La tecnica del riconoscimento facciale è oggi sempre più utilizzata non solo per scopi di sicurezza (ad esempio al servizio delle forze dell’ordine e non solo nei regimi dittatoriali), ma anche in molti altri ambiti della nostra vita quotidiana, principalmente a fini commerciali.
Vediamo allora cos’è, come funziona, quali sono le tecnologie che ne abilitano l’operatività, i rischi e le tutele.
Cos’è il riconoscimento facciale
Il riconoscimento facciale – uno dei “protagonisti tecnologici” del nostro tempo – è una tecnica biometrica atta ad identificare in modo univoco una persona confrontando e analizzando modelli basati sui suoi “contorni facciali”.
Vi sono diverse tecniche di riconoscimento facciale, come il riconoscimento facciale “generalizzato” e il riconoscimento facciale “regionale adattativo”. La maggior parte dei sistemi di riconoscimento facciale funzionano in base ai diversi punti nodali di un volto umano. I valori misurati rispetto alla variabile associata ai punti del volto di una persona aiutano ad identificare o verificare la persona in modo univoco. Con questa tecnica, le applicazioni possono utilizzare i dati acquisiti dai volti e possono identificare accuratamente e rapidamente gli individui interessati. Le tecniche di riconoscimento facciale si stanno rapidamente evolvendo con nuovi approcci (come la tecnologia 3D), aiutando a superare i problemi presenti con le tecniche esistenti.
Riconoscimento facciale, piovono divieti a Occidente: lo scenario globale
Vantaggi e svantaggi del riconoscimento facciale
Ci sono molti vantaggi associati al riconoscimento facciale. Rispetto ad altre tecniche biometriche, il riconoscimento facciale è di natura “non a contatto”. Le immagini del volto possono essere catturate a distanza e possono essere analizzate senza mai richiedere alcuna interazione con la persona interessata. Il riconoscimento facciale può servire come eccellente misura di sicurezza per il rilevamento del tempo e la partecipazione dell’individuo ad un dato evento o luogo. Il riconoscimento facciale è anche una tecnologia a buon mercato, in quanto l’elaborazione è meno “costosa” di altre tecniche biometriche.
Ci sono alcuni svantaggi associati al riconoscimento facciale. Infatti tale tecnica può identificare le persone solo quando le condizioni di luce sono favorevoli (buona illuminazione o messa a fuoco del volto): in altre parole, potrebbe essere meno affidabile in caso di luce insufficiente o in presenza di un viso anche parzialmente oscurato. Un altro svantaggio è che il riconoscimento facciale è meno efficace al variare delle diverse espressioni facciali umane.
Come funziona il riconoscimento facciale
È fondamentale comprendere come funziona – dal lato eminentemente tecnico – il riconoscimento facciale.
Di seguito vi sono tre applicazioni di tale tecnica, elencate dalla più “basic” alla più complessa.
- Riconoscimento facciale “di base”: prendendo ad esempio i filtri Instagram o Snapchat, la fotocamera del dispositivo (es. smartphone) “cerca” le caratteristiche che definiscono un volto, ed in particolare gli occhi, il naso e la bocca. Una volta compiuta la sua ricerca, la fotocamera – tramite il Social – usa algoritmi per agganciare un volto e determinare in quale direzione la persona sta guardando, se la sua bocca è aperta, ecc. In questo caso siamo in presenza di un software che “ricerca volti”, e non si può parlare di riconoscimento facciale vero e proprio.
- Sblocco del dispositivo con il volto: volendo sbloccare il dispositivo con il volto, il device scatta una foto del viso e misura la distanza tra i tratti del viso. Poi, ogni volta che si va a sbloccare il telefono, “guarda” attraverso la fotocamera per misurare e confermare l’identità del soggetto. Nota: qui la differenza tra dispositivi può essere “abissale”; basti solo pensare al livello tecnologico raggiunto dal “Face ID” di Apple.
- Identificazione di uno sconosciuto: nell’atto dell’identificazione di un volto per scopi di sicurezza, per scopi pubblicitari o di polizia, vi è l’utilizzo di algoritmi che “pescano” in un ampio database di volti, associando di volta in volta diversi profili con quello in esame.
