soggetti coinvolti. Infatti, l’emendamento concerne in assoluto soltanto i privati, lasciando ai soggetti pubblici uno spazio di manovra, seppur limitato dal parere necessario e vincolante del Garante privacy.
Ma l’aspetto che ha maggiormente deluso le aspettative dei sostenitori dei diritti umani digitali è senza dubbio l’esclusione, dall’ambito di applicazione della moratoria, dell’autorità giudiziaria e in modo particolare del pubblico ministero. Il Centro Hermes per la trasparenza e i diritti umani digitali, ha infatti dichiarato che “la moratoria porta l’Italia a un notevole passo indietro per quanto riguarda l’uso di queste tecnologie da parte delle autorità di polizia e dei pubblici ministeri”. In effetti, un inciso del comma 12, come anticipato, elimina qualunque vincolo per i componenti dell’autorità giudiziaria, i quali non avranno bisogno del parere del Garante come invece è previsto per il resto della PA. Prima dell’entrata in vigore del testo, però, anche le forze di polizia e i PM dovevano confrontarsi con l’Autorità per la protezione dei dati quando volevano utilizzare determinate tecnologie. Con la recente novità, secondo Hermes, il rischio è che vi sia un lasciapassare pericoloso per un trattamento di dati personali che può avere un grave impatto sui diritti e sulle libertà dei cittadini.