“La nozione di «dati biometrici» utilizzata nel presente regolamento dovrebbe essere interpretata alla luce della nozione di dati biometrici di cui all’articolo 4, punto 14, del regolamento (UE) 2016/679, all’articolo 3, punto 18, del regolamento (UE) 2018/172 e all’articolo 3, punto 13, della direttiva (UE) 2016/680. I dati biometrici possono consentire l’autenticazione, l’identificazione o la categorizzazione delle persone fisiche e il riconoscimento delle emozioni delle persone fisiche”, scrive l’EU nel suo regolamento sull’intelligenza artificiale.
“La nozione di «identificazione biometrica» di cui al presente regolamento dovrebbe essere definita come il riconoscimentoautomatico di caratteristiche fisiche, fisiologiche e comportamentali di una persona, quali il volto, il movimento degli occhi, la forma del corpo, la voce, la prosodia, l’andatura, la postura, la frequenza cardiaca, la pressione sanguigna, l’odore, la pressione esercitata sui tasti, allo scopo di determinare l’identità di una persona confrontando i suoi dati biometrici con quelli di altri individui memorizzati in una banca dati di riferimento, indipendentemente dal fatto che la persona abbia fornito il proprio consenso. Sono esclusi i sistemi di IA destinati a essere utilizzati per la verifica biometrica, che include l’autenticazione, la cui unica finalità èconfermare che una determinata persona fisica è la persona che dice di essere e confermare l’identità di una persona fisica al soloscopo di accedere a un servizio, sbloccare un dispositivo o disporre dell’accesso di sicurezza a locali.
La nozione di «categorizzazione biometrica» di cui al presente regolamento dovrebbe essere definita come l’assegnazione dipersone fisiche a categorie specifiche sulla base dei loro dati Tali categorie specifiche possono riguardare aspetti quali il sesso, l’età, il colore dei capelli, il colore degli occhi, i tatuaggi, i tratti comportamentali o di personalità, la lingua, la religione, l’appartenenza a una minoranza nazionale, l’orientamento sessuale o politico. Ciò non comprende i sistemi di categorizzazione biometrica che sono una caratteristica puramente accessoria intrinsecamente legata a un altro servizio commerciale, il che significa che l’elemento non può, per ragioni tecniche oggettive, essere utilizzato senza il servizio principale e che l’integrazione di talecaratteristica o funzionalità non rappresenta un mezzo per eludere l’applicabilità delle norme del presente regolamento. Ad esempio, i filtri che classificano le caratteristiche facciali o del corpo utilizzate sui mercati online potrebbero costituire una talecaratteristica accessoria, in quanto possono essere utilizzati solo in relazione al servizio principale che consiste nel vendere un prodotto consentendo al consumatore di visualizzare in anteprima il prodotto su se stesso e aiutarlo a prendere una decisione diacquisto. Anche i filtri utilizzati nei servizi di social network online che classificano le caratteristiche facciali o del corpo perconsentire agli utenti di aggiungere o modificare immagini o video potrebbero essere considerati una caratteristica accessoria, in quanto tale filtro non può essere utilizzato senza il servizio principale dei servizi di social network consistente nella condivisione di contenuti online.
È opportuno definire a livello funzionale la nozione di «sistema di identificazione biometrica remota» di cui al presente regolamento, quale sistema di IA destinato all’identificazione, tipicamente a distanza, di persone fisiche senza il loro coinvolgimento attivo mediante il confronto dei dati biometrici di una persona con i dati biometrici contenuti in una banca dati di riferimento, a prescindere dalla tecnologia, dai processi o dai tipi specifici di dati biometrici Tali sistemi di identificazionebiometrica remota sono generalmente utilizzati per percepire più persone o il loro comportamento simultaneamente al fine di facilitare in modo significativo l’identificazione di persone fisiche senza il loro coinvolgimento attivo. Sono esclusi i sistemi di IA destinati a essere utilizzati per la verifica biometrica, che include l’autenticazione, la cui unica finalità è confermare che unadeterminata persona fisica è la persona che dice di essere e confermare l’identità di una persona fisica al solo scopo di accedere a unservizio, sbloccare un dispositivo o disporre dell’accesso di sicurezza a locali. Tale esclusione è giustificata dal fatto che detti sistemi hanno probabilmente un impatto minore sui diritti fondamentali delle persone fisiche rispetto ai sistemi di identificazionebiometrica remota, che possono essere utilizzati per il trattamento dei dati biometrici di un numero elevato di persone senza il lorocoinvolgimento attivo. Nel caso dei sistemi «in tempo reale», il rilevamento dei dati biometrici, il confronto e l’identificazione avvengono tutti istantaneamente, quasi istantaneamente o in ogni caso senza ritardi significativi. A tale riguardo è opportunoimpedire l’elusione delle regole del presente regolamento per quanto attiene all’uso «in tempo reale» dei sistemi di IA interessati prevedendo ritardi minimi. I sistemi «in tempo reale» comportano l’uso di materiale «dal vivo» o «quasi dal vivo» (ad esempiofilmati) generato da una telecamera o da un altro dispositivo con funzionalità analoghe. Nel caso dei sistemi di identificazione aposteriori, invece, i dati biometrici sono già stati rilevati e il confronto e l’identificazione avvengono solo con un ritardo significativo. Si tratta di materiale, come immagini o filmati generati da telecamere a circuito chiuso o da dispositivi privati, che è stato generato prima che il sistema fosse usato in relazione alle persone fisiche interessate.
La nozione di «sistema di riconoscimento delle emozioni» di cui al presente regolamento dovrebbe essere definita come unsistema di IA finalizzato a identificare o inferire emozioni o intenzioni di persone fisiche, sulla base dei loro dati biometrici. La nozione si riferisce a emozioni o intenzioni quali felicità, tristezza, rabbia, sorpresa, disgusto, imbarazzo, eccitazione, vergogna,disprezzo, soddisfazione e Non comprende stati fisici, quali dolore o affaticamento, compresi, ad esempio, ai sistemi utilizzati per rilevare lo stato di affaticamento dei piloti o dei conducenti professionisti al fine di prevenire gli incidenti. Non comprende neppure la semplice individuazione di espressioni, gesti o movimenti immediatamente evidenti, a meno che non sianoutilizzati per identificare o inferire emozioni. Tali espressioni possono essere espressioni facciali di base quali un aggrottamentodelle sopracciglia o un sorriso, gesti quali il movimento di mani, braccia o testa, o caratteristiche della voce di una persona, adesempio una voce alta o un sussurro.
Ai fini del presente regolamento la nozione di «spazio accessibile al pubblico» dovrebbe essere intesa come riferita a qualsiasiluogo fisico accessibile a un numero indeterminato di persone fisiche e a prescindere dal fatto che il luogo in questione sia di proprietà pubblica o privata, indipendentemente dall’attività per la quale il luogo può essere utilizzato, quali il commercio (adesempio negozi, ristoranti, bar), i servizi (ad esempio banche, attività professionali, ospitalità), lo sport (ad esempio piscine, palestre, stadi), i trasporti (ad esempio stazioni di autobus, metropolitane e ferroviarie, aeroporti, mezzi di trasporto), l’intrattenimento (adesempio cinema, teatri, musei, sale da concerto e sale conferenze), il tempo libero o altro (ad esempio strade e piazze pubbliche,parchi, foreste, parchi giochi). Un luogo dovrebbe essere classificato come accessibile al pubblico anche se, indipendentemente dapotenziali restrizioni di capacità o di sicurezza, l’accesso è soggetto a determinate condizioni predeterminate, che possono essere soddisfatte da un numero indeterminato di persone, quali l’acquisto di un biglietto o titolo di trasporto, la registrazione previa o il raggiungimento di una determinata età. Per contro, un luogo non dovrebbe essere considerato accessibile al pubblico se l’accesso èlimitato a persone fisiche specifiche e definite attraverso il diritto dell’Unione o nazionale direttamente connesso alla pubblica sicurezza o attraverso la chiara manifestazione di volontà da parte della persona che ha l’autorità pertinente sul La solapossibilità concreta di accesso (ad esempio una porta sbloccata, un cancello aperto in una recinzione) non implica che il luogo sia accessibile al pubblico in presenza di indicazioni o circostanze che suggeriscono il contrario (ad esempio segnaletica che vieta o limita l’accesso). I locali delleimprese e delle fabbriche, come pure gli uffici e i luoghi di lavoro destinati ad essere accessibili solo dai pertinenti dipendenti e prestatori di servizi, sono luoghi non accessibili al pubblico. Gli spazi accessibili al pubblico non dovrebbero includere le carceri o i controlli di frontiera. Alcune altre zone possono comprendere sia aree non accessibili al pubblico che aree accessibili al pubblico, come l’atrio di un edificio residenziale privato da cui è possibile accedere a uno studio medico o un aeroporto. Non sono del paricontemplati gli spazi online, dato che non sono luoghi fisici. L’accessibilità di un determinato spazio al pubblico dovrebbe tuttavia essere determinata caso per caso, tenendo conto delle specificità della singola situazione presa in esame.
