Lo European Data Protection Board (EDPB) è intervenuto di recente a specificare le regole su due materie importanti quanto delicate: il trattamento sanzionatorio previsto dal GDPR e l’utilizzo del riconoscimento facciale da parte delle forze dell’ordine.
Lo scopo è quello di chiarire e armonizzare le regole previste dal Regolamento per tutti gli Stati membri. Il tema del riconoscimento biometrico, oltre alle norme del GDPR, suscita un interesse particolare in vista del prossimo Regolamento sull’Intelligenza Artificiale.
Sanzioni Gdpr, le nuove linee guida Edpb: per le aziende rimedio peggiore del male?
L’apparato sanzionatorio del GDPR
Il Regolamento UE 2016/679 contiene uno specifico apparato sanzionatorio che entra in funzione in caso di violazione delle norme previste dallo stesso Regolamento. Occorre specificare, prima di tutto, che l’art. 83 del GDPR disciplina soltanto le sanzioni amministrative pecuniarie. Infatti, all’art. 84 il legislatore europeo ha previsto che spetta a ciascuno Stato membro il compito di regolamentare, tramite una fonte normativa interna, le sanzioni penali. In Italia ciò è avvenuto tramite il D. Lgs. 10 agosto 2018, n. 101, che ha profondamente modificato il Codice Privacy e i reati in materia di protezione dei dati.
Quanto alle sanzioni amministrative pecuniarie espressamente previste dal GDPR, l’art. 83, par. 1, prevede innanzi tutto che le Autorità di controllo nazionali debbano provvedere affinché queste vengano inflitte in relazione alle violazioni del regolamento e siano in ogni caso effettive, proporzionate e dissuasive.
Le sanzioni devono infatti essere inflitte in funzione delle circostanze di ogni singolo caso e tenendo conto di diversi elementi previsti dal par. 2, quali “la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito”, “il carattere doloso o colposo della violazione” o, se è il caso, le eventuali “misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati”.
Le due tipologie di violazioni sanzionate
Venendo concretamente alle violazioni sanzionate, il Regolamento distingue due tipologie.
Il par. 4 dell’art. 83 prevede in prima battuta quelle cosiddette meno gravi, consistenti cioè nella violazione degli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43, gli obblighi dell’organismo di certificazione a norma degli artt. 42 e 43; e gli obblighi dell’organismo di controllo a norma dell’art. 41, par. 4. In questi casi, si applicano sanzioni amministrative pecuniarie fino a 10.000.000 euro, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
La seconda tipologia è invece regolata dal par. 5, il quale prevede le violazioni più gravi, ossia quelle relative ai i principi di base del trattamento, comprese le condizioni relative al consenso, ai diritti degli interessati, ai trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale, a qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX, e all’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’Autorità di controllo ai sensi dell’art. 58, par. 2, o il negato accesso in violazione dell’art. 58, par. 1. In questo caso, si applicano sanzioni amministrative pecuniarie fino a 20.000.000 euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Le funzioni dell’EDPB
Il Comitato europeo per la protezione dei dati è un organo indipendente composto da rappresentati delle Autorità garanti nazionali e dal Garante europeo. Si tratta quindi di un organo che contribuisce fortemente all’applicazione coerente delle norme sulla protezione dei dati in tutta l’Unione europea oltre a promuovere la cooperazione tra i Garanti Privacy dei diversi Stati membri.
Pertanto, l’EDPB svolge una funzione essenziale nel fornire orientamenti generali per chiarire le norme in materia, e ciò avviene prevalentemente tramite raccomandazioni e linee guida. Soprattutto, queste ultime sono un punto di riferimento nell’interpretazione e nell’applicazione delle disposizioni in materia di trattamento dei dati personali, in quanto chiariscono il testo delle fonti normative e forniscono un approccio più concreto e pratico.
