NEWS

01/03/2021

Consiglio d’Europa: pubblicate le Linee Guida sul riconoscimento facciale

a cura di Gaetano Arnò e Antonio Venditti

 

In occasione del quarantennale della nascita della Convenzione n.108+ sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale[1] (“Convenzione 108+”), il Consiglio d’Europa[2] ha pubblicato le Linee Guida sul riconoscimento facciale individuando il framework generale di principi, garanzie e tutele che dovrebbe guidare l’azione degli Stati firmatari[3] e nel cui ambito dovrebbero inserirsi le misure - eventualmente più incisive - legislative e regolamentari di carattere comunitario e/o nazionale con riferimento a questa particolare forma di biometria (“Linee Guida” o “Guidelines”)[4].

Come osservato dal Segretario generale del Consiglio d‘Europa, Marija Pejčinović Burić, “nel peggiore dei casi, [il riconoscimento facciale, n.d.r.] minaccia i nostri diritti umani essenziali, tra cui la riservatezza, la parità di trattamento e la non discriminazione, autorizzando le autorità pubbliche e altri soggetti a monitorare e controllare aspetti fondamentali delle nostre vite - spesso senza la nostra conoscenza o consenso[5].

Con l’adozione delle Linee Guida, pertanto, il Consiglio ha inteso esprimere la propria preoccupazione per il crescente ricorso generalizzato (e spesso non giustificato) all’identificazione biometrica, proponendo di vietarne l’utilizzo in tutti i contesti in cui non sia strettamente necessario, ovvero sia svolto per finalità spesso incompatibili con la protezione dei dati personali quali, ad esempio, la sorveglianza massiva dei cittadini.

Allo stesso modo, il riconoscimento facciale dovrebbe essere escluso - sempre in termini generali - laddove sia applicato alle cosiddette “affect recognition technologies”, ossia quelle soluzioni tecnologiche in grado di “indovinare”, a partire dall’analisi del volto, lo stato d’animo, le emozioni, la personalità, le convinzioni etiche e, in generale, gli aspetti interiori della persona umana[6].

* * *

Ad ogni buon conto, premesso un breve preambolo programmatico, le Linee Guida esaminano la “questione biometrica” suddividendola in quattro “capitoli” ciascuno dedicato, rispettivamente, (i) agli organi legislativi e/o ai decision-makers nazionali, (ii) agli sviluppatori, ai produttori e ai service providers delle soluzioni tecnologiche, (iii) alle imprese e alle organizzazioni che vi ricorrono e, infine, (iv) ai diritti riconosciuti (e da riconoscere in futuro) agli interessati sottoposti al riconoscimento facciale.

Le Guidelines - con un approccio, per così dire, “soggettivo” - affidano dunque agli Stati membri l’incombenza di predisporre un quadro giuridico nazionale conforme ai princìpi della Convenzione 108+, assegnando ai programmatori (in senso ampio) il compito di sviluppare la tecnologia lungo una direttrice tecnicamente accurata e, infine, richiedendo alle imprese e alle altre organizzazioni di farne un uso non solo moderato, ma anche (e soprattutto) eticamente corretto.

In particolare, gli Stati firmatari della Convenzione 108+ dovrebbero garantire che il framework normativo domestico individui con precisione le situazioni nelle quali - previo coinvolgimento delle autorità di controllo competenti - sia permesso ricorrere al trattamento biometrico del volto in ambito pubblico[7] e privato. In tali ipotesi, peraltro, la legge dovrebbe indicare, inter alia:

  • la descrizione dettagliata delle singole fattispecie e della relativa finalità,
  • il livello minimo di “affidabilità” degli algoritmi utilizzati per il riconoscimento,
  • il termine di conservazione delle foto e delle immagini raccolte,
  • le garanzie riconosciute agli interessati del trattamento, e
  • la possibilità di verificare in concreto il rispetto dei suddetti presupposti.

Gli sviluppatori e i produttori dei tool di riconoscimento dovrebbero, al contempo, premurarsi di applicare by default i più elevati standard tecnici e tecnologici al fine di evitare - sin dalla fase di sviluppo o comunque di prima commercializzazione del prodotto - che l’identificazione mediante applicazioni biometriche possa tradursi nel cosiddetto “mislabelling[8].

Inoltre, la medesima categoria di destinatari delle Linee Guida, da un lato, sarebbe chiamata a verificare periodicamente il “buon funzionamento” degli algoritmi e dei software realizzati e, dall’altro lato, dovrebbe farsi parte attiva nel mercato supportando i propri clienti nell’utilizzo trasparente delle applicazioni loro fornite.

Per quanto concerne poi le imprese e le organizzazioni[9], il Consiglio d’Europa ribadisce, in primo luogo, la necessità per queste ultime di conformarsi alle norme nazionali in materia di protezione dei dati personali[10] richiamando però princìpi e regole di chiara matrice europea.

