Il Garante dei dati personali e i dubbi sul riconoscimento facciale

La normativa sulla protezione dei dati personali prevale sulla tutela di ordine e sicurezza pubblica grazie a un’interpretazione ideologicamente orientata e all’assenza di chiarezza sulla natura giuridica della sicurezza nazionale di Andrea Monti, professore incaricato di diritto dell’ordine e della sicurezza pubblica, università di Chieti-Pescara – Originariamente pubblicato da Formiche.net

 


Con un parere del 25 marzo 2021 l’Autorità garante per la protezione dei dati personali ha ritenuto che il sistema di riconoscimento facciale selezionato dal Ministero dell’interno per finalità di pubblica sicurezza non sia conforme alla normativa sulla protezione dei dati personali. Ritiene l’Autorità che il sistema in questione consentirebbe una sorveglianza “a tappeto” e come tale contraria ai principi contenuti nella Carta dei diritti dell’Unione Europea; di conseguenza il suo impiego non dovrebbe essere consentito.

Questo parere è molto discutibile perché —in continuità, peraltro, con il passato— si basa su una visione ideologica della protezione dei dati personali che viene considerata come un diritto assoluto di fronte al quale tutti gli altri devono fare un passo indietro. Inoltre, sempre in nome della scelta pregiudiziale in questione, privilegia la tutela individuale a scapito di quella della collettività.

In termini generali, questo parere negativo ha evidenziato, ancora una volta, l’incertezza del rapporto fra poteri dello Stato e autorità indipendenti, riproponendo ancora una volta il tema complesso del bilanciamento fra esigenze di sicurezza e tutela dei diritti individuali. Sullo sfondo, il nodo irrisolto dell’uso politico da parte della UE dei trattati e dei provvedimenti che sulla loro base sono emanati per regolare sostanzialmente ciò che, in teoria, non è loro consentito.

Sicurezza nazionale, ordine pubblico, pubblica sicurezza e disciplina comunitaria

Cominciando da questo ultimo aspetto, è importante evidenziare che il Trattato sull’Unione Europea esclude espressamente dalla propria “giurisdizione” la sicurezza nazionale che, secondo l’articolo 4 comma II,

resta  di  esclusiva  competenza  di  ciascuno  Stato  membro.

Inoltre, la giurisdizione nazionale su ordine e sicurezza pubblica si deduce innanzi tutto dall’articolo 67 del Trattato sul funzionamento della UE secondo il quale

L’Unione realizza uno spazio di libertà, sicurezza e giustizia nel rispetto dei diritti fondamentali nonché dei diversi ordinamenti giuridici e delle diverse tradizioni giuridiche degli Stati membri” (enfasi aggiunta).

Inoltre, il successivo articolo 72 stabilisce che

il presente titolo non osta all’esercizio delle responsabilità incombenti agli Stati membri per il mantenimento dell’ordine pubblico e la salvaguardia della sicurezza interna (enfasi aggiunta).

Sorvolando, dunque, sul fatto che la Carta dei diritti fondamentali della UE non è una Costituzione ma un trattato (e forse, in realtà, proprio per questo) un altro elemento da tenere presente è che la giurisdizione europea sugli Stati membri non è assoluta né unidirezionale (nel senso che gli Stati membri non possono contestare i provvedimenti comunitari). Il dossier Solange —la definizione che raccoglie una serie decisioni della Corte costituzionale tedesca sul limite dei poteri normativi dell’Unione— sta lì ad evidenziarlo.

Sintetizzando, dunque, la sicurezza nazionale è sotto il controllo esclusivo degli Stati membri e le norme comunitarie devono rispettare gli ordinamenti nazionali che non sono obbligati a cedere le proprie prerogative in materia di ordine e sicurezza pubblica.

Come l’Europa sta erodendo le prerogative nazionali in materia di sicurezza

Ciononostante, in modo più o meno esplicito, il corpus normativo europeo, e quel che è peggio, la softlaw comunitaria fatta di “pareri”, “linee guida” e altri accordi extra-giuridici affievoliscono l’apparente impermeabilità di  sicurezza e ordine pubblico alle infiltrazioni comunitarie.

