Di fronte all’ipotesi dell’applicazione delle tecnologie di riconoscimento biometrico per il tracciamento dei contatti e la rilevazione delle presenze, è necessario ragionare su nuove forme di tutela delle libertà e della privacy dei cittadini.
Contact tracing, termoscanning, biometria e privacy sono diventati termini comunemente utilizzati, nella comunicazione mediatica come nel linguaggio quotidiano, da quando il mondo è stato colpito dalla pandemia da Covid-19.
Il tracciamento dei contatti, la rilevazione della temperatura corporea, l’uso di software in grado di eseguire l’identificazione biometrica e la connessa tutela della riservatezza dei dati personali interessano non solo le autorità - che devono provvedere a fronteggiare l’emergenza - ma anche i giuristi, che devono confrontarsi con i problemi che l’uso di tali tecnologie comporta, soprattutto con riferimento alle libertà e ai diritti dei cittadini, sottoposti loro malgrado a controllo per la tutela della salute individuale e collettiva.
Occorre che la consapevolezza dei rischi connessi all’uso degli strumenti digitali diventi costantemente diffusa tra gli addetti ai lavori - con l’intento di costruire un codice etico cui far riferimento nella progettazione e realizzazione degli apparati e dei sistemi - e tra i cittadini, affinché siano vigili e smaliziati sull’uso che altri potrebbero fare dei loro dati personali.
Videosorveglianza biometrica e tutela delle libertà dei cittadini
Complice l’accelerazione data dal Covid, la discussione in materia oggi si è spostata sulla possibilità di continuare a utilizzare i sistemi di rilevamento e controllo anche al termine dell’emergenza, per finalità di prevenzione e repressione dei reati. In che modo? Attraverso l’identificazione di soggetti già resisi responsabili di gravi reati e ricercati dalle forze dell’ordine, ovvero di criminali noti a livello internazionale per atti di terrorismo e altri crimini contro l’umanità.
Alcune aziende hanno fatto un ulteriore passo verso un uso ancor più esteso, avanzando l’ipotesi di impiegare gli strumenti digitali come alternativa ai classici badge o cartellini per la registrazione delle presenze, nell’intento di evitare contatti tra i dipendenti che potessero favorire la diffusione del virus. L’idea mutua il procedimento attraverso cui, negli smartphone, è possibile utilizzare l’impronta biometrica del viso o delle dita degli utenti come meccanismo di sblocco del dispositivo.
Il Parlamento Europeo si è espresso chiaramente sul tema nel mese di ottobre 2021, sollecitando la Commissione a istituire un divieto permanente sulla videosorveglianza biometrica in pubblico e sull’uso di banche dati private, evidenziando l’elevato rischio di addivenire a una sorveglianza di massa indiscriminata negli spazi pubblici. L’organo ha richiesto, inoltre, di introdurre contestualmente anche il divieto di utilizzare sistemi di sorveglianza predittiva basati su modelli comportamentali e su connessi sistemi di punteggio sociale, che limiterebbero l’esercizio dei diritti e delle libertà dei cittadini non in base ad atti concreti (come succede per la violazione del codice della strada, nel caso della patente a punti), ma esclusivamente sulla base di previsioni realizzate dall’intelligenza artificiale.
Cosa succede nel mondo
L’approccio europeo al problema non è da considerarsi né deludente né tardivo, soprattutto durante un periodo storico in cui le notizie sull’uso della biometria in ambito internazionale sono poco confortanti. Dopo l’ipotesi del governo cinese di una cittadinanza a punti, basata sul riconoscimento biometrico dei cittadini resisi responsabili di comportamenti illeciti, è giunta ai media la notizia dell’attivazione di un sistema di sorveglianza analogo da parte della Corea del Sud, sebbene con la dichiarata intenzione di individuare le persone contagiate dal Coronavirus e ricostruirne i movimenti al fine di tracciare i contatti a rischio.
Nella città di Bucheon sono state installate, a tale scopo, oltre 10.000 telecamere dedicate alla registrazione e al tracciamento dei tratti biometrici del viso dei cittadini, con la conseguente costituzione di un immenso database, che potrebbe essere utilizzato ovviamente anche per l’analisi comportamentale. L’esperienza segue quelle già portate avanti da Cina, India, Russia, Giappone e alcune aree degli Stati Uniti, intraprese con la dichiarata finalità di fronteggiare il virus ma prive di concrete tutele nei confronti di altre forme di utilizzo dei dati da parte delle autorità governative e dei servizi segreti, con ogni prevedibile conseguenza per oppositori politici, attivisti delle libertà civili, gruppi etnici, minoranze.
