L’ambito della videosorveglianza ha da sempre attratto l’attenzione per via degli innumerevoli risvolti che per sua stessa natura comporta, primo tra tutti quello della protezione dei dati personali trattati, soprattutto se si pensa ai dispositivi che – ad oggi – sono presentati come in grado di valutare il rischio di contagio e, addirittura, di ridurlo. Nel 2011, l’attenzione del Garante italiano era ricaduta – in ambito bancario – sull’utilizzo di sistemi di videosorveglianza dotati di un software “anticamuffamento”, basato su intelligenza artificiale, in grado di permettere l’individuazione di eventuali rapinatori senza dover ricorrere a strumenti comportanti la rilevazione di impronte digitali. Vediamo il rapporto fra riconoscimento facciale e privacy.
In aggiunta ai provvedimenti del 2004 e del 2010 sulla videosorveglianza, nel 2019 l’Autorità Garante italiana si era già occupata, ad esempio, dei profili relativi all’utilizzo delle telecamere negli asili nido[1], così come il suo Presidente si era espresso[2] relativamente alla sentenza[3] della Corte Europea dei diritti dell’uomo (CEDU) del 17 ottobre 2019 sui ricorsi 1874/13 e 8567/13 (sull’installazione di telecamere nascoste all’interno di un supermercato senza preventiva informativa ai dipendenti), condividendo le conclusioni a cui era giunta la Corte.
Garanti della privacy e riconoscimento facciale
Di recente anche l’EDPB si è occupato della tematica, arrivando ad approvare – previa consultazione pubblica – le Linee guida 3/2019[4] sul trattamento dei dati personali attraverso dispositivi video, cui si rimanda. Sempre nel 2019 il Garante per la privacy francese (CNIL) aveva, invece, voluto approfondire le tematiche inerenti il riconoscimento facciale mediante videosorveglianza[5].
Ancora, l’Autorità svedese per la protezione dei dati, con provvedimento del 20 agosto 2019, aveva ritenuto che l’utilizzo del riconoscimento facciale mediante telecamera per monitorare la frequenza degli studenti presentasse – nel caso di specie – gli estremi di una violazione delle norme sulla privacy ai sensi degli articoli 5, 9, 35 e 36 del GDPR.
Con la drammatica diffusione del Coronavirus, poi, i nuovi dispositivi video utilizzati nella lotta alla pandemia e nella gestione dell’emergenza sanitaria hanno risvegliato le paure – concrete – circa i rischi per i diritti e le libertà dei cittadini, tanto che la CNIL ha provveduto, proprio in questi giorni, a dare delle indicazioni in merito alle regole[6] da seguire nell’uso di telecamere “intelligenti” o “termiche”[7].
Basti guardare a come l’utilizzo dei big data abbia, ad esempio, permesso al governo cinese di potenziare il sistema di videosorveglianza sino a permettere di mappare i movimenti del virus e verificare il rispetto della quarantena da parte dei pazienti infetti, rendendo possibile l’intercettazione dei soggetti che nei propri spostamenti non erano dotati della mascherina obbligatoria per legge o permettendo di effettuare la misura in tempo reale – e contactless – della temperatura corporea dei singoli.
Ma ci si è spinti oltre, sino a rendere possibile il riconoscimento dei volti dei soggetti anche laddove gli stessi erano coperti in buona parte dalle mascherine protettive, di fatto ricostruendo in 3D il volto degli interessati.
Il pronunciamento del Garante francese CNIL
Ecco che, quindi, il Garante francese ha ritenuto opportuno chiarire quali garanzie essenziali debbano presentare tali strumenti ai sensi della normativa privacy e in primis del GDPR, ossia: dimostrare la loro proporzionalità; avere un periodo di validità limitato; presentare misure di pseudonimizzazione o di anonimizzazione; assicurare l’assenza di un controllo individuale.
E in caso di trattamento di dati particolari o qualora il diritto di opposizione non sia esercitabile (ad esempio, in caso di «scanning» della telecamera collocata in strada), per il Garante francese sarà necessario istituire un quadro giuridico adeguato che rispetti gli articoli 9 e 23 del GDPR.
Lo spazio pubblico in cui di norma vengono installate le telecamere intelligenti o termiche è, infatti, un luogo in cui si esercitano numerose libertà individuali: dal diritto alla vita privata e alla protezione dei dati personali, alla libertà di muoversi, al diritto di espressione, di riunione, di manifestare, alla libertà di coscienza e di esercizio dei culti.
In tal senso per la CNIL “la conservazione dell’anonimato nello spazio pubblico è una dimensione essenziale per l’esercizio di tali libertà e la captazione dell’immagine delle persone in tali spazi è incontestabilmente portatrice di rischi per i diritti e le libertà fondamentali di queste ultime”.
Assume, pertanto, rilevanza fondamentale l’aver chiaramente definito le finalità perseguite e la base giuridica adeguata al trattamento dei dati (quale, ad esempio, l’interesse pubblico per le autorità pubbliche, l’interesse legittimo degli organismi privati ex articolo 6 del GDPR o il consenso, ove applicabile), così come aver proceduto a effettuare una DPIA ad hoc.
Parimenti, tali sistemi dovranno reggere alla prova del principio di necessità e della proporzionalità, vale a dire non arrecare un danno sproporzionato alla vita privata, dovendo dimostrare nello specifico:
– l’impossibilità di utilizzare mezzi meno intrusivi per i diritti e le libertà degli interessati che consentano di raggiungere le finalità previste;
– l’importanza e la necessità dei dati trattati;
– il perimetro di impiego spazio-temporale dei dispositivi (numero di telecamere interessate, campo d’applicazione, durata del loro impiego, ecc.);
– la comunicazione di informazioni ai responsabili del trattamento.
Particolare attenzione è ovviamente richiesta dalla CNIL laddove le telecamere intelligenti, oltre a permettere l’identificazione degli interessati mediante la ripresa di viso o corpo, siano in grado di recepire dati particolari quali quelli relativi alla salute, il cui trattamento è vietato per principio, salvo che rientri in una delle eccezioni previste dal GDPR (articolo 9.2).
Sulla scorta della recente destinazione di tali telecamere alla misurazione della temperatura, alla rilevazione di presenze o all’assicurarsi che sia rispettata la distanza sociale o l’uso della mascherina, la CNIL ha ritenuto necessario avvertire che, fatta salva un’analisi caso per caso, gran parte di questi dispositivi parrebbe non rispettare il quadro giuridico applicabile alla protezione dei dati personali, principalmente perché si finiscono per trattare dati particolari senza il consenso dell’interessato oppure in quanto viene impedito l’esercizio del diritto di opposizione ex art. 21 del GDPR. Difatti, i dispositivi video citati captano automaticamente l’immagine delle persone che passano nel loro raggio d’azione, senza possibilità di evitare o celare quelle che hanno espresso preventivamente la loro opposizione. In pratica, gli interessati potranno soltanto ottenere la cancellazione dei loro dati e non evitarne la raccolta.
Conclusioni
L’Autorità Garante francese specifica, inoltre, come la soluzione ipotizzata e integrata in alcuni di questi dispositivi di “fare di no con la testa” non possa essere ritenuta una modalità di opposizione sufficiente né conforme al GDPR, oltre a essere ben poco pratica.
Difatti, la possibilità per le persone di manifestare la loro opposizione con un movimento corporeo significativo, come un «no», costituirebbe una soluzione di fatto poco praticabile e difficilmente generalizzabile, obbligando, inoltre, gli interessati a manifestare pubblicamente la propria opposizione al trattamento, così gravandoli di un ulteriore, pesante e inutile onere.
Pertanto, conclude la CNIL, se il diritto di opposizione non può trovare applicazione concreta nella pratica, i dispositivi in questione andrebbero specificamente autorizzati da un quadro giuridico specifico previsto dall’Unione europea (o dal diritto francese).
- Si veda sul punto anche l’intervista ad Antonello Soro: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9072791. ↑
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9169584. ↑
- Qui il testo integrale: https://hudoc.echr.coe.int/eng#{%22documentcollectionid2%22:[%22GRANDCHAMBER%22,%22CHAMBER%22],%22itemid%22:[%22001-197098%22]}. ↑
- https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32019-processing-personal-data-through-video_it. ↑
- https://www.cnil.fr/fr/reconnaissance-faciale-pour-un-debat-la-hauteur-des-enjeux. ↑
- https://www.cnil.fr/fr/cameras-dites-intelligentes-et-cameras-thermiques-les-points-de-vigilance-de-la-cnil-et-les-regles. ↑
- Per CNIL vi rientrano: dispositivi caratterizzati dall’aggiunta di un applicativo (software) a sistemi di videosorveglianza preesistenti e l’impiego di dispositivi di presa automatica della temperatura (telecamere termiche), di rilevamento dell’uso di maschere, di rispetto delle misure di allontanamento sociale, ecc. ↑