SARI Real Time: riconoscimento facciale non conforme alla normativa

Il SARI Real Time non è conforme alla normativa sulla privacy: il Garante per la protezione dei dati personali ha bocciato il sistema di riconoscimento facciale.

Il SARI

Si parla di un sistema sottoposto all’esame dell’Autorità Garante attraverso una serie di telecamere installate in una determinata area geografica, che permettono di analizzare in tempo reale i volti dei soggetti ripresi, confrontandoli con una banca dati predefinita (definita “watch-list”), che può contenere fino a 10.000 volti.

Il sistema attraverso un algoritmo di riconoscimento facciale può riscontrare una corrispondenza tra un volto presente nella watch-list ed un volto ripreso dalle telecamere, in questo modo il sistema è in grado di generare un alert in caso di match positivo che viene segnalato direttamente alle Forze di Polizia.

Il Ministero dell’Interno ha indetto un’apposita procedura di gara ad evidenza pubblica avente ad  oggetto la progettazione e realizzazione dell’infrastruttura informatica, comprensiva di tutte le componenti tecnologiche necessarie, sia “hardware” (server, storage, notebook, etc), sia “software” (di base, d’ambiente ed applicativo), di tutti i servizi occorrenti per il completo avvio funzionale, e la gestione e l’assistenza della soluzione denominata “Sistema Automatico Riconoscimento Immagini” (SARI) nelle sue componenti “Enterprise” e “Real – time” . Si tratta di un impegno di spesa di circa 1.220.000,00 di euro.

…e la Privacy?

Il Sistema è stato sottoposto all’attenzione del Garante per la protezione dei dati personali che ha ritenuto fondamentale, in linea con quanto definito dal Consiglio Europeo, l’’utilizzo di tecnologie di riconoscimento facciale per finalità di prevenzione e repressione di reati.

Tuttavia, le linee guida richiamano i legislatori e quanti hanno responsabilità di adottare decisioni a stabilire norme specifiche per il trattamento di dati biometrici mediante tecnologie di riconoscimento facciale a fini di contrasto, per garantire che il loro impiego sia strettamente necessario e proporzionato alle finalità d’utilizzo.

In particolare, è necessario considerare che il SARI realizza un trattamento automatizzato su larga scala che può riguardare, tra l’altro, anche coloro che prenderanno parte a manifestazioni pubbliche, anche se non è oggetto di “attenzione” da parte delle Forze di Polizia.

Inoltre, dalla valutazione di impatto presentata al Garante si evince la cancellazione immediata di tali dati e l’identificazione di un numero considerevole di persone che transitano in un luogo pubblico senza che le stesse siano presenti nella wacht-list. Pertanto, si determina una evoluzione della natura stessa dell’attività di sorveglianza, passando da quella mirata di alcuni individui, alla possibilità di una universale allo scopo di identificare solo pochi individui.

Il trattamento dei dati in questione (c.d. Dati biometrici) prevedono una maggior tutela, poiché tali trattamenti determinano una forte interferenza con la vita privata delle persone interessate che devono trovare giustificazione in una adeguata base normativa, come prevede l’art. 6 del GDPR.

Una sorveglianza indiscriminata?

L’autorità, infatti, evidenzia il rischio di una sorveglianza indiscriminata di massa. Non è, quindi, favorevole il parere del Garante per la protezione dei dati personali sull’utilizzo del sistema Sari Real Time da parte del Ministero dell’interno.

Il parere del Garante è in linea con quanto definito dalla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, il cui articolo 8 prevede che ogni persona ha diritto al rispetto della propria vita privata e familiare e non può esservi ingerenza di una autorità pubblica nell’esercizio di tale diritto, salvo che questo sia previsto dalla legge e costituisca una misura che, in una società democratica, è necessaria alla sicurezza nazionale e alla difesa dell’ordine e alla prevenzione dei reati, alla protezione della salute o della morale, o alla protezione dei diritti e delle libertà altrui.

Ulteriore ed importante circostanza si rinviene nella natura dei dati personali utilizzati dal SARI, i quali rientrerebbero nella categoria particolari di dati ex art. 9 del GDPR, cioè: “dati biometrici intesi a identificare in modo univoco una persona fisica. Infatti, il SARI utilizzato in occasione di manifestazioni pubbliche coinvolge l’identificazione di dati idonei a rivelare opinioni politiche o appartenenza sindacale.

Infine, anche gli articoli del codice di procedura penale (artt.55, 348, 354 e 370), menzionati nella valutazione di impatto tra le fonti normative di riferimento dal Ministero e che attengono alle funzioni di polizia giudiziaria nell’assicurare le fonti di prova e nel condurre accertamenti su luoghi o persone, di iniziativa o su delega dell’Autorità giudiziaria, non prevedono il trattamento dei dati biometrici. Da questo ne consegue la totale assenza della fonte normativa specifica richiesta dall’art. 7 del Decreto,[1] attuativo della Direttiva UE 2016/680, il quale dispone che i trattamenti di dati personali da parte degli organi di Polizia devono basarsi su disposizioni di legge o, ove da questa previsto, di regolamento.

Conclusioni

Il Garante boccia, dunque, un sistema di riconoscimento facciale siffatto, seppur utilizzato ai fini di repressione dei reati, poiché una base normativa adeguata dovrebbe tener conto di tutti i diritti e le libertà coinvolte e definire le situazioni in cui è possibile l’uso di tali sistemi, senza lasciare una discrezionalità così ampia a rischio di un controllo di massa, che risulterebbe anticostituzionale e privo di ogni fondamento giuridico.

[1]             Decreto del Ministro dell’Interno del 24 maggio 2017 (Individuazione dei trattamenti di dati personali effettuati dal Centro elaborazione dati del Dipartimento della pubblica sicurezza o da Forze di polizia sui dati destinati a confluirvi, ovvero da organi di pubblica sicurezza o altri soggetti pubblici nell’esercizio delle attribuzioni conferite da disposizioni di legge o di regolamento, effettuati con strumenti elettronici e i relativi titolari)

Master Universitario di 1° livello – I professionisti della digitalizzazione documentale e della privacy

Scopri il corso universitario in e-learning

Il Master intende fornire ai partecipanti una preparazione manageriale, completa e multidisciplinare necessaria ad affrontare e risolvere le sfide poste dalla progressiva digitalizzazione degli enti, sia pubblici che privati anche alla luce delle novità introdotte nel contesto normativo europeo, in particolare si fa riferimento al GDPR (General Data Protection Regulation) – Regolamento UE 679/2016 e al Regolamento eIDAS (electronic IDentification Authentication and Signature) – Regolamento UE n° 910/2014.