Con l’entrata in vigore dell’AI Act i cittadini europei dovrebbero sentirsi più protetti a fronte del rischio di trovarsi a interagire, a loro insaputa e/o loro malgrado non con persone umane, ma con agenti di intelligenza artificiale. Infatti, l’articolo 50 dell’AI Act prevede, tra le altre cose, che i fornitori di sistemi di IA debbano garantire che i sistemi destinati a interagire direttamente con le persone fisiche siano progettati e sviluppati in modo tale che queste siano informate del fatto di stare interagendo con un sistema di IA, a meno che ciò non risulti evidente dal punto di vista di una persona fisica ragionevolmente informata, attenta e avveduta, tenendo conto delle circostanze e del contesto di utilizzo.
Nei prossimi anni, pertanto, l’interpretazione del test della “persona fisica informata e avveduta” giocherà un ruolo fondamentale sia nel dialogo tra autorità di controllo e fornitori di sistemi di IA che nei tribunali europei per determinare la sussistenza o meno, di volta in volta, dell’obbligo dei fornitori di avvisare esplicitamente i consumatori che gli stessi stanno interagendo con un Agente IA.
Inevitabilmente, ci saranno alcune circostanze nelle quali i fornitori di sistemi di IA non avviseranno i propri utenti della presenza di agenti IA forzando il test della “persona fisica informata e avveduta” nelle valutazioni ex ante da effettuarsi prima dell’offerta del servizio al pubblico. In altre circostanze i fornitori decideranno di non ottemperare a tale obbligo, contando su un enforcement limitato del nuovo regolamento.
Proof of Personhood: il controverso caso di Worldcoin
Per ovviare a tali rischi, da più parti si stanno moltiplicando gli sforzi per realizzare degli strumenti tecnologici che possano riconoscere se un utente si stia interfacciando con una persona fisica o con un agente algoritmico. Sono strumenti, in altre parole, che possono ottenere una prova dell’effettivo status di personalità umana, o Proof of Personhood (“PoP”).
Tra i sistemi PoP, quello più controverso è Worldcoin, un crypto asset lanciato da Sam Altman, Alex Blania e Max Novendstern. Il suo obiettivo dichiarato è quello di creare una moneta digitale globale che sia distribuita in modo equo al maggior numero possibile di persone, fornendo al contempo un’identità digitale unica per gli utenti.
La Proof of Personhood viene fornita tramite l’ORB, un dispositivo hardware utilizzato per scansire l’iride degli utenti. L’ORB cattura un’immagine ad alta risoluzione dell’iride, che poi converte in un hash, un identificatore unico che dovrebbe garantire che ogni individuo sia associato a un unico ID. Mentre l’identificatore (il cosiddetto World ID) viene poi convertito in un codice crittografico unico, l’immagine reale dell’iride non viene memorizzata e il codice crittografico non può essere decodificato.
Worldcoin viene distribuito gratuitamente agli utenti una volta verificata la loro identità tramite l’ORB, attraverso un processo noto come “airdropping” e con l’obiettivo dichiarato di raggiungere il più ampio pubblico possibile, distribuendo la valuta in modo globale ed equo.
Worldcoin può operare sulla propria blockchain o integrarsi con altre reti blockchain esistenti, e la sua distribuzione e le altre funzionalità sono gestite tramite smart contract.
In attesa che le autorità europee di supervisione dei mercati finanziari prendano posizione in merito alla classificazione di Worldcoin quale strumento finanziario, pertanto disciplinato dalla MIFID II, o quale utility token assoggettato alla normativa MICAR, sono stati i garanti della privacy a prendere posizione sul profilo della protezione dei dati.
La presa di posizione del Garante privacy
In particolare, il Garante per la Protezione dei Dati Personali ha assunto una posizione molto severa nei confronti di Worldcoin, avvertendo la Worldcoin Foundation il 21 marzo 2024 che il trattamento dei dati biometrici attraverso l’ORB effettuato in Italia avrebbe molto probabilmente violato il dettato del GDPR.
I dati dell’iride sono dati biometrici
In primo luogo il Garante ha sottolineato che i dati dell’iride raccolti tramite l’ORB sono senza dubbio dati biometrici ai sensi del GDPR, il cui articolo 14 prevede che “per ‘dati biometrici’ si intendono i dati personali risultanti da un trattamento tecnico specifico relativo alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica, che consentono o confermano l’identificazione univoca di tale persona fisica, come le immagini del volto o i dati dattiloscopici”.
Quali dati biometrici, i dati dell’iride rientrano nella definizione di “categorie particolari” di dati personali, il cui trattamento è generalmente vietato ai sensi dell’articolo 9 del GDPR, salve alcune eccezioni, tra le quali il consenso espresso, libero e incondizionato dell’interessato. E qui risiede il fulcro della prima contestazione a Worldcoin, la cui informativa ai sensi dell’art. 13 GDPR identifica proprio il consenso quale base legale del trattamento dei dati.
Le omissioni nell’informativa di Worldcoin
Infatti, ai sensi dell’articolo 7 del GDPR, il consenso deve essere libero e incondizionato e deve basarsi su un’informativa completa e adeguata. Tuttavia, il Garante ha rilevato che l’informativa della Worldcoin Foundation non conteneva alcun riferimento ai rischi specifici derivanti dal trattamento dei dati biometrici. Tale difetto di trasparenza da parte di Worldcoin Foundation in merito ai rischi specifici del trattamento dei dati biometrici violerebbe l’art. 7 GDPR, rendendo inidoneo il consenso espresso dagli interessati.
Il Garante ha inoltre sottolineato che distribuire gratuitamente i token WLD agli utenti che si sottopongono alla scansione dell’iride incide sulla libertà del consenso, rendendolo inidoneo a costituire una valida base giuridica ai sensi dell’articolo 7 del GDPR. A questo proposito, l’Autorità spagnola per la protezione dei dati aveva già sostenuto che, poiché gli utenti di Worldcoin ricevono una, seppur modesta, somma di denaro per consentire la raccolta dei loro dati biometrici, tale pagamento impedirebbe di considerare il consenso come libero.
La mancanza di filtri per i minori
Il Garante ha inoltre sottolineato come la Worldcoin Foundation non abbia messo in atto alcun filtro per impedire ai minori di accedere alla WorldApp.
Il provvedimento del Garante spagnolo verso Tools for Humanity
L’avvertimento del Garante, secondo cui il trattamento dei dati biometrici attraverso l’ORB in Italia violerebbe molto probabilmente la normativa sulla protezione dei dati, arriva a seguito di un forte provvedimento adottato dall’AEPD, il garante spagnolo.
Infatti, a marzo l’AEPD ha emesso una misura cautelare nei confronti di Tools for Humanity Corporation – un’altra entità Worldcoin – ordinandole di interrompere qualsiasi trattamento, compresa la raccolta, di dati personali in Spagna e proibendo l’uso dei dati già raccolti. La dura presa di posizione della DPA spagnola nei confronti di Worldcoin è scaturita da diversi reclami ricevuti, tra cui il fatto che la società abbia ha fornito informazioni insufficienti agli interessati, che abbia ha raccolto dati di minori e che non sia è stato possibile revocare il consenso al trattamento dei dati biometrici.
L’AEPD ha ritenuto talmente urgente la necessità di proteggere le persone interessate in Spagna da quello che considerava un trattamento illecito dei dati biometrici da adottare la suddetta misura di divieto, nonostante Tools for Humanity Corporation abbia il suo principale stabilimento europeo in Germania. Di fatto, l’autorità di regolamentazione spagnola ha agito avvalendosi della prerogativa straordinaria di adottare misure provvisorie nel proprio territorio di competenza che l’articolo 66 comma 1 del GDPR conferisce alle autorità di controllo in casi eccezionali.
Misure nei confronti di Worldcoin sono state adottate anche dai garanti in India, Kenya, Brasile e Portogallo.
Conclusioni
Se, da un lato, è comprensibile la diffidenza dei garanti per la protezione dei dati nei confronti di strumenti PoP basati sul trattamento di dati biometrici, dall’altro è fondamentale sviluppare tempestivamente degli strumenti di riconoscimento degli Agenti IA. Il rischio è che se strumenti decentralizzati quali Worldcoin non si dimostrassero percorribili, le soluzioni PoP potrebbero divenire un oligopolio nelle mani delle grandi aziende Big Tech.
