Il Garante della Privacy boccia ancora il sistema di sorveglianza biometrico della Polizia Italiana
Dopo oltre 3 anni dalla sua consegna (e probabilmente dall’entrata in funzione) il sistema di “sorveglianza attiva” conosciuto con il nome di SARI Real Time (e in uso alla Polizia di Stato), è ancora illegale!
Di cosa sto parlando? Hai mai sentito parlare di videosorveglianza mediante riconoscimento facciale? E bene, se ancora non lo sai, non si tratta di una realtà distopica presa da qualche film di fantascienza o da qualche romanzo, e non è neanche una realtà esclusiva di quei Paesi che consideriamo così lontani da noi, come la Cina ad esempio. Il sistema SARI è un sistema di videosorveglianza che utilizza le immagini raccolte in vario modo (telecamere di sorveglianza, fotografie, social, ecc.) per identificare attraverso la scansione del viso, ogni volto che viene rilevato, ed è già attivo e utilizzato in Italia dalle forze di Polizia fin dal settembre 2018. Questo nonostante non abbia mai ricevuto l’autorizzazione da parte del Granate della Privacy, investito della questione proprio perché potenzialmente lesivo della privacy e delle liberta umane, democratiche e fondamentali dell’individuo.
Fin dalla sua data di consegna, il Ministero dell’Interno ha tentato più volte di eludere che sistema SARI fosse sottoposto al vaglio del Garante per la Protezione dei Dati Personali (GPDP più conosciuto come Garante della Privacy). In diverse occasioni a cui è stata data risposta alle richieste del Garante, sono stati forniti solo documentazioni parziali che non hanno mai superato le verifiche del GPDP, nonostante le evidenti pressioni politiche e di vario altro genere, che hanno cercato in questi tre anni e mezzo di ottenerne la “legalizzazione”.
Se non conosci questa storia e vuoi saperne di più sulla realtà della sorveglianza in Italia, e più in generale sullo stato di salute della democrazia, su come siamo giunti alla realtà odierna partendo dalle libertà e dall’indipendenza che pensavamo di aver ottenuto dopo la fine del secondo conflitto mondiale, su come sia stato possibile che la scienza si sia elevata ad elemento di discrimine (e discriminazioni) nelle questioni sociali, ti consiglio di leggere il mio libro “Fact Checking - la realtà dei fatti la forza delle idee”.
Nelle precedenti occasioni di richiesta del GDPD, il Ministero dell’Interno aveva addirittura affermato che, essendo il sistema SARI un'evoluzione di un precedente sistema già autorizzato dal Garante, non aveva alcun obbligo e necessità di essere sottoposto ad alcuna nuova procedura di verifica. Nei fatti dunque, da un lato il Garante non aveva mai autorizzato l’utilizzo del SARI, dall’altra il Ministero dell’Interno aveva chiuso ogni possibilità di una verifica a riguardo, preferendo continuare ad operare in buona sostanza, “nell’illegalità”. Poi, improvvisamente, nel Marzo 2021, una svolta da parte del Ministero dell’Interno, almeno in apparenza.
In quel frangente, finalmente (ma anche improvvisamente) il Dipartimento di pubblica sicurezza aveva inviato all’ Autorità Garante per la Protezione dei Dati Personali tutta la documentazione del sistema SARI Real Time, corredata di una bozza di valutazione di impatto, redatta ai sensi dell’art. 23 del Decreto, nella quale erano integrate la descrizione dell'architettura di sistema e le relative istruzioni operative. Si tratta di documentazione che il Garante della Privacy richiedeva fin dal 2018 e che il Ministero dell’interno non aveva, o si era rifiutata più volte di fornire. Come mai? È così difficile riuscire a spiegare in forma scritta il funzionamento del sistema in osservanza delle leggi vigenti in materia di protezione dei dati personali e delle libertà fondamentali?
Troveremo risposta a questa domanda solo alla fine dell’articolo, lasciando che sia il Garante della Privacy a sciogliere ogni dubbio circa la legittimità di questo sistema. Solo dopo potremo fare le nostre considerazioni a riguardo, e trovare una risposta sul perché ci siano voluti ben tre anni, solo per presentare una documentazione (all’apparenza) ritenuta idonea e sufficiente dal Ministero dell’Interno, per provare ad ottenere l’autorizzazione all’utilizzo del sistema SARI.
