Il Comitato europeo per la protezione dei dati (EDPB) ha adottato le Linee guida 05/2022 sull’uso della tecnologia di riconoscimento facciale nel settore dell’applicazione della legge, fornendo indicazioni ai legislatori europei e nazionali, nonché alle autorità preposte all’applicazione della legge, sull’implementazione e l’utilizzo dei sistemi di tecnologia di riconoscimento facciale.
La guida mira ad armonizzare le metodologie delle autorità di protezione dei dati dell’UE nell’ambito di uno schema di calcolo in cinque fasi, basato sui fattori della natura di una violazione, della sua gravità e delle dimensioni dell’azienda.
Un tema estremamente delicato, che interseca tematiche attinenti alla salvaguardia dei diritti umani e, per questo, l’EDPB auspica che tali strumenti vengano utilizzati solo se necessari e proporzionati, come stabilito dalla Carta dei diritti fondamentali. L’EDPB ribadisce di vietare l’uso della tecnologia di riconoscimento facciale in alcuni casi, come aveva chiesto nel parere congiunto EDPB-EDPS sulla proposta dell’Artificial Intelligence Act.
Più specificamente, l’EDPB ritiene che debba essere vietato l’identificazione biometrica a distanza di persone in spazi accessibili al pubblico ed in generale i sistemi di riconoscimento facciale che classificano le persone in base ai loro dati biometrici. Nel nostro ordinamento qualche passo in tal senso è stato fatto, come il decreto approvato lo scorso ottobre n. 139 del 2021 (c.d. Decreto Capienze) che ha sospeso fino al 31 dicembre 2023 l’installazione e l’utilizzazione di impianti di videosorveglianza con sistemi di riconoscimento facciale operanti attraverso l’uso dei dati biometrici in luoghi pubblici o aperti al pubblico, da parte delle autorità pubbliche o di soggetti privati. Il riconoscimento facciale avanza velocemente e, insieme con l’intelligenza artificiale, troverà nel futuro applicazione maggiore anche nei contesti di vita quotidiana. Il tema di fondo rimane quello di bilanciare correttamente il progresso tecnologico correlato all’importanza della sicurezza pubblica e della prevenzione dei reati e allo stesso tempo il rispetto dei diritti umani.
Cosa dicono le Linee guida 05/22 dell’EDPB
Di seguito, alcuni stralci delle Linee guida approvate dall’EDPB. Le misure legislative devono essere idonee a conseguire gli obiettivi legittimi perseguiti dalla normativa controversa. Un obiettivo di interesse generale – per quanto fondamentale possa essere – non giustifica, di per sé, una limitazione a un diritto fondamentale. Le misure legislative dovrebbero differenziare e indirizzare le persone da essa contemplate alla luce dell’obiettivo, ad esempio la lotta contro specifici reati gravi. Se la misura riguarda tutte le persone in modo generale senza tale differenziazione, limitazione o eccezione, intensifica l’interferenza. Intensifica inoltre l’interferenza se l’elaborazione dei dati copre una parte significativa della popolazione. I dati devono essere trattati in modo da garantire l’applicabilità e l’efficacia delle norme e dei principi dell’UE in materia di protezione dei dati. Sulla base di ciascuna situazione, la valutazione della necessità adottata per la proporzionalità della consultazione pubblica deve anche identificare e considerare tutte le possibili implicazioni per altri diritti fondamentali.
Se i dati vengono sistematicamente trattati all’insaputa degli interessati, è probabile che generino una concezione generale di sorveglianza costante. Ciò può comportare effetti dissuasivi per quanto riguarda alcuni o tutti i diritti fondamentali in questione, quali la dignità umana ai sensi dell’articolo 1 della Carta, la libertà di pensiero, di coscienza e di religione ai sensi dell’articolo 10 della Carta, la libertà di espressione ai sensi dell’articolo 11 della Carta, nonché la libertà di riunione e di associazione ai sensi dell’articolo 12 della Carta. Il trattamento di categorie particolari di dati, come i dati biometrici, può essere considerato “strettamente necessario” (art. 10 LED) solo se l’interferenza alla protezione dei dati personali e le sue restrizioni sono limitate a quanto assolutamente necessario, cioè indispensabile, ed escludendo qualsiasi trattamento di natura generale o sistematica.
Il fatto che una fotografia sia stata manifestamente resa pubblica (art. 10 LED) dall’interessato non implica che i relativi dati biometrici, che possono essere recuperati dalla fotografia con mezzi tecnici specifici, siano considerati come manifestamente resi pubblici. Le impostazioni predefinite di un servizio, ad esempio la messa a disposizione pubblica dei modelli o l’assenza di scelta, ad esempio i modelli sono resi pubblici senza che l’utente possa modificare questa impostazione, non devono in alcun modo essere interpretati come dati resi pubblici in modo manifesto. L’articolo 11 LED stabilisce un quadro per il processo decisionale individuale automatizzato. L’uso delle facial recognition technology (FRT) comporta l’uso di categorie speciali di dati e può portare alla profilazione, a seconda del modo e dello scopo per cui viene richiesto. In ogni caso, conformemente al diritto dell’Unione e all’articolo 11, paragrafo 3, LED, è vietata la profilazione che comporti discriminazioni nei confronti delle persone fisiche sulla base di categorie particolari di dati personali.
L’articolo 6 LED riguarda la necessità di distinguere tra diverse categorie di interessati. Per quanto riguarda gli interessati per i quali non esistono prove atte a suggerire che il loro comportamento possa avere un nesso, anche indiretto o remoto, con lo scopo legittimo secondo il LED, molto probabilmente non vi è alcuna giustificazione di un’ingerenza. Il principio di minimizzazione dei dati (articolo 4, paragrafo 1, lettera e), LED) prevede inoltre che qualsiasi materiale video non pertinente allo scopo del trattamento sia sempre rimosso o reso anonimo (ad esempio mediante sfocatura senza possibilità retroattiva di recuperare i dati) prima della diffusione. Il responsabile del trattamento deve considerare attentamente come (o se può) soddisfare i requisiti per i diritti dell’interessato prima che venga avviato qualsiasi trattamento di tecnologie di riconoscimento facciale, poiché esso spesso comporta il trattamento di categorie speciali di dati personali senza alcuna apparente interazione con l’interessato.
