- Introduzione
Il 25 marzo 2021 l’Autorità garante per la protezione dei dati personali ha espresso parere negativo su un sistema di riconoscimento facciale “real time”, anche noto come live facial recognition, denominato Sari, che permette di identificare automaticamente un volto tramite un’intelligenza artificiale basata sul deep learning. Questa tecnologia consente, tramite la creazione di pattern, di individuare e creare un match tra foto raffiguranti i medesimi individui. In particolare, il Sari confronta le immagini raccolte da una persona con quelle conservate nell’archivio Afis, il “Sistema Automatizzato di Identificazione delle Impronte”[1].
L’Autorità, dopo aver esaminato la bozza di valutazione di impatto inviata dal Ministero dell’Interno, nella quale sono integrate la descrizione dell’architettura di sistema e le relative istruzioni operative, ha stabilito che il sistema è privo di una base giuridica adeguata a legittimare “il trattamento automatizzato dei dati biometrici per il riconoscimento facciale a fini di sicurezza” e sarebbe in grado di realizzare “per come è progettato una forma di sorveglianza indiscriminata/di massa”. Per comprendere le ragioni del parere negativo reso dall’Autorità, si procederà con l’esaminare le premesse da cui muove questa vicenda.
- L’archivio Sari e l’inchiesta di IrpiMedia
L’intenzione del Ministero dell’Interno di utilizzare l’Archivio Sari per il riconoscimento facciale non è una novità della digitalizzazione provocata, ad ogni livello, dall’emergenza pandemica. Difatti, nel 2017 l’azienda Parsec 3.26 si è aggiudicata il bando per la fornitura del Software per il “Sistema automatico di Riconoscimento Immagini Sari”. Il sistema Sari è composto da due componenti: “enterprise” e “real time”. La prima è già entrata in esercizio nel settembre 2018, previa valutazione positiva del Garante, e prevede l’utilizzo del sistema di riconoscimento facciale di immagini presenti nella banca dati, “watch-list”. La seconda è, invece, il punto in discussione in quanto, a differenza dell’attuale impiego dell’archivio, si basa su un utilizzo live del sistema: ovverosia, la pratica di comparare volti in tempo reale ottenuti da frammenti di video (come, ad esempio, dalle telecamere di sicurezza) con le immagini già conservate nel menzionato database.
L’esigenza di dotarsi di una tale tecnologia non è un’esclusiva italiana: difatti, in ambito Europeo già nel 2016 era stato preso in considerazione l’utilizzo del riconoscimento facciale nell’EURODAC, il database impiegato per raccogliere le impronte digitali di migranti e richiedenti asilo che entrano nella zona Schengen. Un programma sul quale è stata riaccesa l’attenzione dell’opinione pubblica e tecnica a seguito della pubblicazione da parte del giornale online The Intercept, nel febbraio 2020, di un report circa un progetto in esame presso le istituzioni europee che avrebbe come scopo quello di istituire un archivio pan-unitario di riconoscimento facciale. Una proposta guidata dall’Austria che si dovrebbe basare sull’ampliamento della portata del Prüm, il database biometrico che consente lo scambio dei dati relativi al DNA dei condannati per reati sul territorio dei paesi aderenti.
Nel febbraio 2021, è stata presentata dai Deputati Sensi e Borghi un’interpellanza urgente al Ministro dell’Interno per conoscere dell’utilizzo del Sari a seguito della pubblicazione di uno studio a cura dell’attivista e giornalista Riccardo Colucchini su IrpiMedia (Investigative Reporting Project Italy), associazione che si occupa di promuovere iniziative di giornalismo di inchiesta. Come viene riportato nell’articolo, grazie ad alcuni documenti ottenuti con una richiesta FOIA inviata al Garante, il giornalista ha potuto constatare che attorno all’utilizzo del Sari si è creata una situazione di forte opacità: difatti, le informazioni più recenti risalivano al 2018. Si comprende bene come non possa essere tollerata una tale situazione di incertezza e mancanza di chiarezza[2] con riferimento a uno strumento che in ogni parte del globo e a più riprese sta subendo delle battute di arresto per il suo grado di intrusività e lesione dei diritti fondamentali dei cittadini coinvolti[3]. Difatti, già nei lavori preparatori del White Paper of Artificial Intelligence era stata presa in considerazione la possibilità di imporre un moratorium di cinque anni all’uso del riconoscimento facciale proprio a causa degli errori, bias, che l’algoritmo commette nel riconoscere i volti di individui di colore, come anche riportato dal documentario Coded Bias ad opera della Algorithmic Justice League e diffuso da Netflix.
