Il riconoscimento facciale negli eventi sportivi: quali sono i problemi per il trattamento dati?
La tecnologia per il riconoscimento facciale è in continua evoluzione. Sempre più spesso si discute del suo utilizzo anche nel corso di grandi manifestazioni al fine di tutelare la sicurezza e l’ordine pubblico. Ma cosa prevede la normativa?
L’uso del riconoscimento facciale per monitorare i grandi eventi o anche per consentire l’accesso a partite di calcio è stata più volte ipotizzata, ma anche criticata.
La Spagna, ad esempio ha avviato nel mese di aprile la sperimentazione per le sue gare casalinghe di Liga. L’implementazione di questa tecnologia pionieristica nel calcio spagnolo punta a essere un nuovo sistema di accesso allo stadio su base volontaria, che affianca le altre modalità di ingresso già esistenti nell’impianto del club spagnolo, come biglietti cartacei, tessere di abbonamento, biglietti su smartphone o QR code, ecc. Ma è una tecnologia che pone molti dubbi, anche all’interno dell’Unione europea, sulla sua liceità rispetto al trattamento dei dati e suo utilizzo etico.
Per capirne i rischi è necessario fare un po’ di chiarezza sul tipo di tecnologia di cui parliamo.
Secondo la CNIL, l’Autorità francese per la protezione dei dati, il riconoscimento facciale (facial recognition technology, o FRT) è una tecnica che permette, a partire dalle caratteristiche del viso di:
· autenticare una persona: cioè, verificare che essa sia chi dice di essere (nel contesto del controllo d’accesso);
· identificare una persona: cioè, trovare una persona in un gruppo di individui, in un luogo, un’immagine o un database.
Dal punto di vista del trattamento dati, parliamo dell’utilizzo di dati “biometrici” che, per definizione, identificano in maniera univoca la persona fisica.
Il rischio è, quindi, legato alla natura stessa del dato utilizzato per il riconoscimento facciale e il fatto che spesso il riconoscimento si basa su algoritmi, intelligenza artificiale e machine learning che ancora non hanno una attendibilità riconosciuta in assoluto. Ne comporta che qualsiasi violazione o abuso dei dati comporterebbe rischi significativi come il blocco dell’accesso a un servizio, furto d’identità, ecc..
A livello comunitario sono diverse le prese di posizione delle istituzioni che segnalano l’importanza di avere prudenza nell’utilizzo di simili tecnologie, e, su questa linea si è mosso anche il Legislatore italiano.
In Italia, infatti, lo scorso anno il legislatore ha scelto di introdurre nel decreto capienze un divieto per l’utilizzo del riconoscimento facciale. In particolare “l’installazione e l’utilizzazione di impianti di videosorveglianza con sistemi di riconoscimento facciale operanti attraverso l’uso dei dati biometrici di cui all’articolo 4, numero 14), del citato regolamento (UE) 2016/679 in luoghi pubblici o aperti al pubblico, da parte delle autorità pubbliche o di soggetti privati, sono sospese fino all’entrata in vigore di una disciplina legislativa della materia e comunque non oltre il 31 dicembre 2023”
È tuttavia prevista un’eccezione: il divieto non si applica “ai trattamenti (di dati personali per il riconoscimento biometrico, ndr.) effettuati dalle autorità competenti a fini di prevenzione e repressione dei reati o di esecuzione di sanzioni penali di cui al decreto legislativo 18 maggio 2018, n. 51, in presenza, salvo che si tratti di trattamenti effettuati dall’autorità giudiziaria nell’esercizio delle funzioni giurisdizionali nonché di quelle giudiziarie del pubblico ministero, di parere favorevole del Garante reso ai sensi dell’articolo 24, comma 1, lettera b), del medesimo decreto legislativo n. 51 del 2018”
La scelta, quindi, del legislatore italiano di sospendere in via cautelativa ed ex lege, l’adozione di sistemi di riconoscimento facciale in luoghi pubblici o aperti al pubblico rappresenta una decisione tutelante e in linea anche con le preoccupazioni Europee.
L’eccezione per l’uso da autorità competenti attraverso il filtro del parere del Garante dovrebbe salvaguardare i diritti e le libertà delle persone.