A queste notizie si aggiunge quella del sistema di controllo canadese denominato ClearView AI (di cui abbiamo parlato anche qui), che ulteriormente giustifica le perplessità e i timori dei parlamentari europei. L’azienda produttrice del software, infatti, ha dichiarato candidamente di aver raccolto oltre tre miliardi di fotografie “disponibili su Internet” (e in particolare su alcuni social network, per la reazione delle rispettive aziende) per addestrare il proprio algoritmo di intelligenza artificiale al riconoscimento facciale e di essere in grado di erogare servizi di identificazione real-time a realtà pubbliche e private.
Lo spettro della sorveglianza di massa “as a service” in questo caso è quindi più che concreto, almeno dal punto di vista tecnico; perfino l’indagine giornalistica realizzata da una nota testata internazionale non ha sortito l’effetto di rendere comprensibile il funzionamento dell’applicazione, poiché le foto usate come test e rinvenute nel database non sono tutte quelle disponibili su Internet e l’azienda non ha saputo o voluto spiegare per quale ragione alcune immagini sono state prelevate e altre, benché ugualmente reperibili e utilizzabili, sono state scartate.
Oltre a palesarsi dubbi sull’infallibilità del software, sulla base di un semplice calcolo probabilistico applicato alla possibilità di commettere un errore di progettazione o di stesura in un codice così complesso, appare concreto il rischio di discriminazione insito nell’identificazione biometrica e nell’interpretazione di taluni comportamenti umani come precursori di determinate attività.
Si tratta di un’eventualità che potrebbe verificarsi, considerato che il sistema potrebbe essere influenzato dalle istruzioni fornitegli dai soggetti responsabili dell’addestramento, sia a livello inconscio (per effetto dell’insieme di parametri e criteri di valutazione sviluppati per motivi culturali, sociali, psicologici ecc.) sia per una reale propensione a porre in essere condotte discriminatorie nei confronti di un determinato gruppo sociale, etnico o religioso.
Al rischio che un malfunzionamento del sistema proietti una persona senza alcuna colpa fuori dalla vita sociale, anche solo temporaneamente, rendendola incapace di procurarsi perfino i beni di prima necessità, si aggiunge quello, ancora più inquietante, di un subdolo inquinamento della democrazia basato sull’indifferenza del cittadino alla tutela dei propri diritti determinata dalla crescente abitudine alla sorveglianza, che potrebbe facilmente aprire la strada a derive autoritarie e alla discriminazione delle categorie che la classe dirigente potrebbe ritenere opportuno ridurre in minoranza per ragioni ideologiche o politiche.
Cosa succede in Italia
Anche in Italia le perplessità sulla creazione di database (piccoli o grandi) contenenti le impronte biometriche dei cittadini, con lo spettro della giustizia predittiva, del controllo a distanza e dell’analisi comportamentale dietro l’angolo, hanno provocato l’immediato intervento dell’autorità Garante per la tutela dei dati personali e, dopo qualche tempo, anche del legislatore, che ha ritenuto necessario intervenire per posticipare la discussione su tale argomento a un periodo storico meno delicato rispetto al timore diffuso di una recrudescenza della pandemia.
Con la Legge n. 205 del 3 dicembre 2021, che converte il D. L. 8.10.2021 n. 138 (c.d. decreto capienze), sono stati introdotti nell’ordinamento italiano quattro articoli specificamente dedicati all’uso congiunto della videosorveglianza e dei sistemi di identificazione biometrica, sospendendo tutti i trattamenti eventualmente eseguiti dalle autorità pubbliche e dai soggetti privati nei luoghi pubblici o aperti al pubblico e vietando l’installazione e l’attivazione di tali sistemi fino al 31 dicembre 2023, ovvero fino all’entrata in vigore della disciplina di settore, se antecedente.
Probabilmente al fine di non rischiare di indurre in errore le autorità preposte ai controlli e all’irrogazione delle sanzioni, il legislatore ha ritenuto opportuno specificare - in modo ridondante ma efficace - che la sospensione non si applica agli impianti di videosorveglianza che non usano i sistemi di riconoscimento biometrico.
Un’eccezione è invece prevista per le attività dell’Autorità Giudiziaria inquirente e giudicante e per i trattamenti operati dalle autorità competenti a fini di prevenzione e repressione dei reati, con la condizione, per queste ultime, che sia stato preventivamente acquisito il parere favorevole dell’autorità Garante per la protezione dei dati personali di cui all’art. 24 del D. Lgs. n. 51 del 18 maggio 2018.