È proprio sulla prospettazione di un moratorium che si basa l’interpellanza di Sensi e Borghi che chiedono al Ministro dell’Interno di mettere il Parlamento a conoscenza di “quali sistemi di riconoscimento facciale intenda utilizzare” e se “non ritenga invece opportuna una moratoria in attesa di una migliore definizione della normativa in materia di privacy a tutela dei diritti costituzionali dei cittadini”.
La Ministra Lamorgese, dunque, nel riferire alla Camera dei Deputati il 3 marzo 2021, pur non prospettando alcun tipo di moratoria, ha chiarito che il Sari non sarà utilizzato dalla polizia delle frontiere e dalla direzione centrale dell’immigrazione e delle politiche di integrazione, nell’ambito della gestione dei flussi migratori. Ha, infine, chiarito che quando il sistema real time verrà messo in uso non distinguerà tra “migranti, cittadini, ecc.., bensì è un sistema che a regime funzionerà in modo indifferenziato a supporto delle attività investigative”. Tale chiarimento appare più preoccupante che rassicurante, come anche nota l’Autorità. Prima di passare a un esame del parere, occorre menzionare che il 12 aprile 2021 è stato presentato un progetto di legge dagli stessi on.li Sensi e Borghi sulla “Sospensione dell’installazione e dell’utilizzazione di impianti di videosorveglianza con sistemi di riconoscimento facciale operanti attraverso l’uso di dati biometrici in luoghi pubblici o aperti al pubblico”. Concludendo, dunque, le necessarie premesse logiche, si passa ad esaminare il parere del Garante che si spera possa aprire a una nuova stagione di maggiore chiarezza sull’impiego del Sari in Italia.
- Il parere negativo dell’Autorità Garante
A seguito della trasmissione da parte del Ministero di una valutazione di rischio alla privacy, l’Autorità Garante ha espresso parere negativo sul Sari Real Time. Dopo aver richiamato il funzionamento del sistema, gli aspetti che sono stati considerati sono di due tipi: l’uno si appunta sulla base giuridica del trattamento, l’altro sulla violazione dei diritti fondamentali di coloro che vi verrebbero sottoposti.
Con riferimento al primo elemento, l’Autorità ha richiamato le Linee Guida recentemente pubblicate dal Consiglio d’Europa proprio sull’utilizzo del riconoscimento facciale. Il documento, distinguendo nella valutazione dei rischi sull’utilizzo da parte di soggetti pubblici e privati, richiama nella parte che riguarda il legislatore, l’art. 6 della Convenzione 108. Il trattamento di dati biometrici rientra, difatti, nella cornice del processing of special categories of data, come ribadito dalla Law Enforcement Directive[4], e può essere autorizzato solo in presenza di una solida base giuridica e nel rispetto del principio di proporzionalità e necessità. Sebbene le Linee Guida siano sostanzialmente vaghe nel delimitare il confine di “certain uses” concessi e/o condannati di riconoscimento facciale, prospettano, tuttavia, come appai utile considerare un periodo di moratorium per costruire un dibattito adeguato ai principi democratici e per accertare i rischi connessi all’utilizzo di una tale tecnologia nei contesti di “uncontrolled enviromentes”: vale a dire i luoghi aperti al pubblico, inclusi supermercati e scuole.
Tralasciando per il momento le conseguenze che si avrebbero dall’utilizzo del Sari in questo ambito, il problema giuridico che l’Autorità ha preso in considerazione è la mancanza di una base normativa che possa permettere il trattamento di queste immagini raccolte in real time. L’art. 9 del GDPR[5] inibisce, difatti, l’uso dei dati biometrici per tali fini pur prevedendo delle isolate eccezioni nel par. 2 quali, ad esempio, la realizzazione di attività di pubblica sicurezza. L’art. 7 del Decreto attuativo la Law Enforcement Directive pur prevedendo in astratto tali trattamenti, come già visto nelle Linee Guida del CoE, stabilisce che il trattamento dei dati biometrici è soggetto a limitazioni specifiche, tra le quali quella di dovere essere “specificamente previsto dal diritto dell’Unione europea o da legge o, nei casi previsti dalla legge, da regolamento”. Il Garante osserva, dunque, che “nella documentazione fornita dal Ministero dell’Interno e tra le fonti normative da questo indicate non si rinviene alcuna disposizione specifica che consenta tale tipo di trattamento”. Difatti, i richiamati art. 1 del T.U.L.P.S. (Testo unico delle leggi di pubblica sicurezza), il d.P.R. 15 gennaio 2018, n. 15, recante l’individuazione delle modalità di attuazione dei principi del Codice relativamente al trattamento dei dati effettuato per le finalità di polizia, gli agli artt. 134, c. 4, 234, 266, 431, c. 1, lett. b), oltre gli artt. 55, 348, 354 e 370 sull’attività di polizia giudiziaria non prevedono alcun tipo di riferimento alla tecnologia in esame di base biometrica e, dunque, non costituiscono fonte normativa specifica di cui all’art. 7.
