Diritti interna

Doveri interna

ricerca avanzata

Sistema automatico di ricerca dell’identità di un volto - 26 luglio 2018 [9040256]

VEDI ANCHE NEWSLETTER DEL 15 OTTOBRE 2018

 

[doc. web n. 9040256]

Sistema automatico di ricerca dell’identità di un volto - 26 luglio 2018

Registro dei provvedimenti
n. 440 del 26 luglio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e dell’Avv. Giuseppe Busia, segretario generale;

Visto il decreto legislativo 18 maggio 2018, n. 51, recante l’attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (di seguito: “Decreto”);

Visto, in particolare, l’art. 37, comma 3, lett. a) del Decreto, che legittima il Garante a “svolgere  indagini  sull'applicazione”  del Decreto stesso;

Vista la documentazione trasmessa dal Ministero dell’Interno- a seguito di specifiche richieste di questa Autorità- in ordine al progetto di un sistema automatico di ricerca dell’identità di un volto presente in un’immagine facciale  all’interno di una banca dati, denominato “SARI Enterprise”;

Viste le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa  Giovanna Bianchi Clerici;

PREMESSO

Il Ministero dell’Interno sta predisponendo un sistema automatico di ricerca dell’identità di un volto presente in un’immagine all’interno di una banca dati, denominato “SARI Enterprise”.

In riscontro alla richiesta di chiarimenti del Garante, il Ministero ha precisato che il sistema è destinato ad affiancare il sistema AFIS-SSA, per fornire all'operatore un efficiente supporto informatico che ne agevoli l'attività di indagine.

Il sistema AFIS-SSA, attualmente in uso, consente di effettuare ricerche nell’archivio dei soggetti fotosegnalati (A.F.I.S.), tramite l’opera manuale di un operatore, che deve inserire nei campi presenti nella maschera di interrogazione informazioni anagrafiche, connotati e contrassegni (ad esempio, colore dei capelli, degli occhi, di tatuaggi), al fine di individuare la presenza nell’archivio AFIS del soggetto ricercato.

Il data base AFIS ed il sistema AFIS-SSA sono previsti nel decreto del Ministro dell’interno 24 maggio 2017, recante l’individuazione dei trattamenti di dati personali effettuati dal Centro elaborazione dati del Dipartimento della pubblica sicurezza o da Forze di polizia sui dati destinati a confluirvi, ovvero da organi di pubblica sicurezza o altri soggetti pubblici nell’esercizio delle attribuzioni conferite da disposizioni di legge o di regolamento, effettuati con strumenti elettronici e i relativi titolari, in attuazione dell’art. 53, comma 3, del decreto legislativo 30 giugno 2003, n. 196, la cui scheda 19 contiene la descrizione del sistema e indica le numerose fonti normative di riferimento, di rango legislativo e regolamentare.

Il sistema SARI Enterprise, di prossima attivazione, non effettuerà elaborazioni aggiuntive rispetto al AFIS-SSA, ma si limiterà ad automatizzare alcune operazioni che prima richiedevano l'inserimento manuale di connotati identificativi, consentendo le operazioni di ricerca nel data base dei soggetti fotosegnalati attraverso l’inserimento di una immagine fotografica, che sarà elaborata  automaticamente al fine di fornire l’elenco di foto segnaletiche somiglianti, ottenute attraverso un algoritmo decisionale che ne specifica la priorità. 

Pertanto, l’utilizzo del sistema SARI-Enterprise costituisce non un nuovo trattamento di dati personali, già previsto e disciplinato dalle predette fonti, bensì un nuova modalità di trattamento di dati biometrici, che dovrà essere effettuata nel rispetto delle regole previste dalla normativa rilevante in materia di tutela dei dati personali.

