Quando il volto diventa una password: il riconoscimento facciale tra necessità di ordine pubblico e rispetto della privacy

Il riconoscimento facciale è, oggi, una delle forme più invasive di sorveglianza e profilazione. Non si limita a identificarci: ci osserva, ci interpreta, ci classifica. Silenziosamente, e spesso senza il nostro consenso. Eppure, lo accettiamo ogni giorno.

(Nella foto: l’Avv. Gianni Dell’Aiuto. E’ autore del libro Homo Googlis)

Ci facciamo riconoscere per sbloccare il telefono, ci immortaliamo in selfie filtrati, giochiamo con app che ci invecchiano, ci truccano, ci trasformano in cartoni. Poi, quando si parla di usare il riconoscimento facciale negli stadi o nelle città, ci indigniamo.

Ma il problema non è la tecnologia: è la banalizzazione del volto, diventato una password inconsapevole nelle mani di chiunque. E no: non basta una valutazione d’impatto (DPIA) per rendere tutto questo lecito.

Il riconoscimento facciale può essere usato per controllare accessi, garantire la sicurezza, identificare soggetti ricercati o automatizzare servizi. Ma può anche finire per sorvegliare masse, profilare comportamenti, schedare opinioni e abitudini. Ed è qui che il diritto deve intervenire prima della tecnologia.

Negli stadi italiani, ad esempio, il riconoscimento facciale viene evocato come strumento di prevenzione della violenza e identificazione degli autori di reati. La base giuridica utilizzata è l’art. 8, comma 1-quater, della Legge 401/1989 (introdotto nel 2003 e stabilizzato nel 2019), che consente l’identificazione video-fotografica in caso di flagranza differita in occasione o a causa di manifestazioni sportive.

Già nel 2016, il Garante Privacy aveva autorizzato un sistema di riconoscimento allo stadio Olimpico, con misure severe: immagini conservate per massimo sette giorni, server protetti, accessi con doppia autenticazione, utilizzo esclusivo da parte delle forze dell’ordine.

Anche nel recente caso di San Siro, il ministro Piantedosi ha chiarito che non si tratta di riconoscimento in tempo reale, ma a posteriori, e solo a seguito della commissione di reati.

Ma è bene chiarirlo: quella degli stadi è una disciplina eccezionale e settoriale, che non può essere automaticamente estesa ad altri ambiti.

Basti pensare alle manifestazioni che degenerano in violenze, o alla semplice volontà di monitorare eventi pubblici e piazze affollate, come i capodanni recenti a Milano e Torino. In assenza di una normativa specifica, in questi casi valgono esclusivamente le regole del GDPR e, sempre più, del Regolamento europeo sull’intelligenza artificiale (AI Act).

Con l’ormai prossima entrata in vigore dell’AI Act, sono stati introdotti nuovi paletti. L’articolo 5 del Regolamento, in particolare, vieta l’identificazione biometrica in tempo reale nei luoghi accessibili al pubblico, salvo rare eccezioni legate alla sicurezza pubblica e sempre previa autorizzazione giudiziaria.

Anche se negli stadi italiani non si tratta (ancora) di riconoscimento in tempo reale, il rischio è che, per gradi, si normalizzi la sorveglianza automatizzata.

Il principio di proporzionalità, previsto dall’art. 35 del GDPR insieme alla base giuridica e ad una finalità esplicita, richiede che ogni trattamento sia non solo tecnicamente possibile o formalmente conforme, ma anche giustificato da un effettivo bilanciamento tra fini perseguiti e diritti sacrificati.

In luoghi come gli stadi, le piazze o i grandi eventi, dove migliaia di persone sono coinvolte, spesso senza reale possibilità di scelta, serve massima cautela.

La DPIA è uno strumento fondamentale, ma non è una scorciatoia. Non è un lasciapassare, non è un documento che serve a mettere tutto a posto dopo aver deciso di implementare la tecnologia. È una valutazione critica, che può anche concludersi con una decisione negativa, quando i rischi per i diritti e le libertà fondamentali non sono adeguatamente mitigabili.

In definitiva, che si parli di stadi, aeroporti, piazze o scuole, servono regole univoche, europee, chiare.

L’AI Act è un primo passo, ma la partita è appena cominciata. E siamo poi sicuri che le regole europee siano sufficienti?

È infatti necessaria una riflessione ulteriore in ordine all’origine e la circolazione di queste tecnologie.

Molti sistemi di riconoscimento facciale sono progettati e addestrati all’estero, in contesti politici e normativi molto diversi dal nostro. Cina, Russia, e Israele, ad esempio, li utilizzano in maniera estesa a fini di controllo sociale, e altri usi secondo modelli che possono anche avere logiche legittime nei rispettivi ordinamenti, ma che non possono essere trapiantati in Europa senza un accurato vaglio critico.

È quindi essenziale non soltanto che creatori e sviluppatori, specialmente fuori dall’UE, conoscano e rispettino i principi del GDPR e dell’AI Act se vogliono operare nel mercato europeo.

Ma allo stesso modo, chi li acquista per utilizzarli deve avere piena consapevolezza degli impatti che tali sistemi possono avere, non solo sul piano tecnico, ma soprattutto su quello etico e giuridico. Non basta affidarsi a tecnologie “pronte all’uso”: serve un’assunzione di responsabilità, informata e documentata.

E quindi dovremmo chiederci, prima di accettare qualsiasi tecnologia solo perché c’è: siamo sicuri di voler essere riconosciuti ovunque andiamo? Anche quando non abbiamo nulla da nascondere? Perché ogni tecnologia di riconoscimento porta con sé, silenziosamente, una possibilità di esclusione, discriminazione o controllo.

Ogni giorno, quando accediamo alla rete, Già regaliamo quantità enormi di dati: con i nostri SPID, le preferenze, i like, i commenti e così via.

Ma quando è il nostro volto a diventare la chiave d’accesso, allora bisogna trattarlo, e farlo trattare, con molta più cautela e tutela di quella con cui vorremmo fosse protetta l’intera nostra identità digitale. E comunque questa, se vogliamo, è ancora in mano nostra.

Ma un volto che viene profilato e usato da altri, con algoritmi spesso opachi, sfugge a ogni nostro controllo ed è soggetto a bias, a errori e, come ogni potere senza contrappesi, alla tentazione dell’abuso.

Ci saranno eccezioni così come è giusto che sia, ma dovranno essere adeguatamente previste e normate. Ma una semplice DPIA decisamente non è sufficiente. Perché il fatto che qualcosa sia possibile, non significa che sia giusto.