Arresto tramite videocam pubbliche con facial recognition. Una pronuncia della High Court of Justice
Mentre in Italia si discute sul bilanciamento tra protezione dei dati personali e misure di contenimento della pandemia connessa al Coronavirus, nel Regno Unito il riconoscimento facciale supera il vaglio della High Court of Justice, seppur raccogliendo le critiche del garante privacy d’oltremanica.
La questione riguarda una recente sentenza dell’High Court of Justice dell’Inghilterra e Galles, ovvero L’Alta corte di giustizia che, con la Corte della corona e la Corte d’appello, è una delle corti superiori di Inghilterra e Galles.
L’Alta corte è un tribunale di primo grado, ma è un tribunale superiore, e come tale sorveglia le corti e i tribunali che sono inferiori ad esso.
Quella che di seguito verrà descritta è stata, a più voci, presentata come la prima decisione giudiziale a livello globale ad aver affrontato, in modo analitico, la tematica della compatibilità con il diritto alla riservatezza dell’utilizzo da parte delle forze di polizia di software di riconoscimento facciale. Si tratta di tools che consentono di associare alla foto o al video di un volto di uno sconosciuto una o più immagini, contenute in una banca dati di dimensioni variabili, di soggetti le cui generalità siano già note. La High Court of Justice, Queen’s Bench Division, Divisional Court, 4 settembre 2019, Case No: CO/4085/2018, R (Bridges) v. CCSWP e SSH, è stata, infatti, a più voci definita come il primo arresto a livello mondiale ad aver affrontato in modo analitico la questione della compatibilità dell’utilizzo, da parte della polizia, di mezzi di riconoscimento facciale con i diritti fondamentali alla riservatezza e alla tutela dei dati personali.
A tal proposito, è bene ricordare che nel Regno Unito diversi corpi di polizia stanno negli ultimi anni sperimentando l’utilizzo del riconoscimento facciale, ai fini di prevenzione e repressione della criminalità, tramite una serie di progetti pilota, i quali sono stati avviati pur in assenza di alcuna disciplina legislativa specifica che regoli tale assai delicata attività. Il ruolo di leader in quest’ambito è stato assunto dalla South Wales Police, la quale, grazie anche ad alcuni finanziamenti governativi, ha iniziato, sin dagli inizi del 2017, un progetto concernente la tecnologia in esame, in vista di una sua possibile diffusione a livello nazionale. Il programma così avviato (tutt’ora in corso) contempla l’utilizzo dei software di riconoscimento in due modi diversi. Il primo è noto come “AFR Identify” e consiste nell’analisi statica, attraverso un algoritmo di facial recognition, di un’immagine di un soggetto la cui identità è ignota, la quale viene comparata con quelle contenute in un database della South Wales Police (contenente un bacino di circa cinquecentomila profili facciali).
Il secondo è, invece, denominato “AFR Locate”: esso prevede la ripresa live tramite telecamere posizionate sul territorio dei volti di soggetti che si trovino in determinati luoghi di interesse, finalizzata all’estrazione del profilo facciale di tali individui. Siffatte informazioni sono poi confrontate, tramite un software, con i modelli biometrici di persone inserite in una lista ad hoc più ristretta (la cui capacità massima è di duemila immagini), preparata dalla South Wales Police per il singolo evento di interesse (cd. watchlist).
La pronuncia in commento ha alla base proprio l’utilizzo da parte della South Wales Police del sistema “AFR Locate” nei confronti di un attivista per i diritti civili, tale Edward Bridges. Più precisamente, quest’ultimo, avvalendosi dell’ausilio della nota associazione per la protezione dei diritti umani Liberty, ha adito la High Court of Justice onde censurare di essere stato illegalmente sottoposto al sistema AFR Locate, senza il suo consenso e senza essere preavvertito di ciò, in due diverse occasioni, mentre si trovava a Cardiff. A tale riguardo, va ricordato che egli non faceva parte dei soggetti inseriti nelle liste di sospettati (cd. watchlist), stilate dalla polizia gallese, essendo soltanto un comune cittadino che si trovava nei luoghi sottoposti a video sorveglianza.
