L’Unione Europea ha un obiettivo ben preciso: adottare una disciplina uniforme tra gli Stati Membri in materia di riconoscimento facciale con sistemi di intelligenza artificiale (o IA).

La Commissione Europea, con il Libro bianco sull’intelligenza artificiale del febbraio 2020, ha dichiarato come l’IA sia un’opportunità che il progresso tecnologico fornisce per l’individuazione di soluzioni alle emergenze del nostro tempo (si pensi, ad esempio, alla lotta al cambiamento climatico, ambientale, demografico …). Lo scopo è quello di immettere nel Mercato Unico Europeo prodotti e servizi sempre più affidabili, che rispettino un certo standard di sicurezza e che favoriscano uno sviluppo tecnologico ai settori interessati.

La Commissione, difatti, ha preso atto della grande opportunità di utilizzo sul piano personale, economico ed imprenditoriale dell’intelligenza artificiale, per la quale, tuttavia, non viene ammessa alcuna deroga ai valori ed ai diritti fondamentali propri dell’Unione Europea.

Queste argomentazioni sono state ribadite relativamente all’utilizzo dell’intelligenza artificiale nei sistemi di riconoscimento facciale (che, come vedremo, devono essere ricondotti al più ampio concetto di “identificazione biometrica remota”), come risulta dalla Proposta di Regolamento europeo in materia di IA presentata dalla Commissione Europea il 21 aprile 2021.

La definizione di intelligenza artificiale

La Commissione Europea, nella Proposta di Regolamento sull’IA, definisce l’intelligenza artificiale come:

  • un insieme di tecnologie in rapida evoluzione che possono comportare numerosi benefici al settore industriale e sociale della società in cui viviamo;
  • una opportunità che fornisce vantaggi competitivi alle aziende operanti nel Mercato Unico europeo ed, in generale, all’economia dell’UE.

Non meno importate è altresì la definizione di intelligenza artificiale che troviamo nel Libro Bianco, e che potrà influenzare ancora il testo finale del Regolamento. Qui l’IA è definita come un insieme di software (e hardware) progettati dall’uomo che, attraverso un sistema di acquisizione ed elaborazione dati in una dimensione fisica o digitale, individua le migliori azioni per il raggiungimento di un obiettivo prefissato.

L’intelligenza artificiale e la protezione dei dati personali

La Commissione Europea ha più volte sottolineato come un utilizzo indisciplinato dell’intelligenza artificiale possa comportare rischi per i diritti alla privacy ed alla protezione dei dati personali, per la non discriminazione delle persone, nonché problematiche in tema di sicurezza e responsabilità.

Questa preoccupazione trova un’ulteriore giustificazione se si pensa che, sempre più spesso, i cittadini e le aziende prendono decisioni mediante l’utilizzo (o aiuto) di strumenti di intelligenza artificiale che – per loro natura – sono portati a processare un gran numero di dati (anche personali). Un settore dove l’applicazione dell’IA è già molto diffusa è, ad esempio, quello della selezione del personale, di cui abbiamo parlato in questo articolo.

La Commissione, già con il Libro Bianco, aveva sottolineato che:

Sul punto, la Proposta di Regolamento UE sull’IA ha evidenziato come le suddette problematiche siano riscontrate anche (e soprattutto) in relazione all’utilizzo di strumenti per il riconoscimento facciale.

Cos’è il riconoscimento facciale tramite intelligenza artificiale?

I sistemi di riconoscimento facciale si inseriscono nel ben più ampio concetto di “identificazione biometrica remota”.

Quest’ultima viene definita dalla Proposta di Regolamento europeo in materia di IA come un sistema di intelligenza artificiale volto all’identificazione dei soggetti attraverso il confronto dei loro dati biometrici con dati contenuti in una banca dati di riferimento.

In altre parole, l’identificazione biometrica remota è un sistema che, attraverso l’uso dell’intelligenza artificiale, identifica una persona mediante il confronto tra le sue caratteristiche fisiologiche (il volto, l’impronta digitale, il DNA, la retina ed il colore dell’occhio, la mano, l’altezza, il peso,…) o comportamentali (il timbro di voce, la firma, il modo di scrivere…) con dati già archiviati in una banca dati.

