Il governo francese potrebbe essere il primo in Europa ad implementare un sistema di riconoscimento facciale finalizzato alla creazione di una identità digitale diffusa a tutta la cittadinanza.
E infatti con l’obiettivo dichiarato di rendere la nazione più sicura ed efficiente, la Francia ha nei mesi scorsi rilasciato un programma di identificazione, in versione test, chiamato Alicem che, salvo ritardi, dovrebbe essere lanciato nella sua versione definitiva prima del periodo natalizio.
Oltre a contravvenire ai dettami del Gdpr in fatto di consenso, il sistema – già oggetto di dure ricorsi, di cui uno da parte del Garante privacy – pone non pochi interrogativi di tipo etico, anche alla luce di quanto recentemente avvenuto a Hong Kong.
Che cos’è Alicem e come funziona
Stando alle informazioni rilasciate proprio dal sito del Ministro degli Interni Francese, Alicem è sostanzialmente una app che consente ai propri utilizzatori di fruire di una sorta di documento di identità digitale.
In altre parole, questa applicazione permette al cittadino di identificarsi, ad esempio con le forze dell’ordine, utilizzando il proprio cellulare con un’efficacia legalmente riconosciuta, al pari di quanto accade utilizzando la carta di identità o il passaporto.
L’accesso e l’utilizzo di Alicem non sarà obbligatorio, potendo i cittadini francesi continuare ad accedere ai servizi della PA mediante i metodi tradizionali.
Tuttavia, solo utilizzando Alicem sarà possibile fruire di tutta una serie di servizi rilasciati appositamente da FranceConnect, il sistema della Pubblica Amministrazione on line.
In concreto l’applicazione funzione così: una persona in possesso di un documento di ultima generazione, dotato quindi di chip, scarica l’applicazione sul suo smartphone (per il momento solo su telefoni Android) e crea un proprio account. L’applicazione permette al telefono di leggere ed accedere a tutti i dati contenuti nel chip. Infine, per completare il processo di attivazione dell’account è necessario sottoporsi ad un sistema di riconoscimento facciale. Solo a seguito di tali passaggi potrà essere creata l’identità digitale.
Criticità, interrogativi, ricorsi
Già da questa breve descrizione è facile comprendere almeno tre criticità:
- La app consentirebbe di utilizzare uno smartphone per accedere a tutti i dati presenti sui database pubblici.
- Solo usando questa app sarebbe possibile accedere ad una serie di servizi.
- Per usare la app è necessario acconsentire al riconoscimento facciale.
E’ quindi fondamentale evitare che questo tipo di progetti vengano presi troppo alla leggera dai governi (in questo caso dal governo francese) in quanto uno strumento con simili potenzialità presta il fianco a molti interrogativi tra i quali, i più banali sono: che cosa accadrebbe in caso di data breach? Che cosa accadrebbe in caso di furto del telefono cellulare?
Per questi ed altri motivi sono già stati presentati i primi ricorsi contro la app Alicem.
Il primo viene da un’associazione di cittadini e l’altro arriva addirittura dal CNIL, autorità Garante della protezione dei dati francese.
Il nodo del consenso
Dalla lettura di tali documenti emerge come il problema principale consista nel mancato rispetto delle linee guida rilasciate dal WP29 in materia di consenso.
Ed in effetti, l’associazione La Quadrature du Net evidenzia come l’applicazione Alicem richieda l’utilizzo di un dispositivo di riconoscimento facciale, senza lasciare altra scelta all’utente. Tuttavia, in base al GDPR e alle relative linee guida, affinché il consenso sia valido, deve essere libero, vale a dire che non può essere vincolato.
In tal senso è chiaro il considerando 42 del Regolamento il quale afferma: “il consenso non dovrebbe essere considerato liberamente prestato se l’interessato non è in grado di operare una scelta autenticamente libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio“(considerando 42).
Ora, per capire se il consenso è prestato in modo libero o meno, è fondamentale valutare se, l’eventuale rifiuto, è potenzialmente capace di causare un pregiudizio all’interessato. Il pregiudizio potrebbe essere costituito dall’impossibilità di accedere ad una serie di funzioni vantaggiose come, ad esempio, l’adempimento di formalità solitamente da compiersi fisicamente agli sportelli della PA con grande dispendio di tempo.
In tal senso potrebbe tornare utile quanto affermato dalla Corte di Cassazione italiana in una sentenza molto discussa. Secondo la Corte un consenso, anche se obbligatorio per accedere ad esempio ad una applicazione, è da considerare libero se esistono altri servizi simili che permettono all’utente di raggiungere il medesimo risultato. Ora, rinviando ad altre sedi le discussioni sulla possibilità di utilizzare il criterio della fungibilità per giudicare la libertà effettiva del consenso, è utile evidenziare come nel caso di Alicem l’utente non abbia alcuna alternativa valida. Se il cittadino vuole accedere ai servizi della PA tramite app deve usare Alicem, acconsentendo al riconoscimento facciale.