Gli argomenti che Bridges ha addotto a sostegno del suo ricorso sono – in estrema sintesi – che la South Wales Police, sottoponendolo all’algoritmo di riconoscimento facciale, in assenza di una disciplina legislativa ad hoc che autorizzasse tale attività, avrebbe leso il suo diritto alla riservatezza, tutelato dall’art. 8 CEDU, e violato la disciplina comunitaria e interna di protezione dei dati personali. È evidente come il ricorso di Bridges sia stato stilato ad arte, in modo tale da sintetizzare l’insieme delle critiche più rilevanti, sollevate da plurimi studiosi e associazioni a tutela dei diritti umani nei confronti dell’utilizzo, da parte delle autorità di law enforcement, dei mezzi tecnologici in questione.
Dal canto suo, la High Court of Justice ha però disatteso simili aspettative: essa ha, infatti, rigettato tutte le menzionate censure, mediante una motivazione alquanto articolata, così riassumibile. Con riguardo al primo motivo di ricorso, la Corte ha ammesso che l’utilizzo da parte della polizia gallese del software di facial recognition ha determinato un’ingerenza nella vita privata di Bridges, potenzialmente lesiva dell’art. 8 CEDU; e ciò in quanto l’algoritmo di riconoscimento, avendo estratto il suo profilo facciale, avrebbe permesso di acquisire «information of an “intrinsically private” character». Una siffatta invasione nella sua sfera di riservatezza è stata però considerata del tutto legittima, poiché consentita dall’art. 8, par. 2, CEDU, il quale – com’è noto – prevede che le autorità pubbliche possano compiere un’intrusione nella privacy dei singoli, laddove siffatto comportamento sia previsto «dalla legge e costituisca una misura che, in una società democratica, è necessaria alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese, alla difesa dell’ordine e alla prevenzione dei reati, alla protezione della salute o della morale, o alla protezione» . In materia di dati biometrici, è d’uopo, peraltro, ricordare che, prima di arrivare a una siffatta conclusione, i decisori hanno considerato opportuno distinguere il riconoscimento facciale, da una parte, e l’estrazione di un profilo del DNA/il rilievo delle impronte digitali, da un’altra parte. A detta dei giudici d’oltremanica, infatti, tra tali strumenti tecnici sussisterebbe una differenza di primario rilievo: mentre il DNA e la raccolta delle impronte digitali «involve physically intrusive acts», al contrario «no physical entry, contact or force is necessary when using AFR Locate to obtain biometric data». Ed è proprio la constatazione per cui la scansione tramite algoritmi di facial recognition non andrebbe a determinare un’ingerenza fisica diretta sulle persone ha portato la Corte ad affermare che, allo stesso modo di quanto accade per le videoriprese (e a differenza di quanto avviene per mezzi considerati più intrusivi come proprio il DNA e la raccolta delle impronte), non sarebbe affatto necessario che le autorità di law enforcement siano dotate di «new express statutory powers» per poter legittimamente avvalersi dei software di analisi biometrica in esame.
Neppure la seconda macro-censura sollevata da Bridges, concernente la violazione della disciplina generale in materia di tutela della privacy, ha avuto migliore fortuna. Difatti, a detta della Corte d’oltremanica, non solo la procedura di profilazione a cui è stato sottoposto il ricorrente, nel momento in cui il suo volto è stato scansionato dal software di riconoscimento, è stata compiuta al fine di perseguire lo scopo del tutto legittimo di prevenire e contrastare la criminalità, ma la South Wales Police avrebbe anche rispettato tutti i requisiti specifici, stabiliti dalla legge (interna e comunitaria), per i casi in cui siano trattate categorie particolari/sensibili di dati personali (genus all’interno del quale sono stati fatti rientrare i dati biometrici, tesi a identificare in modo univoco una persona fisica, quali quelli ottenuti tramite la tecnologia di facial recognition).
