privacy

Riconoscimento facciale, il Gdpr non basta a tutelarci: ecco i rischi

I rischi per i diritti e le libertà degli individui legati all’uso sempre più invasivo di sistemi di riconoscimento facciale e e ai successivi processi di elaborazione sono elevati, soprattutto quando la loro applicazione avviene oltre i confini Ue. Le tutele del Gdpr non bastano e l’attenzione delle istituzioni è alta

26 Set 2019
Francesco Maldera

Data Protection Officer e Data Specialist


L’attenzione per i sistemi di riconoscimento facciale e gli eventuali e successivi processi di elaborazione si sta intensificando: i rischi per i diritti e le libertà degli individui sono elevati, soprattutto quando la loro applicazione avviene oltre i confini Ue.

Le prescrizioni del GDPR non sono sufficienti: nel mettere in cantiere le nuove norme, le istituzioni europee dovrebbero infatti definire con precisione gli ambiti applicativi e predisporre misure effettive per contrastare gli usi impropri da parte di titolari giganti, siano essi OTT o governi nazionali.

Facciamo il punto sui rischi legati all’utilizzo sempre più pervasivo di tali sistemi, sul dibattito in corso nella Ue e sulle tutele previste dalle normative e dalle Linee guida in vigore.

Come funziona il riconoscimento facciale

Il riconoscimento facciale automatico (d’ora in poi semplicemente riconoscimento facciale) è un processo che:

  • analizza un’immagine digitale del viso di una persona;
  • estrae dall’immagine un pattern significativo ed unico (nel senso che identifica un solo individuo), composto da una serie di caratteristiche tradotte, a loro volta, in formato digitale;
  • memorizza il pattern corrispondente all’immagine;
  • usa i pattern memorizzati per confrontarli con le caratteristiche estratte da altre immagini digitali del viso.

I (ris)volti di questa tecnica, come li abbiamo chiamati in un facile gioco di parole, possono essere molteplici e sono, di solito, classificati con riguardo alla identità nota del soggetto o rispetto agli scopi che si vogliono perseguire.

Il riconoscimento automatico facciale, quindi, può essere eseguito associando sin da subito il pattern ad altri dati corrispondenti all’identità del soggetto; per esempio, come accade in alcuni paesi, nel caso in cui siano sottoposti a riconoscimento i soggetti detenuti. In altri casi, invece, può essere utile effettuare il riconoscimento anche senza sapere a priori chi è effettivamente il soggetto cui si riferisce il pattern (per esempio, per capire se un certo individuo, di cui non si posseggono ancora le generalità ma di cui si hanno le immagini del volto, è presente in alcune videoriprese relative ad un certo luogo e ad una certa ora).

Lo scopo finale del riconoscimento, invece, può essere vario ma le due macroaree di utilità sono:

  • l’interesse pubblico (per esempio, per la prevenzione e la repressione dei reati, con o senza conoscere l’identità di un soggetto);
  • lautenticazione ovvero quel processo che consente di confermare che un soggetto è davvero chi dichiara di essere; in realtà, nella dottrina informatica classica l’autenticazione è preceduta dall’identificazione ovvero dal processo che consente al soggetto che vuole accedere ad un sistema informativo di dichiarare (solo dichiarare) la propria identità; ebbene, il riconoscimento facciale, come le altre tecniche di riconoscimento basate su dati cosiddetti biometrici, consente (anche se non sempre accade) di eseguire identificazione ed autenticazione in un’unica fase.

Il riconoscimento facciale nel GDPR e nel nuovo codice

Il riconoscimento facciale è un processo di trattamento di dati personali che, nello specifico, rientrano nell’ambito dei dati biometrici ovvero nei “dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici” (art. 4 par. 1 n. 14). Il riconoscimento facciale, quindi, è vietato in virtù di quanto previsto dal primo paragrafo dell’art. 9 del GDPR.

WHITEPAPER
Quali elementi considerare per capire se si è vulnerabili agli hacker?
IoT
Sicurezza

Esistono, com’è noto, le deroghe al divieto, espresse dal successivo paragrafo 2 dello stesso art. 9. Alcune di queste basi giuridiche di liceità del trattamento sono difficilmente impiegabili nel riconoscimento facciale: per esempio, è difficile, nel nostro ordinamento, che possa essere reso obbligatorio il riconoscimento facciale nell’ambito del diritto del lavoro. Altre, invece, sono più idonee a garantire la liceità del trattamento (per esempio, il consenso – lettera a par. 2 – o l’interesse pubblico rilevante – lettera g par. 2).

