Il 14 giugno 2023, il Parlamento Europeo ha proposto la prima legge europea sull’intelligenza artificiale (l'”AI Act“), che, previa approvazione dell’Unione Europea, si prevede entrerà in vigore dal prossimo anno. Questo evento consolida ulteriormente l’Europa come centro di un acceso dibattito sulle tecnologie biometriche (note anche come biometria), ovvero “tutti i processi automatizzati utilizzati per riconoscere un individuo attraverso la quantificazione delle caratteristiche fisiche, fisiologiche o comportamentali […]”.

All’interno di questa categoria rientra anche il riconoscimento facciale, che consente il riconoscimento automatico degli individui “sulla base del loro volto al fine di autenticarli o identificarli”.

Come funziona il riconoscimento facciale

Il riconoscimento facciale si basa sulla cattura dell’immagine del volto di un individuo e sull’estrazione delle sue caratteristiche uniche per creare una rappresentazione digitale, chiamata modello biometrico, e memorizzarla in un database. Il sistema effettua quindi un confronto tra il modello ottenuto e quelli già presenti nel database per verificare eventuali corrispondenze.

È importante sottolineare che il riconoscimento facciale è una tecnologia probabilistica, il che significa che le corrispondenze vengono stabilite in base alla probabilità che la persona “esaminata” sia effettivamente la persona cercata dal sistema.

Applicazioni dell’intelligenza artificiale

Da notare, i sistemi di riconoscimento facciale possono avere due funzionalità:

1. Autenticazione di un soggetto: questa funzione è anche chiamata “verifica uno a uno” poiché l’attività del sistema è mirata a verificare l’identità del soggetto. Il sistema confronta il modello “in tempo reale” della persona con quello già presente nel database per verificare se c’è una corrispondenza tra i due. Un esempio di sistema di autenticazione è la funzione di riconoscimento facciale che consente di sbloccare uno smartphone.
2. Identificazione di un soggetto: questa funzione è anche chiamata “verifica uno a molti” poiché il sistema confronta tutti i modelli acquisiti in un determinato momento con un modello specifico già presente nel database. Lo scopo del sistema, infatti, è identificare un individuo specifico all’interno di un gruppo di persone o di un’area geografica. Un esempio di questo tipo di sistema è il sistema di riconoscimento facciale approvato per lo Stadio Olimpico di Roma, che avrebbe dovuto consentire l’identificazione di persone per le quali l’accesso a luoghi pubblici come gli impianti sportivi è vietato.

Rischi dell’intelligenza artificiale

In relazione al punto (2.) precedente, l’AI Act vieterebbe l’uso di sistemi immediati di identificazione biometrica in tempo reale negli spazi pubblicamente accessibili, senza eccezioni. Tuttavia, i sistemi remoti potrebbero ancora essere utilizzati per perseguire reati gravi e con autorizzazione giudiziaria.

L’AI Act prevederebbe un sistema di regole suddivise in diversi livelli di rischio, stabilendo obblighi per fornitori e utenti:

• Nella categoria più alta, quella del rischio inaccettabile, sarebbero vietati i sistemi di intelligenza artificiale che rappresentano una minaccia per gli individui. Ciò include la manipolazione cognitivo-comportamentale di individui o gruppi specifici vulnerabili, il punteggio sociale che classifica le persone in base al comportamento, al livello socioeconomico e alle caratteristiche personali, nonché i sistemi di identificazione biometrica in tempo reale e remota come il riconoscimento facciale.
• I sistemi di intelligenza artificiale che hanno un impatto negativo sulla sicurezza o sui diritti fondamentali saranno classificati come ad alto rischio. L’alto rischio corrisponde a un “rischio significativo” di danni alla salute, alla sicurezza o ai diritti fondamentali. In questo caso, l’AI Act non vieta il loro impiego, ma impone specifici requisiti che devono essere soddisfatti.
• I sistemi di intelligenza artificiale con rischio limitato avranno requisiti minimi di trasparenza per consentire agli utenti di prendere decisioni informate. Ciò include i sistemi di intelligenza artificiale che generano o manipolano contenuti immagine, audio o video.
  Nel caso di scenari a basso rischio, non sono imposti obblighi legali.

Privacy e sicurezza dell’IA

In ogni caso, indipendentemente dall’attività svolta dal sistema, il riconoscimento facciale costituisce un trattamento di dati personali, in particolare di dati biometrici. È importante sottolineare che i “dati biometrici per l’identificazione univoca di una persona naturale” rientrano nella definizione di “categorie particolari di dati” fornita dall’articolo 9 del GDPR, che garantisce una protezione rafforzata a questo tipo di dati a causa della loro natura sensibile.

Per questa ragione, l’adozione di un sistema di riconoscimento facciale richiede necessariamente di essere esaminata attraverso la lente del Regolamento sulla protezione dei dati n. 2016/679 (“GDPR“) e della Direttiva sulla cooperazione giudiziaria in materia penale ^[1]  (“LED“) al fine di stabilire se questa tecnologia possa essere compatibile con i diritti garantiti dagli articoli 7 e 8 della Convenzione europea dei diritti dell’uomo (“CEDU“), ovvero il diritto al rispetto della vita privata e delle comunicazioni e il diritto alla protezione dei dati personali.

IA e GDPR

È importante notare che affinché questi sistemi siano conformi al GDPR (o alla LED), la loro adozione deve essere strettamente necessaria e proporzionata agli scopi previsti e giustificata da una delle basi giuridiche previste dal Regolamento. Considerando la natura dei dati coinvolti, si potrebbe presumere che ottenere il consenso sia il modo più sicuro e semplice per garantire un trattamento lecito. Tuttavia, ciò è vero solo se il titolare del trattamento dei dati è un’azienda privata.

Se il riconoscimento facciale viene utilizzato da un’autorità pubblica, è necessaria una diversa giustificazione per l’attività di trattamento, nello specifico “le finalità di prevenzione, indagine, individuazione o persecuzione di reati penali o di esecuzione di sanzioni penali, compresa la salvaguardia e la prevenzione delle minacce alla sicurezza pubblica”. Tuttavia, ciò non implica che le attività di trattamento possano essere svolte in qualsiasi circostanza senza informare adeguatamente gli interessati. Farlo non solo violerebbe le norme sulla protezione dei dati, ma creerebbe anche una diffusa sensazione di sorveglianza costante, che violerebbe altri diritti fondamentali come il diritto alla libertà di espressione (articolo 10 della CEDU) e il diritto alla libertà di associazione (articolo 11 della CEDU).

Supervisione dell’IA

Un altro aspetto che deve essere preso in considerazione è che il quadro normativo sulla protezione dei dati include il diritto per gli individui di “non essere sottoposti a una decisione basata unicamente su trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o lo colpisca in modo significativo” (articolo 22 del GDPR e articolo 11 della LED).

Questa disposizione garantisce che gli individui abbiano il diritto sia alla supervisione umana dell’attività di trattamento sia alla possibilità di optare per il trattamento automatizzato, consentendo che i loro dati siano valutati da un essere umano. Questa garanzia è particolarmente importante per due motivi:

• i sistemi di riconoscimento facciale gestiscono dati sensibili;
• l’attività di trattamento può condurre alla profilazione e a potenziali esiti discriminatori.

In conclusione, vale la pena notare che il quadro normativo esistente sul riconoscimento facciale subirà presto dei cambiamenti con l’imminente attuazione dell’AI Act. Questa nuova normativa adotta una posizione più rigorosa nei confronti delle tecnologie di riconoscimento facciale, classificandole come “Sistemi di Intelligenza Artificiale ad Alto Rischio” e imponendo rigorosi requisiti di conformità e obblighi di conformità.

^[1]La Direttiva (UE) 2016/680 riguarda la protezione delle persone fisiche per quanto riguarda il trattamento dei dati personali da parte delle autorità competenti ai fini della prevenzione, indagine, individuazione o persecuzione di reati penali o dell’esecuzione di sanzioni penali, nonché la libera circolazione di tali dati. Questa direttiva stabilisce norme specifiche per il trattamento dei dati personali da parte delle autorità competenti nell’ambito delle attività penali, garantendo il rispetto dei diritti fondamentali delle persone interessate.