Intelligenza Artificiale e Trattamento dei Dati Biometrici: i Principi Stabiliti dalla Corte di Cassazione
Intelligenza Artificiale e Trattamento dei Dati Biometrici: i Principi Stabiliti dalla Corte di Cassazione
A cura di Alessandra Pepe
Con sentenza n. 12967 del 13 maggio 2024 la Corte di Cassazione si è espressa sui limiti e i principi che regolano l’utilizzo dei sistemi di intelligenza artificiale che implicano il trattamento di dati biometrici, soprattutto in contesti come l’istruzione e la sorveglianza degli esami a distanza.
Nel caso esaminato, un’università italiana aveva deciso , a seguito dell’emergenza pandemica, di dotarsi di un software per monitorare lo svolgimento di esami a distanza. Tale sistema catturava immagini video e schermate degli studenti, segnalando eventuali comportamenti sospetti attraverso registrazioni video e fotografie scattate a intervalli casuali. La finalità del software era dunque quella di individuare comportamenti anomali, utilizzando un processo automatizzato di acquisizione senza un intervento umano immediato.
Il giudice di primo grado aveva ritenuto che i dati e le foto raccolte dall’università non potessero configurare un trattamento di dati biometrici posto che: “lo studente esaminato dal software non sarebbe identificato attraverso i suoi dati biometrici raccolti e trattati dal sistema Respondus, ma dal docente chiamato a vagliare il video finale”. Secondo tale interpretazione, il semplice utilizzo di fotografie e riprese video non avrebbe comportato un trattamento di “dati biometrici” in senso stretto, in assenza di una elaborazione specifica atta a identificare univocamente gli studenti.
La Corte di Cassazione ha ribaltato questa interpretazione affermando che le riprese video e foto realizzate dal software non avessero solo la funzione di documentare la prova di esame, ma si connotassero anche per la contestuale elaborazione e selezione del materiale raccolto. Secondo la Cassazione: “ Il Tribunale ha mancato di considerare che questa complessiva attività integra un autonomo e articolato trattamento dei dati biometrici acquisiti ed elaborati dallo stesso software, e attiene anche alla conferma dell’identità della persona fisica esaminata, come previsto dall’art.4, n.14 del Regolamento, giacché l’esito di detta elaborazione risulta sottoposto solo ex post al docente per la sua valutazione in ordine alla regolarità della prova”.
A fronte di tali considerazione la Cassazione ha pronunciato il seguente principio di diritto base al quale:
“ai sensi dell’art.9 del Reg (UE) 2016/679, ricorre un trattamento di dati biometrici, come definiti dall’art. 4, n.14 del Regolamento 2016/679, quando i dati personali sono ottenuti mediante un trattamento tecnico automatizzato specifico, realizzato con un software che, sulla base di riprese e analisi delle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica, le elabora, evidenziando comportamenti o elementi anomali, e che perviene a un esito conclusivo, costituito da una elaborato video/foto che consente (o che conferma) l’identificazione univoca della persona fisica, restando irrilevante la circostanza che l’esito finale del trattamento sia successivamente sottoposto alla verifica finale di una persona fisica”.
Pertanto secondo la Corte, la complessiva attività realizzata dal software , pur avendo ad oggetto foto e riprese video, integra comunque un autonomo trattamento di dati biometrici acquisiti ed elaborati dallo stesso software volto a confermare l’identità della persona fisica esaminata.
La Corte ha inoltre ribadito che l’utilizzo di tecnologie biometriche deve avvenire nel rispetto dei principi sanciti dal GDPR, tra cui quelli di liceità, necessità, proporzionalità e minimizzazione dei dati. Richiamando le Linee Guida dell’European Data Protection Board (EDPB) n. 3/2019, i titolari del trattamento sono chiamati a valutare attentamente l’impatto di tali tecnologie sui diritti e sulle libertà fondamentali, prediligendo soluzioni meno invasive quando possibile. L’uso di sistemi automatizzati per il monitoraggio degli esami deve essere supportato da adeguate misure di sicurezza e da un’analisi preliminare dell’impatto sui dati personali.