Su questo tema è stato pubblicato un ulteriore documento dell’European Data Protection Board (EDPB) Linee guida 5/2022 sull’uso della tecnologia di riconoscimento facciale nell’area delle forze dell’ordine attualmente in consultazione. Lo scopo delle Linee Guida è effettuare una valutazione sull’impiego di queste tecnologie e sul contemperamento dei vari interessi in gioco, diritti umani su tutti, offrendo agli Stati membri dell’UE un documento sulla base del quale valutare le proprie scelte legislative. Il documento è una sintesi delle normative e degli arresti giurisprudenziali in materia di data retention e impiego di dati biometrici, fino alle conclusioni, dove l’EDPB ha individuato davvero il punto delicato della questione. Se da una parte l’EDPB comprende la necessità di utilizzare tali tecnologie, dall’altra parte ribadisce la necessità che tali strumenti dovrebbero essere utilizzati nel rigoroso rispetto del quadro giuridico applicabile e solo nei casi in cui essi soddisfino i requisiti di necessità e proporzionalità. Probabilmente l’approvazione del Regolamento sull’Intelligenza Artificiale inciderà ancora sulle posizioni degli Stati Membri e dell’Unione Europea, ma ad oggi la parola d’ordine sembra essere “prudenza”. Prudenza per una tecnologia che ancora non è sicura e presenta alti rischi per il diritto alla protezione dei dati, ma anche consapevolezza che le FRT possono essere una risorsa importante per le Forze dell’Ordine e la Pubblica Autorità. All’interno dello stadio, ma non solo, il riconoscimento facciale potrebbe diventare un interessante ausilio per le Forze dell’Ordine. Il Decreto capienze, quindi, perfettamente in linea con le indicazioni dell’UE, ne consente l’utilizzo solo se a farlo sono le Autorità Pubbliche competenti previo parere del Garante Privacy. In tema di riconoscimento facciale negli stadi, in Italia abbiamo un interessante precedente autorizzato dal Garante nel 2016. Si trattava di un sistema di videosorveglianza da installare presso lo Stadio Olimpico, provvisto di una funzione di riconoscimento facciale, che forniva le immagini degli spettatori abbinate automaticamente al nominativo della persona che risulta dal sistema di controllo degli accessi ai tornelli e dal sistema di biglietteria. La finalità era principalmente legata alla sicurezza: la questura voleva implementare una misura per prevenire, contrastare e reprime illeciti durante le manifestazioni calcistiche.
Ma anche negli altri paesi ci sono precedenti interessanti
Nel 2019, per esempio, la squadra di calcio danese Brøndby IF ha annunciato l’implementazione, dal mese di luglio, della tecnologia di riconoscimento facciale automatizzato (AFR) nello stadio del Brøndby. Il sistema doveva servire a identificare le persone a cui era stato vietato di assistere alle partite di calcio del Brøndby IF per aver violato le regole di condotta del club. Il sistema AFR usa telecamere che scannerizzano le aree di ingresso dello stadio, in modo che le persone sulla lista possano essere “selezionate” tra la folla prima di arrivare all’ingresso.
In tale caso, l’autorità danese per la protezione dei dati ha deciso che il trattamento con AFR applicato a una lista di divieto dello stadio del Brøndby IF è necessario per motivi di interesse pubblico sostanziale, e che il trattamento è proporzionato all’obiettivo perseguito e sarà usato per trattare i dati personali sensibili di, in media, 14mila persone per ogni incontro di calcio.
Anche la Francia non è esente da casi esaminati dalle Autorità sul trattamento dei dati. Il FC Metz ha ricevuto un avvertimento dalla CNIL. Nel suo comunicato stampa, la CNIL ha spiegato come la pratica lanciata dal club francese contravviene alle leggi esistenti, dichiarando che: il sistema di riconoscimento facciale per identificare automaticamente i tifosi nello stadio di calcio non è conforme alla normativa di protezione dei dati.
La soluzione di corrispondenza facciale era – secondo il Club - stata testata solo per far rispettare i divieti di accesso allo stadio.
Ma il dibattito come in tutti Paesi UE è ancora molto acceso e spesso intervengo anche leggi nazionali specifiche, come, appunto in Francia (rif. Codice Sportivo francese).
Ma mentre per l’utilizzo in ambiente safety e security ci possono essere delle prospettive sia legislative che tecniche interessanti, per altre finalità, come il controllo accesso, realizzato dai privati dovremo attendere ancora sia l’evoluzione della tecnologia che quella normativa. Forse il regolamento sull’intelligenza artificiale ci darà altri spunti su cui riflettere.