L’uso di sistemi di IA di identificazione biometrica remota «in tempo reale» delle persone fisiche in spazi accessibili al pubblico afini di attività di contrasto è particolarmente invasivo dei diritti e delle libertà delle persone interessate, nella misura in cui potrebbe avere ripercussioni sulla vita privata di un’ampia fetta della popolazione, farla sentire costantemente sotto sorveglianza e scoraggiare in maniera indiretta l’esercizio della libertà di riunione e di altri diritti fondamentali. Le inesattezze di carattere tecnico dei sistemi diIA destinati all’identificazione biometrica remota delle persone fisiche possono determinare risultati distorti e comportare effetti discriminatori. Tali possibili risultati distorti ed effetti discriminatori sono particolarmente importanti per quanto riguarda l’età, l’etnia, la razza, il sesso o le disabilità. L’immediatezza dell’impatto e le limitate opportunità di eseguire ulteriori controlli o apportare correzioni in relazione all’uso di tali sistemi che operano «in tempo reale» comportano inoltre un aumento dei rischi perquanto concerne i diritti e le libertà delle persone interessate nell’ambito delle attività di contrasto, o che sono da queste condizionate.
L’uso di tali sistemi a fini di attività di contrasto dovrebbe pertanto essere vietato, eccezion fatta per le situazioni elencate in modo esaustivo e definite rigorosamente, nelle quali l’uso è strettamente necessario per perseguire un interesse pubblico rilevante, la cui importanza prevale sui rischi. Tali situazioni comprendono la ricerca di determinate vittime di reato, comprese le persone scomparse, determinate minacce per la vita o l’incolumità fisica delle persone fisiche o un attacco terroristico nonché lalocalizzazione o l’identificazione degli autori o dei sospettati di reati elencati nell’allegato del presente regolamento qualora tali reati siano punibili nello Stato membro interessato con una pena o una misura di sicurezza privativa della libertà personale della durata massima di almeno quattro anni e sono definiti conformemente al diritto di tale Stato membro. Tale soglia per la pena o la misura di sicurezza privativa della libertà personale in conformità del diritto nazionale contribuisce a garantire che il reato sia sufficientemente grave da giustificare potenzialmente l’uso di sistemi di identificazione biometrica remota «in tempo reale». Inoltre, l’elenco dei reati di cui all’allegato del presente regolamento è basato sui 32 reati elencati nella decisione quadro 2002/584/GAI del Consiglio (18), tenendo conto che alcuni reati risultano più pertinenti di altri, poiché il grado di necessità e proporzionalità del ricorso all’identificazione biometrica remota «in tempo reale» potrebbe essere prevedibilmente molto variabile per quanto concerne il perseguimento pratico della localizzazione o dell’identificazione nei confronti di un autore o un sospettato dei vari reati elencati e con riguardo alle possibili differenze in terminidi gravità, probabilità e portata del danno o delle eventuali conseguenze negative. Una minaccia imminente per la vita o l’incolumità fisica delle persone fisiche potrebbe anche derivare da un grave danneggiamento dell’infrastruttura critica quale definita all’articolo 2, punto 4, della direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio (19), ove il danneggiamento o la distruzione di tale infrastruttura critica possa comportare una minaccia imminente per la vita o l’integrità fisica di una persona, anche in ragione di ungrave danno alla fornitura di forniture di base alla popolazione o all’esercizio della funzione essenziale dello Stato. Il presente regolamento dovrebbe altresì preservare la capacità delle autorità competenti in materia di contrasto, di controllo delle frontiere, diimmigrazione o di asilo di svolgere controlli d’identità in presenza della persona interessata, conformemente alle condizioni stabilite per tali controlli dal diritto dell’Unione e nazionale. In particolare, le autorità competenti in materia di contrasto, di controllo dellefrontiere, di immigrazione o di asilo dovrebbero poter utilizzare i sistemi di informazione, conformemente al diritto dell’Unione o nazionale, per identificare le persone che, durante un controllo d’identità, rifiutano di essere identificate o non sono in grado di dichiarare o dimostrare la loro identità, senza essere tenute, a norma del presente regolamento, a ottenere un’autorizzazione preventiva. Potrebbe trattarsi, ad esempio, di una persona coinvolta in un reato che, a causa di un incidente o di un problema disalute, non vuole rivelare la propria identità alle autorità di contrasto o non è in grado di farlo.