Dalla documentazione prodotta nel Marzo 2021, risulta che il sistema SARI Real-time (che secondo quanto dichiarato nei documenti presentati non sarebbe ancora attivo, ma nel citato libro ci sono evidenze documentali e diverse dichiarazioni di esponenti di spicco delle forze di Polizia che confermano il contrario) consente, attraverso una serie di telecamere installate in un’area geografica predeterminata e delimitata, di analizzare in tempo reale i volti dei soggetti ivi ripresi, confrontandoli con una banca dati predefinita per lo specifico servizio (denominata "watch-list"), la cui grandezza è di massimo 10.000 volti.
Questo numero non deve essere confuso con quello più volte dichiarato dal Ministero dell’Interno stesso, riguardo al fatto che il sistema SARI dispone di un database di oltre 16.000.000 di profili (numero dichiarato al momento dell’entrata in funzione, utilizzo che, come accennato, oggi viene ufficialmente negato, ma che è presumibilmente aumentato oltre i 20.000.000 di profili).Un numero enorme considerato che la popolazione italiana è di circa 60.000.000 di persone. Circa un terzo dei residenti in Italia sarebbe quindi già "schedato" nel sistema SARI. Il numero massimo di volti (cioè 10.000) indicati nella documentazione presentata invece nel marzo 2021, è relativo esclusivamente alla cosiddetta “watch-list” che, traducendo in italiano dalla neolingua di orwelliana memoria, sarebbe l’equivalente delle 10.000 persone considerate più pericolose dal Ministero dell’Interno, e quindi dal Governo.
Nella documentazione presentata a Marzo 2021, si legge che “… Ove venga riscontrata, attraverso un algoritmo di riconoscimento facciale, una corrispondenza tra un volto presente nella watch-list ed un volto ripreso da una delle telecamere, il sistema è in grado di generare un allert che richiama l'attenzione degli operatori. Il sistema consente, inoltre, di registrare i flussi video delle telecamere “fungendo, in tal senso, quale attività di video sorveglianza.”. Il sistema è stato progettato e sviluppato come soluzione mobile tale da poter essere installata direttamente presso il sito ove sorge l'esigenza di disporre di una tecnologia di riconoscimento facciale in grado di coadiuvare le Forze di Polizia nella gestione dell'ordine e della sicurezza pubblica, oppure in relazione a specifiche esigenze di Polizia Giudiziaria …”.
Per sostenere lo scopo legittimo e utili ai fini della sicurezza pubblica del sistema SARI Real Time, il Dipartimento di pubblica sicurezza del Ministero dell’Interno, fa riferimento, a vario titolo, diverse disposizioni normative, ritenute idonee al fine dell’inquadramento e del fondamento giuridico del sistema e, segnatamente vengono richiamati: alcuni articoli del codice di procedura penale (agli artt. 134 c.4, 234, 266, 431 c.1 lett. b, oltre gli artt. 55, 348, 354 e 370 sull’attività di polizia giudiziaria); il decreto del Ministro dell'Interno del 24 maggio 2017; l'art. 1 del Testo unico delle leggi di pubblica sicurezza (T.U.L.P.S.), approvato con regio decreto 18 giugno 1931, n. 773; la legge 1° aprile 1981, n. 121, sull'ordinamento dell'Amministrazione della pubblica sicurezza; il DPR n. 15 del 15 gennaio 2018, in materia di protezione dei dati personali relativamente al trattamento dei dati effettuato per le finalità di polizia; il decreto legislativo 51/2018.
Il grande impegno profuso dal Dipartimento di pubblica sicurezza nel cercare di presentare argomentazioni valide a sostenere la legittimità (e quindi la legalità) del sistema di tracciamento e identificazione biometrica SARI Real Time però, non hanno sortito l’effetto sperato dal Ministero dell’Interno e da tutte le agenzie Governative da essa coordinate e controllate.
La risposta del Garante della Privacy è stata circostanziata e perentoria! Ecco le sue osservazioni.
“L’utilizzo di tecnologie di riconoscimento facciale per finalità di prevenzione e repressione di reati è oggetto di grande attenzione, come indicano, da ultimo, le linee guida del Consiglio d’Europa, che segnalano l’intrusività che esso comporta per il diritto alla vita privata e alla dignità delle persone, unitamente al rischio di ripercussioni negative su altri diritti umani e sulle libertà fondamentali. Le linee guida richiamano i legislatori e quanti hanno responsabilità di adottare decisioni a stabilire norme specifiche per il trattamento di dati biometrici mediante tecnologie di riconoscimento facciale a fini di contrasto, per garantire che il loro impiego sia strettamente necessario e proporzionato alle finalità e siano prescritte le necessarie garanzie. Il trattamento di immagini volte ad identificare le persone nel contesto pubblico è quindi di estrema delicatezza ed è perciò necessaria una valutazione d’insieme, per evitare che singole iniziative, sommate tra loro, definendo un nuovo modello di sorveglianza introducano, di fatto, un cambiamento non reversibile nel rapporto tra individuo ed autorità. Occorre in particolare considerare che il sistema in argomento realizza un trattamento automatizzato su larga scala che può riguardare, tra l’altro, anche coloro che siano presenti a manifestazioni politiche e sociali, che non sono oggetto di “attenzione” da parte delle forze di Polizia; ancorché la valutazione di impatto indica che i dati di questi ultimi sarebbero immediatamente cancellati, nondimeno, l’identificazione di una persona in un luogo pubblico comporta il trattamento biometrico di tutte le persone che circolano nello spazio pubblico monitorato, al fine di generare i modelli di tutti per confrontarli con quelli delle persone incluse nella “watch-list”. Pertanto, si determina una evoluzione della natura stessa dell’attività di sorveglianza, passando dalla sorveglianza mirata di alcuni individui alla possibilità di sorveglianza universale allo scopo di identificare alcuni individui”.
Fin qui i criteri tenuti in considerazione dal GPDP nella sua valutazione, ma cosa ha detto nello specifico sul sistema in uso alla Polizia di Stato italiana?
“Il sistema SARI Real-Time, – si legge nella lettera di risposta al Ministero dell’Interno pubblicata anche sul sito Garanteprivacy.it - in quanto finalizzato all’effettuazione di un trattamento di dati personali per finalità di prevenzione di reati e minacce alla sicurezza pubblica e, anche su delega dell'Autorità Giudiziaria, di indagine, accertamento e perseguimento di reati, rientra nel campo di applicazione del Decreto. La disciplina speciale per questa tipologia di trattamenti, rispetto a quella generale dettata dal RGPD (Regolamento Generale sulla Protezione dei Dati), evidenzia che tali trattamenti determinano una forte interferenza con la vita privata delle persone interessate che deve trovare giustificazione in una adeguata base normativa. L’art. 5 del Decreto, in attuazione dell’art. 3 della Direttiva UE 2016/680, dispone che i trattamenti di dati personali da parte degli organi di Polizia devono basarsi su disposizioni di legge o, ove da questa previsto, di regolamento. Ciò in coerenza con la Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, il cui articolo 8 prevede che ogni persona ha diritto al rispetto della propria vita privata e familiare e non può esservi ingerenza di una autorità pubblica nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese, alla difesa dell’ordine e alla prevenzione dei reati, alla protezione della salute o della morale, o alla protezione dei diritti e delle libertà altrui. Anche l’art. 52 della Carta dei Diritti Fondamentali dell'Unione Europea stabilisce che eventuali limitazioni all'esercizio dei diritti e delle libertà riconosciuti dalla Carta – tra i quali il diritto al rispetto della vita privata, ex art. 7 e quello alla protezione dei dati di carattere personale, ex art. 8 - devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà. I dati personali oggetto del trattamento in argomento rientrano nelle categorie particolari di dati di cui all’art. 9 del RGPD, sub specie di “dati biometrici intesi a identificare in modo univoco una persona fisica”.