Le linee guida sul calcolo delle sanzioni amministrative ai sensi del GDPR
Le prime delle Linee guida pubblicate il 12 maggio 2022 dall’EDPB ed in consultazione pubblica fino al 27 giugno 2022, sono quelle relative al calcolo delle sanzioni amministrative ai sensi del GDPR. Lo scopo del provvedimento è, come anticipato, quello di armonizzare la metodologia di quantificazione delle sanzioni in tutti gli Stati membri. Questo perché, dall’entrata in vigore del Regolamento, è stata riscontrata una certa diversità di applicazione, dove alcune Autorità garanti comminavano sanzioni particolarmente severe, mentre altre avevano un approccio molto più tenue. Al contempo, mentre in alcuni Paesi è stato registrato un numero elevato di provvedimenti, in altri le multe comminate sono state pochissime, o addirittura assenti.
In particolare, è stato spesso molto criticato il Garante irlandese, più volte accusato di applicare sanzioni troppo miti con procedure eccessivamente lunghe. Peraltro, si tratta di un’Autorità spesso al centro dell’attenzione in quanto condivide lo stesso territorio con la sede europea di Facebook.
Quanto alle linee guida, l’EDPB precisa innanzi tutto che il calcolo dell’importo della sanzione è a discrezione dell’Autorità di controllo, sulla base delle indicazioni fornite dall’art. 83, par. 1, del GDPR, ed in particolare il principio secondo cui le sanzioni amministrative pecuniarie inflitte devono essere in ogni singolo caso effettive, proporzionate dissuasive. Oltre a questo, il Comitato riprende anche gli elementi previsti dal medesimo art. 83 e che devono essere tenuti come riferimento nella quantificazione delle multe.
Tuttavia, l’EDPB va oltre il richiamo alle regole già esistenti, ma introduce anche una sorta di metodologia di calcolo articolata in diverse fasi.
In prima battuta, i Garanti devono stabilire se il caso in questione riguarda una o più ipotesi di condotta sanzionabile e se questi hanno portato a una o più violazioni.
Dopodiché, le Autorità devono valutare la base di calcolo della sanzione in base a un modello armonizzato definito dal Comitato stesso. Naturalmente, è necessario che queste si premurino di individuare e considerare eventuali circostanze aggravanti o attenuanti che possano aumentare o diminuire sanzione come avviene nel processo penale.
Fatto ciò, le Autorità devono determinare i massimali legali e garantire che tali importi non vengano superati.
Infine, i Garanti devono sforzarsi di analizzare se l’importo finale calcolato soddisfa i requisiti di effettività, proporzionalità e dissuasione o se sono necessari ulteriori adeguamenti ai fini del rispetto dei criteri previsti dal Regolamento.
Non è la prima volta, però, che si interviene sul tema del calcolo delle sanzioni. Infatti, le Linee guida n. 04/2022 integrano le precedenti Linee Guida WP253. Essendo in consultazione pubblica, fino al 27 giugno 2022 ci sarà la possibilità di inviare i propri commenti all’EDPB.
Il trattamento dei dati biometrici nel GDPR e nel Regolamento sull’AI
Innanzi tutto, occorre precisare cosa si intende con dato biometrico. Ai sensi dell’art. 4, n. 14, del GDPR, “un dato biometrico i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.
In altri termini, si tratta di informazioni quali l’impronta digitale o – parlando di riconoscimento facciale – i dettagli del volto, dell’iride o della retina.
Ora, quanto al trattamento dei dati biometrici, questi possono essere soggetti alla tutela rafforzata ai sensi dell’art. 9 del GDPR, alla condizione però che siano intesi a identificare in modo univoco una persona fisica. Un esempio chiarificatore è fornito dal Considerando n. 51 dello stesso Regolamento europeo, il quale prevede che “il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione di una persona fisica”. Questo significa che, per capire se un dato debba essere soggetto a una tutela speciale, occorre verificare che questo sia trattato in modo automatizzato mediante software o hardware specifici, e che la finalità sia quella di identificare univocamente un soggetto in base, ad esempio, ai dettagli facciali o all’impronta digitale.
Riconoscimento facciale, quali limiti per le forze dell’ordine: linee guida EDPB
Si tratta, a titolo esemplificativo, dei casi di installazione di videocamere di sorveglianza nelle vie delle grandi città allo scopo di riconoscere i volti dei passanti e confrontarli con quelli presenti in un database di immagini per individuare autori di reati.
