Coded Bias: il parere negativo del Garante sull'archivio Sari per il riconoscimento facciale

Pagina creata da Ilaria Rossetti
 
CONTINUA A LEGGERE
Tribunale Bologna 24.07.2007, n.7770 - ISSN 2239-7752
                                               Direttore responsabile: Antonio Zama

Coded Bias: il parere negativo del Garante sull’archivio
          Sari per il riconoscimento facciale
                                                   22 Aprile 2021
                                                  Federica Paolucci

1. Introduzione
Il 25 marzo 2021 l’Autorità garante per la protezione dei dati personali ha espresso parere negativo
su un sistema di riconoscimento facciale “real time”, anche noto come live facial recognition
, denominato Sari, che permette di identificare automaticamente un volto tramite un’intelligenza
artificiale basata sul deep learning. Questa tecnologia consente, tramite la creazione di pattern, di
individuare e creare un match tra foto raffiguranti i medesimi individui. In particolare, il Sari confronta le
immagini raccolte da una persona con quelle conservate nell’archivio Afis, il “Sistema Automatizzato di
Identificazione delle Impronte”[1].
L’Autorità, dopo aver esaminato la bozza di valutazione di impatto inviata dal Ministero dell’Interno, nella
quale sono integrate la descrizione dell'architettura di sistema e le relative istruzioni operative, ha stabilito
che il sistema è privo di una base giuridica adeguata a legittimare “il trattamento automatizzato dei dati
biometrici per il riconoscimento facciale a fini di sicurezza” e sarebbe in grado di realizzare “per come è
progettato una forma di sorveglianza indiscriminata/di massa”. Per comprendere le ragioni del parere
negativo reso dall’Autorità, si procederà con l’esaminare le premesse da cui muove questa vicenda.

