Tech Legal Intelligenza Artificiale e Biometria applicate alla videosorveglianza. Perché se ne sconsiglia l’uso Giuseppe Alve... 06 October 2023 Gli algoritmi di intelligenza artificiale destinati all’identificazione biometrica delle persone fisiche, attraverso l’utilizzo di specifici sistemi di videosorveglianza, possono avere delle imprecisioni tecniche tali da determinare risultati distorti e comportare effetti discriminatori. Ciò assume particolare rilievo quando si tratta di età, sesso, disabilità ed etnia. Per questo, tutti i trattamenti eseguiti con sistemi di identificazione biometrica a distanza, sia "in tempo reale" che “a posteriori”, sono considerati "ad alto rischio". AI Privacy Notizie correlate Legal Ruolo e responsabilità privacy degli hosting providers nelle Smart Cities Esg La continuità operativa nelle Smart Cities in caso di incidente fisico o tecnico Legal P.A. e imprese: i rischi per chi non rispetta la privacy A causa degli elevati rischi che comportano, i sistemi di videosorveglianza capaci di eseguire l’identificazione biometrica a distanza delle persone risultano davvero molto invasivi. Per questo e per altri motivi al momento l’uso di tali sistemi è fortemente sconsigliato. I dati biometrici L’utilizzo dei tradizionali sistemi di videosorveglianza comporta il trattamento di immagini che sono dati personali “comuni”. I sistemi di intelligenza artificiale applicati alla videosorveglianza, invece comportano il trattamento di una particolare “species” di dati personali: i dati biometrici. L’Art.4, par.1, n.14) del GDPR definisce i «dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici. Come vengono generati i dati biometrici I dati biometrici sono quindi il risultato di uno specifico trattamento tecnico. In pratica, un algoritmo sviluppa un trattamento automatizzato, che inizia con l’acquisizione di una caratteristica biometrica (cioè una caratteristica fisica, fisiologica o comportamentale di un individuo), dalla quale possono essere estratti ,in modo ripetibile, dei tratti biometrici distintivi e idonei al riconoscimento biometrico, quali la posizione degli occhi, del naso, delle narici, del mento, delle orecchie. Sulla base dei tratti biometrici viene costruito un template, i.e. un modello biometrico. Il modello biometrico così ottenuto viene confrontato con altri modelli biometrici contenuti in un data base (la c.d. watch list) con l’obiettivo di stabilirne il grado di somiglianza o di dissomiglianza. Come deve essere trattato il dato biometrico Il dato biometrico rientra nelle categorie particolari di dati, per i quali è prevista una maggior tutela rispetto ai dati comuni. Quindi, oltre ad allineare, fin dalla progettazione, la relativa attività di trattamento ai principi di protezione dei dati stabiliti nell’art. 5 del GDPR, in attuazione dell’art. 2 septies del codice privacy bisogna anche: individuare e documentare una delle ulteriori condizioni di legittimità del trattamento previste dal paragrafo 2 dell’art. 9 del GDPR che consentono il trattamento dei dati di particolare natura; contestualmente applicare le specifiche misure di garanzia disposte dall’Autorità Garante della Privacy. Un ulteriore fattore di complicazione è costituito dal fatto che dette misure di garanzia, ad oggi, non sono ancora state emanate dall’Autorità Garante. Nelle more e fino all’adozione delle stesse, in linea con quanto stabilito dall’art. 21, comma 4 del D.Lgs. 101/2018, si applicano le prescrizioni contenute nelle autorizzazioni generali aggiornate ed inserite nel provvedimento GPDP n. 146 del 5 giugno 2019 [doc. web n. 9124510]. Il minor favor del Legislatore Nazionale Questo complesso scenario è aggravato da un minor favor per l’utilizzo di questi strumenti da parte del Legislatore Nazionale. Infatti, l’art. 9, comma 9 del D.L. 139/2021 (il c.d. decreto capienze) poi convertito in legge, prescrive che l’installazione e l’utilizzazione di impianti di videosorveglianza con sistemi di riconoscimento facciale, operanti attraverso l’uso dei dati biometrici in luoghi pubblici o aperti al pubblico, da parte delle autorità pubbliche o di soggetti privati, sono sospese fino all’entrata in vigore di una disciplina legislativa della materia e comunque non oltre il 31 dicembre 2025. Estote Parati ! Ma vi è anche un’altra circostanza che rende fortemente sconsigliato l’uso dell’intelligenza artificiale applicata alla videosorveglianza. E’ bene sapere che l’Autorità Garante, 2 volte l’anno, emana un provvedimento con il quale programma l’attività ispettiva di iniziativa eseguita anche per mezzo della Guardia di Finanza. Cioè ogni 6 mesi stabilisce i settori o le attività che saranno oggetto di ispezioni cioè di audit investigativi volti a verificare il rispetto della normativa privacy. Orbene, per il secondo semestre 2023 l’indirizzo dell’attività ispettiva è stata fissato con il provvedimento GPDP n. 339 del 3 agosto 2023[doc. web n. 9920683]. Questo provvedimento prevede, tra l’altro, anche l’esecuzione di “specifici accertamenti riferiti ai trattamenti di dati biometrici mediante riconoscimento facciale, (anche) nell’ambito del rapporto di lavoro”. Le Aziende sono avvertite! Giuseppe Alverone
PRO
