Trattamento dati biometrici con intelligenza artificiale – guida rapida

Trattamento dati biometrici con intelligenza artificiale – guida rapida

• L’uso dei dati biometrici durante un esame universitario
• Il trattamento dei dati biometrici
• Il funzionamento del software

Con la sentenza Cassazione Civile, Sez. I, 13 maggio 2024, n. 12967, i giudici di legittimità si sono occupati del tema del trattamento dei dati biometrici con l’intelligenza artificiale. Quali sono i principi che reggono un loro utilizzo lecito?

Per comprenderlo, cerchiamo prima di tutto di ricostruire quali sono stati i fatti in causa e, dunque, le motivazioni che hanno condotto i giudici della Suprema Corte a formulare il loro esito di giudizio.

L’uso dei dati biometrici durante un esame universitario

Il caso nasce dal reclamo al Garante della Privacy formulato da uno studente, riguardo l’impiego di un sistema di supervisione proctoring nell’ambito  dello svolgimento della prova scritta di un esame, per identificare gli studenti e verificarne il corretto comportamento durante la prova stessa, in video conferenza.

Il tutto è avvenuto all’interno dell’Università Bocconi durante il periodo pandemico. Si è dunque reso necessario, al fine di dare continuità alle operazioni dell’ateneo, svolgere gli esami in video conferenza. Per assicurarne la serietà, l’istituto aveva scelto di dotarsi di un software (Respondus) fornito dalla società statunitense Respondus Inc. idoneo a consentire di verificare la genuinità della prova e limitando al massimo i rischi di alterazione della medesima. Dell’uso del software gli studenti erano stati informati mediante comunicazioni relative alle nuove modalità di svolgimento delle prove d’esame.

In seguito ad un’attività di controllo, il Garante ha riscontrato e contestato diverse violazioni del Regolamento, come quelle su:

• principi di liceità, correttezza e trasparenza, principio di minimizzazione del trattamento e principio di limitazione della conservazione;
• informativa;
• privacy by design e by default;
• valutazione di impatto sulla protezione dei dati;
• principio generale per il trasferimento;
• trasferimento soggetto a garanzie adeguate;
• trattamento di categorie particolari di dati personali, necessario per motivi di interesse pubblico rilevante.

Il trattamento dei dati biometrici

I giudici della Suprema Corte, dopo aver esaminato il ricorso del Garante della Privacy sulla sentenza del Tribunale, hanno esaminato i vari motivi di ricorso.

Per quanto riguarda il primo, si rammenta come il giudice di prime cure abbia escluso la configurabilità di un trattamento di dati biometrici, sulla base della considerazione che la finalità di identificazione univoca della persona richiesta dall’art. 9, par. 1, del Regolamento UE n. 679/2016 non sarebbe contemplata dal sistema informatico Respondus utilizzato dall’Università ricorrente. Di fatti, ogni eventuale valutazione sul punto sarebbe lasciata al docente e non vi sarebbe pertanto alcuna dimostrazione che la fase del confronto o del match enucleata dalle Linee Guida in materia di riconoscimento biometrico e firma grafometrica adottate dal Garante il 12 novembre 2014, sia stata concretamente attuata.

Per il ricorrente, la tesi è errata e frutto di una non corretta interpretazione del Regolamento.

La disciplina comunitaria

Anche i giudici della Cassazione la penano così. Si ricorda infatti in sede di legittimità che nel diritto comunitario i dati biometrici sono dati personali se sono usati per identificare in modo univoco una persona. Il trattamento di questi dati è regolato da tre diversi atti dell’Unione:

• il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati;
• la Direttiva 2016/680 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati;
• il Regolamento 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell‘Unione e sulla libera circolazione di tali dati.

La definizione di dati biometrici

Gli atti sopra rammentati definiscono i dati biometrici come

i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici.

Nella fattispecie in esame, i giudici di legittimità hanno ricordato come trovi applicazione il Regolamento, che recita che

Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. (..)

Il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando siano trattate attraverso un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione di una persona fisica.