Ad esempio, va a tal proposito ricordato che la South Wales Police, oltre ad aver messo in campo uno standard di garanzie particolarmente elevato in tema di data retention, ha anche adottato specifici accorgimenti «to inform members of the public about AFR and as to its use at the event or in the area which they may be attending or present». A ogni modo, a convincere i giudici circa la necessità di rigettare le censure in tema di privacy, è stato, in particolare, il fatto che la polizia gallese, prima di compiere l’attività di videoripresa mediante facial recognition, avesse adottato, per un verso, un documento programmatico, intitolato “Policy on Sensitive Processing for Law Enforcement Purposes”, con cui ha spiegato le procedure messe in campo «for securing compliance with the data protection principles» e, per un altro verso, un Data Protection Impact Assessment (D.P.I.A.), volto a chiarire il funzionamento del sistema “AFR Locate” e i rischi per la protezione dei dati personali determinati dallo stesso (nonché le contromisure messe in campo per contrastare siffatti pericoli).
Merita, peraltro, rilevare che la pronuncia in esame ha suscitato plurime obiezioni, tra cui va menzionata soprattutto quella dell’Information Commissioner’s Office (d’ora in avanti ICO), ossia il Garante per la Privacy UK. Dal canto suo, l’ICO ha, infatti, pubblicato vari documenti, in cui ha messo in luce l’esistenza di importanti criticità in merito all’attuale uso della tecnologia di live facial recognition da parte delle forze di polizia in luoghi pubblici nel Regno Unito. A tal proposito, il Commissioner , ha affermato che, per garantire i diritti umani, è necessario compiere un assai meticoloso vaglio di proporzionalità sulla «strict necessity» di utilizzare gli strumenti in esame. A detta del garante del Regno Unito, infatti, da un lato, il riconoscimento facciale dovrebbe essere impiegato solo per contrastare «specific serious or violent crimes» e non per perseguire forme di reato bagatellari, mentre, da un altro lato, sarebbe sempre necessario spiegare il perché non possono essere utilizzati mezzi investigativi meno invasivi rispetto a quello tecnico de quo. A tal proposito, l’ICO ha, più precisamente, statuito che il facial recognition «may be likelier to meet the requirements of strict necessity and proportionality where it is deployed on a targeted or smallerscale basis and for a narrowly defined purpose» , il che avviene, ad esempio, laddove esso venga attivato in un luogo ben definito (come gli aeroporti), oppure quando vi sono già indizi circa la probabilità che un individuo sospettato di un (grave) reato possa trovarsi a una certa ora in un determinato luogo. Ciò posto, il garante ha colto l’occasione per criticare espressamente la pronuncia Bridges, affermando che, a suo parere, la polizia gallese in tale fattispecie non aveva rispettato lo stretto vaglio di necessità e proporzionalità in concreto imposto dalla tutela del diritto alla privacy. Ciò in quanto la South Wales Police non avrebbe dimostrato né il perché non fossero sufficienti strumenti investigativi meno intrusivi per raggiungere il medesimo risultato, né che «the choice of location was justified by a specific cause or a reasonable suspicion».
A ben vedere, infatti – come hanno affermato in modo convergente l’Agenzia UE per i diritti fondamentali e l’European Data Protection Supervisor – non va dimenticato che la tecnologia di facial recognition, specie se impiegata in modalità real-time come “rete a strascico”, nel corso di eventi pubblici, può incidere negativamente sull’esercizio di plurimi diritti fondamentali, quali, ad esempio, il diritto all’associazione e quello di libera manifestazione del pensiero, essendovi persino il rischio che le persone sottoposte a mezzi di sorveglianza di massa si sentano «in a weak and potentially humiliating position», in spregio al diritto primario al rispetto della dignità umana. Una precisa riprova di quanto siffatti pericoli siano tutt’altro che teorici può, del resto, essere tratta dalla recente esperienza delle proteste studentesche di Hong Kong. In tale contesto, infatti, «the wearing of masks has been a reaction to the use of facial recognition and in turn has been prohibited under a new law». Ed è proprio tenuto conto di quest’insieme di rischi che l’Agenzia UE per i diritti fondamentali ha, a sua volta, affermato che costituisce un prerequisito essenziale per utilizzare i sistemi tecnologici in questione il compimento di un «strict necessity and proportionality test, including a clear legal basis to do so and a legitimate aim pursued», pena altrimenti la violazione – tra l’altro – del combinato disposto tra artt. 7 e 8 CDFUE, da un lato, e, dell’art. 52 CDFUE, da un altro lato.