Da un lato, i provvedimenti dell’Unione lentamente ma progressivamente erodono la distinzione di poteri e competenze. Dall’altro, il recepimento acritico a livello nazionale della legislazione europea aggira il divieto di ingerenza della UE trasformando i suoi atti in norme di diritto interno e dunque formalmente vincolanti. Un esempio clamoroso è il recepimento della direttiva NIS —che si occupa di infrastrutture critiche e dunque di sicurezza nazionale— con il quale si attribuisce al Garante dei dati personali il ruolo di destinatario delle notifiche di incidenti accaduti a queste infrastrutture. Questo, nonostante l’Autorità in questione non abbia titolo per occuparsi di sicurezza nazionale.

La lettura ideologica delle norme sulla protezione dei dati personali

Fin dai tempi della legge 675/96 (che diede il via all’errore di confondere “privacy” e protezione dei dati personali) si è diffusa è radicata la convizione che la “privacy” fosse una sorta di diritto supercostituzionale al cui confronto tutti gli altri diritti dovevano genuflettersi. Dunque, in nome di un “bilanciamento di interessi” che, in realtà, era solo di facciata, l’ago della libra finiva invariabilmente orientato verso la “privacy”.

Due sono i presupposti ideologici di questa interpretazione normativa.

Il primo è che la “privacy” riguardi la persona intesa come individuo e non come collettività e che il diritto del singolo deve prevalere su quello dei consociati. Gli effetti di questa visione ideologica sono stati evidenti con il fuoco di sbarramento che ha impedito di fare contact-tracing usando le tecnologie dell’informazione come accaduto, invece e con successo, in Corea del Sud. Un asfissiante “diritto alla privacy” del singolo ha impedito di tutelare l’incolumità delle persone (intese come collettività).

Il secondo è che, in questa visione idelogica, la sicurezza non è un diritto fondamentale della persona, ma (solo) un dovere dello Stato.  In realtà ciascuno, individualmente e tutti, collettivamente, abbiamo un diritto alla sicurezza che serve a proteggere i cittadini e non a garantire, come nei regimi autoritari, una condizione di tranquillitas, sed non libertas dove l’ordine sociale è solo strumento di preservazione del potere.

Il parere del Garante dei dati personali

Fatte queste premesse, è agevole capire dove siano le criticità del parere del Garante dei dati personali che ha bloccato il sistema di riconoscimento facciale del Ministero dell’interno.

 In primo luogo, il provvedimento confonde piani diversi, mettendo allo stesso livello le attività di prevenzione con quelle di investigazione. Si legge infatti nel punto 1) delle osservazioni:

Occorre in particolare considerare che il sistema in argomento realizza un trattamento automatizzato su larga scala che può riguardare, tra l’altro, anche coloro che siano presenti a manifestazioni politiche e sociali, che non sono oggetto di “attenzione” da parte delle forze di Polizia.

A stretto rigore, questo non è corretto perché l’attività di prevenzione affidata alla Divisione Investigazioni Generali  Operazioni Speciali della Polizia di Stato prevede come procedura standard quella di partecipare (in borghese) alle manifestazioni riprendendo con macchine fotografiche e videocamere i partecipanti. Nel caso, poi, di manifestazioni sportive le riprese eseguite in ordine pubblico sono utilizzate per individuare a posteriori gli autori di atti illeciti che versano in stato di flagranza differita. Dunque, accade sistematicamente che soggetti estranei a comportamenti antisociali siano videoregistrati nell’ambito di attività di prevenzione.

Continua, poi, il provvedimento al punto 2:

Il sistema SARI Real-Time, in quanto finalizzato all’effettuazione di un trattamento di dati personali per finalità di prevenzione di reati e minacce alla sicurezza pubblica e, anche su delega dell’Autorità Giudiziaria, di indagine, accertamento e perseguimento di reati, rientra nel campo di applicazione del Decreto.