Al fine di garantire che tali sistemi siano utilizzati in modo responsabile e proporzionato, è altresì importante stabilire che, in ciascuna delle situazioni elencate in modo esaustivo e definite rigorosamente, è opportuno tener conto di taluni elementi, in particolare per quanto riguarda la natura della situazione all’origine della richiesta e le conseguenze dell’uso per i diritti e le libertà di tutte le persone interessate, nonché le tutele e le condizioni previste per l’uso. L’uso di sistemi di identificazione biometrica remota «in tempo reale» in spazi accessibili al pubblico a fini di attività di contrasto dovrebbe inoltre essere impiegato solo per confermare l’identità della persona specificamente interessata e dovrebbe essere limitato a quanto strettamente necessario perquanto riguarda il periodo di tempo e l’ambito geografico e personale, con particolare riguardo a indicazioni o elementi probatori relativi a minacce, vittime o autori di L’uso del sistema di identificazione biometrica remota «in tempo reale» in spazi accessibili al pubblico dovrebbe essere autorizzato solo se l’autorità di contrasto pertinente ha completato una valutazione d’impatto sui diritti fondamentali e, salvo disposizione contraria del presente regolamento, ha registrato il sistema nella banca dati di cui al presente regolamento. La banca dati di riferimento delle persone dovrebbe risultare adeguata per ogni caso d’uso in ciascuna delle situazioni di cui sopra.
È opportuno subordinare ogni uso di un sistema di identificazione biometrica remota «in tempo reale» in spazi accessibili al pubblico a fini di attività di contrasto a un’autorizzazione esplicita e specifica da parte di un’autorità giudiziaria o di un’autorità amministrativa indipendente di uno Stato membro la cui decisione sia vincolante. Tale autorizzazione dovrebbe, in linea diprincipio, essere ottenuta prima dell’uso del sistema di IA al fine di identificare una o più persone. Eccezioni a tale regola dovrebbero essere ammesse in situazioni di urgenza debitamente giustificate, vale a dire le situazioni in cui la necessità di utilizzare i sistemi interessati è tale da far sì che sia effettivamente e oggettivamente impossibile ottenere un’autorizzazione prima di iniziare a utilizzare il sistema di IA. In tali situazioni di urgenza, è opportuno limitare l’uso del sistema di IA al minimo indispensabile e subordinarlo a tutele e condizioni adeguate, come stabilito dal diritto nazionale e specificato nel contesto di ogni singolo caso d’uso urgente dall’autorità di contrasto stessa. In tali situazioni, inoltre, l’autorità di contrasto dovrebbe richiedere tale autorizzazione, indicando contestualmente i motivi per cui non ha potuto richiederla prima, senza indebito ritardo e al più tardientro 24 Se tale autorizzazione è respinta, l’uso dei sistemi di identificazione biometrica «in tempo reale» collegati a tale autorizzazione dovrebbe essere interrotto con effetto immediato e tutti i dati relativi a tale uso dovrebbero essere eliminati ecancellati. Tali dati comprendono i dati di input acquisiti direttamente da un sistema di IA nel corso dell’uso di tale sistema, nonché i risultati e gli output dell’uso connessi a tale autorizzazione. Non dovrebbero includere gli input acquisiti legalmente in conformità di altre disposizioni del diritto dell’Unione o nazionale. In ogni caso, nessuna decisione che produca effetti giuridici negativi su una persona dovrebbe essere presa unicamente sulla base dell’output del sistema di identificazione biometrica remota”.
Qui trovate il regolamento europeo sull’intelligenza artificiale
Le opinioni espresse in questo articolo sono dell’autore.
Leggi le ultime news su: https://w3b.today
Può interessarti anche: Nuovo regolamento sull’identità digitale: eroderà gradualmente il nostro diritto di utilizzare i servizi digitali in modo anonimo, Dr. Patrick Breyer
Seguici su Telegram https://t.me/presskit
Seguici su Facebook https://www.facebook.com/presskit.it
Seguici su X: https://x.com/Presskit_
Copiate l’articolo, se volete, vi chiediamo solo di mettere un link al pezzo originale