Biometria nell’UE: Navigare nel GDPR e nell’AI Act
La biometria è stata a lungo utilizzata per identificare gli individui, principalmente nei contesti di sicurezza e forza pubblica. Tuttavia, oggi il suo utilizzo si sta rapidamente espandendo in nuovi domini. Grazie ai progressi nell’intelligenza artificiale, le tecnologie biometriche ora affermano di poter inferire le emozioni, i tratti della personalità e altre caratteristiche basate esclusivamente su tratti fisici.
Questi strumenti sono sempre più utilizzati in vari contesti: le aziende analizzano le espressioni facciali per valutare il sentiment dei clienti e i candidati, i datori di lavoro impiegano strumenti di monitoraggio per misurare la concentrazione dei dipendenti e le piattaforme online sfruttano il software biometrico per far rispettare le restrizioni di età.
Regolamentazioni europee
Le regolamentazioni europee si sono evolute in risposta a questo paesaggio in cambiamento. Dal 2018, il Regolamento generale sulla protezione dei dati (GDPR) ha governato il trattamento dei dati biometrici come forma di dati personali e, quando utilizzati per identificare univocamente gli individui, come dati di categoria speciale. Il trattamento di questi dati è generalmente vietato a meno che l’individuo non fornisca un consenso esplicito o si applichi un’altra condizione ai sensi dell’Articolo 9(2).
Costruendo su questa base, l’AI Act dell’UE introduce un nuovo livello di regolamentazione che mira a quattro tipi di biometria e li classifica per rischio — da vietato a alto rischio e basso rischio — in base al loro scopo e contesto di utilizzo.
Identificazione biometrica remota
I sistemi di identificazione biometrica remota sono sistemi di intelligenza artificiale progettati per identificare gli individui senza il loro coinvolgimento attivo, tipicamente a distanza. Un esempio comune è il software di riconoscimento facciale che scansiona i filmati della CCTV per identificare le persone in tempo reale o retrospettivamente confrontando le immagini con un database biometrico.
Sotto l’AI Act, l’uso di sistemi di identificazione biometrica remota in tempo reale è vietato per scopi di forza pubblica, tranne in circostanze specifiche. Tutti gli altri usi di tali sistemi sono consentiti ma classificati come alto rischio, attivando una serie di obblighi di conformità.
Categorizzazione biometrica
I sistemi di categorizzazione biometrica sono sistemi di intelligenza artificiale che assegnano gli individui a categorie specifiche basate sui loro dati biometrici. Queste categorie possono riguardare tratti relativamente innocui, come l’età o il colore degli occhi, o attributi più sensibili e controversi come sesso, etnia e tratti della personalità.
Sotto l’AI Act, i sistemi di categorizzazione biometrica che categorizzano gli individui in base a caratteristiche proibite sono vietati, con eccezioni limitate per l’etichettatura o il filtraggio dei set di dati biometrici.
Riconoscimento delle emozioni
I sistemi di riconoscimento delle emozioni sono progettati per identificare o inferire le emozioni o le intenzioni di un individuo basate sui loro dati biometrici. L’AI Act distingue tra l’inferenza delle emozioni — regolamentata — e la rilevazione di espressioni o stati fisici evidenti — non regolamentata.
Il riconoscimento delle emozioni è vietato nei luoghi di lavoro e nelle scuole, tranne dove strettamente necessario per motivi medici o di sicurezza.
Database di riconoscimento facciale
Infine, l’AI Act vieta lo sviluppo o l’espansione di database di riconoscimento facciale attraverso il web scraping non mirato di immagini facciali da internet o filmati della CCTV. Questa proibizione è assoluta e non ci sono eccezioni.
Navigare nella sovrapposizione
L’intersezione tra il GDPR e l’AI Act crea un framework normativo stratificato per le tecnologie biometriche nell’UE. Mentre le proibizioni dell’AI Act sono entrate in vigore a febbraio 2025, le regole per i sistemi ad alto rischio e a basso rischio non si applicheranno fino ad agosto 2026. Nel frattempo, le organizzazioni affrontano obblighi sovrapposti che presentano sfide significative di conformità.
La navigazione tra il GDPR e l’AI Act richiede una mappatura attenta dei ruoli e delle responsabilità attraverso entrambi i framework. Un’azienda che utilizza uno strumento biometrico internamente può agire simultaneamente come controllore ai sensi del GDPR e come distributore ai sensi dell’AI Act.
In sintesi, queste sfide segnano un cambiamento dal modello di conformità del GDPR, radicato nella notifica e nel consenso, verso uno che richiede una governance del ciclo di vita proattiva e basata sul rischio.