Anche a voler ignorare i dubbi sull’effettiva possibilità che le norme comunitarie possano entrare nel merito di ordine e sicurezza pubblica, sta di fatto che il d.lgs. 51/2018 (che, appunto, recepisce la direttiva 680/16 sul trattamento dei dati personali per finalità di polizia) esclude la propria applicabilità alle questioni di sicurezza nazionale. Già questo, dunque, basterebbe per privare di effetto il parere espresso dal Garante quantomeno limitatamente a questo profilo.

Inoltre, è vero che l’articolo 5 del decreto 51/2018 richiede che pure in ambito di attività di polizia vengano trattati dati personali solo in forza di una legge o un regolamento che li indica in modo specifico. Ma è anche vero che, quando si tratta di pubblica sicurezza, la base normativa per il trattamento è il Testo unico delle leggi di pubblica sicurezza che normativizza gli obiettivi e lascia libera l’autorità di pubblica sicurezza di perseguirli nel modo che ritiene più opportuno. Se, dunque, l’obiettivo di pubblica sicurezza è il riconoscimento preventivo dei soggetti pericolosi indicati dal TULPS il modo in cui ciò viene fatto è, evidentemente, questione tecnica eventualmente sindacabile in sede di contestazione dei provvedimenti di polizia. Giova inoltre aggiungere che il potere/dovere di identificazione anche tramite fotosegnalamento (e dunque tramite trattamento di dati biometrici del volto) è espressamente regolato dalle norme in materia di pubblica sicurezza. Non fa differenza, dunque, la modalità tecnica con la quale viene eseeguito il riconoscimento da parte dell’autorità di pubblica sicurezza.

Anche dal punto di vista dell’autorità giudiziaria, sarebbe inverosimile affermare che un pubblico ministero non possa adottare strumenti di indagine atipici —come appunto il ricorso a strumenti tecnologici di supporto all’identificazione dei potenziali autori di un reato consumato— in quanto non espressamente previsti dal codice. L’operato del pubblico ministero, infatti, è sottoposto al controllo di legalità garantito dal giudice per le indagini preliminari e poi, in dibattimento, dal diritto di difesa.

Conclusioni

La normativa comunitaria non si applica alla sicurezza nazionale. Dunque, in questo ambito il riconoscimento facciale automatizzato è possibile, senza alcun parere del Garante dei dati personali.

La UE ha un potere limitato su ordine e sicurezza pubblica rispetto agli ordinamenti degli Stati membri, ma tende ad espandere di fatto il proprio potere grazie al recepimento acritico dei provvedimenti comunitari nel diritto interno.

Nel caso specifico della protezione dei dati personali, una lettura ideologica e unilaterale della normativa di riferimento, da un lato configura erroneamente questo diritto come un muro invalicabile, dall’altro interpreta la sicurezza come una prerogativa dello Stato e non anche e soprattutto come un diritto della persona.

Il riconoscimento facciale automatizzato è una tecnica estremamente utile nella tutela della sicurezza nazionale, nella prevenzione di turbamenti della pubblica sicurezza e nell’esecuzione di indagini penali. Come qualsiasi tecnologia, può commettere errori e dunque i risultati prodotti dal trattamento automatizzato devono necessariamente essere “filtrati” dall’operatore umano.

Affermare che il riconoscimento facciale automatizzato sia vietato dalla UE e dagli altri organismi internazionali non tiene presente la riserva su sicurezza nazionale e pubblica che spetta ai singoli Stati.

Anche a volere accettare la giurisdizione dell’Autorità garante per la protezione dei dati personali su ordine e sicurezza pubblica, in realtà la normativa di settore consentirebbe il ricorso a sistemi di riconoscimento facciale su larga scale, vista l’esistenza di controllo giurisdizionale sulle attività di prevenzione criminale.

L’inerzia del Parlamento e dell’Esecutivo nell’affrontare in termini strutturali il tema della sicurezza si traduce nel rinvio a data incerta il momento nel quale non sarà più possibile ignorare il problema; cosa che, tipicamente, accadrà quando l’inerzia del passato sarà scossa da una crisi che, come ha dimostrato la pandemia, coglierà impreparate le Istituzioni.

Possibly Related Posts: