Le telecamere per la videosorveglianza stanno conoscendo un momento di grande successo e diffusione poichè fortemente connesse al tema della sicurezza e della lotta al degrado, soprattutto da quando, lo scorso anno, è stato emanato il decreto per la sicurezza urbana, che ne consente l’utilizzo ai Comuni. Tuttavia, l’uso su larga scala della videosorveglianza pone dei problemi legati alla tutela della privacy dei cittadini ripresi, tanto che l’art. 35 (co.3, lett. c) nel caso di specie) del GDPR (Reg. U.E. 2016/679 sulla protezione dei dati) obbliga alla DPIA (Data Protection Impact Assestment), ossia alla Valutazione d’Impatto sulla Privacy, da effettuarsi prima del trattamento-dati, al fine di verificare la probabilità e gravità del rischio, nonchè le eventuali misure adeguate, da adottarsi alla luce dei principii di minimizzazione e proporzionalità.
Il problema della protezione dei dati personali in relazione alla videosorveglianza viene particolarmente acuito nel caso in cui alle immagini riprese dalle telecamere per la videosorveglianza dovessero applicarsi dei software per il riconoscimento facciale.
Il riconoscimento facciale è un sistema basato sull’identificazione biometrica, ossia sull’esame delle informazioni fornite dalle caratteristiche di un volto (distanza tra le pupille, angolo tra queste e la radice del naso, sporgenza del mento e altre misure facciali) che vengono rielaborate, grazie ad un algoritmo, e confrontate con le immagini contenute in un data base, per individuare una persona ed accedere alle informazioni che la riguardano.
In molti Paesi del mondo, tali software sono in dotazione anche alle forze di polizia; quelle italiane, dal settembre 2018, si avvalgono di un sistema approvato dal Provvedimento del Garante n. 440 del 26/07/2018, il SARI (Sistema Automatico Riconoscimento Immagini), il cui elevato numero di profili nel data base (si parlava di sedici milioni di immagini, anche se in realtà, erano nove) ha persino indotto un deputato ad un’interrogazione in Parlamento.
Sempre in Italia, il riconoscimento facciale é stato utilizzato in occasione di eventi sportivi di particolare importanza e richiamo di pubblico, per riprendere le persone che accedevano agli stadi attraverso i tornelli; le immagini venivano immediatamente confrontate dalle forze di polizia con un data base, per riconoscere i sospetti in caso di eventuali tafferugli durante le partite.
Il potenziale di siffatta tecnologia è elevato: si possono rilevare persino le emozioni delle persone, per sfruttarle a fini di marketing o per individuare i bersagli di campagne pubblicitarie personalizzate, come nel caso di una catena americana di fast food, per esempio, i cui clienti vengono individuati mentre fanno la fila, per suggerire loro i menu preferiti, o nel caso di quell’azienda sudafricana, produttrice di caffè, che aveva installato una macchina in aeroporto in grado di rilevare le persone che sbadigliavano, alle quali veniva, poi, offerta una tazza di caffè!
Tuttavia, la questione dei rischi per la riservatezza, nel nostro Paese, non è ancora particolarmente dibattuta, anzi: da qualche tempo, associazioni di consumatori ed esponenti politici, in linea con parte dell’opinione pubblica, sensibile a certe notizie apprese dai media, hanno avanzato proposte per l’installazione di telecamere in scuole, cliniche e case di riposo, al fine di tutelare le categorie più deboli. Il decreto “sblocca cantieri” (D.L. n. 32/19) prevede, a tal fine, l’istituzione di un fondo per finanziare l’installazione delle telecamere nelle strutture sopracitate e in alcune città le amministrazioni comunali avevano già avviato in precedenza forme di incentivazione per chi intende dotarsi, nelle abitazioni e nei luoghi di lavoro, di telecamere di sicurezza collegate alle centrali operative delle forze dell’ordine.
Negli U.S.A., invece, la nuova tecnologia del riconoscimento facciale nei sistemi di videosorveglianza inizia ad essere oggetto di dibattito politico, poichè potrebbe degenerare (se non adeguatamente disciplinata) in forme di controllo sociale di massa, nonchè esasperare le tensioni sociali, in quanto sfruttabile a danno delle minoranze: l’alto margine di errore che si è osservato in tali sistemi, infatti, riguarda soprattutto donne e minoranze etniche; per questi motivi, le città di San Francisco, Somerville ed Oakland, ne hanno vietato l’uso sui propri territori, ammettendoli solo nei porti e negli aeroporti.
Un ulteriore problema tecnico riguarda l’attendibilità dell’archivio delle foto segnaletiche, che devono essere mantenute aggiornate; o la possibile creazione di data base (e conseguente vendita) con dati biometrici; peraltro, si tratta della stessa tecnologia alla base di diversi sistemi di riconoscimento della persona: dall’impronta digitale per accendere lo smartphone o entrare in banca, all’iride dell’occhio per aprire porte blindate, al tono di voce per fare altre operazioni.
Se dovessimo sintetizzare con quattro domande i problemi che il riconoscimento facciale crea alla privacy di ogni cittadino, dovremmo domandarci:
- Esiste un data base dei nostri volti?
- Quanti ve ne sono contenuti?
- Chi li può visionare?
- Per quali finalità sono utilizzati e per quanto tempo?
In Italia, la materia è riconducibile alla disciplina del GDPR (Regolamento U.E. n. 2016/679), del D. Lgs. n. 196/2003 (Codice della Privacy) come modificato dal D. Lgs. n. 101/2018, e del Provvedimento del Garante della Privacy, dell’8 aprile 2010, sulla videosorveglianza (1). Quando l’uso delle telecamere o di altre tecniche di riconoscimento facciale è finalizzato alle attività di polizia giudiziaria e di pubblica sicurezza, il riferimento normativo è costituito, invece, dalla Direttiva U.E. n. 2016/680 e dal D.Lgs. n. 51/2018, di attuazione (2).
Con riferimento alla disciplina del GDPR, va sottolineato che per il trattamento dei dati biometrici è sempre necessario il consenso dell’interessato, salvo che la legge nazionale non lo escluda (art. 9, co. 4, GDPR) per motivi di rilevante interesse pubblico, motivi sanitari o di ricerca scientifica, storica, archivistica e statistica. Diversamente, il trattamento di dati biometrici è vietato in tutti gli Stati dell’Unione Europea.
In Italia, l’art. 2 septies del D. Lgs. n. 101/2018 (che ha modificato il Codice Privacy) prescrive che il trattamento dei dati biometrici possa essere effettuato solo nei casi previsti dall’art. 9, co. 2, GDPR (sopra elencati) e rispettando le misure di garanzia disposte dal Garante. A tutt’oggi, tali misure non sono state adottate; pertanto, come dispone l’art. 22, co. 11, del D. Lgs. n. 101/2018, per i trattamenti relativi a dati biometrici, nell’attesa delle predette misure, continua a trovare applicazione la vecchia normativa del Codice della Privacy, ossia la necessità del consenso dell’interessato.
Ripetiamo: questo, per i trattamenti di dati biometrici al di fuori delle finalità di polizia giudiziaria, di pubblica sicurezza e di giustizia, per le quali opera una diversa normativa, come sopra riportato.
Occorre assolutamente costruire un’etica digitale, intervenendo sulla cultura di una società che si rapporta quotidianamente a certi strumenti; oltre alla disciplina normativa, naturalmente; gli effetti della tecnologia sulla società sono rapidi, imprevedibili e, a volte, precedono l’adozione di norme. Pertanto, è importante che diventiamo tutti più consapevoli dei rischi che corriamo nell’utilizzare con disinvoltura certi strumenti.
Il diritto alla privacy e alla protezione dei dati è un diritto fondamentale, riconosciuto da convenzioni internazionali, norme U.E. e diritto statale: va assolutamente contemperato col diritto alla sicurezza, trovando l’equilibrio che non penalizzi nè l’uno nè l’altro, ma tuteli noi cittadini in entrambi gli ambiti.
Note
(1) In tema di riconoscimento facciale, segnaliamo il provvedimento del Garante n. 155 del 15/03/2018, web n. 8789277, con cui si autorizza l’Aeroporto di Fiumicino all’uso di telecamere con riconoscimento facciale, ma impartendo delle prescrizioni.
(2) In materia di diritto penale l’U.E. non ha competenze, in quanto la materia è coperta da riserva assoluta di legge statale; pertanto, l’unica fonte europea ammessa è la direttiva, che vincola lo Stato solo al risultato da raggiungere, lasciando ad esso la scelta della forma e dei mezzi; il regolamento, fonte dettagliata e direttamente applicabile, sic et simpliciter, in tutti i suoi elementi, non può disciplinare fattispecie di rilievo penalistico.
