L’utilizzo di tecnologie di riconoscimento facciale da parte delle forze dell’ordine: la normativa europea e il caso francese
di Sara Bonomi
Le tecnologie di riconoscimento facciale sono state recentemente al centro del dibattito pubblico, in particolare in seguito al loro utilizzo da parte delle forze dell’ordine e alla loro applicazione in contesti rilevanti della vita pubblica.
Il presente articolo ha per obiettivo di illustrare una lettura della normativa attualmente in vigore a livello europeo riguardo l’impiego di queste particolari tecnologie in relazione alla protezione dei dati personali, contestualizzandola rispetto al recente decreto francese che autorizza il dispiego di strumenti di riconoscimento facciale nell’ambito delle Olimpiadi che avranno luogo a Parigi nel 2024.
Definizioni
Le tecnologie di riconoscimento facciale (di seguito, TRF) permettono il riconoscimento di un individuo sulla base del proprio viso e fanno parte della più ampia categoria delle cosiddette “tecnologie biometriche”, le quali consentono l’autenticazione e/o l’identificazione di una persona sulla base di caratteristiche fisiche, fisiologiche o tratti caratteriali[1].
La procedura di riconoscimento facciale si basa su due fasi distinte: la prima consiste nella raccolta dell’immagine e della trasformazione della stessa in un template biometrico; la seconda coincide con il riconoscimento dell’individuo grazie al confronto tra il template iniziale di tale persona con uno o più template differenti. Più specificamente, è definita autenticazione la procedura mediante la quale si verifica che un individuo è realmente colui che dichiara di essere; in tal senso, il viso della singola persona, la cui identità deve essere verificata, viene confrontato con un template preesistente in un database. Questo è, ad esempio, il caso dell’autenticazione facciale che viene utilizzata come modalità di identificazione ed accesso ad alcune applicazioni sul nostro smartphone.
Si parla, invece, di identificazione in riferimento al processo di riconoscimento del singolo individuo rispetto ad un gruppo di persone, come ad esempio nell’ambito di una manifestazione pubblica.
La normativa europea
La Carta Europea dei Diritti Fondamentali e la Convenzione Europea sui Diritti Umani
Nel trattare la normativa europea applicabile, essenziale è il riferimento a due testi attinenti all’ambito dei diritti fondamentali. In tal senso, il lettore non dimenticherà, infatti, che le operazioni realizzate tramite TFR comportano rischi significativi riguardo la vita privata degli individui e, in molti casi, possono interferire con alcuni tra i diritti e le libertà fondamentali protetti da questa branca del diritto.
La Carta Europea dei Diritti Fondamentali, detta anche “Carta di Nizza”, riconosce il diritto al rispetto della vita privata e familiare, enunciato all’articolo 7, oltre che quello relativo alla protezione dei dati personali di cui all’articolo 8. Le TFR, in forza dell’ampia gamma di informazioni che possono raccogliere in merito ad una persona, rappresentano sicuramente un’interferenza rispetto ai due diritti sopracitati.
Identica situazione si verifica relativamente ai seguenti diritti, sempre previsti dalla Carta di Nizza: alla dignità umana (art. 1), alla libertà di pensiero, coscienza e di religione (art. 10), alla libertà di pensiero (art. 11) e, infine, alla libertà di riunione ed associazione (art. 12). Infatti, un individuo potrebbe modificare il proprio comportamento e non sentirsi totalmente libero di esprimersi in ambito pubblico, qualora le TFR siano utilizzate.
Inoltre, come giustamente sottolinea l’EDPB, le connotazioni fisiche o facciali di una persona, oltre a non poter essere modificate con la stessa immediatezza e facilità di un numero di telefono e/o di un indirizzo e-mail, identificano l’individuo in modo estremamente personale. Questa considerazione, unitamente ad altre che verranno esaminate nel corso dell’articolo, aumenta la portata dei rischi che un utilizzo improprio o illecito di tali tecnologie potrebbe causare.
Per tali ragioni, l’art. 52.1 della Carta di Nizza prevede che ciascuna limitazione a diritti e libertà fondamentali debba essere espressamente prevista dalla legge e che tali eccezioni debbano rispettare l’essenza di tali diritti e libertà. Gli atti normativi che prevedono tali limitazioni devono essere sufficientemente chiari e precisi, in modo da assicurare che i cittadini siano adeguatamente informati in merito alle condizioni e situazioni in cui le forze dell’ordine possono fare ricorso a tali tecnologie. L’assenza di informazione e trasparenza appropriate potrebbero, infatti, infondere nei cittadini la sensazione di vivere in uno stato di sorveglianza costante.
Inoltre, tali limitazioni ai diritti e libertà fondamentali possono essere inserite in un testo legislativo esclusivamente se finalizzate alla realizzazione di un obiettivo di interesse pubblico, come quelli individuati all’art. 3 del TUE; oppure se necessarie ed essenziali a proteggere i diritti e le libertà degli altri cittadini.
