di Elisabetta Zimbè Zaire – Avvocato in Busto Arsizio
L’integrazione dell’Intelligenza Artificiale (Artificial Intelligence – AI) nei sistemi di videosorveglianza ha radicalmente mutato il paradigma del monitoraggio, evolvendo da mere registrazioni passive a piattaforme di analisi predittiva e di identificazione avanzata. Tale progressione tecnologica impone una revisione profonda dei limiti giuridici, attualmente disciplinata da una complessa interazione tra il Regolamento (UE) 2016/679 (GDPR) e il nuovo Regolamento (UE) 2024/1689 (AI Act). Il 2025 si configura come l’anno determinante per l’applicazione dei primi divieti e per l’entrata in vigore della normativa di adeguamento nazionale (la Legge 23 settembre 2025, n. 132), istituendo un banco di prova critico per l’effettività della tutela dei diritti fondamentali.
I dati biometrici come Core del trattamento: l’imperativo del GDPR
Per sua natura, l’immagine di una persona fisica catturata da un sistema di sorveglianza costituisce un dato personale. Laddove i sistemi di AI processano tali input per generare impronte facciali o analizzare l’andatura, si generano dati biometrici, qualificati dal GDPR come categorie particolari di dati personali (Art. 9). Il trattamento di tali dati è, in linea di principio, interdetto, ammettendosi eccezioni tassative solo in presenza di presupposti stringenti (quali il consenso esplicito o motivi di interesse pubblico rilevante).
L’impiego di telecamere c.d. “intelligenti” rende quasi sempre cogente la Valutazione d’Impatto sulla Protezione dei Dati (DPIA). Questo strumento non è un mero adempimento formale, ma l’asse portante per dimostrare la compliance al principio di Accountability: il Titolare del trattamento è tenuto a comprovare la proporzionalità del sistema rispetto alle finalità di sicurezza perseguite e l’avvenuta mitigazione dei rischi elevati (quali la discriminazione algoritmica o la sorveglianza di massa) tramite adeguate misure tecniche e organizzative (Privacy by Design).
Il divieto e la classificazione del rischio nell’AI Act
L’AI Act introduce un’architettura normativa basata sulla classificazione del rischio, statuendo divieti assoluti per le pratiche che costituiscono una minaccia chiara e inaccettabile ai diritti fondamentali. Il settore della videosorveglianza è l’ambito di applicazione primario di tali divieti.
Il limite invalicabile: l’identificazione biometrica remota in tempo reale (RBI)
L’Articolo 5 del Regolamento sancisce il divieto di impiegare sistemi di identificazione biometrica remota (RBI) in tempo reale in spazi accessibili al pubblico per finalità di contrasto (Law Enforcement).
Questa interdizione mira a prevenire la c.d. “sorveglianza di massa” indifferenziata. Le sole, limitate e tassative eccezioni (come la ricerca di vittime, la prevenzione di un imminente attacco terroristico o l’identificazione di sospetti di reati gravi) sono condizionate all’autorizzazione preventiva di un’autorità giudiziaria o amministrativa indipendente, elevando così lo standard di garanzia giurisdizionale.
Le altre pratiche proibite
Ulteriori pratiche di videosorveglianza algoritmica esplicitamente vietate includono:
- Social Scoring: L’utilizzo di sistemi che attribuiscono un punteggio sociale basato su comportamenti o caratteristiche personali.
- Categorizzazione Biometrica Sensibile: Sistemi che deducono o inferiscono caratteristiche protette dal diritto (come l’orientamento politico o l’appartenenza etnica) a partire da dati biometrici.
- Scraping non Mirato: La raccolta massiva e indiscriminata di immagini da fonti non consensuali (come Internet o filmati CCTV) al fine di espandere database di riconoscimento facciale.
Il contesto normativo del 2025: compliance e responsabilità
L’entrata in vigore del regime di divieti dell’AI Act il 2 febbraio 2025 e l’avvio della governance nazionale con la Legge n. 132/2025 impongono agli operatori una distinzione essenziale tra i sistemi consentiti e quelli proibiti, basata sul livello di rischio:
- Sistemi a Rischio Minimo/Limitato: I sistemi di rilevamento di oggetti/anomalie senza identificazione sono leciti, ma richiedono DPIA e informativa GDPR.
- Sistemi a Rischio Alto: L’Identificazione Biometrica a Posteriori (Law Enforcement) è consentita, ma subordinata a requisiti rigorosi di trasparenza, accuratezza e previsione di una significativa sorveglianza umana (human oversight).
Il primato dei diritti fondamentali
L’utilizzo di telecamere basate su AI non è intrinsecamente illecito, ma il suo impiego è condizionato a un complesso normativo che sancisce limiti chiari e insuperabili, specialmente negli spazi pubblici. La videosorveglianza algoritmica è ammissibile solo se fondata sui principi di liceità e proporzionalità (GDPR), se evita l’identificazione biometrica remota in tempo reale e le altre pratiche a rischio inaccettabile (AI Act), ed è supportata da una rigorosa DPIA e da misure di trasparenza adeguate.
La confluenza normativa tra GDPR e AI Act riafferma il principio per cui l’innovazione tecnologica deve necessariamente conformarsi al primato dei diritti fondamentali. Per la prassi legale, l’analisi di compliance deve essere incentrata sulla finalità specifica e sulla configurazione tecnica del sistema, al fine di prevenire sanzioni che, per le violazioni dei divieti AI Act, possono raggiungere il 7% del fatturato globale annuo.
