WhoFi e tecnologie invisibili: cosa dovrà sapere il professionista del diritto WhoFi riconosce le persone dall’interferenza del loro corpo con i segnali Wi-Fi.
Questo studio solleva questioni giuridiche che molti professionisti ancora sottovalutano o peggio, ignorano del tutto. Per chi lavora nel diritto, queste tecnologie aprono tre problemi concreti e interconnessi, il che complica ulteriormente le cose.
Primo: consulenza. Le aziende chiedono pareri di conformità su GDPR e AI Act, ma non basta conoscere l’articolo 9, si deve capire come funziona tecnicamente il sistema, in caso contrario come può valutarsi se è proporzionato? Se esistono alternative meno invasive? Se l’informativa è davvero completa o possibile? Quest’anno due aziende che si sono rivolte a me per implementare sistemi di videosorveglianza intelligente non avevano alcuna idea dei vincoli normativi, immaginiamoci in futuro se tecnologie tipo WhoFI prenderanno piede.
Secondo: contenzioso. Aumenteranno quasi certamente le cause per violazioni privacy, licenziamenti basati su dati illegittimi, discriminazioni algoritmiche. In questo ambito un avvocato dovrà saper contestare perizie tecniche, chiedere audit indipendenti, dimostrare bias nei sistemi, competenze che oggi hanno in pochi.
Terzo: incertezza normativa. L’AI Act diventa pienamente operativo solo tra il 2026 e il 2027, i Garanti non hanno linee guida specifiche su WhoFi e tecnologie di rilevamento passivo. La giurisprudenza ovviamente non aiuta vista la novità del sistema.
WhoFi non è fantascienza, è già qui ed occorrerebbe comprenderlo a fondo non solo da parte di chi opera sul campo ma anche da parte di chi dovrebbe regolare l’uso di queste tecnologie invasive e pervasive.
DiPlanet: WhoFi identifica “dati personali” secondo il GDPR? Quali articoli del Regolamento si applicano al riconoscimento di persone tramite caratteristiche biologiche (interferenza corporea con segnali radio)?
Stefano Nardini: Con tutta probabilità sì, ma siamo in una zona grigia interpretativa. E questo è un problema, perché chi implementa questi sistemi oggi potrebbe trovarsi con contestazioni domani. Partiamo dalla definizione base. L’articolo 4(1) GDPR considera “dato personale” qualsiasi informazione che permette di identificare una persona fisica, direttamente o indirettamente. WhoFi analizza come il corpo umano interagisce con le onde radio Wi-Fi per riconoscere o distinguere individui. Non serve il nome, basta poter dire “questa è la persona A, quella è la persona B”. Identificazione indiretta, quindi dato personale. Fin qui, tutto chiaro. Ma poi si complica. L’articolo 4(14) definisce “dati biometrici” come dati ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche o comportamentali che permettono identificazione univoca. WhoFi estrae pattern dal modo in cui ciascun corpo interferisce con i segnali wireless: altezza, corporatura, andatura. Caratteristiche fisiche elaborate e confrontate da algoritmi AI per identificare univocamente. La settimana scorsa ho parlato di questo punto con un collega che, come me, si occupa di privacy e anche lui aveva dubbi sulla qualificazione esatta. A differenza di impronte digitali o riconoscimento facciale, però, qui non c’è acquisizione volontaria. Il soggetto non sa nemmeno di essere tracciato. Dal punto di vista giuridico la risposta non è così scontata. Se WhoFi venisse qualificato come sistema di trattamento di dati biometrici, cosa probabile ma non certa, ricadrebbe sotto l’articolo 9 GDPR che vieta il trattamento di categorie particolari di dati salvo eccezioni: consenso esplicito, interesse pubblico rilevante, tutela della salute, medicina preventiva. Quindi la qualificazione giuridica non è affatto pacifica. Alcuni sostengono che l’interferenza radio non sia intrinsecamente biometrica come un’impronta digitale. Altri ribattono che se l’output è un’identificazione univoca basata su caratteristiche corporee, la natura del dato è biometrica a prescindere dal sensore usato. Io propendo per la seconda interpretazione, ma il dibattito è aperto. In attesa di pronunciamenti ufficiali, il consiglio pratico è chiaro: occorre trattarlo come dato biometrico e applicare le tutele più stringenti, meglio un eccesso di cautela oggi che una sanzione domani.
—
Il problema della trasparenza: come si applica l’obbligo di informativa (Art. 13-14 GDPR) quando il soggetto non può percepire di essere tracciato? Quali soluzioni tecniche o normative esistono?
Qui tocchiamo uno dei limiti più evidenti del GDPR applicato alle tecnologie invisibili. L’obbligo di informativa presuppone che uno sappia di essere monitorato, ma se il tracciamento avviene tramite Wi-Fi, senza telecamere visibili né interazione diretta, come fai a saperlo? Gli articoli 13 e 14 GDPR impongono al titolare del trattamento di fornire informativa chiara, completa e tempestiva. Questa deve indicare: chi raccoglie i dati, perché, su quale base giuridica, per quanto tempo, con chi li condivide, quali diritti ha l’interessato. In questo caso il problema è il “come” fornirla proprio perchè il sistema opera in modo passivo e pervasivo. Le soluzioni tecniche esistenti probabilmente non sono soddisfacenti. Cartellonistica fisica agli ingressi, funziona in un ospedale o un ufficio, ma in uno spazio pubblico chi la legge davvero? Le notifiche push via app presuppongono che l’interessato abbia installato l’app e dato il consenso, ma allora tanto vale chiedere opt-in diretto (cioè l’adesione attiva e preventiva dell’utente al sistema, che resta disattivato finché non acconsenti esplicitamente). La configurazione opt-in a livello di rete Wi-Fi è tecnicamente possibile ma complessa e raramente implementata. Dal punto di vista tecnico giuridico il problema è strutturale, il GDPR è stato pensato per dati raccolti con consapevolezza: compili un form, usi un servizio. WhoFi inverte il paradigma, i dati vengono estratti dalla semplice presenza fisica in un luogo, non c’è un momento di “consenso informato” perché non c’è un momento di interazione se non quella di interferenza nel campo elettromagnetico. Forse esiste una via d’uscita pragmatica: applicare per analogia il regime della videosorveglianza: cartellonistica obbligatoria agli ingressi, informativa sintetica visibile, QR code per informativa estesa. Il modello esiste, è consolidato, funziona per tecnologie di rilevamento passivo in spazi fisici. Io penso che questa equiparazione sia la strada più praticabile nel breve termine, con un caveat importante: andrebbe rafforzata con vincoli specifici proprio per quella maggiore pervasività di WhoFi: delimitazione tecnica dell’area, esclusione garantita di zone sensibili, audit periodici dell’algoritmo. Certo, WhoFi ha una differenza critica: è completamente invisibile, mentre una telecamera la vedi anche senza cartello, ma il principio resta: informativa preventiva chiara prima che il soggetto entri nell’area monitorata. Non è perfetto, niente lo è con tecnologie così nuove, ma è meglio della zona grigia attuale. Finché non emergeranno standard tecnici condivisi o linee guida dei Garanti Privacy, chi implementa WhoFi opera in zona grigia: formalmente obbligato all’informativa, praticamente impossibilitato a fornirla in modo efficace.
—
AI Act e sistemi biometrici: WhoFi può essere classificato come sistema di identificazione biometrica remota? Quali obblighi comporterebbe per chilo implementa?
La classificazione di WhoFi secondo l’AI Act (Regolamento UE 2024/1689) è una questione interpretativa aperta e le conseguenze pratiche sono enormi. Questo non è solo un dettaglio tecnico, è la differenza tra il poter implementare questo sistema ed il divieto totale alla sua implementazione. L’AI Act classifica i sistemi di intelligenza artificiale per livelli di rischio: inaccettabile, alto, limitato, minimo. I sistemi di identificazione biometrica remota in tempo reale in spazi pubblici rientrano nel rischio inaccettabile, quindi vietati, salvo eccezioni tassative, come: ricerca persone scomparse, prevenzione minacce terroristiche, perseguimento reati gravi. Anche i sistemi non in tempo reale hanno vincoli stringenti, ma meno assoluti. WhoFi potrebbe rientrare qui, infatti identifica persone a distanza, senza interazione diretta, usando caratteristiche fisiche elaborate da algoritmi AI. Non usa telecamere ma il risultato è identico: riconoscimento univoco basato su tratti corporei. Il fatto che il sensore sia Wi-Fi invece di ottico secondo me non dovrebbe cambiare la sostanza giuridica, ma c’è chi sostiene il contrario, argomentando sulla diversa natura del dato raccolto. La risposta non è pacifica, l’AI Act elenca i sistemi ad alto rischio, includendo quelli biometrici per identificazione e categorizzazione, se WhoFi venisse qualificato come sistema biometrico ad alto rischio, scenario più che probabile, chi lo implementa si troverebbe di fronte a obblighi pesanti. Prima di tutto dovrebbe essere fatta una valutazione di conformità completa prima ancora di metterlo sul mercato. Inoltre dovrebbe essere garantita trasparenza algoritmica: non basta infatti dire “funziona con l’AI”, si dovrebbe spiegare come vengono prese le decisioni (e qui le cose con l’AI si complicano non poco). Nessuna operazione deve essere completamente automatizzata, servirebbe una supervisione umana. I dataset di addestramento dovrebbero essere documentati nel dettaglio, insieme ai meccanismi per mitigare i bias. Il sistema deve poi essere notificato al registro UE dei sistemi AI ad alto rischio. Ogni operazione di rilevamento ed identificazione dovrà poi essere loggata e conservata per audit futuri. Se invece WhoFi venisse classificato come sistema a rischio inaccettabile, identificazione biometrica remota in tempo reale in spazi pubblici, il divieto sarebbe totale. Salvo quelle deroghe eccezionali che ho citato prima. In pratica, implementare WhoFi senza una chiara qualificazione giuridica preventiva significa esporsi a contestazioni pesanti, non solo dal Garante Privacy, ma anche dalle autorità di vigilanza sull’AI che l’Unione Europea sta istituendo.
—
Applicazioni in contesti sanitari e lavorativi: quali vincoli normativi specifici si applicano? La finalità (es. prevenzione cadute in ospedale) giustifica il trattamento senza consenso esplicito?
La finalità nobile non basta, anche se WhoFi potrebbe effettivamente essere utilizzato per “salvare vite”, ad esempio monitoraggio pazienti fragili, prevenzione incidenti sul lavoro, i vincoli normativi restano stringenti, e giustamente. Nel contesto sanitario l’articolo 9 del GDPR permette il trattamento di dati biometrici per finalità di medicina preventiva, diagnosi, assistenza sanitaria, anche senza consenso esplicito ma a condizioni precise: deve essere necessario, proporzionato e gestito da personale sanitario soggetto a segreto professionale. Non basta dire “preveniamo le cadute”, si deve dimostrare che non esistono alternative meno invasive, ad esempio sensori di movimento non identificativi o assistenza umana rafforzata. Nel contesto lavorativo, la situazione è ancora più delicata. Il consenso del lavoratore al monitoraggio è considerato dal GDPR come non libero per definizioni, c’è infatti uno squilibrio di potere intrinseco. L’articolo 88 GDPR e lo Statuto dei Lavoratori (articolo 4) vietano la sorveglianza continua salvo accordi sindacali e autorizzazioni specifiche dell’Ispettorato del Lavoro. Ho seguito vari casi di aziende che volevano installare sistemi di rilevamento per un’asserita sicurezza sul lavoro ed i rapporti con i soggetti preposti al controllo quasi sempre hanno portato a risposte negative, soprattutto in quei casi borderline in cui la sicurezza poteva essere vista come volontà di controllo. Questo perché serve dimostrazione di necessità assoluta e proporzionalità. Il principio guida è sempre lo stesso, il fine non giustifica i mezzi se esistono mezzi meno invasivi. Quindi, tornando alla domanda Sua: un ospedale può installare WhoFi per monitorare pazienti a rischio caduta? Forse sì, ma solo dopo aver documentato che sensori tradizionali, braccialetti di allarme, supervisione umana non sono sufficienti e comunque serve informativa chiara ai pazienti e ai familiari. La buona fede ed uno scopo “nobile” non proteggono dalle sanzioni, il Garante Privacy valuta la conformità normativa, non le intenzioni.
—
Responsabilità in caso di abusi: se un sistema di riconoscimento Wi-Fi viene usato impropriamente (profilazione discriminatoria, sorveglianza non autorizzata), chi risponde legalmente? Il fornitore della tecnologia, chi la implementa, o entrambi?
La risposta può sembrare semplice ma ha sfaccettature particolari. Entrambi i soggetti sono responsabili ma con ruoli e gradazioni di responsabilità diverse che si sovrappongono su piani distinti e questo complica le difese e soprattutto i giudizi relativi. Partiamo dal GDPR, regolamento europeo direttamente applicabile in Italia, questo distingue tra titolare del trattamento (chi decide finalità e modalità) e responsabile del trattamento (chi tratta i dati per conto del titolare). Chi decide di installare WhoFi in un ospedale o in un’azienda è quasi sempre titolare: decide dove, come, su chi usarlo. Se il sistema viene usato male: raccolta senza base giuridica, profilazione discriminatoria, mancata informativa, il soggetto che risponde è il titolare.Risponde in via amministrativa con sanzioni fino al 4% del fatturato globale annuo o 20 milioni di euro e risponde anche civilmente: chi subisce un danno (es. dipendente licenziato sulla base di dati illegittimi, paziente discriminato ecc.) può chiedere risarcimento danni. Ma anche il fornitore della tecnologia può essere coinvolto se WhoFi è progettato in modo da facilitare abusi, infatti potrebbe essere considerato corresponsabile, anche per negligenza, in caso di malfunzionamenti come la mancanza di controlli di accesso, assenza di log verificabili, impossibilità di limitare le finalità d’uso. Ci sono casi simili con altri sistemi biometrici in cui il fornitore è stato chiamato in causa proprio per progettazione non adeguata del sistema. In sistemi così complessi la chiamata in causa da parte del titolare del trattamento è infatti una difesa quasi scontata. Oltre al GDPR, come ho già detto ora vi è anche l’AI Act, altro regolamento UE direttamente applicabile, che introduce obblighi specifici per i “provider” di sistemi AI: documentazione, trasparenza, conformità tecnica. Se il sistema viene immesso sul mercato senza garanzie adeguate, il provider risponde sia sul piano amministrativo (sanzioni AI Act) sia su quello civilistico (concorso di colpa nel danno subito dall’utente finale). In pratica: nessuno può scaricare la responsabilità dicendo “io fornivo solo la tecnologia” o “io non sapevo come funzionasse tecnicamente”. Quando l’abuso è grave, titolare e fornitore rispondono ciascuno per la propria parte e nei confronti del danneggiato in solido tra loro.
—
Qual è la sua valutazione sull’adeguatezza del quadro normativo attuale (GDPR/AI Act) per regolare tecnologie come WhoFi?
Il quadro normativo attuale non è del tutto adeguato, non per difetto di principi, quelli ci sono, ma dal punto di vista applicativo e per mancanza di chiarezza interpretativa. Il GDPR contiene tutti gli strumenti teorici: protezione dati biometrici, principio di minimizzazione, trasparenza, sulla carta funziona ma è stato scritto nel 2016, quando nessuno immaginava il tracciamento tramite interferenza radio. L’AI Act introduce classificazioni di rischio utili, ma diventerà pienamente operativo solo tra il 2026 e il 2027, nel frattempo chi sviluppa o implementa queste tecnologie opera in una zona grigia. Operare in “zona grigia” in ambito compliance significa alto rischio di sanzioni a posteriori. Infatti il vero problema non è normativo, è applicativo, mancano linee guida specifiche dei Garanti Privacy, mancano precedenti giurisprudenziali, mancano standard tecnici condivisi. Finché ogni caso viene valutato ex-post, dopo l’implementazione, saremo sempre un passo indietro. Serve un cambio di paradigma: autorizzazione preventiva per tecnologie ad alto rischio, non solo sanzioni a posteriori ma questo richiederebbe risorse che le autorità di vigilanza oggi non hanno.
—
Come queste innovazioni cambieranno concretamente la pratica legale e il lavoro degli avvocati nei prossimi anni?
Queste tecnologie apriranno nuove aree di pratica, ma richiederanno competenze ibride che oggi la maggior parte degli avvocati non ha. Chi non si attrezza per tempo resterà tagliato fuori. Sul fronte consulenziale, probabilmente aumenterà la domanda di compliance su sistemi biometrici invisibili. Aziende che vogliono implementare WhoFi, ospedali che usano sensori per monitorare pazienti, datori di lavoro che cercano alternative legali alla videosorveglianza. Servirà capire non solo il GDPR e l’AI act dal punto di vista giuridico, ma anche come funzionano tecnicamente questi sistemi. Ad esempio un avvocato che non comprende come un’interferenza radio viene interpretata ai fini di un tracciamento tramite AI non può valutare se WhoFi opera in modo proporzionale ai fini della minimizzazione del trattamento. Difficilmente può consigliare alternative e, ancor più, non può capire se il fornitore del sistema sta raccontando frottole. Sul fronte contenzioso, aumenteranno cause per violazioni privacy, licenziamenti basati su dati illegittimi, discriminazioni algoritmiche, serviranno quindi competenze tecniche per contestare perizie, chiedere audit algoritmici, dimostrare bias nei sistemi, operare in modo multidisciplinare in sinergia con tecnici informatici e di sicurezza, roba che oggi si fa poco o niente se non da parte di professionisti specializzati (es. compliance NIS2). L’avvocato del futuro, anzi, l’avvocato che già oggi vuole stare sul mercato, dovrà essere molto più “tecnologico” e, purtroppo, per una categoria che ha faticato terribilmente a comprendere la digitalizzazione delle procedure contenziose ed ora del penale la vedo piuttosto dura. Chi si limita a “conosco il GDPR” senza capire come funzionano le tecnologie che il GDPR deve regolare… beh, diventerà rapidamente irrilevante.
Scrivi e allega il tuo progetto o la tua idea. Sarai ricontattato dal nostro team entro pochi giorni.
