Videosorveglianza smart, istruttorie per due comuni: di cosa si tratta?

Scarica PDF Stampa
Il Garante per la Protezione dei Dati Personali ha avviato procedimenti istruttori nei confronti di due Comuni (Arezzo e Lecce) per l’avvio di trattamenti di dati personali tramite sistemi di videosorveglianza intelligente, ovvero di progetti per il controllo del territorio e della popolazione, con riconoscimento facciale e occhiali infrarossi.

     Indice

  1. I fatti
  2. Che cosa dice la normativa sul riconoscimento facciale
  3. I pericoli del riconoscimento facciale

1. I fatti

In particolare, il Comune di Arezzo avrebbe dichiarato di voler avviare a partire dal primo dicembre la sperimentazione occhiali infrarossi per il rilevamento delle infrazioni al codice della strada attraverso il numero di targa dei veicoli ed il collegamento con banche dati nazionali per la verifica dei documenti di guida del conducente. Il Comune di Lecce, invece, avrebbe optato per il riconoscimento facciale, sempre per rilevare infrazioni e per motivi di sicurezza urbana.

Né la prima né la seconda iniziativa sono passate inosservate agli occhi del Garante della Privacy, che ha aperto le relative istruttorie per verificare il rispetto della normativa sulla protezione dei dati personali.

Nello specifico, è stata richiesta ai Comuni la documentazione di accountability relativa ai trattamenti: l’informativa destinata agli interessati, cioè ai cittadini ed ai conducenti dei veicoli, con particolare riferimento alle finalità dei trattamenti ed alle basi giuridiche poste a fondamento, nonché l’elenco dei sistemi e delle misure di sicurezza e minimizzazione adottate (rispetto dei principi di privacy by design e by default), e le valutazioni di impatto sul trattamento effettuato dai dispositivi di identificazione e tracciamento intelligenti.

Il Garante ha precisato, nella sua nota ufficiale, che “in base alla normativa europea e nazionale il trattamento di dati personali realizzato da soggetti pubblici, mediante dispositivi video, è generalmente ammesso se necessario per l’esecuzione di un compito di interesse pubblico o per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri” e che i Comuni possono usare tali strumenti “solo a condizione che venga stipulato il cosiddetto patto per la sicurezza urbana tra Sindaco e Prefettura”.


Potrebbero interessarti anche


2. Che cosa dice la normativa sul riconoscimento facciale

Il Garante ha ricordato che il Parlamento ha approvato un emendamento alla legge di conversione del decreto capienze (d.l. 139/2021, convertito con emendamenti con legge 205/2021) che ha inibito l’utilizzo del riconoscimento facciale fino al 31 dicembre 2023 in attesa di una legislazione ad hoc e dell’intervento normativo europeo (“fino all’entrata in vigore di precise normative in materia, nel nostro Paese non sono consentiti l’installazione e l’uso di sistemi di riconoscimento facciale tramite dati biometrici, a meno che il trattamento non sia effettuato per indagini della magistratura o prevenzione e repressione dei reati.”).

La moratoria di tre anni è stata adottata proprio allo scopo di avere il tempo di emanare una legge specifica in materia per regolamentare l’utilizzo di un sistema di trattamento e video sorveglianza così invasivo della vita dei cittadini, nell’alveo più ampio della normativa europea che, a partire dal Regolamento per la Protezione dei Dati Personali (GDPR. Reg. UE 679/2016) e con i successivi Digital Services Act, Digital Market Act, e bozze di Regolamento e-privacy e di Regolamento sull’intelligenza artificiale, sta cercando di uniformare e ridefinire il concetto di protezione dei dati personali e di privacy non solo dal punto di vista giuridico, ma anche alla luce dell’evoluzione tecnologica, che va sempre più veloce di qualsiasi iter legislativo.