Se ciò non fosse sufficientemente chiaro per il Ministero dell’Interno, per la Polizia di Stato italiana, per le agenzie governative che a vario titolo utilizzano e usufruiscono di questo sistema e, non ultimo, per chi sta leggendo questo articolo (o abbia già letto la risposta del Garante) e non comprenda bene la portata distruttiva e devastante di un simile sistema di sorveglianza sulle libertà umane e fondamentali, e che quindi possa essere invece persuaso sul fatto che la sorveglianza possa essere in qualche modo giustificabile, anche a sacrificando le libertà fondamentali (perché senza privacy non esiste di fatto la libertà di parola, pensiero e espressione, ecc.), al fine di perseguire una fantomatica lotta alla criminalità e in nome di una altrettanto presunta quanto utopica sicurezza, il Garante non lascia spazio ad alcun tipo di possibile interpretazione, affermando che: “Per le circostanze sopra descritte, in relazione all’utilizzo del sistema in occasione di manifestazioni pubbliche, il trattamento in argomento determina il possibile coinvolgimento di ulteriori dati personali di cui all’art. 9 del RGPD, quali quelli idonei a rivelare le opinioni politiche o l’appartenenza sindacale. L’art. 7 del Decreto stabilisce che il trattamento dei dati particolari di cui all'articolo 9 del RGPD è soggetto a condizioni specifiche, tra le quali quella di dovere essere “specificamente previsto dal diritto dell'Unione europea o da legge o, nei casi previsti dalla legge, da regolamento”. Orbene, nella documentazione fornita dal Ministero dell’Interno e tra le fonti normative da questo indicate non si rinviene alcuna disposizione specifica che consenta tale tipo di trattamento. In particolare, il Decreto, ancorché preveda in astratto tali trattamenti, non può considerarsi, di per sé, fonte normativa idonea a legittimarli, in quanto è diretto a specificare le condizioni che ne consentono l’effettuazione, tra le quali individua, appunto, la sussistenza di una norma del diritto dell’Unione o dello Stato nazionale che lo autorizzi specificamente.”
Senza lasciare nulla di intentato, il Garante della Privacy passa poi letteralmente a smontare, punto per punto, ciascun atto normativo citato dal Dipartimento di sicurezza pubblica del Ministero dell’Interno, a sostegno della presunta legittimità all’utilizzo del sistema SARI (anche in modalità Real Time), affermando che: “L'art. 1 del T.U.L.P.S. prevede i compiti generali in cui si declina l’attività dell’Autorità di pubblica sicurezza ma non contiene alcun riferimento al trattamento in argomento. Il D.P.R. 15 gennaio 2018, n. 15, recante l'individuazione delle modalità di attuazione dei principi del Codice relativamente al trattamento dei dati effettuato per le finalità di polizia, adottato in attuazione dell'articolo 57 del previgente Codice, prevede e disciplina il trattamento dei dati attraverso sistemi di videosorveglianza e di ripresa fotografica, audio e video (Capo V), sistemi ontologicamente diversi da quelli dei dati biometrici(1). Gli articoli 134 co.4, 234, 266 e 431 co.1, lett. b, del codice di procedura penale, citati nella valutazione di impatto, riguardano, rispettivamente, la documentazione degli atti per riproduzione audiovisiva, l’acquisizione di scritti o altri documenti mediante fotografia, cinematografia, fonografia ed altri mezzi, l’intercettazione di comunicazioni tra presenti mediante dispositivi elettronici portatili e l’intercettazione di flussi di comunicazioni telematiche. Pertanto, tali disposizioni non costituiscono base giuridica idonea per trattamenti di dati biometrici diretti all’identificazione personale. Infine, anche gli articoli 55, 348, 354 e 370 del codice di procedura penale, parimenti citati nella valutazione di impatto tra le fonti normative di riferimento, attengono alle funzioni di polizia giudiziaria nell’assicurare le fonti di prova e nel condurre accertamenti su luoghi o persone, di iniziativa o su delega dell’Autorità giudiziaria, ma non prevedono il trattamento dei dati biometrici, onde non costituiscono quella fonte normativa specifica richiesta dall’art. 7 del Decreto”
Il definitivo parere dell’autorità Garante della Protezione dei Dati Personali è quindi perentoria ed inequivocabile: “In conclusione, allo stato attuale non sussiste una base giuridica idonea, ai sensi dell’art. 7 del Decreto, a consentire il trattamento dei dati biometrici in argomento, come pure recentemente rilevato dal Garante in un caso per qualche profilo assimilabile (provvedimento n. 54 del 26 febbraio 2020, reperibile sul sito internet dell’Autorità, doc. web n. 9309458).”
