Riconoscimento facciale: pubblicate le nuove Linee Guida dell’EDPB 5/2022

Il Comitato europeo per la protezione dei dati (“EDPB”), ha pubblicato le Linee guida 5/2022 sulle problematiche privacy nell’uso della tecnologia di riconoscimento facciale da parte delle forze dell’ordine.

Di seguito riportiamo le previsioni più rilevanti delle linee guida del EDPB sul riconoscimento facciale.

Tecnologie di riconoscimento facciale

Il riconoscimento facciale rappresenta una delle invenzioni tecnologiche più innovative e rivoluzionarie del nostro tempo nel campo della ICT: si tratta di una tecnica biometrica impiegata per identificare in modo univoco un soggetto sulla base dei suoi connotati facciali.

La tecnologia del riconoscimento facciale (o, facial recognition technology, “FRT”) può avere varie applicazioni: può essere utilizzata per (i) realizzare i “filtri” di alcuni famosi social network, e per arricchire i volti con elementi di augmented reality; (ii) sbloccare i propri dispositivi, e utilizzare il proprio volto come password; e (iii) identificare di un soggetto per ragioni di sicurezza, mediante algoritmi in grado di attingere da un vasto database di volti.

Tuttavia, questa tecnologia è particolarmente invasiva e quindi puà comportare delle problematiche rilevanti ai sensi della normativa privacy.

Linee guida 5/2022 del EDPB sul riconoscimento facciale

L’EDPB ha adottato le Linee guida 5/2022 sul riconoscimento facciale al fine di approfondire le tematiche che le FRT possono porre da un punto di vista tecnologico, essendo strumenti che possono essere impiegati sia nel pubblico che nel privato. Quello delle FRT, infatti, è un business che muove miliardi di dollari: si stima infatti che entro il 2024 questa tecnologia sarà presente su 1.3 miliardi di dispositivi. Tuttavia, la preoccupazione maggiore la si ha per come le autorità pubbliche potrebbero (e possono) utilizzare le FRT per finalità di sicurezza pubblica e contrasto al terrorismo.

L’EDPB osserva come l’impiego delle FRT può determinare gravi rischi per i diritti dei soggetti interessati rispetto alla conformità con la normativa sul trattamento dei dati personali, e questo potrebbe determinare varie possibili violazioni della Carta dei Diritti Fondamentali dell’Unione Europea da parte deli Stati membri nell’uso pubblico di tali tecnologie:

  • 1, 10, 11 e 12 della Carta: il raccoglimento di dati biometrici potrebbe determinare delle discriminazioni degli individui, visto che verrebbero effettuate catalogazione per categorie etniche, razziali, o religiose;
  • 52 e 53 della Carta: le limitazioni all’esercizio dei diritti devono essere previste per legge (Art. 52 della Carta); ma deve esservi corrispondenza tra i diritti sanciti dalla Carta e i diritti posti dalla Convenzione Europea per i Diritti dell’Uomo. Pertanto, le FRT possono essere previste per legge (Art. 53 della Carta). Questo significa che l’impiego delle FRT può essere previsto per legge solo strettamente necessario, e sotto il controllo vigile delle autorità garanti.

L’EDPB ribadisce e riconosce l’importanza dell’utilizzo di tali strumenti per questioni di sicurezza, ma chiede che prima dell’impiego delle FRT venga fatta una valutazione in merito ai requisiti di necessità e proporzionalità come disposto dall’art. 52, par. 1, della Carta. Inoltre, l’EDPB richiede che vi sia un ban generale su tali tipi di strumenti in contesti pubblici nei casi in cui possano determinare discriminazioni tra i soggetti, intervenire sulle loro emozioni o determinare un riconoscimento su larga scala.

L’EDPB, nell’Allegato III, ammette però l’utilizzo delle FRT nel caso di:

  1. riconoscimento facciale alle frontiere, garantita da una verifica umana;
  2. ipotesi di sottrazione dei minori, per recuperare i minori rapiti;
  3. manifestazioni violente per riconoscere i soggetti coinvolti;
  4. ricerca giudiziale di un soggetto sospettato di aver commesso un reato, nel caso in cui il volto sia già stato ripreso;

Seppur limitata, vi è di fatto un’apertura dell’EDPB per tali strumenti, che potrebbero determinare un avvicinamento a quello che è il modello adottato da stati con regimi differenti da quello europeo. Spetterà dunque alle forze politiche determinare fino a dove si possono spingere le autorità pubbliche, nei limiti di quante concesso dall’EDPB, e dai garanti privacy nazionali.

Su un simile argomento, potrebbe interessarvi “Riconoscimento Facciale e AI: il nuovo report del Parlamento Europeo” e “Riconoscimento facciale e intelligenza artificiale: l’UE pensa ad un divieto