Questi dati personali non dovrebbero essere oggetto di trattamento, salvo che il trattamento non sia consentito nei casi specifici previsti dal regolamento. Si deve inoltre tenere conto che il diritto degli Stati membri può stabilire disposizioni specifiche sulla protezione dei dati per adeguare l’applicazione delle norme del regolamento ai fini della conformità a un obbligo legale o dell’esecuzione di un compito di interesse pubblico o per l’esercizio di pubblici poteri di cui è investito il titolare del trattamento.

La definizione di trattamento

I giudici di legittimità ricordano anche che la definizione di “trattamento” contenuta nel Regolamento sia intesa nei termini di

qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

Il trattamento dei dati e le eccezioni

È lo stesso Regolamento all’art. 9 a precisare poi che

È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

La regola di cui sora non si applica però se si verifica uno dei seguenti casi:

l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto (…)

il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare I’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

I motivi di interesse pubblico rilevante

L’art. 2-sexies del Codice (Trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante) stabilisce poi che

I trattamenti delle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché’ le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato. (…)

Fermo quanto previsto dal comma 1, si considera rilevante l’interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri nelle seguenti materie: (…) istruzione e formazione in ambito scolastico, professionale, superiore o universitario.

Si ricorda inoltre come l’art. 5 del Regolamento sintetizzi così i principi a cui si deve complessivamente conformare il trattamento dei dati personali:

• liceità, correttezza e trasparenza;
• limitazione della finalità;
• minimizzazione dei dati;
• esattezza;
• limitazione della conservazione;
• integrità e riservatezza.

Il principio di responsabilizzazione

Più recentemente, nell’art. 5 è stato introdotto anche un richiamo al principio di responsabilizzazione (accountability).

La sua introduzione ha cambiato l’approccio interpretativo al tema. Oggi, infatti, il sistema di tutela dei dati personali non è più definito soltanto con prescrizioni dirette e precise alla cui mancata applicazione consegue una sanzione, quanto anche come un obiettivo da realizzare che obbliga il titolare a dimostrare il rispetto e la conformità, del trattamento dei dati messo in atto, al regolamento, mediante l’adozione di preventive politiche interne e di meccanismi idonei a garantire tale osservanza; esse devono sostanziarsi in una serie di attività specifiche e dimostrabili, che siano finalizzate a assicurare la gestione del rischio connesso al trattamento dei dati personali, tanto è vero che viene resa esplicita la richiesta di documentare le scelte in merito al raggiungimento dell’obiettivo prefissato di protezione dei dati.

Come sintesi di quanto sopra espresso, il trattamento dei dati biometrici finalizzato a identificare in modo univoco una persona fisica in mancanza del consenso dell’interessato è vietato ai sensi del Regolamento 2016/6790.

Tuttavia, il divieto viene meno e il trattamento è dunque ammesso quando lo si ritiene necessario per motivi di interesse pubblico rilevante, in specifiche materie, come – appunto – l’istruzione e la formazione in ambito scolastico, professionale, superiore o universitario, secondo quanto previsto dal d.lgs. n. 196/2003.

In questo caso, giova condividere la precisazione secondo cui il trattamento “deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” in linea anche con il principio di “responsabilizzazione” dettato dall‘art.5, par. 2 del Regolamento 2016/679.

Il funzionamento del software

Tornando al caso in esame, il tribunale aveva ricostruito il funzionamento del software che:

• cattura le immagini video e lo schermo dello studente identificando e contrassegnando con un flag i momenti in cui sono rilevati comportamenti insoliti e/o sospetti mediante registrazione video e istantanee scattate a intervalli casuali per tenere traccia di comportamenti anomali;
• al termine della prova, il sistema elabora il video, inserendo segnali di allerta in merito a possibili indici di comportamenti scorretti, affinché il docente possa poi valutare se effettivamente sia stata commessa un‘azione non consentita nel corso della prova.

Secondo il tribunale, in tale sequenza non sarebbe riscontrabile un trattamento dei dati biometrici tesi a identificare in modo univoco una persona fisica, posto che lo studente esaminato dal software non sarebbe identificato attraverso i suoi dati biometrici raccolti e trattati dal sistema Respondus, ma dal docente chiamato a vagliare il video finale.

La pensa però diversamente il giudice di legittimità, secondo cui la conclusione dei giudici di prime cure sarebbe in contrasto con le norme in materia di trattamento dei dati personali. In particolare, l’errore che segna la ricostruzione del tribunale riguarda la sussunzione della fattispecie concreta nella fattispecie astratta di trattamento di dati personali, genus nel quale rientrano i dati biometrici.

Di fatti, come si evince dalla descrizione del funzionamento del software Respondus, il programma non si limita a registrare a video la prova di esame. Nel corso della ripresa cattura infatti le immagini della persona fisica che svolge la prova di esame e seleziona e lo fa con la realizzazione di video, lo scatto di istantanee ad intervalli casuali e i momenti in cui rileva comportamenti insoliti.

Le funzioni del software

Proprio in ragione della contestuale selezione del materiale raccolto in relazione a comportamenti anomali, al termine della prova, lo stesso software realizza un video in cui confluiscono gli elementi anomali (contrassegnati da flag) che possono attenere alla conferma o meno della corrispondenza fisica della persona esaminata con lo studente (che, ricordiamo, è già identificato dall’Università come da sottoporre alla prova) e a ulteriori anomalie registrate. Il video viene poi sottoposto al docente per la sua valutazione finale in ordine alla regolarità della prova sostenuta dalla persona.

Risulta da ciò palese che le riprese video e foto realizzate dal software non hanno solo la funzione di documentare la prova di esame, ma si connotano per la contestuale elaborazione e selezione del materiale, di momento in momento raccolto, selezione che converge nella individuazione ed alla segnalazione di comportamenti anomali, attraverso la produzione del video finale.

Per i giudici di legittimità, dunque, il tribunale non avrebbe considerato che questa complessiva attività integra un autonomo e articolato trattamento dei dati biometrici acquisiti ed elaborati dallo stesso software, e attiene anche alla conferma dell’identità della persona fisica esaminata. L’esito di tale elaborazione risulta sottoposto solo ex post al docente per la sua valutazione in ordine alla regolarità della prova.

Il ciclo di vita dei dati biometrici

Peraltro, come rammentato dallo stesso Tribunale, il ciclo di vita dei dati biometrici è costituito dalla sequenza in quattro fasi:

1. rilevamento tramite sensori specializzati, come lo scanner per il rilevamento dell’impronta digitale o dispositivi di uso generale come la videocamera di caratteristiche biometriche (come il viso dell’individuo);
2. acquisizione di un campione biometrico (come l’immagine del viso);
3. estrazione dei tratti dal campione biometrico (come alcuni specifici punti del viso) idonei a costituire il modello biometrico che sarà conservato in una banca dati;
4. il confronto (o match): il modello biometrico viene confrontato con le effettive caratteristiche dell’individuo ed il confronto in parola consente la identificazione univoca della persona fisica.

Secondo i giudici di legittimità la decisione del Tribunale non ha tenuto conto di queste indicazioni. Ha infatti trascurato di considerare che, nel procedimento attuato mediante l’uso del software, la quarta fase di confronto appare svolgersi nel corso di tutta la ripresa.

Il principio di diritto

Per la sentenza il motivo è pertanto fondato, con rinvio al Tribunale, che dovrà procedere al riesame attenendosi al seguente principio di diritto:

In tema di trattamento dei dati personali, ai sensi dell‘art.9 del Reg (UE) 2016/679, ricorre un trattamento di dati biometrici, come definiti dall’art. 4, n.14 del Regolamento 2016/679, quando i dati personali sono ottenuti mediante un trattamento tecnico automatizzato specifico, realizzato con un software che, sulla base di riprese e analisi delle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica, le elabora, evidenziando comportamenti o elementi anomali, e che perviene a un esito conclusivo, costituito da una elaborato video/foto che consente (o che conferma) [identificazione univoca della persona fisica, restando irrilevante la circostanza che l’esito finale del trattamento sia successivamente sottoposto alla verifica finale di una persona fisica.