OSSERVA

Il trattamento dei dati biometrici ricavabili anche dall’immagine facciale, effettuato dalle forze di polizia a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, è previsto e disciplinato da una pluralità di fonti normative (quali l’art. 4 del T.U.L.P.S., approvato con regio decreto 18 giugno 1931, n. 773 e art. 7 del relativo regolamento di esecuzione, approvato con regio decreto 6 maggio 1940, n. 635; l’art. 349 del codice di procedura penale; l’art. 11 del decreto legge 21 marzo 1978, n. 59, convertito in legge 18 maggio 1978, n. 191; l’art. 5 del decreto legislativo 25 luglio 1998, n. 286).

Tale trattamento, come ricordato in premessa, è riportato nel decreto del Ministro dell’interno 24 maggio 2017, recante l’individuazione dei trattamenti di dati personali effettuati con strumenti elettronici e i relativi titolari, in attuazione dell’art. 53, comma 3, del Codice e la cui vigenza è confermata, in via transitoria, dall’art. 49 del Decreto, fino all'adozione della diversa disciplina da adottarsi in applicazione del medesimo Decreto.

I dati personali oggetto di trattamento consistono, ai sensi dell’art. 2, lettera o), del Decreto, in dati biometrici, sub specie di “caratteristiche […] di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l’immagine facciale […]”. 

L’art. 7 del Decreto consente il trattamento di particolari categorie di dati, tra i quali sono ricompresi i dati biometrici, “solo se strettamente necessario e assistito da garanzie adeguate per i diritti e le libertà dell'interessato e specificamente previsto dal diritto dell'Unione europea o da legge o, nei casi previsti dalla legge, da regolamento, ovvero, ferme le garanzie dei diritti e delle libertà, se necessario per salvaguardare un interesse vitale dell'interessato o di un'altra persona fisica o se ha ad oggetto dati resi manifestamente pubblici dall'interessato.”.

Pertanto, il trattamento dell’immagine facciale per mezzo del sistema SARI Enterprise o con altre modalità, può essere effettuato nei limiti del diritto dell’Unione europea e delle norme nazionali che lo prevedono e con il rispetto di adeguate garanzie. Ai fini della disciplina di cui agli articoli 5 e 7 del Decreto, infatti, il requisito della necessaria previsione normativa del trattamento deve ritenersi soddisfatto dalle numerose disposizioni legislative e regolamentari citate nella scheda 19 del suddetto decreto del Ministro dell’interno del 24 maggio 2017. Tali norme recano anche – unitamente alla disciplina di protezione dati rilevante in materia – le necessarie garanzie per l’interessato. L’ulteriore requisito - previsto in particolare dal citato articolo 7 - della stretta necessità del trattamento risulta confermato, anche sulla base delle risultanze istruttorie, in ragione della funzionalità di tale sistema rispetto alle attività di identificazione svolte dalle forze di polizia. 

Né, del resto, il trattamento in esame incorre nel divieto di cui all’articolo 8 del Decreto, relativo alle  decisioni basate unicamente su un trattamento automatizzato, compresa la profilazione, basate sulle categorie particolari di dati personali di cui all'art. 9 del regolamento UE 679/2916, (tra le quali rientrano i dati biometrici ricavabili dall’immagine facciale), salvo che siano in vigore misure adeguate a salvaguardia dei diritti, delle libertà e dei legittimi interessi della persona e sempre che la profilazione non sia finalizzata alla discriminazione di persone fisiche (cfr. art. 8, comma 4 del Decreto).

Il trattamento in argomento costituisce, infatti, un mero ausilio all’agire umano, avente lo scopo di velocizzare l’identificazione, da parte dell’operatore di polizia, di un soggetto ricercato della cui immagine facciale si disponga, ferma restando l’esigenza dell’intervento dell’operatore per verificare l’attendibilità dei risultati prodotti dal sistema automatizzato. Per tali ragioni, il trattamento in esame non può ritenersi riconducibile alle disposizioni di cui al citato articolo 8 e pertanto, anche sotto tale profilo, non si ravvisano elementi ostativi. 

In ragione delle considerazioni suesposte, il trattamento di dati personali da realizzarsi mediante il sistema SARI Enterprise, secondo i presupposti descritti, non presenta criticità sotto il profilo della protezione dati.

Roma, 26 luglio 2018

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia