Il testo (quasi) definitivo dell’AI Act, o per quanto è dato sapere quello che dovrà essere votato nelle prossime settimane, prima dal Consiglio e poi dal Parlamento, sta già creando malcontenti.
Secondo quando riferito dal sito POLITICO, sia alcuni parlamentari che alcune ONG che tutelano i diritti online lamentano che il testo si discosta da quanto era stato alla base dell’accordo di dicembre, all’esito dell’ultimo trilogo, dopo le famigerate 36 ore di negoziazione.
AI Act: l’uso del riconoscimento facciale ex post al centro del contendere
Secondo l’eurodeputata Svenja Hahn, il testo che andrà al voto viola l’accordo dell’8 dicembre che prevedeva l’uso del riconoscimento facciale ex post solo per reati molto gravi, a condizioni molto rigide.
Il pomo della discordia non riguarda, infatti, il riconoscimento biometrico in tempo reale disciplinato dall’articolo 5 sulle pratiche proibite, che è stato oggetto di lunghe e difficili contrattazioni tra il parlamento, che voleva una applicazione più restrittiva per le forze dell’ordine rispetto a quanto previsto dal testo proposto dalla Commissione, e il Consiglio, che all’opposto voleva allargarne le maglie.
Differenze tra riconoscimento biometrico in tempo reale ed ex post
Parliamo, bensì, del riconoscimento biometrico ex post, effettuato su video già in possesso delle forze dell’ordine, che si differenzia dal riconoscimento operato in tempo reale, cioè mentre le telecamere stanno riprendendo.
L’uso delle prime è disciplinato dall’articolo 29, 6a (nella sua numerazione provvisoria) tra le AI considerate ad alto rischio. Esso prevede che, “fatta salva la direttiva (UE) 2016/680 (la normativa privacy da applicarsi alle forze dell’ordine), nell’ambito di un’indagine per la perquisizione mirata di una persona condannata o sospettata di aver commesso un reato, l’utilizzatore di un sistema di IA per l’identificazione biometrica a distanza deve richiedere un’autorizzazione, preventiva o senza indebito ritardo e non oltre le 48 ore, da parte di un’autorità giudiziaria o di un’autorità amministrativa”. Proprio la possibilità che si possa ottenere l’autorizzazione da un’autorità amministrativa e non da quella giudiziaria è uno dei punti contestati da Hahn.
Il rischio di sorveglianza e le misure di mitigazione previste
Ma il punto cruciale riguarda soprattutto il fatto che tale uso non sia limitato ai reati più gravi. Nell’articolo 5, infatti, si prevede che il riconoscimento biometrico in tempo reale si applichi, con i dovuti caveat, per quei crimini che hanno un massimo edittale di almeno quattro anni. Per l’articolo 29, invece, non sono previsti limiti di questo tipo, circostanza che ne allarga i casi di applicazione.
A prima vista si potrebbe dunque pensare che questa scelta possa portare a uno stato di sorveglianza, aggirando i divieti più stretti dell’articolo 5, semplicemente andando a fare le stesse verifiche, magari 5 minuti dopo. Il Parlamento europeo infatti, nella sua versione, lo aveva inserito tra le pratiche proibite, ma tale scelta, in fase di negoziazione, si era da subito rivelata inaccettabile per il Consiglio. Il compromesso trovato a dicembre prevede dunque delle garanzie che hanno lo scopo di limitare ogni abuso.
Ad esempio, “ogni utilizzo deve essere limitato a quanto strettamente necessario per le indagini su uno specifico reato. Se l’autorizzazione richiesta […] è respinta, l’uso del sistema di identificazione biometrica a distanza legato a tale autorizzazione è interrotto con effetto immediato e i dati personali connessi all’uso del sistema per il quale è stata richiesta l’autorizzazione sono cancellati.”
Questo vuol dire che quei “match” (identificazioni di un sospettato) non potranno essere usati, o ri-usati successivamente, se l’autorizzazione venisse negata.
Per scongiurare il rischio di sorveglianza indiscriminata, anche in questo caso l’uso di questi sistemi dovrà essere collegato a specifiche indagini o alla ricerca di una specifica persona scomparsa. Inoltre, proprio per evitare quanto successo negli Stati Uniti in questi stessi casi, dovrà “essere garantito che nessuna decisione che produca un effetto giuridico negativo su una persona possa essere presa dalle autorità preposte all’applicazione della legge unicamente sulla base dei risultati di questi sistemi di identificazione biometrica a distanza.” Vale a dire che non si potrà fermare qualcuno basandosi esclusivamente sul risultato del riconoscimento biometrico a distanza. E il motivo, come la letteratura scientifica e la cronaca conferma, è che tale tecnologia funziona ancora male sulle immagini in movimento, e molto male sulle persone non bianche.
Le garanzie previste per il riconoscimento biometrico a distanza
Proprio per questo, chi usa questi sistemi dovrà fare una valutazione di impatto sui diritti fondamentali (articolo 29a del testo provvisorio), per anticipare tutti i possibili effetti negativi che si potrebbero verificare su determinate categorie di persone, indicando quali misure saranno adottate per prevenirli.
Come ulteriore forma di garanzia, oltre al necessario rispetto dell’articolo 10 della direttiva (UE) 2016/680 e dell’articolo 9 del GDPR per il trattamento dei dati biometrici, i fascicoli di polizia relativi a ogni caso dovranno “essere messi a disposizione dell’autorità di vigilanza del mercato e dell’autorità nazionale per la protezione dei dati su richiesta” in aggiunta a una “relazione annuale sull’uso dei dati sull’uso dei sistemi di identificazione biometrica a distanza”.
Da ultimo, gli Stati membri potranno “introdurre, in conformità al diritto dell’Unione, leggi più restrittive sull’uso dei sistemi di identificazione biometrica a distanza.” Resta pur vero, e occorrerà vigilare in tal senso, che non tutti gli Stati membri hanno lo stesso rispetto e considerazione per lo Stato di diritto, e il rischio di abusi è tutt’altro che da escludersi.
Conclusioni
Sono certo tuttavia, e i provvedimenti degli ultimi anni ce lo provano, che, l’EDPB e l’EDPS saranno molto vigili, cosi come in Italia l’Autorità garante per la protezione dei dati personali, riguardo all’uso di queste tecnologie per prevenirne e fermarne i possibili abusi.
D’altronde una delle più profonde ragioni che hanno indotto le istituzioni europee ad adottare sin dal 1995 una serie di leggi sull’uso e protezione dei dati personali è stato proprio il rischio di cedere alle lusinghe della società della sorveglianza.
Non dimentichiamo, peraltro, che uno dei primi grandi provvedimenti generali del Garante italiano, nel 2000, fu proprio il cosiddetto decalogo della videosorveglianza, laddove a firma dei due principali campioni europei della privacy, Stefano Rodotà e Giovanni Buttarelli, letteralmente si inventò il termine videosorveglianza, poi diffuso in tutto il mondo per indicare il fenomeno del controllo attraverso tecnologie di video registrazione.
