Sospensione dei trattamenti di riconoscimento facciale nei luoghi pubblici o aperti al pubblico
Dopo aver illustrato in un precedente articolo gli aspetti salienti del pacchetto di modifiche al “Codice Privacy”, introdotto dalla L. 3 dicembre 2021, n. 205 di conversione in legge, con modificazioni, del decreto-legge 8 ottobre 2021, n. 139, (il c.d. “Decreto capienze”), come anticipato, si dedicherà invece, nella presente sede, un focus specifico a quanto sancito dall’articolo 9 del suddetto provvedimento: la “sospensione” dei trattamenti di riconoscimento facciale nei luoghi pubblici o aperti al pubblico da parte di soggetti pubblici e privati fino all’entrata in vigore di una disciplina normativa che regoli la materia e, comunque, fino al 31 dicembre 2023.
L’Italia risulta quindi essere il primo paese dell’Unione ad emanare una normativa specifica in quest’ambito, esercitando quindi la facoltà riconosciuta dall’art. 9, par. 4 del GDPR di “introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute”.
Tale solco restrittivo-cautelativo, a tutela del principio di minimizzazione del trattamento, sancito dall’art. 5 del GDPR, si ritrova anche nella tassatività delle eccezioni riconosciute ai “trattamenti effettuati dalle autorità competenti a fini di prevenzione e repressione dei reati o di esecuzione di sanzioni penali di cui al decreto legislativo 18 maggio 2018, n. 51”, eventualmente con parere favorevole del Garante per il trattamento dei dati personali ai sensi dell’articolo 24 dello stesso decreto legislativo.
Il primo evidente riscontro del nuovo quadro normativo si ha avuto, senza dubbio, nel Provvedimento n. 50 del 10 febbraio 2022 di ingiunzione nei confronti di Clearview AI, con cui Il Garante per la protezione dei dati personali ha imposto una sanzione di 20 milioni di euro alla società americana Clearview AI, oltre all’imposizione di cancellare i dati relativi a persone che si trovano in Italia e il divieto di ulteriore raccolta e trattamento attraverso il suo sistema di riconoscimento facciale, per aver messo in atto un vero e proprio monitoraggio biometrico anche di persone che si trovano nel territorio italiano.
La Società – che dichiara di possedere un database di oltre 10 miliardi di immagini di volti di persone di tutto il mondo, estratte da fonti web pubbliche tramite web scraping (come siti di informazione, social media e video online) – offre un servizio di ricerca altamente qualificata che, grazie a sistemi di intelligenza artificiale, consente la creazione di profili basati sui dati biometrici estratti dalle immagini, eventualmente arricchiti da altre informazioni ad esse correlate, come titolo e geolocalizzazione della foto, pagina web di pubblicazione.
Dall’istruttoria del Garante, attivata anche a seguito di reclami e segnalazioni, è emerso che Clearview AI, diversamente da quanto affermato dalla società, consente il tracciamento anche di cittadini italiani e di persone collocate in Italia. Le risultanze hanno rivelato che i dati personali detenuti dalla società, inclusi quelli biometrici e di geolocalizzazione, sono trattati illecitamente, senza un’adeguata base giuridica, che non può sicuramente essere il legittimo interesse della società americana. La società ha, inoltre, violato altri principi base del GDPR, come quelli relativi agli obblighi di trasparenza, non avendo adeguatamente informato gli utenti, di limitazione delle finalità del trattamento, avendo utilizzato i dati degli utenti per scopi diversi rispetto a quelli per i quali erano stati pubblicati online e di limitazione della conservazione, non avendo stabilito tempi di conservazione dei dati. L’attività di Clearview AI, pertanto, si pone in violazione delle libertà degli interessati, tra cui la tutela della riservatezza e il diritto a non essere discriminati.