Le tecnologie alla base del riconoscimento facciale
La maggior parte dei software di riconoscimento facciale si basa interamente su immagini 2D. La stragrande maggioranza delle fotocamere scatta foto in 2D, e la stragrande maggioranza delle foto presenti sui Social è in 2D (es. foto profilo di Facebook). Tuttavia i volti “in 2D” non sono qualitativamente accurati, poiché si tratta di immagini piatte – o senza profondità – del viso, in che non ci porta ad avere caratteristiche di identificazione. Con un’immagine 2D, un dispositivo può misurare la distanza pupillare e la larghezza della bocca; tuttavia, non è in grado di riconoscere la lunghezza del naso o la prominenza della fronte. Inoltre, l’immagine facciale 2D si basa sulla luminosità: ciò significa che tale tecnica non funziona al buio, e può essere inaffidabile in condizione di scarsa illuminazione (con alto tasso di falsi positivi, ad esempio).
Il modo per ovviare ad alcune di queste carenze è quello di utilizzare la tecnologia 3D. Il riconoscimento facciale 3D si ottiene attraverso una tecnica chiamata “lidar”, che è simile al sonar (usato in campo marittimo). In sostanza, i dispositivi di scansione del viso (es. l’iPhone), proiettano una sorta di impulso laser sul viso; questo impulso si riflette sul viso e viene ripreso da una fotocamera IR (InfraRed) presente nel dispositivo. La fotocamera IR del telefono misura quanto tempo ci vuole perché ogni bit di luce IR rimbalzi dal viso e ritorni sul dispositivo. Naturalmente, la luce che si riflette dal naso avrà un percorso più breve della luce che si riflette dalle orecchie, e la telecamera IR utilizza queste informazioni per creare una mappa di profondità unica dell’intero viso. Se utilizzata insieme alla tecnologia 2D, la tecnologia 3D può aumentare significativamente la precisione del software di riconoscimento facciale, diminuendo al contempo la possibilità di incorrere in falsi positivi.
Per risolvere il problema del riconoscimento facciale 2D “al buio” è possibile utilizzare una termocamera. Differentemente dalla lidar, le termocamere non emettono luce IR, ma semplicemente rilevano la luce IR emessa dagli oggetti. Gli oggetti caldi emettono moltissima luce IR, mentre gli oggetti freddi ne emettono una quantità trascurabile. Le più tecnologiche termocamere sono in grado di rilevare anche sottili differenze di temperatura su una superficie, il che è l’ideale per il riconoscimento facciale. Ci sono diversi modi per identificare un volto mediante termocamera. Tutte queste tecniche sono incredibilmente complicate, ma condividono alcune somiglianze fondamentali, di seguito accennate.
- Sono necessarie foto multiple: una termocamera scatta foto multiple del volto di un soggetto. Ogni foto si concentra su un diverso spettro di luce IR (onde lunghe, corte e medie). Tipicamente, lo spettro ad onde lunghe fornisce i maggiori dettagli.
- Determinano la “mappatura” dei vasi sanguigni: le immagini IR possono anche essere utilizzate per estrarre la formazione di vasi sanguigni nel volto di una persona. Le mappe dei vasi sanguigni possono essere utilizzate come impronte digitali facciali uniche. Possono anche essere utilizzate per trovare la distanza tra gli organi facciali (nel caso in cui le tipiche immagini termiche producessero immagini scadenti) o per identificare contusioni e cicatrici.
- Il soggetto può essere identificato in maniera efficace: un’immagine composita viene creata utilizzando immagini IR multiple. Questa immagine composita può quindi essere confrontata con un database facciale per identificare il soggetto.
Il riconoscimento facciale termico è di solito usato in campo militare. Inoltre, la termo immagine non funziona bene di giorno (o in ambienti generalmente ben illuminati, l’esatto opposto della tecnologia 2D che “rifugge dalla notte”), quindi non ha molte potenziali applicazioni al di fuori dell’ambito militare.