Si pensi, ad esempio, al riconoscimento di una persona attraverso il confronto tra il proprio DNA e quello presente in un database. Oppure, si consideri il riconoscimento di un soggetto attraverso il confronto tra la fisionomia del suo volto ed i volti presenti in una banca dati. Per saperne di più, leggi anche il nostro articolo sull’identificazione biometrica dei dipendenti e sui suoi requisiti.

Le regole europee sul riconoscimento facciale tramite intelligenza artificiale

Le linee guida del White Paper

La Commissione Europea ha adottato la Proposta di Regolamento sull’IA con lo scopo di uniformare ed armonizzare la disciplina tra gli Stati Membri.

Obiettivo, questo, già fissato nel Libro Bianco, con riguardo all’utilizzo dei dati biometrici nei sistemi di identificazione biometrica. Infatti, dal Libro Bianco era emerso che:

  • la raccolta e l’utilizzo di dati biometrici per una identificazione remota (tra cui il riconoscimento facciale) comporta numerosi rischi per la protezione dei diritti fondamentali;
  • le norme europee vietano il trattamento dati biometrici (ad eccezione di ipotesi tassativamente indicate e, comunque, coinvolgenti interessi pubblici rilevanti);
  • il trattamento dati biometrici è soggetto ai limiti della Carta dei Diritti Fondamentali UE, essendo una eccezione ad un generale divieto stabilito a livello comunitario;
  • in conformità con la Carta dei diritti fondamentali dell’UE e delle norme in materia di privacy e trattamento dati, l’IA potrebbe essere utilizzata per identificazioni biometriche remote solo se l’uso fosse giustificato e puntualmente garantito.

La proposta di Regolamento europeo sull’intelligenza artificiale

La Proposta di Regolamento europeo sull’IA (facendo proprie le argomentazioni e perplessità indicate nel Libro Bianco) ha qualificato i sistemi di identificazione biometrica remota come “ad alto rischio”.

La Commissione Europea sottolinea come l’uso di tali sistemi in tempo reale debba essere vietato se non per casi specificamente indicati, che riguardino interessi pubblici particolarmente rilevanti.

Nello specifico, l’articolo 5 della Proposta di Regolamento sull’IA (inserito nel Titolo II: “Pratiche di Intelligenza Artificiale vietate”) vieta l’uso di sistemi di identificazione biometrica remota, salvo che per i casi tassativamente elencati:

  • ricerca di potenziali vittime di reati, tra cui bambini scomparsi;
  • prevenzione ad una minaccia all’incolumità fisica delle persone;
  • individuazione, localizzazione ed identificazione di un autore di reato o sospettato di aver commesso un reato punibile da uno Stato Membro mediante pena detentiva o ordine di detenzione per un massimo di 3 anni.

Le perplessità del Garante Europeo e il divieto di riconoscimento facciale a distanza nei luoghi pubblici

Nel suo comunicato del 24 aprile 2021, il Garante Europeo per la Protezione dei Dati (GEPD) ha dichiarato di accogliere con favore la volontà dell’Unione Europea di adottare un regolamento sull’intelligenza artificiale che fornisca un quadro normativo uniforme tra tutti i Paesi dell’Unione.

La necessità del rispetto dei diritti su cui l’UE si è da sempre fondata, tuttavia, ha portato il Garante Europeo a sottolineare come la Commissione Europea non abbia riscontrato le preoccupazioni dallo stesso sollevate in tema di identificazione biometrica a distanza (tra cui anche il riconoscimento facciale).

Il Garante Europeo – sul punto – ritiene che debba essere adottata una disciplina estremamente rigorosa, tenuto conto di come il c.d. “riconoscimento automatizzato negli spazi pubblici” (che coinvolge – come abbiamo visto – i volti, l’andatura delle persone, il DNA, la voce, …) possa determinare una eccessiva intrusione nella vita privata dei soggetti coinvolti. Intrusione che – a detta dell’Autorità – è “non democratica”.

