Lo scorso 1 marzo 2023, il Presidente della Liga, Javier Tebas, ha inviato una lettera al Segretario di Stato per lo Sport – come rivelato dalla “Cadena Ser” nel programma di Radio “El Larguero” – in cui chiede al Segretario di Stato per lo Sport di modificare con la massima urgenza quanto stabilito dalla legge 19/2007 dell’11 luglio contro la violenza, il razzismo, la xenofobia e l’intolleranza nello sport, al fine di abilitare la Commissione statale contro la violenza, il razzismo, la xenofobia e l’intolleranza nello sport ad imporre ai club di calcio l’installazione di sistemi biometrici per il controllo di tutti gli accessi degli spettatori negli stadi. Il criterio dell’Agencia Española de Proteccion de Datos (di seguito l’ ”AEPD” o “il Garante Privacy spagnolo”) non è contrario all’adozione di questa soluzione (si veda: informe de la AEPD, N/REF: 0098/2022).
Nella missiva viene anche riconosciuto che l’AEPD ha fatto due richieste a due club della Liga in cui sono stati installati sistemi di riconoscimento facciale dei tifosi, il che denota l’esistenza di un’indagine avviata d’ufficio dall’AEPD in relazione al trattamento dei dati personali dei tifosi attraverso questi sistemi. Inoltre, si menziona che l’AEPD ha richiesto alla Liga informazioni riguardanti le istruzioni fornite ai club per l’implementazione di sistemi di identificazione biometrica dei propri tifosi. Questo potrebbe suggerire che l’indagine potrebbe essere estesa a club non ancora menzionati e/o alla Liga stessa.
Cos’è LaLiga? è un’associazione sportiva privata, composta dai 20 club calcistici della Liga Santander, equivalente alla Serie A italiana, e della Liga SmartBank, equivalente alla Serie B italiana, responsabile dell’organizzazione delle competizioni calcistiche nazionali professionistiche in Spagna.
Indice degli argomenti
La connessione italo-spagnola: un esempio di risultati diversi
In Spagna, si sta verificando una situazione simile a quella che si è verificata in Italia alcuni anni fa. Durante la finale dell’Europeo Under 21, l’Udinese ha sperimentato un sistema di riconoscimento facciale per individuare e bloccare i tifosi che avevano il divieto di ingresso allo stadio. Inoltre, si è discusso dell’uso del riconoscimento facciale per combattere il razzismo all’interno del mondo del calcio, soprattutto a causa dei ripetuti canti e insulti razzisti pronunciati nel 2019 e 2020 dai tifosi di alcune squadre contro Mario Balotelli.
In quel momento, ad esempio, il Ministero delle Politiche Giovanili e Sportive, guidato da Vincenzo Spadafora, aveva annunciato nel febbraio 2020 che il governo italiano avrebbe sperimentato l’uso di “nuove tecnologie” per aiutare le forze dell’ordine a garantire la sicurezza negli stadi di calcio in tutto il Paese. Il Direttore Generale della Lega Serie A e il Presidente della Federazione Italiana Giuoco Calcio avevano espresso che il riconoscimento facciale potrebbe essere un’utile soluzione per risolvere problemi di sicurezza e violenza negli stadi di calcio, nonché per contrastare il razzismo sui campi da gioco.
Più recentemente, durante una partita tra Mallorca e Real Madrid (5 febbraio 2023), il giocatore Vinicius è stato oggetto di insulti razzisti. LaLiga ha quindi chiesto ai tifosi di aiutare a individuare i responsabili inviando informazioni utili tramite un indirizzo e-mail apposito.
