Di recente, il Garante per la protezione dei dati personali è intervenuto su un paio di questioni riguardanti il riconoscimento facciale. Un tema delicato considerando che, in Italia, non abbiamo ancora una legge ad hoc. Da una parte, ha ritenuto il sistema italiano di riconoscimento facciale SARI Real Time non conforme alla normativa europea. Dall'altra, ha avviato un'istruttoria contro Clearview che esegue il facial recognition tramite foto prese dai social network.

La politica non ha ancora affrontato in modo adeguato l'utilizzo di sistemi di sorveglianza 'ad alto rischio' privacy. Nei giorni scorsi, il deputato PD Filippo Sensi ha presentato una proposta di legge per chiedere una moratoria, la sospensione dell’utilizzo di telecamere con riconoscimento facciale biometrico nei luoghi pubblici da parte di autorità e privati, in attesa che entri in vigore una legge nazionale ad hoc.

La proposta di legge di Sensi prevede sanzioni amministrative pecuniarie per chi installa questi sistemi nel periodo di moratoria ai sensi dell’art. 166 del codice di protezione dei dati personali del 2003 e dell'art. 42 del decreto-legge 51/2018 (sanzione prevista: da 50mila a 150mila euro). Sono esclusi dalla proposta di legge gli impianti di videosorveglianza autorizzati dalla normativa vigente che supportano le attività istituzionali di difesa e sicurezza.

Approfondiamo la questione SARI Real Time e Clearview.

Riconoscimento facciale: perché il Garante considera SARI Real Time non conforme alla normativa privacy

Il Garante ha dato parere sfavorevole sull'utilizzo di Sari Real Time (non ancora attivo) da parte del Ministero dell'Interno. Perché?

Prima considerazione: questo sistema italiano è tuttora privo di una base giuridica che legittimi il trattamento dei dati biometrici automatizzato per il riconoscimento facciale finalizzato a scopi di sicurezza.

Seconda considerazione: per come è stato progettato, implementerebbe una forma di sorveglianza indiscriminata, di massa.

Il sistema Sari Real Time, sviluppato come soluzione mobile, è installabile lì dove nasce l'esigenza di un sistema di riconoscimento facciale per supportare le Forze dell'Ordine nell'ambito della sicurezza pubblica oppure in base a necessità della Polizia Giudiziaria.

Grazie ad una serie di telecamere installate in una certa area geografica, questo sistema permette di analizzare in tempo reale i volti di tutti i soggetti ripresi. Confronta questi volti con una watch-list, una banca dati predefinita in grado di contenere fino a 10.000 volti.

Se l'algoritmo riscontra una corrispondenza tra un volto ripreso dalle telecamere ed uno presente nelle banca dati, il sistema può generare alert per segnalarlo agli agenti.

La funzione di videosorveglianza di Sari Real Time permette di registrare le immagini riprese dalle telecamere.

Da sorveglianza mirata a sorveglianza di massa

Di base, la normativa sulla privacy definisce rigorose cautele per il trattamento di dati biometrici, in particolare per certi tipi di dati (come quelli che rivelano opinioni politiche, religiose, sindacali, orientamenti sessuali). I dati biometrici interferiscono in modo significativo con la vita privata delle persone. 

In linea con la normativa europea e con quanto disposto dal Consiglio d'Europa, il Garante Privacy considera di estrema delicatezza l'uso di tecnologie di riconoscimento facciale a scopo di prevenzione e repressione dei reati.

Riguardo a Sari Real Time, il Garante aggiunge che questo sistema porterebbe ad un trattamento automatizzato su larga scala che coinvolgerebbe persone presenti a manifestazioni sociali o politiche non oggetto di 'attenzione' da parte delle forze di Polizia.

Il Ministero dell'Interno, nella sua valutazione d'impatto presentata, ha spiegato che le immagini riprese vengono immediatamente cancellate. Nonostante ciò, il Garante evidenzia che l'identificazione di una persona avverrebbe mediante il trattamento dei dati biometrici di tutti i presenti nell'area monitorata al fine di "generare modelli comparabili con quelli dei soggetti contenuti nella watch-list". Da videosorveglianza mirata di determinati individui si passerebbe alla sorveglianza universale.

Serve una legge ad hoc e adeguatezza dei sistemi

Il trattamento dei dati biometrici deve trovare legittimazione in un'adeguata base normativa che non è stata riscontrata nella documentazione fornita dal Ministero dell'Interno.

Il problema principale resta proprio questo: manca una normativa che autorizzi questa tecnologia ancora in fase sperimentale e non utilizzata in campo. Una tecnologia che oggi è, a tutti gli effetti, illegittima.

Una base normativa adeguata, secondo quanto riporta il Garante, dovrebbe considerare tutte le libertà e i diritti coinvolti. Dovrebbe stabilire le situazioni in cui è possibile utilizzare questi sistemi senza lasciare un'ampia discrezionalità a chi li usa. 

E' importante anche valutare alcuni aspetti nell'utilizzo del riconoscimento facciale come, ad esempio, i criteri di identificazione dei soggetti da inserire nel database, l'adeguatezza del sistema nei confronti di soggetti appartenenti a minoranze etniche o le conseguenze di falsi positivi (arresto di un innocente per errore come è successo a Detroit a giugno del 2020). 

Ad oggi, la tecnologia del riconoscimento facciale non è perfetta, può sbagliare.

Gli algoritmi nascondono anche pregiudizi razziali come succede negli USA con i neri oppure a Hong Kong nello Xinjiang con la minoranza islamica degli Uiguri.

Ci teniamo a specificare che il Sari normalenon il Real Time, continua ad essere impiegato dalla Polizia e non ha ricevuto nessun blocco

Ci chiediamo: il riconoscimento facciale su dati biometrici è da considerare sbagliato in sé o perché è ancora imperfetto oppure perché manca una legge specifica?

L'Intelligenza Artificiale e la tecnologia machine learning è destinata ad evolversi, perfezionarsi, a fare passi da gigante. Una volta che sarà perfezionata, il problema sarà soltanto politico, non tecnologico.

Il Garante Privacy avvia un'istruttoria contro Clearview

Negli ultimi giorni, si parla molto di scraping, attività con cui si 'raschiano' foto e dati pubblici da Internet per creare database sfruttati per scopi diversi da quelli per cui vengono pubblicati. Se ne parla a seguito dei data leak di Facebook, Clubhouse e Linkedin

Questo fenomeno non è "né carne né pesce": non si può definire un vero data breach ma non è neanche legittimo perché, per esserlo, dovrebbe prevedere una base giuridica e un'apposita informativa per gli interessati.

In questo clima tutt'altro che trasparente, salta fuori un'altra gatta da pelare per il Garante: la questione Clearview.

Il Garante, a seguito di una segnalazione da parte di Privacy Network, a marzo ha avviato un'istruttoria contro Clearview ancora in corso e vi spieghiamo perché.

Clearview è un colosso statunitense, una nota azienda il cui business è proprio il riconoscimento facciale. Ha creato enormi database di foto pubbliche carpite dai social che continuano a crescere. Obiettivo: sottoporle a sistemi in grado di individuare i reticolati utili per procedere al riconoscimento facciale.

Anche in Canada diverse Authority hanno avviato indagini contro Clearview: hanno evidenziato che la società ha raccolto circa 3 miliardi di foto. Vale a dire che, una buona parte della popolazione mondiale potrebbe essere già stata schedata dalla tecnologia di riconoscimento facciale Clearview.

Una notizia del MIT Technology Review riporta che il NYPD (Polizia di New York) starebbe collaborando da tempo (almeno 2 anni) a stretto contatto con Clearview per identificare criminali e gente comune. La NYDP avrebbe testato numerose volte (oltre 5.100 ricerche) la tecnologia utilizzando il riconoscimento facciale Clearview AI anche in indagini reali, non solo per esercitazioni. Secondo i dati del MIT, pare che molti agenti abbiano ottenuto l'autorizzazione ad installare l'app sui propri dispositivi personali per una serie di impieghi difficilmente controllabili.

Clearview in contrasto con il GDPR

L'attività di Clearview è decisamente in contrasto con i principi dettati dal GDPR, il Regolamento Europeo sulla Protezione dei Dati.

Sono almeno 3 i principi europei violati dal colosso statunitense su cui si sta concentrando il Garante:

- dati sensibili (biometrici) utilizzati senza il consenso dell'interessato (violazione dell'art. 9 del GDPR);

- nessuna informativa, violazione del principio di trasparenza;

- perdita di controllo totale dei propri dati per l'interessato che non può sapere se i suoi dati biometrici e le sue foto sono inclusi nel database di Clearview o meno.

Su questi punti si sono già concentrate le autorità canadesi, svedesi e di Amburgo.

C'è un ostacolo da superare, però: il diverso approccio alla protezione dei dati utilizzato dagli USA e dall'Unione Europea. È l'ostacolo più grande nei rapporti tra Europa e Stati Uniti.

Privacy in USA e UE: due approcci diversi alla protezione dei dati

Che succederebbe se il Garante Privacy dichiarasse illegittimi i trattamenti di dati biometrici di Clearview?

Ammetterebbe ufficialmente che la NYDP sta utilizzando da tempo un sistema illegittimo e questo porterebbe a conseguenze enormi, peraltro difficili da prevedere.

In più, il colosso Clearview non sarebbe tanto propenso né a cancellare obbligatoriamente i dati trattati in modo illegittimo né a pagare un'eventuale sanzione per la decisione del Garante italiano.

Quanti colossi Big Tech statunitensi rispettano (o fanno finta di farlo) le disposizioni europee in termini di trattamento dei dati?

Indipendentemente da un'eventuale dichiarazione di illegittimità da parte dell'UE, oltreoceano non cambierebbe nulla: nessuno cancellerebbe i dati e continuerebbero ad utilizzarli come fa la NYDP.

La proposta di regolamento UE sull'Intelligenza Artificiale

È di ieri, 21 aprile, la proposta di regolamento sull'Intelligenza Artificiale, la prima in assoluto della Commissione UE. In base alla consultazione seguita al white paper, la Commissione europea per la prima volta tenterà di disciplinare l'utilizzo di questa tecnologia anticipando USA e Cina.

Le tecnologie che si basano su dati biometrici sono ritenute ad alto rischio e sono soggette a protezione speciale. In linea di principio, il trattamento di dati biometrici è vietato ma, per quel che riguarda il riconoscimento facciale, sono previste eccezioni legate alla tutela della pubblica sicurezza ed alla lotta contro il terrorismo.

Il garante stoppa il Viminale bocciando l'utilizzo di Sari Real Time per la videosorveglianza con riconoscimento facciale finalizzata all'ordine e alla pubblica sicurezza.

La commissione UE non vieterà il riconoscimento facciale per la pubblica sicurezza e la lotta contro il terrorismo.

Qualcosa non torna.

Manca una legge ad hoc.

Francesco Ciano

 

Approfondimenti:

Garante della Privacy

Condividi su

Seguici su

     
X

Copyright ANCDV

Vietata la riproduzione

Save
Cookies user prefences
We use cookies to ensure you to get the best experience on our website. If you decline the use of cookies, this website may not function as expected.
Accetta tutti
Rifiuta tutti
Analytics
Tools used to analyze the data to measure the effectiveness of a website and to understand how it works.
Google Analytics
Accetta
Decline
$family
Accetta
Decline
$constructor
Accetta
Decline
each
Accetta
Decline
clone
Accetta
Decline
clean
Accetta
Decline
invoke
Accetta
Decline
associate
Accetta
Decline
link
Accetta
Decline
contains
Accetta
Decline
append
Accetta
Decline
getLast
Accetta
Decline
getRandom
Accetta
Decline
include
Accetta
Decline
combine
Accetta
Decline
erase
Accetta
Decline
empty
Accetta
Decline
flatten
Accetta
Decline
pick
Accetta
Decline
hexToRgb
Accetta
Decline
rgbToHex
Accetta
Decline
min
Accetta
Decline
max
Accetta
Decline
average
Accetta
Decline
sum
Accetta
Decline
unique
Accetta
Decline
shuffle
Accetta
Decline
rgbToHsb
Accetta
Decline
hsbToRgb
Accetta
Decline
Unknown
Unknown
Accetta
Decline
$family
$hidden
Accetta
Decline
overloadSetter
Accetta
Decline
overloadGetter
Accetta
Decline
extend
Accetta
Decline
implement
Accetta
Decline
hide
Accetta
Decline
protect
Accetta
Decline
attempt
Accetta
Decline
pass
Accetta
Decline
delay
Accetta
Decline
periodical
Accetta
Decline
$constructor
alias
Accetta
Decline
mirror
Accetta
Decline
pop
Accetta
Decline
push
Accetta
Decline
reverse
Accetta
Decline
shift
Accetta
Decline
sort
Accetta
Decline
splice
Accetta
Decline
unshift
Accetta
Decline
concat
Accetta
Decline
join
Accetta
Decline
slice
Accetta
Decline
indexOf
Accetta
Decline
lastIndexOf
Accetta
Decline
filter
Accetta
Decline
forEach
Accetta
Decline
every
Accetta
Decline
map
Accetta
Decline
some
Accetta
Decline
reduce
Accetta
Decline
reduceRight
Accetta
Decline
forEachMethod
Accetta
Decline
clone
clean
invoke
associate
link
contains
append
getLast
include
combine
erase
empty
pick
min
max
average
sum
unique
shuffle
Functional
Tools used to give you more features when navigating on the website, this can include social sharing.
AddThis
Accetta
Decline
each
getRandom
flatten
hexToRgb
rgbToHex
rgbToHsb
hsbToRgb