2. L’archivio Sari e l’inchiesta di IrpiMedia
L’intenzione del Ministero dell’Interno di utilizzare l’Archivio Sari per il riconoscimento facciale non è
una novità della digitalizzazione provocata, ad ogni livello, dall’emergenza pandemica. Difatti, nel 2017
l’azienda Parsec 3.26 si è aggiudicata il bando per la fornitura del Software per il “Sistema automatico di
Riconoscimento Immagini Sari”. Il sistema Sari è composto da due componenti: “enterprise” e “real
time”. La prima è già entrata in esercizio nel settembre 2018, previa valutazione positiva del Garante, e
prevede l’utilizzo del sistema di riconoscimento facciale di immagini presenti nella banca dati, “watch-list”
. La seconda è, invece, il punto in discussione in quanto, a differenza dell’attuale impiego dell’archivio, si
basa su un utilizzo live del sistema: ovverosia, la pratica di comparare volti in tempo reale ottenuti da
frammenti di video (come, ad esempio, dalle telecamere di sicurezza) con le immagini già conservate nel
menzionato database.
L’esigenza di dotarsi di una tale tecnologia non è un’esclusiva italiana: difatti, in ambito Europeo già nel
2016 era stato preso in considerazione l’utilizzo del riconoscimento facciale nell’EURODAC, il database
impiegato per raccogliere le impronte digitali di migranti e richiedenti asilo che entrano nella zona
Schengen. Un programma sul quale è stata riaccesa l’attenzione dell’opinione pubblica e tecnica a seguito
della pubblicazione da parte del giornale online The Intercept, nel febbraio 2020, di un reportcirca un
progetto in esame presso le istituzioni europee che avrebbe come scopo quello di istituire un
archivio pan-unitario di riconoscimento facciale. Una proposta guidata dall’Austria che si dovrebbe
basare sull’ampliamento della portata del Prüm, il database biometrico che consente lo scambio dei dati
relativi al DNA dei condannati per reati sul territorio dei paesi aderenti.
Nel febbraio 2021, è stata presentata dai Deputati Sensi e Borghi un’interpellanza urgente al Ministro
dell’Interno per conoscere dell’utilizzo del Sari a seguito della pubblicazione di uno studio a cura
dell'attivista e giornalista Riccardo Colucchini su IrpiMedia (Investigative Reporting Project Italy),
associazione che si occupa di promuovere iniziative di giornalismo di inchiesta. Come viene riportato
nell’articolo, grazie ad alcuni documenti ottenuti con una richiesta FOIA inviata al Garante, il giornalista
ha potuto constatare che attorno all’utilizzo del Sari si è creata una situazione di forte opacità: difatti, le
informazioni più recenti risalivano al 2018. Si comprende bene come non possa essere tollerata una tale
situazione di incertezza e mancanza di chiarezza[2] con riferimento a uno strumento che in ogni parte del
globo e a più riprese sta subendo delle battute di arresto per il suo grado di intrusività e lesione dei diritti
fondamentali dei cittadini coinvolti[3]. Difatti, già nei lavori preparatori del White Paper of Artificial
Intelligence era stata presa in considerazione la possibilità di imporre un moratorium di cinque anni all’uso
del riconoscimento facciale proprio a causa degli errori, bias, che l’algoritmo commette nel riconoscere i
volti di individui di colore, come anche riportato dal documentario Coded Bias ad opera della Algorithmic
Justice League e diffuso da Netflix.
È proprio sulla prospettazione di un moratorium che si basa l’interpellanza di Sensi e Borghi che chiedono
al Ministro dell’Interno di mettere il Parlamento a conoscenza di “quali sistemi di riconoscimento facciale
intenda utilizzare” e se “non ritenga invece opportuna una moratoria in attesa di una migliore definizione
della normativa in materia di privacy a tutela dei diritti costituzionali dei cittadini”.
La Ministra Lamorgese, dunque, nel riferire alla Camera dei Deputati il 3 marzo 2021, pur non
prospettando alcun tipo di moratoria, ha chiarito che il Sari non sarà utilizzato dalla polizia delle frontiere e
dalla direzione centrale dell’immigrazione e delle politiche di integrazione, nell’ambito della gestione dei
flussi migratori. Ha, infine, chiarito che quando il sistema real time verrà messo in uso non distinguerà tra
“migranti, cittadini, ecc.., bensì è un sistema che a regime funzionerà in modo indifferenziato a supporto
delle attività investigative”. Tale chiarimento appare più preoccupante che rassicurante, come anche nota
l’Autorità. Prima di passare a un esame del parere, occorre menzionare che il 12 aprile 2021 è stato
presentato un progetto di legge dagli stessi on.li Sensi e Borghi sulla “Sospensione dell’installazione e
dell’utilizzazione di impianti di videosorveglianza con sistemi di riconoscimento facciale operanti
attraverso l’uso di dati biometrici in luoghi pubblici o aperti al pubblico”. Concludendo, dunque, le
necessarie premesse logiche, si passa ad esaminare il parere del Garante che si spera possa aprire a una
nuova stagione di maggiore chiarezza sull’impiego del Sari in Italia.

