Con la sentenza del 4 settembre 2019, la High Court of Justice Queen’s Bench Division (Administrative Court) ha ritenuto legittimo l’impiego da parte della South Wales Police (SWP) force di sistemi di riconoscimento facciale automatizzati (automated facial recognition, “AFR”) al fine di prevenzione del crimine.
UK – High Court (Administrative Court) – Ed Bridges (R) v. The Chief Constable of South Wales Police and others: sull’impiego legittimo di strumenti di riconoscimento facciale da parte delle forze di polizia ai fini di sicurezza
4 settembre 2019
I fatti
Nell’ottobre 2018, un cittadino di Cardiff, Edward Bridges, intentava una causa contro la South Wales Police Force per l’illegittimo impiego di strumenti di riconoscimento facciale ai fini di controllo e prevenzione del crimine nel cosiddetto progetto pilota “AFR Locate”.
“AFR Locate” prevede che la SWP monti telecamere CCTV (a circuito chiuso) su veicoli della polizia, pali o supporti sparsi per la città, in modo da catturare immagini del viso di chiunque passi entro la portata della telecamera. Le immagini digitali dei volti dei membri del pubblico vengono acquisite dai flussi CCTV e processate in tempo reale per estrarre informazioni biometriche facciali. Queste informazioni vengono quindi confrontate con le informazioni biometriche facciali delle persone presenti in una lista di controllo (“watchlist”) preparata per quella specifica operazione. La lista di controllo viene creata utilizzando immagini conservate nei database gestiti da SWP come parte delle sue normali attività di polizia, principalmente da un database di fotografie di detenuti conservate nel sistema di gestione dei record di SWP.
Le “watchlist” utilizzate nelle operazioni oggetto di questa causa includevano (1) persone ricercate per mandati di arresto, (2) individui che sono illegalmente in libertà (dopo essere sfuggiti dalla custodia legale), (3) persone sospettate di aver commesso reati, (4) persone che potrebbero avere bisogno di protezione (ad esempio persone scomparse), (5) individui la cui presenza in un determinato evento suscita particolare preoccupazione, (6) persone di possibile interesse per SWP a scopi di intelligence e (7) persone vulnerabili.
È noto che la SWP abbia utilizzato “AFR Locate” in almeno 50 occasioni, in particolare durante eventi pubblici, tra il 2017 e il 2019.
Nel caso in oggetto, Bridges lamentava di essere stato soggetto di controllo biometrico tramite “AFR Locate” in almeno due occasioni: la prima volta, il 21 dicembre 2017, mentre stava visitando un'affollata area commerciale di Cardiff; una seconda volta il 28 Marzo 2018, mentre prendeva parte alla Defence Procurement, Research, Technology, and Exportability Exhibition.
La decisione della Divisional Court
Secondo il Petitioner l’impiego di tecnologie di riconoscimento facciale da parte della forza di polizia avrebbe violato i) l’articolo 8 della Convenzione Europea dei Diritti dell’Uomo che tutela il diritto alla vita privata, ii) il Data Protection Act del 2018 nella parte in cui prescrive la valutazione dell’impatto della raccolta dei dati sulla protezione della privacy, nonché iii) il Public Sector Equality Duty della sezione 149 dell’Equality Act del 2010 che obbliga l’autorità pubblica, nell’esercizio delle proprie funzione, ad «eliminare le discriminazioni» e «promuovere l’uguaglianza» e le «buone relazioni».
Ad avviso della Corte, l’impiego dello strumento di riconoscimento facciale automatizzato sarebbe legittimo. In particolare, la SWP non avrebbe violato l’articolo 8 della CEDU in quanto il programma “AFR Locate” troverebbe base giuridica nell’interesse coinvolto, ossia la necessità di garantire la sicurezza e la prevenzione del crimine, e sarebbe pertanto adoperato nel pieno rispetto del principio di proporzionalità e del secondo comma del suddetto articolo. Infatti, la Corte riconosce come la misura in oggetto rappresenti sì un’ingerenza nell’esercizio del diritto alla vita privata, ma risulti prevista dalla legge al fine di tutelare la sicurezza e l’ordine pubblico e assicurare la prevenzione dei reati.
Inoltre, secondo la Divisional Court non vi sarebbe stata alcuna violazione delle regole relative alla protezione dei dati personali come disciplinate dal Data Protection Act (“DPA”) del 2018. In particolare, la Corte ha ritenuto adempiuta la condizione del DPA, prevista in ottemperanza di quanto dettato dall’articolo 35 del GDPR, secondo la quale «where a type of processing is likely to result in a high risk to the rights and freedoms of individuals […] “the controller shall carry out a data protection impact assessment».
Infine, la Corte di primo grado ha ritenuto che il Public Sector Equality Duty previsto dalla Section 148 dell’Equality Act non sia stato violato perché nell'aprile 2017, quando è iniziato il processo AFR Locate, non sussisteva ancora alcun sospetto che il software potesse funzionare in modo indirettamente discriminatorio sulla base dell’etnia e del sesso delle persone i cui dati biometrici vengano raccolti dal software.
Il testo della sentenza è disponibile al seguente link e nel box download