Ebbene, in questo caso, il Regolamento prevede una tutela speciale prevista dall’art. 9 del GDPR, il quale pone come regola generale – al par. 1 – il divieto di trattamento di tali dati, salvo le eccezioni espressamente previste dalla norma. Nello specifico, i dati biometrici aventi le caratteristiche sopra menzionate, possono essere trattati in deroga al divieto generale di cui al par. 1 se sussistono le basi giuridiche elencate dal par. 2, come il consenso dell’interessato, la tutela di un interesse vitale dello stesso o di un’altra persona fisica qualora difetti la capacità fisica o giuridica di prestare il consenso, o quando il trattamento è necessario per motivi di interesse pubblico, purché “proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato”.
Proprio tenendo conto di quest’ultimo aspetto, occorre ricordare che, benché rientrante nei casi in cui è autorizzato, il trattamento dei dati biometrici deve sempre avvenire in sicurezza e adottando tutte le misure di garanzia necessarie.
Quanto invece alla proposta di Regolamento europeo sull’AI presentata il 21 aprile 2021, il riconoscimento facciale in tempo reale negli spazi pubblici da parte delle forze dell’ordine è proibito, salvo che non sia strettamente necessario per la ricerca di vittime di un reato o di bambini scomparsi, per prevenire una minaccia specifica, come un attacco terroristico, per individuare, localizzare, identificare o perseguire un criminale o un sospettato punibile con una pena di almeno 3 anni per alcuni reati, come il terrorismo, o la tratta di essere umani.
Inoltre, potrà essere usato solo dopo una valutazione della gravità della situazione specifica e del rischio per i diritti fondamentali, ed in modo proporzionato, provvisorio e geograficamente limitato a seguito di una preventiva autorizzazione del giudice, salvo casi di emergenza in cui l’autorizzazione potrà essere successiva.
Su questo punto, però, regna il dibattito tra le diverse forze politiche, con i conservatori che vorrebbero consentire l’uso del riconoscimento facciale alle forze dell’ordine in determinate situazioni, e le forze progressiste che invece vorrebbero un divieto assoluto. Quanto sia complesso trovare una soluzione lo dimostrano gli oltre 3000 emendamenti proposti dai gruppi del Parlamento europeo, che hanno causato un ritardo di qualche ora rispetto alla scadenza prevista per la presentazione delle proposte di modifica, originariamente fissata alle ore 12:00 del 1° giugno 2022. Naturalmente non tutti gli emendamenti riguardano il riconoscimento biometrico nei luoghi pubblici ad uso delle forze dell’ordine, ma è ormai noto come questo sia il tema più discusso e una delle principali cause del ritardo nei lavori.
Le Linee guida n. 05/2022 in materia di riconoscimento facciale
Il 12 maggio 2022 l’EDPB ha adottato anche un altro documento, stavolta contente la proposta per le Linee guida sulle tecnologie di riconoscimento facciale e la loro applicazione nel campo della prevenzione, delle indagini e del perseguimento dei reati. Anche queste sono in consultazione pubblica fino al 27 giugno 2022.
Occorre premettere, in primo luogo, che queste Linee guida fanno chiaro riferimento alla Direttiva UE n. 2016/680 – c.d. Law Enforcement Directive (LED) – relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati. Questa, a sua volta, deve naturalmente essere letta alla luce del GDPR.
Ora, suddetta Direttiva fornisce una definizione di dati biometrici analoga a quella prevista dal Regolamento. Il loro trattamento, poi, si caratterizza per il forte impatto che può avere sui diritti fondamentali degli individui.
