Col parere reso il 25 marzo 2021, il Garante per la protezione dei dati personali ha bocciato il sistema di riconoscimento facciale elaborato dal Ministero dell’Interno, chiamato “Sari Real Time”[1]. Tutto il ragionamento poggia sulla sussistenza di un’idonea base giuridica, in grado di giustificare il trattamento dei dati biometrici[2].
Il sistema predisposto dal Ministero è una sorta di cugino del precedente “Sari Enterprise”, una banca dati di immagini facciali da scandagliare, per finalità di indagine, da parte delle forze dell’ordine[3]. Tuttavia, “Sari Real Time”, allo stato degli atti non ancora attivo – consente, attraverso una serie di telecamere installate in un’area geografica predeterminata e delimitata, di analizzare in tempo reale i volti dei soggetti ivi ripresi, confrontandoli con una banca dati predefinita per lo specifico servizio (denominata “watch-list”), la cui grandezza è di massimo 10.000 volti.
Il sistema consente, inoltre, di registrare i flussi video delle telecamere “fungendo, in tal senso, quale attività di video sorveglianza.”.
IL GARANTE
OSSERVA
1) L’utilizzo di tecnologie di riconoscimento facciale per finalità di prevenzione e repressione di reati è oggetto di grande attenzione, come indicano, da ultimo, le linee guida del Consiglio d’Europa, che segnalano l’intrusività che esso comporta per il diritto alla vita privata e alla dignità delle persone, unitamente al rischio di ripercussioni negative su altri diritti umani e sulle libertà fondamentali.
Le linee guida richiamano i legislatori e quanti hanno responsabilità di adottare decisioni a stabilire norme specifiche per il trattamento di dati biometrici mediante tecnologie di riconoscimento facciale a fini di contrasto, per garantire che il loro impiego sia strettamente necessario e proporzionato alle finalità e siano prescritte le necessarie garanzie.
Il trattamento di immagini volte ad identificare le persone nel contesto pubblico è quindi di estrema delicatezza ed è perciò necessaria una valutazione d’insieme, per evitare che singole iniziative, sommate tra loro, definendo un nuovo modello di sorveglianza introducano, di fatto, un cambiamento non reversibile nel rapporto tra individuo ed autorità.
Occorre in particolare considerare che il sistema in argomento realizza un trattamento automatizzato su larga scala che può riguardare, tra l’altro, anche coloro che siano presenti a manifestazioni politiche e sociali, che non sono oggetto di “attenzione” da parte delle forze di Polizia; ancorché la valutazione di impatto indica che i dati di questi ultimi sarebbero immediatamente cancellati, nondimeno, l’identificazione di una persona in un luogo pubblico comporta il trattamento biometrico di tutte le persone che circolano nello spazio pubblico monitorato, al fine di generare i modelli di tutti per confrontarli con quelli delle persone incluse nella “watch-list”. Pertanto, si determina una evoluzione della natura stessa dell’attività di sorveglianza, passando dalla sorveglianza mirata di alcuni individui alla possibilità di sorveglianza universale allo scopo di identificare alcuni individui.
2) Il sistema SARI Real-Time, in quanto finalizzato all’effettuazione di un trattamento di dati personali per finalità di prevenzione di reati e minacce alla sicurezza pubblica e, anche su delega dell’Autorità Giudiziaria, di indagine, accertamento e perseguimento di reati, rientra nel campo di applicazione del Decreto.
La disciplina speciale per questa tipologia di trattamenti, rispetto a quella generale dettata dal RGPD, evidenzia che tali trattamenti determinano una forte interferenza con la vita privata delle persone interessate che deve trovare giustificazione in una adeguata base normativa.
L’art. 5 del Decreto, in attuazione dell’art. 3 della Direttiva UE 2016/680, dispone che i trattamenti di dati personali da parte degli organi di Polizia devono basarsi su disposizioni di legge o, ove da questa previsto, di regolamento.
Ciò in coerenza con la Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, il cui articolo 8 prevede che ogni persona ha diritto al rispetto della propria vita privata e familiare e non può esservi ingerenza di una autorità pubblica nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese, alla difesa dell’ordine e alla prevenzione dei reati, alla protezione della salute o della morale, o alla protezione dei diritti e delle libertà altrui.
Anche l’art. 52 della Carta dei Diritti Fondamentali dell’Unione Europea stabilisce che eventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti dalla Carta – tra i quali il diritto al rispetto della vita privata, ex art. 7 e quello alla protezione dei dati di carattere personale, ex art. 8 – devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà.
I dati personali oggetto del trattamento in argomento rientrano nelle categorie particolari di dati di cui all’art. 9 del RGPD, sub specie di “dati biometrici intesi a identificare in modo univoco una persona fisica”.