Ma, il Garante non si è limitato soltanto ad esprimere il proprio parere su quanto presentato ma, in vista di un inevitabile e futuro nuovo tentativo da parte del Ministero dell’Interno, in virtù di eventuali nuove disposizioni normative emanate ad hoc dal Governo, molto interessato a legittimare l’utilizzo del SARI Real Time, soprattutto in questo periodo di intense e numerose manifestazioni di dissenso che si registrano quasi quotidianamente ormai da mesi in tutto il Paese, ha precisato che le norme dovranno contenere specifici e stringenti elementi, atti a circoscrivere le possibilità di utilizzo del sistema, ai soli casi realmente connessi alla lotta alla criminalità, limitando quindi al massimo la discrezionalità di utilizzo da parte delle agenzie e della Polizia di Stato, al fine di garantire il rispetto delle libertà umane e democratiche fondamentali. Ha precisato infatti che: “Al riguardo è da osservare che tale base giuridica, in esito alla ponderazione di tutti i diritti e le libertà coinvolti, dovrà, tra l’altro, rendere adeguatamente prevedibile l’uso di tali sistemi, senza conferire una discrezionalità così ampia che il suo utilizzo dipenda in pratica da coloro che saranno chiamati a disporlo, anziché dalla emananda previsione normativa. Ciò vale anche per quanto riguarda alcuni aspetti fondamentali dell’impiego della tecnica di riconoscimento facciale in argomento, come, a titolo di mero esempio, i criteri di individuazione dei soggetti che possano essere inseriti nella watch-list o quelli per determinare i casi in cui può essere utilizzato il sistema. Dovranno essere considerati, altresì, i limiti delle tecniche in argomento, notoriamente basate su stime statistiche della corrispondenza tra gli elementi confrontati e, quindi, intrinsecamente fallibili, stimando le eventuali conseguenze per gli interessati in caso di falsi positivi. Le precedenti osservazioni assorbono la necessità di esaminare la bozza di valutazione di impatto prodotta da codesta Amministrazione, con riferimento alla quale si osserva tuttavia che appare di particolare rilievo assicurare la accuratezza e la capacità di discrimine, che vanno verificate per accertare che anche nei confronti di appartenenti a minoranze etniche il sistema sia pienamente adeguato.”
A conclusione della sua valutazione il Garante ha quindi sentenziato: “TUTTO CIÒ PREMESSO IL GARANTE ai sensi dell’art. 24, comma 5 e dell’art. 37, comma 3, lett. c), del Decreto esprime parere non favorevole nei termini di cui in motivazione sul progetto e avverte il titolare che il trattamento dei dati biometrici tramite il sistema Sari Real Time, appare non conforme alla disciplina di cui al Decreto, in mancanza di adeguate e specifiche disposizioni normative legittimanti. Ai sensi dell’art. 152 del Codice e dell’art. 10 del d. lgs. 1° settembre 2011, n. 150, verso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo in cui il titolare del trattamento ha sede, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso”.
Oggi, Ottobre 2021, sono trascorsi ormai quasi sei mesi dalla risposta inviata al Ministero dell’Interno. Non risulta che questo abbia presentato opposizione alcuna, tuttavia nelle piazze della protesta “No Green Pass” (ma che sarebbe meglio e più correttamente chiamare “manifestazioni a difesa della libertà, della democrazia e dello stato di diritto” o se volete più sinteticamente “manifestazioni a difesa dei diritti umani e della Costituzione italiana”) continuano ad essere fatte fotografie e filmati dagli esponenti (spesso in borghese) delle forze di Polizia, sovente con strumentazione collegata tramite internet, ai server del software SARI il cui uso non è ufficialmente consentito (ed è quindi illegale o quantomeno “illegittimo”), il tutto nel più totale silenzio non solo dei mass media mainstream (ma ciò era ed è ovvio) ma anche quelli della “controinformazione”, mentre la quasi totalità dei cittadini è ignara finanche dell’esistenza di questo sistema.