La Convenzione Europea dei Diritti Umani, c.d. CEDU, riprende la maggior parte dei principi enunciati dalla Carta di Nizza introducendo, in aggiunta, il concetto di prevedibilità della legge[2], che viene a rafforzare l’elemento della trasparenza richiesto alle previsioni legislative che introducano una limitazione ai diritti e alle libertà fondamentali degli individui.
La Direttiva UE 2016/680
Una disciplina più specifica è contenuta nella Direttiva Europea 2016/680 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle Autorità competenti, a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali.
In linea con le previsioni contenute nei due Testi sopra citati, la Direttiva prevede che ogni trattamento di dati personali da parte delle Forze dell’ordine debba essere esplicitamente regolato dalla normativa nazionale, la quale deve altresì precisare le finalità di tale trattamento e le categorie di dati personali che ne fanno oggetto. In particolare, l’articolo 10 prevede che il trattamento di categorie particolari di dati personali (inclusi i dati biometrici) sia unicamente consentito qualora strettamente necessario alla realizzazione degli obiettivi identificati e che debba essere soggetto a garanzie appropriate per tutelare i diritti e le libertà dell’interessato. Inoltre, qualora autorizzata dalla legislazione nazionale di uno Stato Membro, tale tipologia di trattamento può essere unicamente realizzata in due casi: qualora sia necessaria alla protezione degli interessi vitali dell’interessato o di un’altra persona oppure qualora il trattamento sia relativo a dati che sono resi manifestamente pubblici dallo stesso interessato. La prima circostanza deve essere interpretata in maniera restrittiva secondo la giurisprudenza consolidata della Corte di Giustizia dell’Unione Europea[3], intendendo in tal senso che l’attività effettuata dalle forze dell’ordine debba essere assolutamente indispensabile alla realizzazione della finalità individuata.
Per quanto riguarda il secondo criterio, esso non è da considerarsi soddisfatto quando un individuo abbia semplicemente pubblicato una propria fotografia sui social media; infatti, a dover essere reso manifestamente pubblico da parte della persona è il proprio template biometrico[4]. Inoltre, la Direttiva stabilisce che gli Stati Membri possano legiferare su tali questioni unicamente dopo aver consultato le relative autorità nazionali di controllo per la protezione dei dati personali.
L’articolo 6 della Direttiva contiene una disposizione estremamente interessante, in quanto impone agli Stati Membri di prevedere che il titolare del trattamento operi una differenziazione in merito alle categorie dei soggetti interessati dall’utilizzo delle TFR. Più specificamente, tale articolo dispone che, qualora possibile, una chiara distinzione debba essere effettuata tra:
- “le persone per le quali vi sono fondati motivi di ritenere che abbiano commesso o stiano per commettere un reato;
- le persone condannate per un reato;
- le vittime di reato o le persone che alcuni fatti autorizzano a considerare potenziali vittime di reato, e
- altre parti rispetto a un reato, quali le persone che potrebbero essere chiamate a testimoniare nel corso di indagini su reati o di procedimenti penali conseguenti, le persone che possono fornire informazioni su reati o le persone in contatto o collegate alle persone di cui alle lettere a) e b).”
Di conseguenza, l’EDPB interpreta tale disposizione[5] nel senso di ritenere che, in assenza di elementi cui all’articolo 6, le TFR non possano essere utilizzate dalle forze dell’ordine in relazione ad un individuo.
Un altro aspetto molto delicato riguardo a questo argomento è rappresentato dai diritti riconosciuti ai soggetti interessati. In linea generale, tali diritti sono gli stessi previsti dal Regolamento Generale sulla protezione dei Dati; il presente articolo prenderà, dunque, unicamente in considerazione le eccezioni o gli aspetti peculiari di tale disciplina.
Gli Stati Membri possono prevedere delle eccezioni a tali diritti soltanto dopo aver effettuato una valutazione dettagliata che tenga conto della tipologia di individui che saranno soggetti al trattamento, delle modalità con cui gli stessi saranno stati informati del trattamento e, infine, di come potrebbero concretamente esercitare i loro diritti. Inoltre, tali eccezioni sono esclusivamente consentite quando previste espressamente dalla legge.
Come già statuito dalla normativa relativa ai diritti fondamentali, essenziale è una adeguata informazione dei cittadini in merito all’esistenza del trattamento ed ai diritti che spettano loro. L’art. 13.1 della Direttiva precisa le informazioni minime che devono essere fornite ai cittadini, ossia l’identità e le informazioni di contatti del titolare del trattamento, le finalità del trattamento, il diritto di presentare un reclamo all’autorità nazionale di controllo (includendo le informazioni di contatto dell’autorità) e la menzione dell’esistenza dei diritti di accesso, rettifica o cancellazione dei dati personali dell’individuo, oltre che la possibilità per tale soggetto di richiedere una limitazione del suddetto trattamento.