Per le circostanze sopra descritte, in relazione all’utilizzo del sistema in occasione di manifestazioni pubbliche, il trattamento in argomento determina il possibile coinvolgimento di ulteriori dati personali di cui all’art. 9 del RGPD, quali quelli idonei a rivelare le opinioni politiche o l’appartenenza sindacale.
L’art. 7 del Decreto stabilisce che il trattamento dei dati particolari di cui all’articolo 9 del RGPD è soggetto a condizioni specifiche, tra le quali quella di dovere essere “specificamente previsto dal diritto dell’Unione europea o da legge o, nei casi previsti dalla legge, da regolamento”.
Orbene, nella documentazione fornita dal Ministero dell’Interno e tra le fonti normative da questo indicate non si rinviene alcuna disposizione specifica che consenta tale tipo di trattamento.
In particolare, il Decreto, ancorché preveda in astratto tali trattamenti, non può considerarsi, di per sé, fonte normativa idonea a legittimarli, in quanto è diretto a specificare le condizioni che ne consentono l’effettuazione, tra le quali individua, appunto, la sussistenza di una norma del diritto dell’Unione o dello Stato nazionale che lo autorizzi specificamente.
L’art. 1 del T.U.L.P.S. prevede i compiti generali in cui si declina l’attività dell’Autorità di pubblica sicurezza ma non contiene alcun riferimento al trattamento in argomento.
Il d.P.R. 15 gennaio 2018, n. 15, recante l’individuazione delle modalità di attuazione dei principi del Codice relativamente al trattamento dei dati effettuato per le finalità di polizia, adottato in attuazione dell’articolo 57 del previgente Codice, prevede e disciplina il trattamento dei dati attraverso sistemi di videosorveglianza e di ripresa fotografica, audio e video (Capo V), sistemi ontologicamente diversi da quelli dei dati biometrici(1).
Gli articoli 134 co.4, 234, 266 e 431 co.1, lett. b, del codice di procedura penale, citati nella valutazione di impatto, riguardano, rispettivamente, la documentazione degli atti per riproduzione audiovisiva, l’acquisizione di scritti o altri documenti mediante fotografia, cinematografia, fonografia ed altri mezzi, l’intercettazione di comunicazioni tra presenti mediante dispositivi elettronici portatili e l’intercettazione di flussi di comunicazioni telematiche. Pertanto, tali disposizioni non costituiscono base giuridica idonea per trattamenti di dati biometrici diretti all’identificazione personale.
Infine, anche gli articoli 55, 348, 354 e 370 del codice di procedura penale, parimenti citati nella valutazione di impatto tra le fonti normative di riferimento, attengono alle funzioni di polizia giudiziaria nell’assicurare le fonti di prova e nel condurre accertamenti su luoghi o persone, di iniziativa o su delega dell’Autorità giudiziaria, ma non prevedono il trattamento dei dati biometrici, onde non costituiscono quella fonte normativa specifica richiesta dall’art. 7 del Decreto.
3) In conclusione, allo stato non sussiste una base giuridica idonea, ai sensi dell’art. 7 del Decreto, a consentire il trattamento dei dati biometrici in argomento, come pure recentemente rilevato dal Garante in un caso per qualche profilo assimilabile (provvedimento n. 54 del 26 febbraio 2020, reperibile sul sito internet dell’Autorità, doc. web n. 9309458).
Al riguardo è da osservare che tale base giuridica, in esito alla ponderazione di tutti i diritti e le libertà coinvolti, dovrà, tra l’altro, rendere adeguatamente prevedibile l’uso di tali sistemi, senza conferire una discrezionalità così ampia che il suo utilizzo dipenda in pratica da coloro che saranno chiamati a disporlo, anziché dalla emananda previsione normativa.
Ciò vale anche per quanto riguarda alcuni aspetti fondamentali dell’impiego della tecnica di riconoscimento facciale in argomento, come, a titolo di mero esempio, i criteri di individuazione dei soggetti che possano essere inseriti nella watch-list o quelli per determinare i casi in cui può essere utilizzato il sistema. Dovranno essere considerati, altresì, i limiti delle tecniche in argomento, notoriamente basate su stime statistiche della corrispondenza tra gli elementi confrontati e, quindi, intrinsecamente fallibili, stimando le eventuali conseguenze per gli interessati in caso di falsi positivi.
Le precedenti osservazioni assorbono la necessità di esaminare la bozza di valutazione di impatto prodotta da codesta Amministrazione, con riferimento alla quale si osserva tuttavia che appare di particolare rilievo assicurare la accuratezza e la capacità di discrimine, che vanno verificate per accertare che anche nei confronti di appartenenti a minoranze etniche il sistema sia pienamente adeguato.
