Nel caso Ed Bridges (R) v. The Chief Constable of South Wales Police and others, in riforma della sentenza della High Court, la Corte di Appello ha ritenuto l’impiego di strumenti di riconoscimento facciale automatizzati (automated facial recognition,“AFR”) illegittimo sulla base i) dell’articolo 8 della Convenzione Europea dei Diritti dell’Uomo, ii) della legislazione sulla protezione dei dati personali (Data Protection Act del 2018) e infine iii) del Public Sector Equality Duty della sezione 149 dell’Equality Act del 2010.
UK - Court of Appeal (Civil division) - Ed Bridges v. The Chief Constable of South Wales Police and others: sull’impiego illegittimo di strumenti di riconoscimento facciale da parte delle forze di polizia ai fini di sicurezza.
11 agosto 2020
I motivi del ricorso in appello
A seguito della decisione di primo grado, il ricorrente presentava ricorso in appello adducendo le seguenti doglianze:
- La Corte ha erroneamente concluso che l'uso dell'AFR da parte della South Wales Police (SWP) fosse conforme alla legge ai sensi dell'articolo 8(2) della CEDU.
- La Corte ha erroneamente concluso che l'uso dell'AFR fosse proporzionata ai sensi dell'articolo 8(2) della CEDU.
- La Corte ha sbagliato a considerare come correttamente eseguito la DPIA effettuata in relazione al trattamento dei dati ai fini del Data Protection Act del 2018.
- La Corte ha sbagliato a non considerare il fatto che la SWP aveva un "appropriate policy document" come richiesto dall’articolo 42 del DPA del 2018.
- La Corte ha erroneamente ritenuto che la SWP avesse rispettato il Public Sector Equality Duty ("PSED") ai sensi della Section 149 dell'Equality Act del 2010, in quanto la valutazione d'impatto sull'uguaglianza effettuata era "ovviamente inadeguata" e non riconosceva il rischio di discriminazione indiretta sulla base del sesso o dell’etnia
La decisione della Corte di Appello
Con la sentenza di appello, la Corte ha rigettato i motivi di appello di cui ai punti 2) e 4), mentre ha accolto le doglianze con riferimento 1) al requisito di conformità alla legge di cui all’articolo 8(2) CEDU, 2) alla corretta esecuzione del Data Protection Impact Assessment come richiesto dal Data Protection Act del 2018 in ottemperanza all’articolo 35 del GDPR e infine 3) al mancato rispetto del PSED della Section 149 dell’Equality Act.
In particolare, con riferimento all’articolo 8 CEDU, i giudici di appello hanno ritenuto che, sebbene il quadro giuridico su cui si basava l’impiego di AFR Locate comprendesse tanto la legislazione primaria (Data Protection Act del 2018), quanto legislazione secondaria (The Surveillance Camera Code of Practice) e le policy interne della SWP, non sussistevano indicazioni chiare su dove l'AFR potesse essere utilizzato e su chi potesse essere inserito in una lista di sorveglianza. La Corte ha ritenuto che si trattasse di una discrezionalità troppo ampia da concedere agli agenti di polizia per soddisfare lo standard richiesto dall'articolo 8(2) CEDU. Secondo la Corte: «The fundamental deficiencies, as we see it, in the legal framework currently in place relate to two areas of concern. The first is what was called the “who question” at the hearing before us. The second is the “where question”. In relation to both of those questions too much discretion is currently left to individual police officers. It is not clear who can be placed on the watchlist nor is it clear that there are any criteria for determining where AFR can be deployed».
La Corte di Appello ha ritenuto inoltre violato il requisito del Data Protection Impact Assessment (“DPIA”) richiesto dal Data Protection Act del 2018 in ottemperanza di quanto previsto dall’articolo 35 del GDPR. In particolare, ragionano i giudici di appello, poiché AFR Locate non soddisfa i requisiti dell'articolo 8(2), e in particolare il requisito di essere "in conformità con la legge", coinvolgendo due aree di discrezionalità eccessivamente ampie (la selezione delle persone presenti negli elenchi di controllo e i luoghi in cui AFR può essere impiegato), la conseguenza inevitabile di tali carenze è che il DPIA non è riuscito adeguatamente a valutare i rischi per i diritti e le libertà dei soggetti coinvolti e non ha affrontato le misure previste per affrontare i rischi derivanti dalle carenze che sono state riscontrate circa il rispetto della vita privata.
Infine, secondo la Corte di Appello, la Divisional Court ha sbagliato a ritenere che l’impiego di AFR Locate fosse conforme al Public Sector Equality Duty previsto dalla Section 149 dell’Equality Act. In particolare, tale previsione richiede che «A public authority must, in the exercise of its functions, have due regard to the need to— (a) eliminate discrimination, harassment, victimisation and any other conduct that is prohibited by or under this Act; (b) advance equality of opportunity between persons who share a relevant protected characteristic and persons who do not share it; (c) foster good relations between persons who share a relevant protected characteristic and persons who do not share it». Nel caso di specie, La Corte ha affermato che lo scopo del PSED è quello di garantire che le autorità pubbliche riflettano sul potenziale impatto discriminatorio di una politica implementata. Pur ritenendo che non vi sia stata alcuna circostanza in grado di provare una discriminazione diretta basata sul sesso e sull’etnia, secondo la Corte la SWP non avrebbe tuttavia adottato misure ragionevoli per verificare se il software di “AFR” avesse biases di natura etnica o sessuale.
In sintesi, con la sentenza oggetto di esame, la Corte di Appello ha ritenuto che:
- L'uso da parte della SWP dI tecnologia di riconoscimento facciale automatizzato il 21 dicembre 2017 e il 27 marzo 2018 e su base continuativa nel periodo considerato non è stato conforme alla legge ai fini dell'articolo 8(2) CEDU, pertanto risultandone violato l’articolo 8 CEDU.
- Come conseguenza della dichiarazione di cui al precedente punto 1), in relazione all'uso continuativo da parte della SWP della tecnologia di riconoscimento facciale automatizzato dal vivo, la sua valutazione d'impatto sulla protezione dei dati non era conforme al Data Protection Act 2018 e in particolare al requisito del Data Protection Impact Assessment.
- La SWP non ha rispettato il Public Sector Equality Duty di cui all'articolo 149 dell'Equality Act non tenendo in considerazione i rischi di bias e discriminazioni basate sul sesso e sull’etnia di questi strumenti tecnologici.
Il testo della sentenza è disponibile al seguente link e nel box download