A ogni modo, l’approccio garantista propugnato dall’ICO non ha ancora prodotto i risultati sperati. Per rendersi conto di ciò, è sufficiente, del resto, ricordare che nel gennaio 2020 il Metropolitan Police Service (MPS) ha dichiarato di voler iniziare un programma di ampio utilizzo del live facial recognition a Londra, senza che però il Governo britannico abbia ancora introdotto l’auspicato codice di condotta sul punto.
Va a questo punto specificato che anche le autorità di law enforcement del nostro Paese possono avvalersi dei tools in esame: risale, infatti, al 2017 la disponibilità da parte della Polizia di Stato, del Sistema automatico di riconoscimento delle immagini (comunemente noto con l’acronimo SARI), il quale può a sua volta operare tanto «per la ricerca di volti a partire da immagini statiche su banche dati di grandi dimensioni» (c.d. SARI Enterprise), quanto live, ossia «per il riconoscimento in tempo reale di volti presenti in flussi video provenienti da telecamere» (c.d. SARI Real-time) . A tal proposito, va precisato che neppure in Italia è stato finora introdotto un compendio legislativo ad hoc, volto a disciplinare i casi e i modi in cui tali mezzi tecnici possono essere utilizzati al fine di reprimere la criminalità.
A differenza di quanto è avvenuto nel Regno Unito, una soluzione siffatta ha ricevuto, in Italia, l’avallo del garante per la privacy. Quest’ultimo, pur ammettendo che le tecnologie di riconoscimento facciale debbono rispettare la disciplina interna e UE in tema di protezione della privacy, ha però escluso che il sistema SARI Enterprise presenti qualsivoglia «criticità sotto il profilo della protezione dati». A quanto risulta, il garante italiano, non si è, invece, ancora pronunciato sulla legittimità dell’utilizzo Real-Time di SARI, ossia sulla modalità di captazione assai più intrusiva e delicata, qualificabile come videoripresa “potenziata”, poiché capace di profilare in diretta i dati sensibili (e quindi invadere la riservatezza) di un numero quantomai ampio di persone. La mancanza in proposito di un vaglio dell’autorità di tutela dei dati personali pare, a ben vedere, assai problematica, specie tenuto conto delle vistose criticità che attualmente affliggono il sistema di riconoscimento facciale italiano.
È, peraltro, palese come una scelta di tal tipo risulti quantomai critica alla luce dell’art. 10 della direttiva 2016/680/UE, nonché del combinato disposto tra artt. 7, 8 e 52 della Carta di Nizza (e dell’art. 8 CEDU). Difatti, la mancanza di una disciplina legislativa specifica, che stabilisca nel dettaglio per quali reati e a fronte di quali garanzie è possibile attivare il sistema SARI Real Time, se collocata in un contesto in cui i tools di facial recognition sono attivabili in ogni luogo (e senza preavvisare di ciò la collettività) rende assai alto il rischio che la forma di IA in esame sia utilizzata senza rispettare il criterio di “stretta necessità” nella profilazione dei dati personali dei singoli. Per di più, l’assenza di previsioni ad hoc sul punto pare porsi in contrasto con quanto ha affermato l’Agenzia UE per i diritti fondamentali.
Come si è accennato, quest’ultima ha statuito non solo che l’utilizzo di software di riconoscimento facciale può giustificarsi unicamente per fattispecie di reato gravi, ma anche che la tecnologia de qua deve superare un «strict necessity and proportionality test, including a clear legal basis» (in Italia del tutto assente).