La terza sezione delle Linee Guida, a sua volta, sancisce uno specifico obbligo di trasparenza a beneficio degli interessati sottoposti al riconoscimento facciale i quali dovrebbero essere quantomeno informati dal titolare (o dal responsabile) del trattamento circa:

  • la possibilità che i dati biometrici siano trasmessi a terze parti indicando, in tal caso, l’identità del ricevente;
  • le procedure e le tecniche di conservazione, cancellazione e anonimizzazione dei dati a loro riconducibili;
  • il punto di contatto al quale rivolgere eventuali quesiti in merito alle modalità di raccolta, trattamento e/o condivisione di tali dati.

Allo stesso modo, il Consiglio disegna un chiaro parallelismo tra il contenuto delle Guidelines e i precetti del GDPR[11] nella misura in cui richiede alle organizzazioni di essere in grado di dimostrare il rispetto delle Linee Guida e della Convenzione 108+.

Nel medesimo solco, le Guidelines impongono l’adozione di misure di sicurezza - tecniche e organizzative - la cui adeguatezza dovrà essere valutata dal titolare mediante una apposita valutazione di impatto sulla protezione dei dati personali così da minimizzare il rischio intrinseco al trattamento biometrico.

Infine, le conclusioni delle Linee Guida sono dedicate ai “Rights of Data Subjects che - (anche) quando sono sottoposti al riconoscimento facciale - godono espressamente dei diritti riconosciuti dall’articolo 9 della Convenzione 108+ i quali, a loro volta, ricalcano più o meno esplicitamente quelli previsti dal GDPR (e.g., il diritto di accesso, di opposizione, di rettifica, etc.)



[1] La Convenzione 108+ è stata firmata a Strasburgo il 28 gennaio 1981 da alcuni Stati che a quel tempo componevano il Consiglio d’Europa e ad oggi ratificata da un totale di 55 Stati, alcuni dei quali non fanno parte dell’Unione Europea e/o non siedono Consiglio d’Europa; ha rappresentato per lungo tempo il primo strumento di diritto internazionale obbligatorio per la protezione degli individui dall’uso abusivo del trattamento automatizzato dei dati di carattere personale. Il testo ufficiale della Convenzione 108+ è disponibile al seguente link: https://www.coe.int/it/web/conventions/full-list/-/conventions/rms/0900001680078c45.

[2] Da non confondere con le istituzioni dell’Unione Europea (i.e., Consiglio dell’Unione europea e Consiglio europeo), il Consiglio d’Europa è un’organizzazione internazionale - fondata il 5 maggio 1949 con il Trattato di Londra e oggi composta da 47 Stati membri - il cui scopo è promuovere la democrazia, i diritti umani, l’identità culturale europea e la ricerca di soluzioni ai problemi sociali in Europa.

[3] L’elenco degli Stati aderenti alla Convenzione 108+ è disponibile al seguente link: https://www.coe.int/it/web/conventions/full-list/-/conventions/treaty/108/signatures?p_auth=hbMBM7Ke. A tal proposito, vale la pena osservare che tra i firmatari della Convenzione 108+ si annoverano come destinatari delle Linee Guida - anche alcuni Stati che non partecipano al Consiglio d’Europa (e.g. Argentina, Messico, Burkina Faso, etc.).

[4] Le Linee Guida sono disponibili anche al seguente link: https://rm.coe.int/guidelines-on-facial-recognition/1680a134f3.

[5] Le dichiarazioni, rese il 28 gennaio 2021, giorno della pubblicazione delle Linee Guida, sono disponibili al seguente link: https://www.coe.int/en/web/portal/-/facial-recognition-strict-regulation-is-needed-to-prevent-human-rights-violations-.

[6] Altresì dette “emotion recognition technologies”. Per un primo approfondimento sul tema si veda M.Kächele, Machine Learning Systems for Multimodal Affect Recognition, Springer Vieweg, 2020, e, per un’analisi degli impatti giuridici della questione, I.Berle, Face Recognition Technology, Springer, Law, Governance and Technology Series, 1-2020.

[7] In termini necessariamente generali, le Linee Guida le fanno coincidere con le ipotesi nelle quali l’identificazione sia necessaria per finalità di “law enforcement” ferme restando le cautele data protection che dovranno essere indicate dalla stessa legge.

[8] Testualmente, la “erronea etichettatura”; si tratta di discriminazioni involontarie che emergono nei risultati delle identificazioni biometriche a causa di errori e/o bias occorsi nella fase di programmazione e “allenamento” dell’algoritmo di riconoscimento.

[9] Le Linee Guida fanno esplicito riferimento sia a soggetti privati sia a entità pubbliche, chiarendo inoltre che non assume rilevanza il ruolo (di titolare o responsabile) assunto ai fini del trattamento.

[10] Considerato la collocazione geografica degli Stati firmatari della Convenzione 108+, è lecito supporre che o nella maggior parte dei casi si tratterà del Regolamento (UE) 2016/679 (“GDPR”) o, comunque, delle norme e princìpi data protection di matrice continentale.

[11] Le Linee Guida richiamano espressamente alcuni articoli della Convenzione 108+ che, peraltro, costituiscono l’acquis sulla cui base si è sviluppata la normativa europea in materia di protezione dei dati personali.

Riconoscim facciale