Il riconoscimento biometrico nel nuovo Regolamento europeo sull’AI

Il 21 aprile 2021 la Commissione europea ha pubblicato la sua proposta di Regolamento per l’intelligenza artificiale (IA). Nonostante rappresenti il frutto di anni di lavoro, sul tema ci sono ancora delle questioni aperte riguardanti la privacy e il rischio di una sorveglianza di massa [...]
Marco Martorana

Avvocato

Zakaria Sichi

Studio legale Martorana

regolamento europeo AI
  1. Home
  2. Intelligenza Artificiale
  3. Il riconoscimento biometrico nel nuovo Regolamento europeo sull’AI

Il 21 aprile 2021 la Commissione europea ha pubblicato la sua proposta di Regolamento per l’intelligenza artificiale (AI). Il testo – atteso da tempo visto che il tema è stato da subito annunciato come preminente nel programma della presidente Von der Leyen – rappresenta il frutto di anni di lavoro volti a garantire una disciplina uniforme sull’AI in Europa. Ciononostante, ci sono ancora delle questioni aperte.

Regolamento: AI, uno strumento a disposizione dell’uomo

Nel corso degli ultimi anni l’Unione europea ha emanato una serie di atti volti alla definizione dell’approccio alle nuove tecnologie. La premura principale è sempre stata la creazione di un ecosistema di fiducia per gli utenti, un approccio antropocentrico che mettesse il soggetto al centro, garantendo la sicurezza e i diritti umani, senza pregiudicare gli investimenti e la ricerca. Ciò con l’intento di preservare l’unità del mercato interno, evitando quindi una sua frammentazione. Si inserisce esattamente in questa dimensione tattica l’ultima iniziativa della Commissione europea nell’ambito della strategia sull’innovazione, la quale risalta per la sua importanza giacché costituisce la prima iniziativa con cui si concretizza quell’approccio che fino al 21 aprile scorso veniva stilato solamente a livello programmatico.

L’emanazione della proposta di Regolamento sull’intelligenza artificiale – o Artificial Intelligence Act – rappresenta non solo la prima iniziativa legislativa con la quale si ambisce a una regolamentazione generale dell’AI, ma anche la volontà di ribadire il concetto – già piuttosto chiaro con il Regolamento UE 679/2016 in materia di trattamento dei dati personali – che la volontà dell’UE è di rendere l’AI un mezzo per il miglioramento della qualità della vita, uno strumento a disposizione dell’uomo, e non viceversa. Un approccio verso le nuove tecnologie che distingue l’UE dai partner mondiali, Cina e USA in primis.

Tuttavia, il progetto – ambizioso e dagli intenti in astratto condivisibili – non ha convinto tutti, soprattutto su uno dei temi più delicati quando si parla di intelligenza artificiale: il riconoscimento biometrico. Su quest’ultimo aspetto, infatti, si gioca una partita fondamentale tanto per l’ottenimento della fiducia dei cittadini, quanto per la conservazione di quella filosofia antropocentrica che caratterizza l’Unione europea.

regolamento europeo AI

Regolamento sull’AI e riconoscimento biometrico

Nella proposta di regolamento europeo sull’AI, il riconoscimento biometrico in tempo reale negli spazi pubblici da parte delle forze dell’ordine è proibito, salvo che non sia strettamente necessario per la ricerca di vittime di un reato o di bambini scomparsi, per prevenire una minaccia specifica, come un attacco terroristico, per individuare, localizzare, identificare o perseguire un criminale o un sospettato punibile con una pena di almeno 3 anni per alcuni reati (nello specifico, quelli previsti dall’articolo 2 della decisione 2002/584/JHA: tra questi figurano ipotesi quali terrorismo, pedopornografia o tratta di essere umani).

Vero è che il riconoscimento facciale in tempo reale potrà essere usato dopo un’attenta valutazione della gravità della situazione e del rischio maggiore per l’incolumità nel caso in cui non venisse usato, nonché del rischio per i diritti fondamentali. Inoltre, dovrà essere usato solo in modo proporzionato, provvisorio e geograficamente limitato. Dovrà poi ricevere una preventiva autorizzazione del giudice, salvo casi di emergenza in cui l’autorizzazione potrà essere successiva.

 

A ogni modo, però, saranno i singoli Stati a decidere se autorizzare queste forme di riconoscimento facciale, in che modo e per quali reati. Questo spazio di manovra, da un lato può essere considerato accettabile in quanto si tratta di sicurezza nazionale, ma dall’altro dà adito ad alcune preoccupazioni. La prima è che non tutti i Paesi dell’Unione garantiscono lo stesso livello di democrazia e di indipendenza della magistratura, anzi, anche in Europa ci sono Stati che non offrono pienamente le garanzie richieste per la tutela dei diritti contro forme di eccessivo controllo.

La seconda preoccupazione si fonda sul presupposto che per poter usare gli algoritmi di riconoscimento biometrico, le telecamere dovranno essere già state installate, e questo potrebbe portare a un via libera giustificato dal fatto che si attiveranno solo quando strettamente necessario. C’è però da chiedersi chi decide lo “stretto necessario”, e quali siano i requisiti affinché sia integrata questa condizione. Inoltre, tra cambi di governo e orientamenti diversi rispetto al bilanciamento tra diritti fondamentali e sicurezza pubblica, pare difficile sperare che qualcosa non vada storto nelle valutazioni politiche fino ad arrivare a eccessi di fatto ingiustificati, ma comunque legittimati dagli ampi margini di discrezionalità concessioni del regolamento.
Da ultimo, anche in Italia, le forze dell’ordine e i Comuni hanno già usato questa tecnologia senza rispettare le norme del GDPR, peraltro già in vigore da tre anni, tanto da richiedere l’intervento del Garante di cui si tratterà meglio di seguito.

Il parere del Garante privacy italiano sul sistema Sari Real Time: un primo allarme

Il sistema SARI è uno strumento, non ancora attivo, del Ministero dell’Interno e che sarebbe, quindi, a disposizione delle forze dell’ordine italiane. Nelle intenzioni, questo sistema, attraverso una serie di telecamere installate in una determinata area geografica, consentirebbe di analizzare in tempo reale i visi dei soggetti ripresi, confrontandoli con una banca dati predefinita (denominata “watch-list”), che può contenere fino a 10mila volti.
Se, poi, si dovesse riscontrare una corrispondenza tra il volto captato dalla telecamera e uno dei volti all’interno del database, il sistema allerterebbe le forze di Polizia. Il sistema avrebbe il potere, inoltre, di registrare tutto ciò che riprende.

Questo meccanismo, in effetti, è stato progettato e sviluppato come soluzione mobile tale da poter essere installata direttamente presso il sito in cui sorgesse l’esigenza di utilizzare una tecnologia di riconoscimento facciale in grado di coadiuvare le Forze di Polizia nella gestione dell’ordine e della sicurezza pubblica, oppure in relazione a specifiche esigenze di Polizia Giudiziaria.
Ai fini dell’ottenimento di un parere da parte del Garante privacy, il Ministero dell’Interno-Dipartimento della pubblica sicurezza ha inviato all’Autorità la descrizione del sistema SARI Real Time, corredata di una bozza di valutazione di impatto. La risposta del Garante arrivata il 25 marzo scorso (Registro dei provvedimenti n. 127 del 25 marzo 2021), però, non solo non è stata per niente favorevole, ma rappresenta anche un primo campanello di allarme che racchiude considerazioni e preoccupazioni comuni ai maggiori critici della disciplina del riconoscimento biometrico contenuta nella bozza di regolamento europeo.

Il rischio di una sorveglianza di massa

Il Garante, nel comunicato stampa del 16 aprile, osserva come il sistema Sari Real Time realizzerebbe un trattamento dei dati automatizzato su larga scala, poiché esso sarebbe idoneo a captare le immagini di chiunque, si pensi ad esempio al caso di partecipazione a una manifestazione pacifica nella zona in cui sono installate le videocamere. Si passerebbe, così, dal condurre una sorveglianza mirata a una vera e propria sorveglianza di massa. Per questa ragione, secondo l’Autorità, l’utilizzo di tecnologie di riconoscimento facciale per finalità di prevenzione e repressione dei reati è un tema estremamente delicato.

Nel caso di specie, anche se nella valutazione di impatto presentata il Ministero spiegava che le immagini sarebbero state immediatamente cancellate, l’identificazione di una persona sarebbe stata comunque realizzata attraverso il trattamento dei dati biometrici di tutti i presenti nell’area sorvegliata allo scopo di generare modelli confrontabili con quelli dei soggetti inclusi nella watch-list.
È inoltre molto interessante osservare il riferimento del Garante alla disciplina in materia di privacy, affermando che “proprio a causa della loro forte interferenza con la vita privata delle persone che la normativa in materia di privacy stabilisce rigorose cautele per i trattamenti di dati biometrici e per particolari categorie di dati (ad esempio, quelli idonei a rivelare opinioni politiche, sindacali, religiose, orientamenti sessuali), i quali devono trovare giustificazione in una adeguata base normativa”. Secondo l’Autorità, quindi, la raccolta dei dati biometrici potrebbe avvenire solo con una base normativa adeguata che dovrebbe tener conto di tutti i diritti e le libertà coinvolte e definire le situazioni in cui è possibile l’uso di tali sistemi, “senza lasciare una discrezionalità ampia a chi lo utilizza”. Ciò vale anche per aspetti fondamentali dell’impiego della tecnica di riconoscimento facciale, come i criteri di individuazione dei soggetti.

In buona sostanza, circa un mese prima della presentazione della bozza di Regolamento europeo sull’intelligenza artificiale, il Garante italiano aveva già espresso la necessità di limitare quanto più possibile gli spazi di discrezionalità nella determinazione dei criteri per l’uso del riconoscimento biometrico.

L’orientamento di EDPB e GEPD sul regolamento AI

Il Comitato europeo per la protezione dei dati (EDPB) e il Garante europeo per la protezione dei dati (GEPD), il 21 giugno scorso, hanno emesso un parere congiunto sulla proposta di Regolamento sull’intelligenza artificiale della Commissione europea, soffermandosi in modo particolare sul tema del riconoscimento biometrico.
L’EDPB e il GEPD, pur accogliendo con grande favore l’obiettivo di affrontare l’uso dei sistemi di intelligenza artificiale all’interno dell’Unione europea, compreso l’uso di sistemi di intelligenza artificiale da parte di istituzioni, organi o agenzie dell’UE, allo stesso tempo manifestano una certa preoccupazione, in primo luogo, per l’esclusione della cooperazione internazionale in materia di applicazione della legge dall’ambito di applicazione della proposta.

Il primo elemento interessante che le due autorità evidenziano è il fatto che la normativa europea vigente in materia di protezione dei dati – in modo particolare il GDPR – si applica già a qualsiasi trattamento di dati personali che rientri nell’ambito di applicazione del progetto di regolamento sull’AI. Un chiarimento che si colloca sulla stessa linea del Garante italiano, il quale già si era premurato di ribadire la necessità di conformare i riconoscimenti biometrici al Regolamento europeo del 2016.
Il nucleo fondamentale del parere, però, è la questione relativa alla disciplina del riconoscimento biometrico nella proposta di regolamento sull’AI.

I divieti posti

Tenendo conto dei rischi estremamente elevati posti dall’identificazione biometrica a distanza delle persone in spazi accessibili al pubblico, l’EDPB e il GEPD chiedono un divieto generale di qualsiasi uso dell’AI per il riconoscimento automatico delle caratteristiche umane in spazi pubblici, come l’identificazione di volti, andatura, impronte digitali, DNA, voce, e altri segnali biometrici o comportamentali, in qualsiasi contesto. Analogamente, raccomandano di vietare i sistemi di intelligenza artificiale che utilizzano la biometria per classificare gli individui in gruppi in base a etnia, genere, orientamento politico o sessuale o altri motivi per cui la discriminazione è vietata ai sensi dell’articolo 21 della Carta dei diritti fondamentali. Inoltre, ritengono che l’uso dell’AI per dedurre le emozioni di una persona fisica sia altamente indesiderabile e dovrebbe essere proibito, tranne in casi molto specifici, come alcuni scopi sanitari, in cui il riconoscimento delle emozioni del paziente è importante, e che l’uso dell’AI per qualsiasi tipo di punteggio sociale dovrebbe essere proibito.

Andrea Jelinek, presidente dell’EDPB, e Wojciech Wiewiórowski, EDPS, hanno dichiarato: “Distribuire l’identificazione biometrica remota in spazi accessibili al pubblico significa la fine dell’anonimato in quei luoghi. Applicazioni come il riconoscimento facciale dal vivo interferiscono con i diritti e le libertà fondamentali in misura tale da poter mettere in discussione l’essenza di tali diritti e libertà. Ciò richiede un’applicazione immediata dell’approccio precauzionale. Un divieto generale dell’uso del riconoscimento facciale nelle aree accessibili al pubblico è il punto di partenza necessario se vogliamo preservare le nostre libertà e creare un quadro giuridico incentrato sull’uomo per l’AI. Il regolamento proposto dovrebbe inoltre vietare qualsiasi tipo di utilizzo dell’AI per il punteggio sociale, poiché è contrario ai valori fondamentali dell’UE e può portare a discriminazioni”.

Sistemi di intelligenza artificiale e GDPR

L’EDPB e il GEPD si rallegrano inoltre del fatto che la proposta designi il Garante europeo come autorità competente e autorità di vigilanza del mercato per la supervisione delle istituzioni, agenzie e organi dell’Unione. Tuttavia, il ruolo e i compiti del GEPD, a detta delle Autorità, dovrebbero essere ulteriormente chiariti, in particolare per quanto riguarda il suo ruolo di autorità di vigilanza del mercato.
L’EDPB e il GEPD ricordano poi che le Autorità per la protezione dei dati (DPA) stanno già applicando il GDPR e sui sistemi di intelligenza artificiale che coinvolgono dati personali, al fine di garantire la protezione dei diritti fondamentali e più specificamente il diritto alla protezione dei dati. Di conseguenza, la designazione delle Autorità di protezione dei dati come autorità di controllo nazionali garantirebbe un approccio normativo più armonizzato e contribuirebbe a un’interpretazione coerente delle disposizioni in materia di trattamento dei dati in tutta l’UE. Di conseguenza, l’EPBD e il GEPD ritengono che, per garantire un’applicazione regolare di questo nuovo regolamento, le autorità di protezione dei dati dovrebbero essere designate come autorità di vigilanza nazionali ai sensi dell’articolo 59 della proposta.
Infine, Garante e Comitato, mettono in discussione la designazione di un ruolo predominante alla Commissione europea nell’European Artificial Intelligence Board (EAIB), poiché ciò sarebbe in conflitto con la necessità di un organismo europeo di AI indipendente da qualsiasi influenza politica. Per assicurarne l’indipendenza, la proposta dovrebbe conferire maggiore autonomia alla EAIB e garantire che possa agire di propria iniziativa.

Conclusioni

Sono ormai trascorsi circa due mesi dal giorno della presentazione della proposta di regolamento UE sull’intelligenza artificiale. Non sono mancate discussioni, argomentazioni su dettagli diversi, commenti. Tuttavia, come spesso accade quando si ha una novità normativa di tale importanza – ed a maggior ragione se si tratta di un provvedimento che aspira ad armonizzare la disciplina dell’intera Unione – la maggior parte dell’attenzione si è concentrata sui difetti. Il tema del riconoscimento facciale e del trattamento dei dati biometrici in generale, come abbiamo visto, è quello che ha destato le maggiori preoccupazioni, anche e soprattutto da parte delle Autorità competenti. Probabilmente, ciò è dovuto al fatto che questa tipologia di trattamento è quella che maggiormente incide sui diritti fondamentali, e rappresenta soprattutto la forma più invasiva agli occhi degli utenti. Sapere che camminando per strada ci sono delle telecamere che inquadrano ogni movimento rilevando i dettagli del volto e registrando l’identità confrontandola con altre migliaia, è un fatto che può essere percepito come estremamente invadente, e quindi, di conseguenza, rischia di abbattere la fiducia dei cittadini verso le nuove tecnologie.

Come anticipato in introduzione, l’approccio antropocentrico, caratterizzato dalla centralità dell’essere umano e dei suoi diritti nel rapporto con l’intelligenza artificiale, nonché la ricerca assidua della fiducia e della serenità degli utenti, rappresentano l’essenza delle iniziative recenti dell’UE, nonché le basi della sua fondazione. La correzione dei difetti, facendo tesoro delle considerazioni emerse dal dibattito fin qui descritto, è un elemento che le istituzioni comunitarie non possono ignorare se vogliono mantenere l’approccio della tradizione europea del passato anche nella regolamentazione del futuro.

 

FacebookTwitterLinkedIn