Peraltro, il paragrafo 4 dell’art. 9 consente agli Stati membri di fissare regole più stringenti per il trattamento dei dati biometrici (oltre che dei dati genetici e riguardanti la salute). L’Italia ha dato concretezza a questa possibilità attraverso il nuovo art. 2‑septies introdotto nel D.Lgs. 196/2003 (d’ora in poi Codice) che prevede la possibilità per il Garante per la Protezione dei Dati Personali di stabilire specifiche misure di garanzie (per il momento ancora non emanate) per il trattamento dei dati biometrici e, quindi, anche per i dati trattati nell’ambito del riconoscimento facciale.

I rischi aumentati del riconoscimento facciale

La ragione di questo intenso interesse regolatorio per i dati biometrici è facilmente intuibile. Tuttavia, è doveroso precisare che il trattamento dei dati nel processo di riconoscimento facciale espone gli interessati a specifici rischi non riscontrabili nel trattamento di altri dati biometrici (per esempio, impronte digitali o scansione dell’iride). Tra questi, i più rilevanti sono:

  • la geolocalizzazione indotta e sistematica dell’interessato; se il riconoscimento facciale è associato ad un sistema di videosorveglianza diffuso (quale può essere quello impiegato dalla Polizia Locale di un Comune) è possibile che siano tracciabili e memorizzabili gli spostamenti che l’interessato sviluppa nell’ambito cittadino; questo, quindi, diventa un trattamento ulteriore che può presentare rischi elevati per i diritti e le libertà delle persone;
  • la profilazione dell’interessato; se il riconoscimento facciale è effettuato nell’ambito di un negozio, può essere possibile tracciare le reazioni dell’interessato rispetto a specifici prodotti anche al fine di fornirgli pubblicità personalizzata tramite i monitor disseminati nel negozio stesso.

Questi rischi aumentati sono dovuti alla circostanza che la faccia dell’interessato è un dato facilmente accessibile (da qualsiasi smartphone) ed analizzabile (da appositi software oggi disponibili a chiunque, anche in modalità open source) diversamente da altre caratteristiche fisiche dalle quali è possibile ottenere dati biometrici: per esempio, difficilmente possiamo accedere alle impronte digitali di un soggetto o alle caratteristiche grafometriche della firma.

Riconoscimento facciale e intelligenza artificiale

Ai rischi insiti nel riconoscimento facciale occorre sommare le eventuali elaborazioni che possono aggiungersi al semplice confronto e che sono possibili grazie all’applicazione di tecniche di intelligenza artificiale. Un esempio estremo è già in esercizio in Cina: sembra che alcune scuole abbiano posizionato nelle aule sistemi di videoripresa degli allievi e che le immagini siano sottoposte ad elaborazione intelligente per comprendere, dall’espressione cangiante dei volti, le reazioni dei bambini all’insegnamento e la loro capacità di apprendimento.

È evidente che questo tipo di trattamento va oltre il semplice riconoscimento e, se possibile, va oltre la profilazione perché ha caratteristiche ancora più invasive rispetto ad ogni minima manifestazione della personalità dell’individuo.

Il dibattito in ambito europeo

L’attenzione delle istituzioni europee per i rischi che abbiamo esposto è sempre stata molto alta ed ha avuto una significativa evoluzione con l’introduzione del GDPR.

Già a giugno del 2018, a pochi giorni dalla definitiva applicazione del GDPR, Dominique Bilde e Marie‑Christine Boutonnet, due deputate francesi del Parlamento europeo, chiedevano conto alla Commissione delle azioni che intendesse mettere in atto rispetto al riconoscimento facciale introdotto da Facebook nel 2011, ritirato nel 2012 e reintrodotto nel 2018 e garantito, dalla stessa società di Menlo Park, come rispettoso del GDPR. Il 27 agosto 2018, la Commissione Europea, per bocca di Věra Jourová, Commissaria alla Protezione dei Consumatori e all’uguaglianza di genere, rispondeva che il caso ricadeva tra le fattispecie per le quali è necessario, per il titolare, effettuare una valutazione d’impatto sulla protezione dei dati (ex art. 35 del GDPR) ma che la vigilanza su questo obbligo spettava alle singole autorità di controllo nazionali le quali avrebbero potuto avvalersi del meccanismo di cooperazione previsto dallo stesso GDPR.

Il 13 marzo 2019 la deputata olandese Sophia in ‘t Veld, membro della commissione parlamentare Libertà Civili, Giustizia ed Affari Interni, chiedeva alla Commissione di spiegare quale comportamento avesse adottato rispetto alla notizia che il governo statunitense stesse utilizzando, senza il dovuto consenso, le immagini dei volti di turisti (anche europei) per testare un software di riconoscimento facciale. In questo caso, la risposta della Commissione, sempre a cura di Věra Jourová, è stata più evasiva riferendo che non c’erano notizie certe di questo trattamento e che, in ogni caso, l’art. 3 del GDPR (Ambito di applicazione territoriale) avrebbe, comunque, salvaguardato i cittadini europei costringendo il titolare (ovvero il Governo americano) ad applicare integralmente gli obblighi della normativa europea.

Inoltre, già molto prima della definitiva adozione del GDPR, la Commissione Europea, con atto interistituzionale numerato al 0295 del 2016, aveva avviato una proposta di “Regolamento per il controllo delle esportazioni, del trasferimento, dell’intermediazione, dell’assistenza tecnica e del transito di prodotti a duplice uso” rendendosi conto che, evidentemente, l’esportazione di tecnologia avanzata, apparentemente neutra, verso paesi terzi poteva condurre ad un duplice uso spesso in danno dei diritti e delle libertà degli individui. Particolarmente illuminante, in questo senso, è l’ultimo paragrafo del capitolo 3 della relazione accompagnatoria della proposta; vengono, infatti, spiegati gli effetti sui diritti fondamentali degli individui, efficacemente espressi dalla frase “Negli ultimi anni sono state tuttavia numerose le segnalazioni relative a tecnologie di sorveglianza informatica esportate in paesi con regimi repressivi e/o in zone di conflitto e usate impropriamente in violazione dei diritti umani”. Purtroppo, la proposta di Regolamento è ancora in discussione presso il Consiglio dell’Unione Europea che ne ha avviato la discussione finale nello scorso mese di giugno.

Evidentemente, l’interesse persistente per la tecnologia e l’uso del riconoscimento facciale ha indotto le istituzioni europee a considerare prioritaria un’attività legislativa in questo specifico ambito. Nella seconda metà dello scorso agosto, infatti, il Financial Times ha pubblicato un’indiscrezione proveniente dai corridoi di Bruxelles: l’Unione Europea ha intenzione di avviare una proposta legislativa tesa a regolare con maggiore incisività l’uso del riconoscimento facciale.

Le linee guida del’EDPB

L’intervento legislativo dovrebbe agire come strumento politico per restringere gli ambiti di applicazione del riconoscimento facciale visto che, dal punto di vista operativo, con riferimento all’applicazione del GDPR, il Comitato Europeo per la Protezione dei Dati Personali (EDPB), ha già fornito le dovute indicazioni ai titolari che dovessero associare a sistemi di videosorveglianza anche strumenti di riconoscimento facciale. Infatti, nella riunione plenaria di luglio scorso, l’EDPB ha adottato in via definitiva le Linee guida per il trattamento di dati tramite sistemi di videosorveglianza; il capitolo 5 del documento si occupa specificatamente del trattamento di particolari categorie di dati personali e, tra queste, dei dati biometrici. La prima, e forse più importante, indicazione è che per questo tipo di trattamento è auspicabile, come abbiamo già detto, il consenso dell’interessato come base giuridica di liceità quando il titolare è un soggetto privato.

Un’altra indicazione riguarda il periodo di conservazione delle caratteristiche estratte per effettuare il confronto con il pattern precedentemente memorizzato e, quindi, riconoscere o non riconoscere un individuo: tali dati, ordinariamente, devono essere cancellati non appena si conclude la fase di confronto. Questa indicazione, pur essendo di natura operativa, esclude, di fatto, la possibilità di utilizzo di sistemi di intelligenza artificiale e trattamenti a scopo di profilazione se non con uno specifico consenso da parte dell’interessato. In casi come questi, quindi, il consenso deve essere doppio: uno riguardante l’utilizzo di dati biometrici a scopi di riconoscimento e l’altro per l’utilizzo degli stessi dati a scopi di elaborazioni successive o di profilazione.

On demand
Il racconto di Carlo Cottarelli e Brunello Cucinelli. Rivivi il Think Digital Summit
Cloud
Risorse Umane/Organizzazione

Una misura di riduzione del rischio che l’EDPB ritiene fondamentale, peraltro già nota agli addetti ai lavori perché presente nelle Linee guida in materia di riconoscimento biometrico e firma grafometrica allegate al provvedimento n. 513/2014 del Garante per la Protezione dei Dati Personali, riguarda il supporto di memorizzazione del pattern con il quale verranno successivamente confrontati i template rilevati in occasione di ciascun confronto finalizzato al riconoscimento. L’EDPB auspica che il pattern sia memorizzato in un dispositivo che rimanga nella esclusiva disponibilità dell’interessato (il suo smartphone o su una scheda plastificata) oppure, qualora questo non fosse possibile, in un database opportunamente cifrato la cui chiave di decifratura sia nella disponibilità di specifici soggetti debitamente autorizzati e formati da parte del titolare.

@RIPRODUZIONE RISERVATA

Articoli correlati