LaLiga chiede al governo di riformare la legge 19/2007: richiesta l’attivazione dell’eccezione dell’art. 9.2 g) del GDPR
In seguito alle richieste dell’AEPD e della Federazione degli Azionisti e Soci del Calcio Spagnolo, LaLiga ha informato il Segretario di Stato per lo Sport e il Presidente del Consiglio Superiore dello Sport che stanno adottando le misure necessarie per fornire consulenza ai club di calcio. Questo potrebbe includere la necessità di utilizzare sistemi alternativi al riconoscimento biometrico, limitandone l’uso solo ai tifosi che acconsentono o addirittura cessando completamente l’uso di tali misure. Tuttavia, LaLiga ha sottolineato che ciò potrebbe avere gravi conseguenze per la sicurezza e l’integrità dei tifosi che partecipano alle partite di calcio.
Pertanto, LaLiga ha chiesto al governo di adottare misure per garantire l’installazione di sistemi di sicurezza negli stadi, compresi quelli basati sul riconoscimento biometrico. LaLiga ha ribadito l’importanza di modificare la Legge 19/2007 dell’11 luglio contro la violenza, il razzismo, la xenofobia e l’intolleranza nello sport, al fine di abilitare la Commissione Statale contro la Violenza, il Razzismo, la Xenofobia e l’Intolleranza nello Sport (CEVRXID) a imporre ai club l’installazione di sistemi biometrici per il controllo di tutti gli accessi alle tribune degli spettatori. Il testo è stato firmato dal presidente della LaLiga, Javier Tebas.
Il contesto politico, giuridico, culturale e tecnologico europeo
Prima di analizzare ciò che sta accadendo in Spagna, è importante comprendere il contesto a livello europeo.
La questione è complessa e richiede un approccio multidisciplinare, che includa gli aspetti politici, giuridici, culturali e tecnologici. Non è solo una questione di diritto, ma anche di ideologie politiche tra le forze di destra e sinistra. Inoltre, le opinioni dei cittadini europei sulla sicurezza e sulla privacy sono diverse, influenzate dal livello di fiducia nelle istituzioni pubbliche e dalla percezione della sicurezza in ogni Paese/Città. Tuttavia, la vera sfida al divieto del riconoscimento facciale arriva dai governi dell’UE rappresentati nel Consiglio dell’UE, dove alcuni Paesi, come la Francia, sono preoccupati che la tecnologia sia necessaria per garantire la sicurezza pubblica. Con la recente memoria di attacchi terroristici e l’organizzazione delle Olimpiadi l’anno prossimo, Parigi vuole disporre di tutti gli strumenti a disposizione.
Personalmente e come già detto in un’intervista rilasciata alla testata nazionale spagnola, “El Mundo,” ritengo che un divieto totale dell’uso del riconoscimento facciale non sia la soluzione adeguata. È piuttosto necessario stabilire un insieme di regole appropriate per il suo utilizzo. Probabilmente, l’approccio più probabile sarà una combinazione di regole nazionali ed europee. Le norme di base sull’utilizzo della tecnologia saranno definite a livello nazionale, mentre le questioni relative ad alcune applicazioni e impatti del riconoscimento facciale saranno gestite dalla Commissione europea. Attualmente, ci sono situazioni in cui i sistemi di riconoscimento facciale vengono implementati negli stadi senza aspettare un controllo normativo. Inoltre, non vi è ancora un consenso normativo chiaro sul loro uso a livello europeo. Pertanto, oggi, i tifosi di squadre di calcio possono essere soggetti a diverse legislazioni e criteri per bilanciare privacy e sicurezza quando accedono agli stadi di calcio, a seconda del Paese in cui si trovano.
Le ragioni della frammentazione giuridica
Esploriamo in maggior dettaglio le ragioni sottostanti a tale frammentazione giuridica, al fine di coglierne appieno le cause e le implicazioni:
a. L’asimmetria giuridica del GDPR: una sfida per l’unificazione della protezione dei dati
Il GDPR consente una certa asimmetria giuridica tra gli Stati membri per quanto riguarda il trattamento di categorie particolari di dati personali.