3. Il parere negativo dell’Autorità Garante
A seguito della trasmissione da parte del Ministero di una valutazione di rischio alla privacy, l’Autorità
Garante ha espresso parere negativo sul Sari Real Time. Dopo aver richiamato il funzionamento del
sistema, gli aspetti che sono stati considerati sono di due tipi: l’uno si appunta sulla base giuridica del
trattamento, l’altro sulla violazione dei diritti fondamentali di coloro che vi verrebbero sottoposti.
Con riferimento al primo elemento, l’Autorità ha richiamato le Linee Guida recentemente pubblicate dal
Consiglio d’Europa proprio sull’utilizzo del riconoscimento facciale. Il documento, distinguendo nella
valutazione dei rischi sull’utilizzo da parte di soggetti pubblici e privati, richiama nella parte che riguarda il
legislatore, l’articolo 6 della Convenzione 108. Il trattamento di dati biometrici rientra, difatti, nella
cornice del processing of special categories of data, come ribadito dalla Law Enforcement Directive[4]
, e può essere autorizzato solo in presenza di una solida base giuridica e nel rispetto del principio di
proporzionalità e necessità. Sebbene le Linee Guida siano sostanzialmente vaghe nel delimitare il confine
di “certain uses” concessi e/o condannati di riconoscimento facciale, prospettano, tuttavia, come appai
utile considerare un periodo di moratorium per costruire un dibattito adeguato ai principi democratici e
per accertare i rischi connessi all’utilizzo di una tale tecnologia nei contesti di “uncontrolled
enviromentes”: vale a dire i luoghi aperti al pubblico, inclusi supermercati e scuole.
Tralasciando per il momento le conseguenze che si avrebbero dall’utilizzo del Sari in questo ambito, il
problema giuridico che l’Autorità ha preso in considerazione è la mancanza di una base normativa che
possa permettere il trattamento di queste immagini raccolte in real time. L’articolo 9 del GDPR[5]
inibisce, difatti, l’uso dei dati biometrici per tali fini pur prevedendo delle isolate eccezioni nel par. 2 quali,
ad esempio, la realizzazione di attività di pubblica sicurezza. L’articolo 7 del Decreto attuativo la Law
Enforcement Directive pur prevedendo in astratto tali trattamenti, come già visto nelle Linee Guida del
CoE, stabilisce che il trattamento dei dati biometrici è soggetto a limitazioni specifiche, tra le quali quella
di dovere essere “specificamente previsto dal diritto dell'Unione europea o da legge o, nei casi previsti
dalla legge, da regolamento”. Il Garante osserva, dunque, che “nella documentazione fornita dal
Ministero dell’Interno e tra le fonti normative da questo indicate non si rinviene alcuna disposizione
specifica che consenta tale tipo di trattamento”. Difatti, i richiamati articolo 1 del T.U.L.P.S. (Testo
unico delle leggi di pubblica sicurezza), il d.P.R. 15 gennaio 2018, n. 15, recante l'individuazione delle
modalità di attuazione dei principi del Codice relativamente al trattamento dei dati effettuato per le finalità
di polizia, gli agli artt. 134, c. 4, 234, 266, 431, c. 1, lett. b), oltre gli artt. 55, 348, 354 e 370 sull’attività di
polizia giudiziaria non prevedono alcun tipo di riferimento alla tecnologia in esame di base biometrica e,
dunque, non costituiscono fonte normativa specifica di cui all’articolo 7.
L’autorità si sofferma, infine, sull’impatto del riconoscimento facciale sui diritti fondamentali dei cittadini.
Tale tecnologia, difatti, oltre a sollevare delle domande dal punto di vista della legittimità e dell’esercizio
dei poteri costituendo latu sensu un sistema di automatic decision making, provoca delle considerazioni sul
piano dell’esercizio di quelle libertà civili che sono i cardini di una società democratica. L’utilizzo, difatti,
di sistemi di riconoscimento facciale incrementa i c.d. chilling effects, degli effetti a catena, non solo sul
diritto alla riservatezza ma anche, e soprattutto, sul diritto di associazione e di assemblea, sulla libertà di
espressione, al principio di uguaglianza e non discriminazione, come mette in evidenza la International
Network of Civil Liberties Organizations in uno studio su casi pratici pubblicato nel gennaio del 2021.
Nel prendere in considerazione le conseguenze del Sari sul piano dei diritti, l’Autorità osserva molto
acutamente che “il trattamento di immagini volte ad identificare le persone nel contesto pubblico è quindi
di estrema delicatezza ed è perciò necessaria una valutazione d’insieme, per evitare che singole iniziative,
sommate tra loro, definendo un nuovo modello di sorveglianza introducano, di fatto, un cambiamento non
reversibile nel rapporto tra individuo ed autorità. Occorre in particolare considerare che il sistema in
argomento realizza un trattamento automatizzato su larga scala che può riguardare, tra l’altro, anche coloro
che siano presenti a manifestazioni politiche e sociali, che non sono oggetto di “attenzione” da parte delle
forze di Polizia; ancorché la valutazione di impatto indica che i dati di questi ultimi sarebbero
immediatamente cancellati, nondimeno, l’identificazione di una persona in un luogo pubblico comporta il
trattamento biometrico di tutte le persone che circolano nello spazio pubblico monitorato, al fine di
generare i modelli di tutti per confrontarli con quelli delle persone incluse nella “watch-list”. Pertanto, si
determina una evoluzione della natura stessa dell’attività di sorveglianza, passando dalla sorveglianza
mirata di alcuni individui alla possibilità di sorveglianza universale allo scopo di identificare alcuni
individui”.

