Riconoscimento facciale: tra dati biometrici e consenso.
Ecco cosa abbiamo chiesto all’ex Garante Privacy, prof. Pizzetti
by Andrea Moriggi
Una proposta in discussione a San Francisco, la “Stop Secret Surveillance Ordennance” (qui il testo integrale) intende vietare per la prima volta in nord America l’utilizzo di tecnologie di riconoscimento facciale volte a sorvegliare ed identificare i cittadini. E stavolta non si tratta di una proposta volta a limitare lo strapotere dei giganti dell’high-tech, bensì ad evitare potenziali abusi di questo strumento da parte dello Stato.
Ci siamo dunque chiesti se una tale idea possa aver senso anche in Europa, e soprattutto, se il tema della sorveglianza di massa abbia subìto dei mutamenti in seguito all’entrata in vigore del GDPR. Per farlo ci siamo rivolti ad una delle massime autorità in materia di protezione dei dati personali, il prof. Francesco Pizzetti, docente di Diritto Costituzionale all’Università di Torino ed ex Presidente dell’Autorità Garante per la protezione dei dati personali.
Ecco cosa gli abbiamo chiesto:
Ritiene che il GDPR sia in grado di proteggere efficacemente i cittadini contro fenomeni come quello del monitoraggio e la sorveglianza tramite il riconoscimento facciale?
Se parliamo dell’uso di videocamere o altre tecniche di riconoscimento facciale usato per finalità di sicurezza, polizia o persecuzione dei reati, dobbiamo ricordare sempre che questa tematica non è regolata dal GDPR né dalla legislazione nazionale di adeguamento al GDPR, nelle materie in cui è consentito agli Stati di legiferare.
La materia relativa alla tutela dei dati personali nell’ambito delle attività richiamate, infatti, è disciplinato non dal GDPR ma dalla Direttiva 2016/680 alla quale è stata data attuazione in Italia con il d.lgs. n. 51 del 2018.
Questo perché la Dichiarazione 21 allegata al Trattato di Lisbona “relativa alla protezione dei dati personali nel settore della cooperazione giudiziaria in materia penale e della cooperazione di polizia” riconosce che “potrebbero essere necessarie, in considerazione della specificità dei settori della cooperazione giudiziaria in materi penale e della cooperazione di polizia, norme specifiche sulla protezione dei dati personali e sulla libera circolazione di tali dati nei settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia in base all’art. 16 del trattato sul funzionamento dell’Unione Europea“.
Come è noto, l’art. 16 del TFUE è la norma che impone all’Unione di dare applicazione al diritto fondamentale alla tutela dei dati personali riconosciuto dall’art. 8 della Carta dei diritti fondamentali dell’Unione, adottata con forza di Trattato proprio in occasione del Trattato di Lisbona.
Sono queste le ragioni giuridiche per le quali la UE ha adottato una direttiva di armonizzazione in questi settori lasciando agli Stati membri il potere di legiferare con una ampiezza assai maggiore di quanto il GDPR non consenta nell’ambito della sua attività regolatoria.
In questo quadro penso che per le attività di polizia e giustizia la limitazione del riconoscimento facciale debba trovare sede in eventuali innovazioni legislative, anche a correzione dello stesso d.lgs. n. 51 del 2018, che tuttavia non credo probabili allo stato attuale.
A suo avviso l’approccio della proposta in approvazione nella città di San Francisco che mira a vietare per la prima volta in Nord America le tecnologie di riconoscimento facciale per la sorveglianza dei cittadini può essere un modello da seguire anche dal legislatore italiano ed europeo?
Per quanto riguarda l’utilizzazione dei dati biometrici nell’ambito del GDPR, è noto che essi sono ricompresi nel quarto comma dell’art. 9 del GDPR, il quale prevede che per i trattamenti relativi ai dati biometrici e genetici sia sempre necessario il consenso, salvo che la legge nazionale, per motivi di rilevante interesse pubblico o di ricerca scientifica, storica, archivistica o statistica, non disponga altrimenti.
Il d.lgs n.101 del 2018 ha consentito all’art. 110 e 110 bis il trattamento di dati genetici per finalità di ricerca scientifica anche senza consenso. L’art. 2 septies del medesimo d.lgs.n. 101 del 2018, innovando al vecchio Codice privacy, ha previsto inoltre che i trattamenti di dati di cui all’art. 9 quarto comma possano essere effettuati solo nei casi previsti dal comma 2 del medesimo art. 9 e rispettando le misure di garanzia disposte dal Garante.
Allo stato attuale tali misure di garanzia non sono ancora state adottate e dunque vale l’art. 22, comma 11 del d.lsg. n. 101 del 2018, che precisa che fino all’adozione delle misure di garanzia di cui all’art. 2 septies per i trattamenti relativi a dati biometrici e genetici continuano a trovare applicazione le norme del vecchio Codice privacy contenuto nel d.lgs.n.196 del 2003.
Dunque, allo stato per il trattamento delle immagini a fini di riconoscimento facciale delle persone, e dunque con trattamenti chiaramente riferiti a dati biometrici, è necessario senza dubbio il consenso dell’interessato.
Insomma, per quanto riguarda il riconoscimento facciale al di fuori delle finalità di polizia e giustizia non vi è dubbio che la normativa attuale prevede quel medesimo consenso che sembra richiedere la normativa di San Francisco.
Per le attività di riconoscimento facciale per finalità di polizia e giustizia, invece, la normativa è assai più elastica e permissiva.
Personalmente io capisco e condivido le ragioni che sono alla base della iniziativa della città di San Francisco e di altre istituzioni territoriali USA e mi auguro che il dibattito intorno a questi temi si sviluppi in modo ampio e renda tutti più consapevoli degli enormi rischi che la tecnica del riconoscimento facciale, per di più con le molte possibilità di errore e di bias che la caratterizzano, presenta per i diritti e le libertà delle persone.