La nuova previsione che dispone la sospensione della videosorveglianza a riconoscimento facciale fino al 31 dicembre 2023, colloca il nostro Paese tra i capifila nel bloccare, sia pure in via temporanea, l’installazione e utilizzazione di sistemi video di riconoscimento basati sulle caratteriste biometriche dei volti.
Il testo soffre tuttavia di una formulazione non del tutto felice che ne permette un’applicazione solo parziale e forse del tutto non rispondente alle intenzioni del legislatore. Vediamo innanzitutto che cosa prevede la legge di conversione del DL 139/2021, in particolare il nuovo art. 9, commi 9 – 12.
Riconoscimento facciale vietato in Italia: ma solo per ora e con eccezioni
La norma in dettaglio
È utile innanzitutto notare che la sospensione non distingue tra videosorveglianza in tempo reale e uso retrospettivo delle immagini. Il punto in realtà non risulta chiarissimo, in prima lettura. Vero però che la dicitura “impianti di videosorveglianza con sistemi di riconoscimento facciale” sembra orientare verso una videosorveglianza integrata dalla biometria, dunque attività svolta in tempo reale.
Altro aspetto di rilievo sempre in relazione al perimetro applicativo: il riferimento all’installazione e non al solo utilizzo dei sistemi permette di includere nel divieto dispositivi anche disattivati o comunque spenti, e quindi di evitare aggiramenti. Si interviene cioè già sui passaggi iniziali della predisposizione degli impianti.
Occorre osservare che la moratoria non menziona applicazioni di intelligenza artificiale, ma solo il ricorso a trattamenti biometrici. Ciò facilita senz’altro la concreta applicazione ed evita, anche in tal caso, il rischio di elusioni.
Da notare, sotto diverso profilo, che la precisazione che la sospensione vale solo per i luoghi pubblici o aperti al pubblico rende possibile (osservato il GDPR) l’installazione e utilizzo di videocamere a riconoscimento facciale in contesti diversi. Sono altresì fatti salvi dal raggio applicativo della nuova disposizione i sistemi che, pur facendo impiego di algoritmi di analisi delle immagini, non siano diretti all’identificazione degli interessati, dunque per esempio sistemi di mera face detection.
I soggetti destinatari del divieto
Veniamo ora alla parte che più interessa, quella dei soggetti destinatari del divieto. Le tutele fondamentali riconosciute alla persona sui suoi dati personali si misurano infatti sempre in rapporto a una controparte bicefala: una testa è privata, si pensi, ma solo a titolo di esempio, ai noti Big Five, o GAMAM; l’altra è pubblica, e appartiene allo Stato nelle sue varie articolazioni. Quanto siano penetranti gli occhi montati sulla seconda risulta immediato solo che ci si sposti per un attimo sulla via della Seta.
Fondamentale allora che la moratoria si applichi indistintamente tanto ai privati quanto ai soggetti pubblici, pur con la rilevante eccezione di cui si dirà a breve. Tutti ricordiamo i casi di amministrazioni locali che si sono affrettate all’acquisto di tecnologia di sorveglianza biometrica, poi approdati al tavolo del Garante, come la nota vicenda del comune di Como, cfr. provvedimento 26 febbraio 2020 [9309458]. Del resto, quando si parla di videosorveglianza, il contesto che maggiormente preoccupa è a ben vedere proprio quello pubblico, perché qui è tendenzialmente più intensa la frizione rispetto alle libertà fondamentali, specie quando le scelte di sorveglianza si collocano a livello molto alto, come nella vicenda Sari Real-Time ugualmente approdata al Garante, provvedimento del 25 marzo 2021 [9575877].
L’esclusione del d.lgs. 51/2018
Ebbene, in merito al controllo di videosorveglianza pubblico la novella normativa apre un’eccezione, ampia quanto l’intera direttiva 2016/680 sulla law enforcement, non poco dunque. Ricordiamo, per contestualizzare, che la LED, ossia la gemella del GDPR che non è riuscita a diventare regolamento europeo, è stata attuata in Italia con il d.lgs. 51/2018. Proprio la LED viene richiamata in apertura del testo sulla moratoria qui in commento; dunque, l’esclusione appare alquanto contraddittoria a una prima ricognizione.
Tant’è comunque, visto che espressamente sono fatti salvi i trattamenti “effettuati dalle autorità competenti a fini di prevenzione e repressione dei reati o di esecuzione di sanzioni penali di cui al decreto legislativo 18 maggio 2018, n. 51”. Formulata così, l’eccezione viene infatti ad assorbire, sia pure con piccole differenze di formulazione, l’intero ambito applicativo del citato decreto, ambito precisato ivi all’art. 1, co. 2. Insomma, i trattamenti di cui al decreto stanno fuori dalla moratoria.
