Riconoscimento facciale: Sari Real Time non è conforme alla normativa sulla privacy

20 Aprile 2021

S.A.R.I., cosa è e come funziona

Il Dipartimento di pubblica sicurezza del Ministero dell’Interno (il “Ministero”), nell’ambito delle attività di gestione dell’ordine e mantenimento della sicurezza pubblica, ha proposto l’utilizzo del sistema “S.A.R.I. Real Time” (cd. Sistema Automatico Riconoscimento Immagini, di seguito il “Sistema”) che consente, attraverso una serie di telecamere installate in un’area geografica predeterminata e delimitata, di analizzare in tempo reale i volti dei soggetti ivi ripresi, confrontandoli con una banca dati predefinita per lo specifico servizio (cd. “watch-list”), la cui grandezza è di massimo 10 mila volti.

Con particolare riferimento al funzionamento del Sistema, il Ministero ha specificato che, ove venga riscontrata – attraverso un algoritmo di riconoscimento facciale – una corrispondenza tra un volto presente nella watch-list e un volto ripreso da una delle telecamere, il Sistema è in grado di generare un alert che richiama l’attenzione degli operatori delle Forze di Polizia. Inoltre, il Sistema consente di registrare i flussi video delle telecamere, svolgendo quindi anche un’attività di videosorveglianza.

Pertanto il Sistema, progettato e sviluppato come soluzione mobile tale da poter essere installata direttamente presso il sito dove sorge l’esigenza di disporre della tecnologia di riconoscimento facciale (ad esempio, durante una manifestazione pubblica), ha lo scopo (inter alia) di coadiuvare le Forze di Polizia nella gestione dell’ordine e della sicurezza pubblica.

Alla luce di quanto sopra, si evince che l’implementazione del Sistema si basa sul trattamento di dati di categoria particolare e, principalmente, sul trattamento dei dati biometrici, di quelli idonei a rivelare le opinioni politiche o l’appartenenza sindacale il cui trattamento è soggetto a condizioni specifiche, tra le quali quella di dover essere “specificatamente previsto dal diritto dell’Unione europea o da legge o, nei casi previsti dalla legge, da regolamento[1].

Pertanto, considerati i trattamenti dei dati personali sottesi all’implementazione del Sistema, il Ministero ha inviato all’Autorità Garante per la protezione dei dati personali (il “Garante Privacy” o l’“Autorità”) una richiesta di parere in merito alla legittimità del predetto Sistema.

Così, lo scorso 16 aprile 2021, l’Autorità – dopo un’attenta analisi della documentazione fornita dal Ministero, corredata altresì da una valutazione di impatto eseguita ai sensi dell’art. 35 del Regolamento UE 2016/679 (“GDPR”) – ha espresso un parere non favorevole in merito all’utilizzo del Sistema da parte del Ministero in quanto, tale Sistema, oltre ad essere privo di una base giuridica che legittimi il trattamento automatizzato dei dati biometrici per il riconoscimento facciale a fini di sicurezza, realizzerebbe – così come progettato dal Ministero – una forma di sorveglianza indiscriminata/di massa.

L’utilizzo di S.A.R.I. e la possibile sorveglianza universale

D’accordo con quanto stabilito dalle linee guida del Consiglio d’Europa in materia di riconoscimento facciale, l’Autorità ritiene che l’utilizzo di tecnologie di riconoscimento facciale per finalità di prevenzione e repressione dei reati sia un tema che debba essere trattato con estrema delicatezza.

Nel caso di specie, il Garante Privacy pone l’accento sul fatto che l’utilizzo del Sistema realizzerebbe un trattamento di dati personali automatizzato su larga scala che può riguardare, tra l’altro, anche individui presenti a manifestazioni politiche e sociali, i quali non sono, di per sé, oggetto di “attenzione” da parte delle forze di Polizia.

Infatti, sebbene nella valutazione di impatto presentata dal Ministero, quest’ultimo ha sostenuto che le immagini dei partecipanti venissero immediatamente cancellate, l’identificazione di una persona sarebbe comunque realizzata attraverso il trattamento dei dati biometrici di tutti coloro che sono presenti nello spazio monitorato, allo scopo di generare modelli confrontabili con quelli dei soggetti inclusi nella watch-list.

In tal modo, secondo quanto osservato dall’Autorità, non si tratterebbe più di una semplice attività di sorveglianza mirata di alcuni individui ma, al contrario, si realizzerebbe un’attività di sorveglianza universale allo scopo di identificare, tra molti, solo alcuni individui.

La mancanza di un’idonea base normativa volta a legittimare l’utilizzo del Sistema

Ed è proprio a causa della forte interferenza della predetta attività con la vita privata degli individui (tutelata, inter alia, dall’art. 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali) che la normativa in materia di protezione dei dati personali stabilisce rigorose cautele per i trattamenti di dati biometrici e per particolari categorie di dati (ad esempio, quelli idonei a rivelare opinioni politiche, sindacali, religiose, orientamenti sessuali), i quali devono trovare giustificazione in una adeguata base giuridica che, nel caso di specie, non è stata rinvenuta nella documentazione fornita dal Ministero.

Infine, secondo il parere del Garante Privacy, al fine di poter individuare una base giuridica adeguata per questa tipologia di trattamenti, si dovrebbe tener conto di tutti i diritti e le libertà coinvolte dal trattamento stesso e definire le specifiche situazioni in cui è possibile l’utilizzo di tali sistemi, senza lasciare ampia discrezionalità a chi lo utilizza.

Ciò vale anche per altri aspetti fondamentali dell’impiego della tecnica di riconoscimento facciale, come i criteri di individuazione dei soggetti che possono essere inseriti nella watch-list, le conseguenze in caso di falsi positivi o la piena adeguatezza del Sistema nei confronti di persone appartenenti a minoranze etniche.

 

[1] Art. 7 del D.lgs. 51/2018 recante l’attuazione della Direttiva (UE) 2016/680.

2024 - Morri Rossetti

I contenuti pubblicati nel presente sito sono protetti da diritto di autore, in base alle disposizioni nazionali e delle convenzioni internazionali, e sono di titolarità esclusiva di Morri Rossetti e Associati.
È vietato utilizzare qualsiasi tipo di tecnica di web scraping, estrazione di dati o qualsiasi altro mezzo automatizzato per raccogliere informazioni da questo sito senza il nostro esplicito consenso scritto.
Ogni comunicazione e diffusione al pubblico e ogni riproduzione parziale o integrale, se non effettuata a scopo meramente personale, dei contenuti presenti nel sito richiede la preventiva autorizzazione di Morri Rossetti e Associati.

cross