Esposti i fatti, proviamo ora a cercare una risposta alla domanda che ci eravamo posti in precedenza: Come mai il Ministero dell’Interno ha esitato e ha impiegato così tanto tempo prima di fornire la documentazione atta a spiegare il funzionamento del sistema SARI Real Time, in osservanza delle leggi vigenti in materia di protezione dei dati personali e delle libertà fondamentali?
Se è certamente complicato riuscire ad avere una risposta certa a riguardo, è pur vero che, considerato il fatto che dal 2018 (anno di consegna ed entrata in funzione del sistema) al 2021 (data in cui è stata finalmente inviata la documentazione) l’autorità Garante della Protezione dei Dati Personali (all’ora presieduta da Antonello Soro), aveva comunque più volte pubblicamente espresso perplessità sulla legittimità e sulla legalità dell’utilizzo di questo sistema. Il fatto che soltanto nel 2021 il Dipartimento di pubblica sicurezza si sia finalmente deciso (in precedenza aveva addirittura dichiarato di non ritenere legittima la richiesta di documentazione da parte del Garante e quindi necessaria la sua approvazione ai fini dell’utilizzo del SARI) di produrre la documentazione, appare molto strano. E' giusto chiedersi dunque: tale circostanza è legata al fatto che si sia voluta attendere il cambio alla Presidenza dell’autorità Garante della Privacy, nella speranza di incontrare “un parere più amichevole, o conforme” all’idea neoglobalista (che promuove la sorveglianza di massa come instrumentum regni) nella nuova presidenza?
Nel luglio 2021 infatti, il giurista Pasquale Stanzione (docente universitario ed ex consigliere della Banca d’Italia a Salerno), assume la presidenza dell’autorità Garante della Protezione dei Dati Personali, sostituendo l’uscente Antonello Soro (ex deputato del Partito Democratico), che aveva ricoperto la carica dal giugno 2012 al luglio 2021. All’attivo del nuovo Presidente dell’autorità Garante della Privacy ci sono diversi libri che lasciano trasparire una certa linea di continuità nel pensiero progressista (e dunque relativista) con il suo predecessore. L'Autorità Garante della Protezione dei Dati Personali benchè sia un organo indipendente è pur sempre un organo di elezione politica.
Il primo atto di Stanzione però, ha fatto trasparire che per le forze politiche progressiste non troveranno (almeno così sembra al momento) terreno fertile (al pari di come non lo avevano trovato con Antonello Soro, almeno su questo punto) nella relativizzazione dei diritti umani fondamentali, come forse invece si auguravano, qualora fosse stato anche questo il motivo, (cioè il cambio ai vertici del GPDP), della tardiva consegna dei documenti per l’ottenimento all’utilizzo del sistema SARI, il cui utilizzo è quindi, attualmente e assolutamente illegale!
Nella speranza che almeno il Granate della Privacy si dimostri resiliente all’idea che il godimento dei diritti assoluti, inalienabili e inderogabili come i diritti umani fondamentali e democratici, molti dei quali oggi racchiusi o in qualche modo contigui al concetto di privacy, NON possano MAI essere sottoposti a condizione alcuna, e continuino ad essere tutelati almeno da questa autorità (le più alte cariche dello Stato e la Polizia Italiana stessa invece, certamente non lo hanno fatto in questi ultimi 18 mesi), segniamo sul tabellino un altro punto a favore dei cittadini liberi e democratici nella partita contro i governi autoritari e dispotici e i loro organi di controllo “dell’ordine pubblico” o, rubando un’allegoria dal libro “La fattoria degli animali” di George Orwell, della battaglia contro “i maiali e i loro cani”.
Per saperne di più sulla sorveglianza in Italia e sul reale stato della democrazia nel nostro Paese, ti consiglio ancora una volta la lettura del libro “Fact checking – la realtà dei fatti la forza delle idee”.