Non serve più parlare. Non serve nemmeno identificarsi. Basta camminare, entrare in un edificio, guardare una vetrina, rallentare davanti a un tornello. Oggi è l’algoritmo a riconoscerti. Non chiede nome, codice fiscale o e-mail. Lo fa da solo. Perché può.

Algoritmo, dati biometrici e marketing 

Il riconoscimento facciale, biometrico e comportamentale non è più una tecnologia sperimentale. È già realtà operativa in molti luoghi pubblici e semi-pubblici: aeroporti, stazioni, musei, eventi, centri direzionali. E da qualche tempo anche in luoghi commerciali. Centri commerciali, boutique, negozi “esperienziali”, showroom dotati di telecamere intelligenti in grado di associare volti a comportamenti, emozioni, tempi di sosta e potere d’acquisto.Non è fantascienza. È marketing predittivo in tempo reale.

Potrebbe interessarti > Utilizzo delle impronte digitali per la rilevazione delle presenze: sanzione del Garante per una scuola

Il GDPR è molto chiaro: il trattamento di dati biometrici è vietato, salvo precise eccezioni. L’articolo 9 lo consente solo in presenza di condizioni tassative: consenso esplicito, obbligo legale, motivi di interesse pubblico rilevante. E tra questi motivi non rientra il desiderio di sapere se un cliente guarda con interesse una vetrina o se è già passato lì il giorno prima. Il problema, però, non è solo giuridico. È concettuale.

Perché il riconoscimento biometrico, quando avviene senza intervento umano, scavalca la volontà. Se io entro in un negozio e vengo registrato, profilato, incrociato con un CRM o con dati di navigazione precedente, ma senza che nessuno me lo abbia spiegato prima, allora non siamo più nella sfera del marketing. Siamo in quella della sorveglianza. Il consenso, per il GDPR, deve essere libero, specifico, informato.

Potrebbe interessarti > Il principio di minimizzazione nel GDPR

Ma può essere davvero libero se avviene in un luogo fisico e senza alternativa reale? Può essere informato, se l'informativa è scritta in caratteri invisibili su una targa all'ingresso, mentre una telecamera già ha scansionato il volto?

In questi casi, la base giuridica usata non è quasi mai il consenso. È l’“interesse legittimo del titolare”. Una formula che dovrebbe essere l’eccezione e non la regola. Perché tra il diritto alla riservatezza e l’interesse a vendere meglio un paio di scarpe, la bilancia dovrebbe ancora pendere dalla parte del primo.

Il pericolo è culturale, prima che normativo. Perché, se le tecnologie biometriche entrano dalla porta del commercio, sarà difficile tenerle fuori da contesti ancora più delicati. La logica sarà la stessa: se funziona per vendere, perché non per assumere? Per selezionare ingressi? Per accedere ai servizi sanitari?

Nessuno nega che in determinati contesti il riconoscimento facciale possa avere un ruolo fondamentale. La prevenzione del terrorismo, la sicurezza di uno scalo internazionale, l’identificazione di soggetti ricercati: sono ipotesi regolabili, verificabili, motivate. E sotto controllo pubblico. Ma il problema non è l’FBI. Il problema è il centro commerciale.

Conclusioni

Perché laddove la tecnologia viene usata senza controllo, senza trasparenza e senza necessità reale, si passa dal trattamento dei dati alla colonizzazione dell’identità. La tua faccia non è più solo tua. È uno strumento di marketing. E prima che tu decida di entrare in un negozio, loro sanno già se sei un cliente utile.

Il GDPR impone valutazioni d’impatto, ma troppe aziende le ignorano. Impone informazione trasparente, ma troppi varchi biometrici restano invisibili. Impone accountability, ma molti titolari continuano a non sapere nemmeno cosa succede nei sistemi dei fornitori a cui hanno appaltato la sicurezza o l’esperienza utente.
La privacy non è solo un diritto individuale. È una condizione sociale. Serve per decidere chi siamo, con chi condividiamo cosa, e a che condizioni. Se un algoritmo prende queste decisioni al posto nostro, anche senza fare rumore, allora qualcosa si è rotto. E non basterà una nuova informativa per aggiustarlo.