Vero che, anche in questi casi esclusi dal raggio d’azione della disciplina appena introdotta, viene imposto comunque un filtro autorizzatorio, ossia l’obbligo di ottenere, prima dell’installazione e dell’utilizzo del sistema di videosorveglianza biometrica, il favorevole parere del Garante, a magra compensazione per la contestuale e assai più ampia spoliazione di poteri di controllo preventivo dell’Autorità (art. 2-quinquiesdecies codice privacy) confermata nella legge di conversione che ci occupa.
Tuttavia, il filtro del Garante è una finta novità. Introduce infatti una regola che già esisteva, quella della consultazione preventiva disciplinata dall’art. 24 d.lgs. 51/2018.
Il filtro peraltro non opera – ma anche qui nessuna novità – per i trattamenti disposti dall’Autorità giudiziaria nell’esercizio delle funzioni giurisdizionali, nonché di quelle giudiziarie del pubblico ministero. È una ripetizione dell’art. 37, co. 6 del decreto citato. Nulla di nuovo insomma.
I principali difetti di redazione
Il più evidente tallone d’Achille della moratoria sta nell’uso dell’aggettivo “facciale” che, eccessivamente specificando, esclude altre tipologie di trattamento biometrico. Sarebbe bastato semplicemente sopprimere l’aggettivo.
Non è un difetto di formulazione banale. È di tutto rilievo, infatti, che vengono sviluppate tecnologie di riconoscimento che lavorano anche su diverse caratteristiche distintive della persona, come il particolare modo di muoversi, che permette riconoscimento anche ove la ripresa sia a distanza o il volto non nitido o addirittura oscurato.
Altra criticità (risolvibile tuttavia) riguarda, ad avviso dello scrivente, il mancato richiamo dell’art. 2-decies codice privacy, che dispone l’inutilizzabilità dei dati trattati “in violazione della disciplina rilevante in materia di trattamento dei dati personali”. Il DL 139/2021, che ha contenuto eterogeneo, fa parte di questa disciplina? Certamente sì quantomeno rispetto all’articolo 9, tuttavia un collegamento espresso al 2-decies avrebbe giovato in termini di chiarezza in fase applicativa.
Altra limitazione applicativa sta proprio a ben vedere nel riferimento del nuovo testo unicamente alla videosorveglianza, che esclude altri contesti di riconoscimento biometrico. Ma forse il legislatore non intendeva andare tanto in là. Resta tuttavia l’impressione di una disciplina a macchia di leopardo, in cui si avverte la mancanza una visione d’insieme.
Esisteva veramente un vuoto normativo?
La novità legislativa introdotta è davvero necessaria? Domanda legittima, se è vero che le nuove regole non si collocano propriamente in un vuoto normativo. I trattamenti di videosorveglianza e biometrici sono infatti già oggetto della disciplina del GDPR e lo erano, pacificamente, anche nel vigore dell’abrogata direttiva 95/46.
Il punto è che il Regolamento non li proibisce, ma disegna un complesso quadro di norme e di procedure. Occorre individuare la base giuridica, applicare i principi, svolgere una DPIA (art. 35 GDPR) e, se il rischio elevato non risulta efficacemente contenuto, bisogna sottoporre le valutazioni al Garante. E lo stesso ciclo di compliance va svolto, mutatis mutandis, in ambito LED.
Ora, è chiaro che un blocco del trattamento come quello appena introdotto, pur nei limiti già visti, ha invece efficacia immediata, perché opera alla radice, risparmiando la filiera delle azioni compliance ricordate e impone una soluzione binaria, vietato/permesso, diversa dal quadro articolato esprimibile ai sensi della normativa citata. Inoltre, il blocco così radicalmente formulato rende più concreto il raggiungimento dell’obiettivo, perché prescinde da finezze e da una preparazione di cui i titolari del trattamento non sempre dispongono.
Conclusioni
Dunque, almeno nell’opinione di chi scrive, la moratoria sulla videosorveglianza biometrica non può che essere salutata positivamente. Occorre anzi fare ulteriori passi avanti, coglierla cioè come un punto di inizio. Si riporta in chiusura un estratto dalla posizione espressa da EDPB e EDPS, ossia dai vertici eurounitari della vigilanza in materia di protezione dei dati personali, nell’opinione congiunta n. 5/2021. L’opinione commenta la proposta di regolamento sull’intelligenza artificiale. I due organismi “sollecitano l’inclusione di un divieto generale di qualsiasi uso dell’IA a fini di riconoscimento automatico, in spazi accessibili al pubblico, delle caratteristiche umane – come il volto ma anche l’andatura, le impronte digitali, il DNA, la voce, le sequenze di battute su tastiera e altri segnali biometrici o comportamentali – in qualsiasi contesto”. Dunque, secondo i nostri tutori europei, si dovrebbe avere il coraggio di introdurre un divieto anziché una sospensione temporanea e i sistemi di riconoscimento “intelligente” oggetto di quel divieto non dovrebbero essere limitati alle caratteristiche del volto. Vedremo se seguiranno effettivamente altri mattoni di costruzione legislativa, comunque è certamente positivo aver posto una prima base.