E’ quindi evidente che, anche nella visione molto elastica (e per certi versi discutibile) della Corte di Cassazione, la app del Governo francese non risulta rispettosa del principio cardine del GDRP che vorrebbe un consenso libero.
Il ricorso del Garante privacy francese
Non solo, il CNIL ha correttamente evidenziato che trattandosi di dati biometrici la situazione risulta ancora più complessa in quanto l’art. 9 GDPR vieta il trattamento di dati biometrici salvo che l’interessato abbia prestato il proprio consenso esplicito al trattamento di tali dati personali.
A tal proposito, l’Autorità ha aderito alla posizione del gruppo di lavoro dell’articolo 29 affermando che nell’ipotesi di un servizio subordinato al trattamento dei dati personali, il consenso non è libero quando il trattamento è necessario alla fornitura dello stesso.
Nel caso concreto, il rifiuto al trattamento dei dati biometrici per il riconoscimento facciale costituisce un ostacolo all’attivazione della applicazione e alla fruizione dei servizi on line.
Alla luce di ciò CNIL, per evitare di violare il principio di libertà del consenso, suggerisce al Ministero di proporre una alterativa al riconoscimento facciale per accedere ai servizi della applicazione come, ad esempio, l’utilizzo di credenziali o di altri sistemi capaci di identificare univocamente una persona senza ricorrere ai dati biometrici.
Un problema etico
Ora, è chiaro che il problema non sia il mancato rispetto di una regola formale.
Ciò che si cerca di scongiurare è la possibilità che una pubblica amministrazione obblighi i propri cittadini a cedere i propri dati biometrici con la scusa di poter cosi accedere ad alcuni servizi on line.
Se, come dice CNIL, esiste una alternativa valida all’utilizzo del riconoscimento facciale, perché obbligare i cittadini a sottoporsi a tale trattamento?
Secondo l’organizzazione Privacy International, le tecnologie e le pratiche di sorveglianza sviluppate e utilizzate dalle più avanzate agenzie di sorveglianza del mondo si stanno diffondendo a livello globale, anche nei paesi che non dispongono di garanzie per il loro utilizzo.
Senza tali garanzie, la sorveglianza viene utilizzata per rafforzare il controllo politico e per spiare attivisti, giornalisti, dissidenti e qualsiasi opposizione.
Ciò facilita gravi violazioni dei diritti umani, rafforza l’autoritarismo, mina la governance e guida la corruzione.
Questo tipo di programmi devia inoltre denaro e altre risorse dallo sviluppo e da altri aiuti molto più urgenti, offrendo invece miliardi di dollari alle agenzie di sicurezza e alle società di sorveglianza. Perché un governo dovrebbe spendere così tanti fondi per l’implementazione di una tecnologia? Perché la Francia vuole utilizzare così tante risorse per investirle in questo riconoscimento facciale che, di fatto, stando alle dichiarazioni ufficiali, verrà utilizzato come mera credenziale di accesso ad un servizio (al pari di una semplice password)? Il dubbio è che, dietro ai propositi ufficiali vi sia in realtà la volontà di schedare i dati biometrici dell’intera popolazione e ciò potrebbe comportare di grossi rischi per le persone.
Gli utilizzi distorsivi delle tecnologie di riconoscimento facciale
Del resto, mentre in Francia si sta ancora valutando la bontà del progetto Alicem, ad Hong Kong (dove simili tecnologie sono già implementate) si iniziano a vedere i primi utilizzi distorsivi. Questo ci permette di avere una visione concreta dei rischi che si nascondono dietro ad un utilizzo controverso delle tecnologie di riconoscimento facciale, fornendoci un inedito sguardo dal futuro.
Come noto ad Hong Kong sono in corso numerose manifestazioni contro il governo cinese. In questo contesto, nel giro di breve tempo, si è registrata una escalation vertiginosa.
In pochi giorni i protestanti hanno dapprima temuto di essere soggetti a riconoscimento facciale da parte della polizia (al fine di velocizzare l’individuazione dei capi della protesta fra la folla), successivamente i cittadini hanno iniziato ad indossare maschere ed abbattere i cosiddetti “pali della luce smart”. In risposta, i leader di Hong Kong hanno rispolverato una legge dell’era coloniale, vietando a chiunque di indossare maschere, nel tentativo di frenare il boicottaggio delle tecnologie di riconoscimento.
Questo dimostra come una simile tecnologia, anche in pochissimo tempo, possa passare dall’essere uno strumento di sicurezza all’essere uno strumento in qualche modo oppressivo per i cittadini. I cittadini di Hong Kong, comunque molto sensibili sul tema, mai avrebbero pensato che la tecnologia sarebbe stata usata contro di loro per impedire una manifestazione. Eppure è andata proprio così.
Per questo in Francia ci si sta opponendo fermamente all’avvio del programma Alicem. La creazione di un database di tutti i volti dei cittadini francesi comporta rischi troppo alti.