Gli Stati membri hanno il margine di manovra per precisare le norme in merito al trattamento di questi dati o per specificare il trattamento dei dati personali per l’esecuzione di un compito di interesse pubblico (si veda ad esempio il Considerando 10 del GDPR)
Il garante della privacy danese ha autorizzato l’uso di tecnologie di riconoscimento facciale per l’accesso allo stadio del Brøndby IF, sulla base dell’articolo 7.4 della Data Protection Act Danese. Invece la Francia ha negato, attraverso il CNIL, il suo uso al Metz a causa della mancanza di una disposizione legislativa che lo autorizzi espressamente (9.2 g GDPR).
b. La moratoria sull’utilizzo dei sistemi di riconoscimento facciale: interpretazioni e applicazioni divergenti
I dubbi tecnici offerti dalla tecnologia di riconoscimento facciale hanno portato il Parlamento Europeo, il 20 gennaio 2021, a adottare una risoluzione, 2020/2013(INI), che invita alla Commissione a valutare una moratoria sull’utilizzo dei sistemi di riconoscimento facciale.
Attualmente in Italia, la Legge 3 dicembre 2021, n. 205 Conversione in legge, con modificazioni, del decreto-legge 8 ottobre 2021, n. 139, recante disposizioni urgenti per l’accesso alle attività culturali, sportive e ricreative, nonché’ per l’organizzazione di pubbliche amministrazioni e in materia di protezione dei dati personali ha sospeso l’uso di sistemi di riconoscimento facciale che operano mediante l’uso di dati biometrici, fino all’entrata in vigore di una norma legislativa sulla materia o, al più tardi, fino al 31 dicembre 2023, per l’uso di tali sistemi in luoghi pubblici o aperti al pubblico, da parte di autorità pubbliche o entità private, a meno che il trattamento non sia effettuato per indagini della magistratura o prevenzione e repressione dei reati.
In Spagna e in altri Paesi dell’UE, al contrario, non esiste una legge simile alla 205/2021 che abbia sospeso l’uso di sistemi di riconoscimento facciale.
c. Le autorità di protezione dei dati: differenze e sfide per l’armonizzazione normativa
Le autorità di protezione dei dati europee non sono completamente allineate nell’uso di tecnologie di riconoscimento facciale negli stadi di calcio.
Ad esempio, il garante della privacy danese ha autorizzato l’uso di queste tecnologie per l’accesso allo stadio del Brøndby IF, sulla base dell’articolo 7.4 della Data Protection Act Danese.
Invece la Francia ha negato l’uso di queste tecnologie al Metz a causa della mancanza di una disposizione legislativa che lo autorizzi espressamente (9.2 g GDPR).
d. Sicurezza e privacy: un confronto delicato
Politici e Garanti Privacy non sono sempre allineati sulla questione dell’uso di sistemi di riconoscimento facciale negli stadi di calcio.
Il Ministro dello Sport francese ha annunciato lo scorso 31 gennaio 2021, che “questi esperimenti [di riconoscimento facciale] sono destinati a essere valorizzati nei grandi eventi sportivi che la Francia organizza e in altri eventi sportivi dove la Francia può esportare il suo know-how”, ma la CNIL ha dichiarato che ciò va contro le leggi sulla protezione dei dati.
Non è chiaro come la Francia bilancerà la sicurezza e la privacy durante i prossimi giochi olimpici a Parigi nel 2024.
e. Il potenziale divario tra la normativa di protezione dei dati e la regolamentazione dell’intelligenza artificiale
Va tenuto presente che la Proposta del nuovo Regolamento sull’Intelligenza Artificiale, nella versione di novembre 2022, esclude dalla definizione di identificazione biometrica remota (remote biometric identification) i sistemi di verifica/autenticazione il cui unico scopo è confermare l’identità di una persona fisica per accedere a un’installazione, distinguendoli dai sistemi di identificazione biometrica a distanza che possono essere utilizzati per il trattamento dei dati biometrici di un gran numero di persone. Mentre il Comitato europeo per la protezione dei dati (di seguito EDPB) non effettua questa distinzione nelle sue Linee guida 5/2022. Questo potrebbe causare incertezza sulla regolamentazione futura.
Inoltre, l’EDPB ha chiesto un divieto generale dell’uso di tali tecnologie in contesti pubblici se possono determinare la classificazione di individui per sesso, razza, religione o appartenenza politica.
All’interno di questo quadro generale frammentato e ancora incerto, è necessario analizzare ciò che sta accadendo in Spagna, perché potrebbe rappresentare un precedente in grado di influenzare altri stati europei se l’attività di riforma legislativa andasse avanti. Rispondiamo ora ad alcune domande chiave.
La finestra normativa dell’articolo 9.2 g del GDPR: analisi del caso spagnolo
La missiva inviata dalla Liga al Segretario di Stato per lo Sport e Presidente del Consiglio Superiore dello Sport espone la possibilità di modificare una legge per permettere il controllo biometrico negli stadi di calcio spagnoli, sulla base del fatto che l’AEPD (N/REF: 0098/2022) non si oppone a tale soluzione. Ciò è vero in linea di principio, in quanto l’AEPD ha negato l’utilizzo di sistemi biometrici alla Commissione statale contro la violenza, il razzismo, la xenofobia e l’intolleranza per controllare gli accessi agli stadi, a causa della mancanza di una norma legale (9.2.g) del GDPR) che autorizzi tale trattamento. La Legge 19/2007, infatti, non contempla il trattamento dei dati biometrici nell’articolo 13.1.
Analisi dell’articolo 9.2 g del GDPR e dell’articolo 13.1 della Legge 19/2007
L’articolo 9.2 g del GDPR stabilisce un’eccezione all’articolo 9.1 che vieta il trattamento di categorie particolari di dati personali. Ciò significa che la proibizione del trattamento di categorie di dati che includono i dati biometrici non si applica quando il trattamento è necessario per motivi di interesse pubblico rilevante, basato sul diritto dell’Unione o degli Stati membri. Tuttavia, il trattamento deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.
L’articolo 13.1 della Legge 19/2007, dell’11 luglio, stabilisce che la verifica e il monitoraggio dell’identità degli acquirenti di biglietti o il controllo della distribuzione di posti si effettua attraverso l’implementazione di sistemi di vendita di biglietti nominativi e lo sviluppo di procedure che consentano di monitorare la distribuzione di posti assegnati e conoscere l’identità dei possessori dei titoli di accesso alle strutture sportive. Tuttavia, non menziona la possibilità di trattare dati biometrici e non fornisce garanzie sufficienti per la protezione dei dati personali in caso di utilizzo di tali dati.
Per questo motivo la risoluzione N/REF: 0098/2022 dell’AEPD indica che il trattamento dei dati biometrici ai sensi dell’articolo 9.2.g) richiede che sia previsto da una norma del diritto europeo o nazionale.
Perciò, la Liga ha avviato un dialogo con il Governo per modificare la Legge 19/2007, poiché l’AEPD ha fatto riferimento alla mancanza di una norma che possa soddisfare i requisiti dell’articolo 9.2.g) del GDPR.
La limitazione del diritto alla protezione dei dati in Spagna
Il diritto alla protezione dei dati non è illimitato e, sebbene la Costituzione Spagnola non imponga limiti specifici, né rimandi ai poteri pubblici per la loro determinazione come ha fatto per altri diritti fondamentali, è indubbio che questi limiti debbano essere trovati nei restanti diritti fondamentali e nei beni giuridici costituzionalmente protetti, poiché così richiede il principio di unità della Costituzione. Ciò non significa che la limitazione possa avvenire in qualsiasi modo, come vedremo di seguito.
Articolazione della limitazione
La Costituzione spagnola (si veda l’articolo 53.1 CE) ha voluto che la legge, e solo la legge, possa stabilire i limiti a un diritto fondamentale. I diritti fondamentali possono certamente cedere davanti a beni, e persino interessi costituzionalmente rilevanti, purché la riduzione che subiscono sia necessaria per raggiungere la finalità legittima prevista, proporzionata per raggiungerla e, in ogni caso, rispettosa del contenuto essenziale del diritto fondamentale limitato.
Trattamento dei dati biometrici negli stadi di calcio: è necessaria una riforma legislativa complessa?
La semplice riforma legislativa non è sufficiente per consentire l’uso del riconoscimento facciale negli stadi di calcio in Spagna e in altri Paesi dell’UE. L’articolo 9.2.g) del GDPR richiede che i motivi di interesse pubblico siano proporzionati all’obiettivo perseguito. La proporzionalità per tanto è collegata anche allo strumento tecnologico.
Inoltre, ci troviamo di fronte a un problema di tecnica legislativa. La Corte costituzionale spagnola, sentenza n. 76/2019 del 22 maggio, ricorda che “oltre a soddisfare i requisiti sopra menzionati, (la legge) deve anche stabilire garanzie adeguate di tipo tecnico, organizzativo e procedurale, che prevedano i rischi di diversa probabilità e gravità e li mitigano, in quanto solo così si può garantire il rispetto del contenuto essenziale del diritto fondamentale stesso.
Uso della tecnologia di riconoscimento facciale negli stadi: il consenso può essere una base giuridica valida in assenza di una legge specifica?
In linea di principio, sì, ma non è facile implementarlo. Secondo l’articolo 9.1 a) del GDPR, il trattamento dei dati biometrici può essere possibile se l’interessato fornisce il suo consenso esplicito per tale trattamento con uno o più scopi specifici, sempre che il diritto dell’Unione o degli Stati membri non stabilisca che il divieto menzionato nel paragrafo 1 non possa essere revocato dall’interessato.
Per tanto, il primo compito è verificare se la legislazione nazionale vieta la base giuridica del consenso nel caso di trattamento di dati sensibili o, più specificamente, di dati biometrici. Nella legislazione spagnola, la Legge Organica 3/2018, del 5 dicembre, sulla Protezione dei Dati Personali, non fa riferimento a tale divieto; tuttavia, esiste per altre categorie speciali di dati, quando lo scopo principale del trattamento (si veda l’articolo 9.1) sia: “identificare l’ideologia, l’affiliazione sindacale, la religione, l’orientamento sessuale, le credenze o l’origine razziale o etnica dell’interessato”. In altre parole, se la tecnologia di riconoscimento facciale fosse utilizzata negli stadi con questi scopi (ad esempio per suddividere i tifosi in base alla loro religione, orientamento sessuale o idee politiche) la base giuridica del consenso sarebbe invalida. Tuttavia, se non fosse così, la stessa Legge Organica 3/2018 stabilisce che “quanto sopra non impedirà il trattamento di tali dati ai sensi degli altri casi contemplati dall’articolo 9.2 del Regolamento (UE) 2016/679, quando necessario”.
La difficoltà nell’utilizzare il consenso come base giuridica nell’uso di un sistema di riconoscimento facciale in uno stadio di calcio è che il consenso deve essere espresso attraverso un chiaro atto affermativo che rifletta una manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato ad accettare il trattamento dei dati personali. Ad esempio, la CNIL ha stabilito che, se la base di legittimazione è il consenso esplicito, deve essere fornito liberamente ed è necessario che sia offerta un’alternativa altrettanto efficace.
Pertanto, l’uso della base giuridica del consenso dovrebbe consentire all’interessato di non fornire il proprio consenso per il trattamento dei dati biometrici, senza che ciò possa comportare una penalizzazione o impedire l’acquisto del biglietto o l’accesso allo stadio.
In effetti, lo stadio dell’Ajax di Amsterdam consente l’uso di sistemi biometrici per l’accesso allo stadio. Nella politica sulla privacy, si specifica all’interessato che potrà accedere allo stadio tramite riconoscimento facciale (“Ad esempio, l’Arena può fornirti l’accesso allo stadio tramite riconoscimento facciale”) e la politica sulla privacy prosegue affermando: “Questo avverrà solo se lo autorizzi esplicitamente”.