L’autorità si sofferma, infine, sull’impatto del riconoscimento facciale sui diritti fondamentali dei cittadini. Tale tecnologia, difatti, oltre a sollevare delle domande dal punto di vista della legittimità e dell’esercizio dei poteri costituendo latu sensu un sistema di automatic decision making, provoca delle considerazioni sul piano dell’esercizio di quelle libertà civili che sono i cardini di una società democratica. L’utilizzo, difatti, di sistemi di riconoscimento facciale incrementa i c.d. chilling effects, degli effetti a catena, non solo sul diritto alla riservatezza ma anche, e soprattutto, sul diritto di associazione e di assemblea, sulla libertà di espressione, al principio di uguaglianza e non discriminazione, come mette in evidenza la International Network of Civil Liberties Organizations in uno studio su casi pratici pubblicato nel gennaio del 2021. Nel prendere in considerazione le conseguenze del Sari sul piano dei diritti, l’Autorità osserva molto acutamente che “il trattamento di immagini volte ad identificare le persone nel contesto pubblico è quindi di estrema delicatezza ed è perciò necessaria una valutazione d’insieme, per evitare che singole iniziative, sommate tra loro, definendo un nuovo modello di sorveglianza introducano, di fatto, un cambiamento non reversibile nel rapporto tra individuo ed autorità. Occorre in particolare considerare che il sistema in argomento realizza un trattamento automatizzato su larga scala che può riguardare, tra l’altro, anche coloro che siano presenti a manifestazioni politiche e sociali, che non sono oggetto di “attenzione” da parte delle forze di Polizia; ancorché la valutazione di impatto indica che i dati di questi ultimi sarebbero immediatamente cancellati, nondimeno, l’identificazione di una persona in un luogo pubblico comporta il trattamento biometrico di tutte le persone che circolano nello spazio pubblico monitorato, al fine di generare i modelli di tutti per confrontarli con quelli delle persone incluse nella “watch-list”. Pertanto, si determina una evoluzione della natura stessa dell’attività di sorveglianza, passando dalla sorveglianza mirata di alcuni individui alla possibilità di sorveglianza universale allo scopo di identificare alcuni individui”.
- Conclusioni
Una base normativa adeguata a garantire la protezione dei diritti dei cittadini: questa è la richiesta del Garante che, se da una parte, rassicura sul rischio di una distopica deriva verso la sorveglianza di massa, dall’altra preoccupa data la ormai proverbiale obsolescenza normativa nei confronti del riconoscimento facciale (e non solo), dimostrata anche sul piano Europeo. Quest’ultima problematica impone una riflessione a priori circa le necessità di impiegare strumenti che allo stato dell’arte stanno dimostrando di provocare più svantaggi che benefici per via dei bias, in particolare relativi al colore della pelle e al genere, codificati all’interno dello stesso sistema algoritmico, che rendono il riconoscimento facciale un temibile “unwanted gaze” piuttosto che una risorsa.
[1] Tale archivio trova, invece, base giuridica nel titolo VI del TUE. Si tratta del cd. “SID terzo pilastro”, disciplinato da apposita Convenzione sull’uso dell’informatica.
[2] Già nel 2019 Wired Italia aveva pubblicato un’inchiesta che metteva in discussione i numeri dell’archivio Sari che secondo un’intervista a Fabiola Mancone, primo dirigente della polizia scientifica, e trasmessa dal Tg1 conterrebbe 16 milioni di volti, mentre nei documenti trasmessi dal Ministero al Garante nell’ambito del parere in esame si parla di 10 mila volti.
[3] Il riferimento è al recente blocco da parte del Canada di un altro famosissimo archivio di riconoscimento facciale, Clearview AI, e alla causa intentata in California da due gruppi di attivisti per i diritti dei migranti, Mijente e Norcal Resist sempre contro la controversa azienda fondata da Hoan Ton-That. La stessa si è vista intimare dal Garante della città di Amburgo di cancellare i dati di un cittadino tedesco (sostenuto peraltro dall’organizzazione fondata da Schrems) che inconsapevolmente era finito nel database senza aver dato specifico consenso.
[4] Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio, attuata dal D.Lgs. n. 51 del 18 maggio 2018.
[5] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.