Alcuni casi e relative problematiche
Australia e riconoscimento facciale
In materia di riconoscimento facciale, l’Australia sta lentamente – ma senza sosta – procedendo verso un uso massivo di tale tecnologia. Negli ultimi anni, qualsiasi foto scattata in occasione dell’ottenimento della patente di guida ovvero in caso di rilascio/rinnovo del passaporto, è stata automaticamente trasferita verso una nuova – grande – rete nazionale che il governo di Canberra sta creando. Gli Stati australiani di Victoria e Tasmania hanno già iniziato a caricare i dati delle patenti di guida in propri database locali, i quali saranno collegati al futuro database nazionale in costituzione. Tale database nazionale è subordinato ad un disegno di legge federale in discussione in questi mesi. Nel dettaglio sarà permesso alle agenzie governative e alle imprese private “autorizzate” di utilizzare i documenti caricati nel database nazionale (anche fototessere) per procedere con lo “sfruttamento” di tali documenti ai fini del riconoscimento facciale degli interessati. D’altro canto il Dipartimento degli Affari Interni di Canberra stima che – a fronte di un costo annuale di 2,2 miliardi di dollari spesi nella lotta contro i furti d’identità – l’introduzione di un riconoscimento facciale “di stato” contribuirebbe a prevenire questo genere di reati. Tale tecnologia è già utilizzata da diverse agenzie governative e aziende, con migliaia di controlli solo nel 2017.
Ma accanto al servizio di verifica dei documenti, verrebbe introdotto un servizio di identificazione facciale per le forze dell’ordine australiane. Quasi tutti i governi territoriali australiani hanno aggiornato le loro normative sulle patenti di guida in previsione del “grande database nazionale”, mentre le persone che ottengono il passaporto firmano un modulo in cui si afferma che le loro fotografie (fototessere) saranno utilizzate a fini di corrispondenza biometrica.
Dal fronte opposto, i “sostenitori della privacy” australiani affermano che la nuova legislazione manca di proporzionalità, e che i benefici non sono tali da giustificare l’intrusione nella vita privata delle persone con tale – massivo – trattamento di dati biometrici. La “Australian Privacy Foundation” (APF) afferma che la prospettiva è altamente invasiva, perché il sistema potrebbe essere integrato in una serie di altri sistemi che raccolgono i dati del viso, compresa la videosorveglianza.
Questa sorta di “sorveglianza massiva” potrebbe sembrare una sorta di futuro lontano, ma quando nel 2018 nello stato del Queensland si sono disputati i “Commonwealth Games”, la polizia dello stato ha testato un software di riconoscimento facciale abbinato alla videosorveglianza, preordinato all’identificazione di alcuni obiettivi di alto profilo tra la grande quantità di spettatori presenti all’evento. Tuttavia, la polizia è stata in grado di trovare solo cinque persone su 268 collegate al sistema. Rimangono – infatti – i problemi connessi ai falsi positivi, che minano costantemente l’efficacia e l’affidabilità dei sistemi di riconoscimento facciale. Proprio in merito a questo problema, la “Australian Human Rights Commission” afferma che la tecnologia di riconoscimento facciale rimane inaffidabile. Se la polizia usasse informazioni imprecise mediante l’uso di questa tecnologia, potrebbero anche esserci conseguenze drastiche per la persona interessata, tra cui l’essere detenuti arbitrariamente e l’assenza di un processo equo.
Come se la questione dei falsi positivi non fosse abbastanza, il “Human Rights Law Centre” ha osservato che il “NEC Neoface”, una tecnologia di riconoscimento facciale separata utilizzata da agenzie federali e da alcune forze di polizia statale e territoriale, non è stata testata per la precisione su gruppi etnici diversi, il che significa che i tassi di identificazione errata delle minoranze etniche sono potenzialmente sproporzionati. Correndo ai ripari, il Dipartimento degli Affari Interni australiano afferma di star conducendo alcuni test per la messa a punto di software per il riconoscimento facciale che possano evitare tali problemi; inoltre i risultati della corrispondenza viso-persona saranno rivisti da esperti di riconoscimento facciale “addestrati” per prevenire i falsi positivi e le difformità su base etnica. Secondo tale Dipartimento, le decisioni che servono a identificare una persona non saranno mai prese dalla sola tecnologia, evitando il trattamento “totalmente” automatizzato. Lo schema proposto dal governo federale sarebbe – quindi – un processo a carattere “misto”: manuale ed automatizzato. Il sistema in uso presso le forze dell’ordine richiede che una persona invii manualmente l’immagine di una persona e controlli le possibili corrispondenze, evitando i falsi positivi. Tuttavia, guardando ai “contro” della tecnologia, mancherebbero risorse adeguate per “foraggiare” tale tecnica, nonché per finanziare l’assunzione ed il mantenimento di personale sufficientemente addestrato di supporto all’utilizzo del riconoscimento facciale.
Infine, secondo la “Civil Liberties Australia”, è solo una questione di tempo prima che la combinazione di servizi cloud, l’acquisizione video mobile ad alta definizione (compresi gli smartphone) e l’analisi dei Big Data renda possibile una tale sorveglianza in tempo reale, economica e allettante sul territorio australiano.