Come l’ibridazione dei diritti fondamentali potrebbe aiutare la Spagna ad affrontare le sue sfide
La frizione tra due diritti fondamentali: uno di natura collettiva e uno individuale ci conduce ad una sfida giuridica, politica, culturale e tecnologica.
L’equilibrio tra sicurezza e privacy non è solo una questione legale, ma dipende anche dalla sensibilità politica e cittadina riguardo a questi diritti fondamentali in ogni Paese europeo.
Molti studiosi hanno già sottolineato l’importanza di trovare un equilibrio tra sicurezza e privacy (per esempio: Daniel Solove o Eric Posner). La tecnologia, in particolare l’intelligenza artificiale e la biotecnologia, può mettere a rischio i diritti fondamentali se non sono regolamentate in modo adeguato (Harari).
Inoltre, dobbiamo sottolineare l’importanza di certi diritti fondamentali che possiamo identificare come “Super” Diritti Fondamentali” perché sono essenziali per la tutela di altri diritti. Ad esempio, il diritto alla privacy è un diritto fondamentale “super” in quanto è fondamentale per la tutela di altri diritti come la libertà di espressione e la libertà di associazione.
La sfida primaria che l’Europa deve affrontare è trovare un equilibrio tra i diritti fondamentali della sicurezza e della privacy, i quali spesso entrano in conflitto. Tuttavia, la visione binaria di uno scambio tra privacy e sicurezza deve essere superata. Per superare tale sfida, è necessario creare una nuova concezione dei “Super Fundamental Rights“. Quando due Diritti Fondamentali si ibridano e collaborano, si crea un nuovo risultato, che io chiamo “Smart Fundamental Rights“. Tale risultato è il prodotto di un’interazione complessa tra Diritti, che supera i limiti tra di essi, creando una sorta di connessione sinergica, capace di raggiungere obiettivi più elevati e complessi.
In altre parole, quando i diritti fondamentali collaborano in modo intelligente e sinergico, generano un effetto di “rottura dei silos”. Questo effetto connette diversi ambiti, superando i tradizionali confini dei diritti fondamentali, integrando diverse dimensioni e sfere del diritto costituzionale, che richiedono di integrarsi nell’intersezione tra diritto e tecnologia.
In sintesi, la tutela dei diritti fondamentali e della privacy è un principio fondamentale della cultura europea, ma è necessario bilanciarli con altri interessi legittimi, come la sicurezza e il benessere generale della società, attraverso una adeguata tecnica giuridica, valutando le conseguenze delle decisioni sui diritti fondamentali e sugli altri interessi in gioco e regolando adeguatamente le tecnologie emergenti per garantire un gioco di squadra tra i diritti fondamentali individuali e collettivi.
Conclusioni
È ancora incerto se la Spagna introdurrà una nuova legislazione o se alcune squadre di calcio saranno sanzionate. Tuttavia, il caso spagnolo rappresenta un’opportunità di riflessione per tutti gli stakeholder coinvolti, non solo per LaLiga e il governo, al fine di approfondire possibili soluzioni che possano aiutare a risolvere il conflitto tra sicurezza e privacy.
In effetti, la questione sollevata dalla situazione spagnola richiede un’analisi più profonda di come conciliare tali diritti fondamentali, i quali possono a volte sembrare in contrasto tra loro. È necessario considerare la questione nella sua complessità, valutando sia l’aspetto giuridico che quello etico. Si tratta di una problematica che coinvolge diverse dimensioni, tra cui la tecnologia, la società e la politica.
In questo senso, il caso spagnolo dovrebbe essere visto come un’opportunità per tutti i soggetti interessati di esaminare attentamente possibili soluzioni che siano rispettose dei diritti fondamentali delle persone, senza compromettere la sicurezza. Questo richiede un approccio equilibrato e consapevole delle diverse sfaccettature della questione, al fine di trovare soluzioni durature ed efficaci.
@RIPRODUZIONE RISERVATA