Per questa ragione, l’EDBP si pone in una doppia prospettiva: da un lato, riconosce che talvolta le autorità possano trovarsi a dover ricorrere anche al riconoscimento facciale e al trattamento di dati biometrici per motivi di pubblica sicurezza e per tutelare i soggetti rispetto ad altri pericoli gravi come il terrorismo o la criminalità organizzata; dall’altro lato, però, si preoccupa di fissare alcuni punti fermi che si impongono anche alle autorità di enforcement. Questo soprattutto partendo dal principio secondo cui ci sono casi di uso del riconoscimento facciale troppo rischiosi per essere autorizzati, e questo a prescindere dalle finalità. Tra questi vi è la raccolta dei dati biometrici da remoto negli spazi pubblici che comportino una intrusione ingiustificata nella vita privata e aprano la strada alla società della sorveglianza, il trattamento dei dati personali in un contesto di applicazione della legge che si basa su un database nutrito dalla raccolta di dati personali su larga scala e in modo indiscriminato, ad esempio raccogliendo fotografie e immagini facciali accessibili online (come il noto caso di Clearview AI), i trattamenti aventi lo scopo di identificare le emozioni delle persone, e i sistemi di riconoscimento facciale che classificano i soggetti in base all’etnia, all’orientamento sessuale o ad altri elementi che possono essere motivo di discriminazione. In sostanza, l’EDPB riprende buona parte di quanto già affermato nel parere congiunto con l’European Data Protection Supervisor – il Garante europeo – pubblicato il 18 giugno 2021.
Al di là di questi casi specifici espressamente vietati, le Linee guida ammettono come, in realtà, ci siano diversi scopi e molti usi che ruotano intorno al riconoscimento facciale, e quindi occorrerà comunque valutare in concreto la legittimità dei singoli trattamenti, quanto gli interessati conservino un controllo sui propri dati, o le conseguenze che i soggetti possono subire.
Su questo punto, si torna nuovamente a un elemento cardine dell’approccio europeo alla tecnologia, poiché chi intende utilizzare tecnologie di riconoscimento facciale deve effettuare una adeguata valutazione dei rischi che questi trattamenti possono comportare per gli interessati, ed in base a questa le autorità devono esercitare il loro controllo per verificare le misure di sicurezza adottate, il livello di informazione fornito agli interessati e i mezzi di controllo sui propri dati messi a loro disposizione. In sostanza, quindi, l’EDPB afferma che sono molteplici i rischi del riconoscimento facciale e diverse sono le modalità applicative dello stesso; per questo, la valutazione dei rischi costituisce un elemento essenziale del trattamento dei dati ottenuti con la facial recognition. Ma non solo, sulla base dell’esito di queste valutazioni, le Autorità dovranno valutare l’efficacia e l’adeguatezza delle misure adottate per tutelare gli interessati.
Conclusioni
Il lavoro dell’EDPB si rivela nuovamente molto importante per garantire chiarezza e armonizzazione del diritto comunitario in materia di tutela dei dati personali.
Quanto alla prima proposta di Linee guida pubblicata il 12 maggio scorso, quella riferita alla quantificazione delle sanzioni, è evidente come, nonostante il GDPR, ci siano ancora diverse ambiguità e differenze applicative nei diversi Stati membri. Questo, in effetti, non può essere accettato, ed un intervento ulteriore per dare un indirizzo più chiaro alle Autorità era assolutamente necessario. Infatti, l’adozione di un Regolamento, direttamente applicabile e vincolante per tutti i Paesi dell’UE, ha bisogno anche che le autorità adottino i provvedimenti basati sulle norme nel modo più uniforme possibile alla luce dei casi concreti che man mano si presentano.
Molto significativo, poi, è anche l’intervento in materia di riconoscimento facciale nei luoghi pubblici ad uso delle forze dell’ordine. Infatti, come già anticipato, si tratta di un tema molto discusso in ambito internazionale, al centro delle battaglie di diverse associazioni per i diritti umani, nonché elemento di dibattito nell’Unione europea in vista del prossimo Regolamento sull’AI. Ciò che è certo, però, è che l’EDPB, dopo il parere congiunto con l’EDPS, ha di nuovo anticipato il legislatore europeo andando peraltro a sostenere, ancora una volta, la tesi che vorrebbe un divieto assoluto a determinati tipi di facial recognition.
Al contempo, però, si nota anche un’apertura al loro utilizzo limitatamente a certe circostanze e purché in presenza di specifici accorgimenti, a partire dalla valutazione dei rischi. Quest’ultima, infatti emerge ancora una volta come elemento imprescindibile, uno dei biglietti da visita del modello europeo di protezione dei dati e disciplina delle nuove tecnologie.