Inoltre, in alcuni casi specifici individuati dalla legislazione nazionale (come potrebbe essere per le TFR, suggerisce l’EDPB), il titolare del trattamento deve informare gli individui in merito alla base giuridica del trattamento, il periodo di conservazione dei dati, le categorie di destinatari dei dati (se possibile) e, infine, fornire ulteriori informazioni relative alle modalità di raccolta dei dati personali nel caso in cui la stessa sia stata realizzata all’insaputa dell’individuo.
Il comma 3 del precitato articolo 13 prevede la possibilità di derogare a tali previsioni unicamente nel caso in cui tale eccezione costituisca una misura necessaria e proporzionata in una società democratica, sempre tenuto conto dei diritti e delle libertà fondamentali dei cittadini stessi.
Il caso francese
Nell’ambito della preparazione dei Giochi Olimpici che avranno luogo a Parigi nell’estate del 2024, il governo francese ha emesso un decreto (Décret n. 2023-283 del 19 aprile 2023) relativo al trattamento di immagini mediante dispositivi di registrazione installati sugli aeromobili per operazioni di polizia. Tale decreto autorizza il ricorso ai droni da parte delle forze dell’ordine e, più in particolare, il trattamento di immagini di individui da parte di queste tecnologie.
Come ricordato nel capitolo precedente, la Direttiva richiede che ogni atto normativo nazionale che preveda l’applicazione di queste tecnologie sia presentato e discusso davanti all’autorità di controllo. La Commission National de l’Informatique et des Libertés (CNIL), vale a dire l’autorità di controllo francese, si è pronunciata in merito a tale decreto, fissando alcuni principi essenziali e non derogabili. In tal senso, si ricorda che le valutazioni espresse dalle autorità di controllo non rappresentano un’approvazione dei disegni normativi ma, piuttosto, un insieme di indicazioni e considerazioni che i governi e/o i parlamenti sono invitati a seguire al fine di tutelare i diritti e le libertà fondamentali dei cittadini.
Innanzitutto, la deliberazione della CNIL richiama la lista di finalità per la cui realizzazione è autorizzato l’impiego di droni, così come contenuta nel codice di sicurezza interna francese (CSI). Tali finalità sono: (i) prevenire atti di terrorismo, (ii) prestare soccorso alle persone, (iii) assicurare la sicurezza dei raggruppamenti di individui, come nel caso di manifestazioni pubbliche, e (iv) fornire supporto al personale di terra, per consentire loro di mantenere o ripristinare l’ordine pubblico.
Inoltre, la CNIL sottolinea una serie di garanzie che sono presenti nel decreto e aggiunge alcune raccomandazioni finali, offrendoci una valutazione abbastanza completa della materia e dando vita ad un modello che potrà essere seguito in contesti simili anche da altri paesi europei:
- Il decreto prevede un numero massimo di droni che possono essere autorizzati per dipartimento e descrive le procedure di autorizzazione delle suddette tecnologie;
- I droni non possono comportare la registrazione di suoni né, e soprattutto, un trattamento automatizzato di riconoscimento facciale;
- Le immagini devono essere conservate per una durata massima di sette giorni, fatta eccezione nel caso in cui le stesse siano utilizzate nell’ambito di una procedura giudiziaria, amministrativa o disciplinare;
- I droni non possono riprendere l’interno o le entrate dei domicili, fatta eccezione per circostanze particolari di uno specifico intervento;
- Il ministero dell’interno è tenuto ad informare i cittadini del trattamento delle proprie immagini con i droni attraverso mezzi di informazione appropriati; in particolare, la CNIL consiglia di diffondere tale informazione nell’ambito delle operazioni stesse, per esempio tramite messaggi ripetuti da dispositivi sonori. È fatta ovviamente salva l’eccezione di situazioni in cui l’urgenza, gli obiettivi perseguiti o le condizioni fattuali impediscano tale comunicazione, in quanto la stessa pregiudicherebbe la realizzazione degli obiettivi prefissati.
- Infine, la CNIL invita i vari ministeri coinvolti a preparare linee guida più approfondite dirette alle varie forze dell’ordine che utilizzeranno i droni, in modo da dettagliare ogni situazione e circostanza particolare che potrebbe costituire un’eccezione alle disposizioni generali in materia di protezione dei dati, oltre che includere dettagli ulteriori rispetto alle previsioni, necessariamente generali, contenute nel decreto.
Note bibliografiche:
[1] EDPB, “Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement”, versione 1.0 adottata il 12 maggio 2022.
[2] Corte Europea dei Diritti Umani, Caso Copland contro Regno Unito, 03/04/2007/
[3] Si vedano, in tal senso, i casi C-73/70 (Satakunnan Markkinaporssi e Satamedia); C-594/12 (il c.d. caso “Digital Rights”); C-362/14 (il c.d. caso “Schrems I”).
[4] Come definite al capitolo 1 del presente articolo.
[5] EDPB, “Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement”, versione 1.0 adottata il 12 maggio 2022.
Autrice:
Sara Bonomi