Sulla base di tali perplessità, il GEPD ha evidenziato che provvederà a cooperare con il legislatore europeo al fine di scongiurare eventuali rischi per i diritti fondamentali dei cittadini europei.

La posizione del Garante Privacy italiano sul riconoscimento facciale

Già nel febbraio 2020 il Garante della privacy italiano era intervenuto nei confronti di un Comune che aveva installato un sistema di videosorveglianza con funzioni di riconoscimento facciale, con la dichiarata finalità di consentire alle Forze dell’Ordine di identificare persone soggette ad indagine e/o scomparse, di rilevare situazioni di pericolo, e di individuare automaticamente furti di oggetti nelle aree sottoposte a controllo.

L’Autorità, con il provvedimento n. 54 del 26 febbraio 2020, aveva affermato due principi fondamentali:

  • l’inapplicabilità al caso di specie delle norme indicate nella valutazione di impatto sulla protezione dati effettuata dal Comune coinvolto (tra cui: Legge n. 38/2009, Direttiva UE n. 2016/680, Reg. UE n. 2016/679, D. Lgs. n. 101/2018), trattandosi di disposizioni che non riguardano una specifica normativa relativa alla raccolta dati biometrici (ai sensi dell’art. 7 D. Lgs. n. 51/2018);
  • che le informazioni funzionali alla raccolta dati dei soggetti interessati e coinvolti in esigenze investigative ai sensi dell’articolo 349 c.p.p. devono essere effettuate solo a fronte di una idonea previsione normativa (ai sensi dell’art. 7 D. Lgs. n. 51/2018) non ancora presente nel nostro ordinamento.

Il riconoscimento facciale mediante il sistema di intelligenza artificiale “SARI Real Time”

Un altro importante intervento del Garante Privacy Italiano in materia di trattamento dati biometrici è avvenuto con il provvedimento n. 127 del 25 marzo 2021.

L’Autorità italiana era stata interpellata con riguardo al funzionamento di SARI Real Time, sistema che consente alle forze di Polizia di analizzare i volti dei soggetti ripresi in una certa zona e confrontarli quelli archiviati in una banca dati (definita “watch-list”).

Il Garante italiano ha affermato:

  • l’utilizzo di queste tecnologie per la prevenzione e repressione di reati è oggetto di particolari attenzioni da parte del legislatore, essendo sistemi intrusivi nella vita privata e nella dignità delle persone;
  • tali tecnologie realizzano un trattamento automatizzato che può riguardare anche persone (presenti in manifestazioni politiche o sociali) non soggette all’attenzione delle Forze di Polizia (dati che, secondo la valutazione di impatto, verrebbero successivamente cancellati);
  • il sistema SARI Real Time, utilizzato per il perseguimento di finalità di prevenzione di reati o minacce, rientra nel campo applicativo del D. Lgs. 51/2018, secondo cui tali trattamenti devono trovare una giustificazione normativa;
  • il D. Lgs 51/2018, nonostante preveda l’uso di tale trattamento, non ne costituisce una disposizione legittimante, dichiarando – diversamente – come l’utilizzo debba essere autorizzato da una norma europea o nazionale;
  • la legittimazione all’utilizzo dei suddetti sistemi non può neppure essere rinvenuta nel D.P.R. n. 15/2018, in cui viene disciplinato il trattamento dati mediante videosorveglianza, strumenti audio, video e di ripresa fotografica, ma non anche dati biometrici;
  • non esiste alcuna norma che legittimi l’uso ed il trattamento di dati biometrici raccolti mediante sistemi come quello di SARI Real Time.

Quest’ultimo provvedimento è particolarmente importante in quanto ribadisce la necessità che il trattamento dati biometrici e l’identificazione biometrica remota (tra cui il riconoscimento facciale) tramite sistemi di intelligenza artificiale debbano essere disciplinati con uno specifico intervento normativo.