Tra riconoscimento facciale, scoring e data protection impact assessment
Ripropongo un mio (e di Giacomo De Simio) vecchio articolo che avevo pubblicato su FederPrivacy nel 2019 anche per annunciare che sarò presente al Privacy Day quest'anno a Pisa il 25 Maggio con uno speech a tema Social network.
*****
A partire dal 2020 il progetto di citizen score diventerà obbligatorio e, in Cina, il Social Credit System, da immaginario di serie tv, sarà a tutti gli effetti realtà. L’idea cinese si basa sull’attribuzione di uno Scoring (punteggio) ai cittadini (ma non solo) fondato su cinque fattori:
1. Situazione economica;
2. Adempimento a obblighi contrattuali;
3. Caratteristiche personali;
4. Comportamento dell’utente;
5. Relazioni interpersonali.
In relazione a questi cinque fattori saper tenere una condotta conforme alle regole determina l’attribuzione di bonus (agevolazioni nei viaggi, prestiti più cospicui ecc..), mentre contravvenire alle stesse comporta dei malus (come il rallentamento della velocità di navigazione di internet, l’accesso limitato a locali e ristoranti o, ancora, la soppressione del diritto di viaggiare all’estero e/o di ottenere visti).
La Rivoluzione digitale dovrebbe avere il supporto della collettività che sia in grado di scegliere tra benefici e rischi derivanti dall’utilizzo di dispositivi tecnologici. L’ingegneria sul riconoscimento facciale ha raggiunto, in Cina come in altri Paesi, uno sviluppo tecnologico tale che occorre fermarsi e chiedersi se valgano davvero il sacrificio di certi diritti o libertà fondamentali.
Le finalità di governo con cui la Cina attua il Social Credit System rappresentano sicuramente una deriva distopica in cui è evidente l’alta intrusività dello scoring nei confronti di diritti e libertà fondamentali che invece trovano maggior tutela in Europa.
In Italia, finalità di polizia giustificano l’utilizzo di S.A.R.I. Enterprise (il Sistema Automatico di Riconoscimento delle Immagini), che associa immagini catturate da videocamere di pubblica sorveglianza con immagini presenti in schedari e archivi della polizia di Stato; per il riconoscimento bastano pochi secondi o frazioni di secondo.
Il Garante, con il provvedimento n. 440 del 26 luglio 2018, accerta che i dati in questione vengono trattati per le sole finalità di prevenzione, accertamento, perseguimento e esecuzione di sanzioni penali e che oggetto di trattamento sono le sole immagini presenti nei database, in modo da non interferire sui diritti di tutti coloro che non hanno mai avuto problemi con la giustizia.
Certamente non mancano applicazioni private basate sul riconoscimento facciale: ad esempio, i nuovi dispositivi mobili in nostro possesso già consentono lo sbocco tramite associazione di immagini. Tuttavia i dispositivi con detta funzionalità, al prezzo di mercato, spesso rivelano uno scarso investimento sulla sicurezza e possono essere facilmente ingannati anche da una foto fatta scansionare dalla videocamera.
Ora grazie all’art 35 del GDPR (General Data Protection Regulation) prima di procedere al trattamento con nuovi dispositivi tecnologici, o cumunque in caso di utilizzi innovativi di tecnologie già esistenti, il titolare deve effettuare una D.P.I.A. (Valutazione di impatto) adeguata alle finalità perseguite dal nuovo trattamento. L’elevato rischio di compromettere diritti e libertà fondamentali determina l’obbligo di condurre una D.P.I.A. e il titolare è tenuto a consultare l’Autorità Garante se le misure tecniche e organizzative, individuate per mitigare l’impatto, non sono ritenute sufficienti. È quanto affermano i Garanti europei nelle linee guida in materia di valutazione di impatto, del 4 aprile 2017, indicando che, in ogni caso, condurre una D.P.I.A. è sempre espressione di accountability (autoresponsabilizzazione) dei titolari.
La D.P.I.A. è anche espressione di “privacy by design” perché interessa la protezione dei dati già dalla fase di progettazione del trattamento; aiuta il titolare a comprendere e gestire rischi, nonché a formulare idonee informative da sottoporre a un’utenza che possa esprimere il consenso libero e informato, in particolare nei casi in cui si fa profilazione.
Di fatto, al divieto generale di profilazione, sancito all’art 22, co. 1, GDPR, il co. 2 ammette deroghe fondate sul consenso esplicito dell’interessato, la conformità al diritto dell’Unione Europea e la necessità di dover concludere o eseguire un contratto.
Tramite la profilazione, i dati, che rivelano valutazioni su aspetti personali, sono trattati in modo automatizzato al fine di suddividere l’utenza in gruppi, in base al comportamento da ciascuno tenuto nell’utilizzare un certo servizio. Alcuni rischi connessi alla profilazione riguardano potenziali iniquità e discriminazioni, ad esempio se viene negato l’accesso a opportunità di lavoro, credito o assicurazione, oppure se vengono offerti prodotti finanziari eccessivamente rischiosi o costosi.
Dimostrare accountability permette l’attenuazione o esclusione di sanzioni amministrative previste dal GDPR, pertanto il titolare è tenuto ad un comportamento proattivo che tuteli i diritti dell’utenza.
L’adozione o l’adesione a codici di condotta rappresenta uno tra gli strumenti più efficaci per dimostrare accountability. Il codice di condotta è uno spazio di autoregolamentazione per la salvaguardia dei dati in specifiche realtà di settore; rappresenta un metodo pratico per garantire un elevato grado di protezione dei dati, dimostrando compliance al GDPR. Ma oltre ad essere utile per dimostrare accountability, un codice di condotta colma i gap esistenti tra gli Stati membri nell’applicazione della disciplina sulla data protection e sintetizza requisiti e obblighi imposti dal GDPR.
È uno strumento in linea con il promuove la libera circolazione dei dati, nello sviluppo di un mercato unico digitale per l’Unione Europea.