4. Conclusioni
Una base normativa adeguata a garantire la protezione dei diritti dei cittadini: questa è la richiesta
del Garante che, se da una parte, rassicura sul rischio di una distopica deriva verso la sorveglianza di
massa, dall’altra preoccupa data la ormai proverbiale obsolescenza normativa nei confronti del
riconoscimento facciale (e non solo), dimostrata anche sul piano Europeo. Quest’ultima problematica
impone una riflessione a priori circa le necessità di impiegare strumenti che allo stato dell’arte stanno
dimostrando di provocare più svantaggi che benefici per via dei bias, in particolare relativi al colore della
pelle e al genere, codificati all’interno dello stesso sistema algoritmico, che rendono il riconoscimento
facciale un temibile “unwanted gaze” piuttosto che una risorsa.

[1] Tale archivio trova, invece, base giuridica nel titolo VI del TUE. Si tratta del cd. “SID terzo pilastro”,
disciplinato da apposita Convenzione sull'uso dell'informatica.
[2] Già nel 2019 Wired Italia aveva pubblicato un’inchiesta che metteva in discussione i numeri
dell’archivio Sari che secondo un’intervista a Fabiola Mancone, primo dirigente della polizia scientifica, e
trasmessa dal Tg1 conterrebbe 16 milioni di volti, mentre nei documenti trasmessi dal Ministero al Garante
nell’ambito del parere in esame si parla di 10 mila volti.
[3] Il riferimento è al recente blocco da parte del Canada di un altro famosissimo archivio di
riconoscimento facciale, Clearview AI, e alla causa intentata in California da due gruppi di attivisti per i
diritti dei migranti, Mijente e Norcal Resist sempre contro la controversa azienda fondata da Hoan Ton-
That. La stessa si è vista intimare dal Garante della città di Amburgo di cancellare i dati di un cittadino
tedesco (sostenuto peraltro dall’organizzazione fondata da Schrems) che inconsapevolmente era finito nel
database senza aver dato specifico consenso.
[4] Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla
protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità
competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni
penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del
Consiglio, attuata dal D.Lgs. n. 51 del 18 maggio 2018.
[5] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla
protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera
circolazione di tali dati e che abroga la direttiva 95/46/CE.

TAG: privacy, dati personali, GDPR

Avvertenza
La pubblicazione di contributi, approfondimenti, articoli e in genere di tutte le opere dottrinarie e di
commento (ivi comprese le news) presenti su Filodiritto è stata concessa (e richiesta) dai rispettivi autori,
titolari di tutti i diritti morali e patrimoniali ai sensi della legge sul diritto d'autore e sui diritti connessi
(Legge 633/1941). La riproduzione ed ogni altra forma di diffusione al pubblico delle predette opere
(anche in parte), in difetto di autorizzazione dell'autore, è punita a norma degli articoli 171, 171-bis, 171-
ter, 174-bis e 174-ter della menzionata Legge 633/1941. È consentito scaricare, prendere visione, estrarre
copia o stampare i documenti pubblicati su Filodiritto nella sezione Dottrina per ragioni esclusivamente
personali, a scopo informativo-culturale e non commerciale, esclusa ogni modifica o alterazione. Sono
parimenti consentite le citazioni a titolo di cronaca, studio, critica o recensione, purché accompagnate dal
nome dell'autore dell'articolo e dall'indicazione della fonte, ad esempio: Luca Martini, La discrezionalità
del sanitario nella qualificazione di reato perseguibile d'ufficio ai fini dell'obbligo di referto ex. art 365
cod. pen., in "Filodiritto" (https://www.filodiritto.com), con relativo collegamento ipertestuale. Se l'autore
non è altrimenti indicato i diritti sono di Inforomatica S.r.l. e la riproduzione è vietata senza il consenso
esplicito della stessa. È sempre gradita la comunicazione del testo, telematico o cartaceo, ove è avvenuta
la citazione.

                                Filodiritto(Filodiritto.com) un marchio di InFOROmatica S.r.l
Puoi anche leggere