3. I pericoli del riconoscimento facciale

L’utilizzo di sistemi di intelligenza artificiale per trattare dati biometrici e porre in essere il riconoscimento facciale è un sistema considerato ad altissimo rischio per i diritti e le libertà fondamentali dei cittadini: così si sono espressi l’EDPB (il Comitato per la protezione dei dati, nato dalle ceneri del WP 29) ed il Garante Europeo per la protezione dei dati (EDPS), che hanno espressamente richiesto la proibizione di tale tecnologia negli spazi pubblici, in quanto foriera di possibili discriminazioni a carico degli interessati. Non solo c’è il concreto pericolo di creare una rete di sorveglianza continua e utilizzabile anche per scopi illegittimi, non solo c’è la possibilità di errori e dunque di conseguenze pregiudizievoli per gli interessati (gli algoritmi di AI non sono infallibili), ma c’è anche il concreto rischio che l’eccessiva ingerenza delle Autorità porti a meccanismi di social scoring: assegnare ai cittadini, a seconda dei loro comportamenti (monitorati continuamente con sistemi biometrici) un punteggio sociale, con conseguenti vantaggi e svantaggi dinnanzi alle Autorità nella “vita reale”: l’applicazione più deteriore e pericolosa della tecnologia, che di per sé non è né “buona né cattiva”, ma buoni o cattivi possono essere gli utilizzi che se ne fatto.

Infine, non possiamo dimenticare che immagazzinare un numero così elevato di dati ultra sensibili pone davanti ad un rischio informatico elevatissimo (Hackeraggio dei sistemi informatici e di controllo, violazione dei database con i dati biometrici, manipolazione dei registri, furto di identità digitali biometriche degli utenti finali) in assenza di misure di sicurezza adeguate e resilienti.

In conclusione, appare piuttosto evidente che le iniziative dei Comuni di Arezzo e di Lecce, allo stato legislativo attuale, sembrerebbero destinate a non prendere il via ed essere bloccate dal Garante della Privacy: vedremo quali saranno i provvedimenti adottati.

A tutti noi, infine, non resta che stare a guardare non solo che cosa succederà in questi due Comuni, ma come evolverà la normativa sul riconoscimento facciale, che potenzialmente potrebbe avere effetti dirompenti nella vita quotidiana di ciascuno di noi.

Volume consigliato

Compendio breve sulla privacy

L’obiettivo del libro è quello di illustrare la disciplina privacy in maniera informale, ma non per questo meno puntuale. Spesso, il tenore giuridico rende difficilmente comprensibile il senso, ovvero il contenuto e la ratio legis, ai non specialisti. Parafrasarne il testo, con l’ausilio di esempi e casi concreti, invece, consente di entrare immediatamente in argomento senza alcuna anticamera, pur restando imprescindibile la consultazione della disposizione ufficiale. Nello specifico, in questa monografia, la lettura della disciplina sulla protezione dei dati personali è guidata dall’articolazione del GDPR, integrato dai provvedimenti dell’Autorità Garante ed esplicato attraverso le pronunce della giurisprudenza su fattispecie particolari. In tal modo, da un lato viene facilitata la comprensione del dettato normativo, dall’altro il dato normativo assume la propria peculiare sostanza attraverso l’applicazione concreta. Questo manuale, grazie al suo taglio editoriale, intende rivolgersi non soltanto a professionisti e cultori della disciplina, ma anche a coloro che, nelle Pubbliche Amministrazioni e nelle imprese, si trovano a dover affrontare la materia e, altresì, a coloro che devono sostenere prove concorsuali. Jean Louis a Beccara Avvocato, certificato Responsabile della protezione dei dati (DPO) – Cepas Srl (Gruppo Bureau Veritas Italia Spa). Direttore dell’Ufficio Organizzazione e gestione della privacy della Provincia autonoma di Trento. Docente in corsi di formazione, relatore in convegni, nonché autore di numerose monografie e pubblicazioni in materia su riviste scientifiche e specialistiche.

Jean Louis a Beccara | 2021 Maggioli Editore

Avv. Luisa Di Giacomo

Scrivi un commento

Accedi per poter inserire un commento