Hong Kong, proteste e riconoscimento facciale
A Hong Kong, lo scorso agosto, alcuni manifestanti che protestavano a favore della democrazia sono stati ripresi nell’atto dell’abbattimento di un lampione “smart” – ossia dotato di videosorveglianza con riconoscimento facciale – mediante una sega elettrica. Si trattava (e si tratta) di una “lotta” contro la sorveglianza governativa, causata dal timore che tale tecnologia potesse essere utilizzata per l’identificazione degli attivisti da parte della Cina.
A causa della presenza di numerosi e super invasivi sistemi di controllo, il problema del riconoscimento facciale nella provincia autonoma cinese sta diventando via via più serio. Parte delle proteste, che durano da mesi, sono connesse alle preoccupazioni che tali lampioni “intelligenti” possano contenere telecamere ad alta tecnologia e software di riconoscimento facciale utilizzati direttamente dalle autorità cinesi per la sorveglianza dei cittadini di Hong Kong. Secondo uno degli organizzatori della protesta le informazioni riservate del popolo di Hong Kong sono già state estradate in Cina, il tutto affiancato da alcuni progetti che comporteranno l’installazione di 400 ulteriori lampioni intelligenti su tutto il territorio dell’ex colonia britannica.
Ironia della sorte (ma prevedibile), dall’altro “lato della barricata”, le aziende cinesi che sviluppano soluzioni di riconoscimento facciale sono in rapida crescita. Secondo la Reuters, la società Megvii di Pechino “punta a ricavi di almeno 500 milioni di dollari e potrebbe raccogliere fino a 1 miliardo di dollari” nei prossimi mesi. L’azienda è una delle principali “punte di diamante” del Dragone Rosso nel campo dell’Intelligenza Artificiale, insieme a SenseTime, Yitu e CloudWalk. Megvii fornisce la sua tecnologia di riconoscimento facciale a diversi clienti commerciali, con una tecnologia che spazia dalla sicurezza urbana a quella dei pagamenti finanziari.
La Cina, con la sua potenza tecnologica commerciale, ha dato il via ad una sorta di “Guerra Fredda” nel campo dell’Intelligenza Artificiale. A questo proposito, ci troviamo di fronte a un dilemma, poiché la Cina ha da un lato una fiorente base tecnologica, dall’altro un’assenza di vincoli circa il rispetto della vita privata delle persone. Questo significa che negli Stati Uniti ed in Europa diventerà sempre più difficile per le aziende di Intelligenza Artificiale competere tecnicamente con l’implacabile macchina di esportazione cinese. Una situazione ulteriormente esacerbata da ciò che sta accadendo nella provincia “ribelle” dello Xinjiang, dove la tecnologia cinese è ampiamente utilizzata per la sorveglianza ed il controllo della popolazione.
Stati Uniti d’America
Anche nella “patria delle libertà”, l’uso della tecnologia di riconoscimento facciale è in costante aumento. Un recente rapporto di “Fight for the Future” ha esaminato la frequenza con cui le forze dell’ordine americane utilizzano software per la scansione di milioni di foto di cittadini, spesso a loro insaputa o senza il loro consenso.
Alcuni esempi: in diversi stati, tra cui Texas, Florida e Illinois, l’FBI scansiona i database fotografici delle patenti di guida USA con tecnologia di riconoscimento facciale senza il consenso dei cittadini, trasformando i database dipartimentali dei veicoli a motore in una vera e propria infrastruttura di sorveglianza senza precedenti.[5]. In molti aeroporti statunitensi, la polizia di frontiera utilizza attualmente il riconoscimento facciale per controllare i passeggeri dei voli internazionali. E in città come Baltimora, la polizia ha utilizzato un software di riconoscimento facciale per identificare e arrestare gli individui durante alcune proteste.
Molti dipartimenti di polizia statunitensi sono “ansiosi” di utilizzare gli strumenti di riconoscimento facciale, affermando che possono aiutarli a identificare e arrestare i criminali in modo più efficiente. Lo scorso anno, la polizia del Maryland ha utilizzato tale tecnologia per aiutare ad identificare correttamente il sospetto di una sparatoria. La Homeland Security ha sostenuto che tale tecnologia può aiutare il governo a controllare più rapidamente i viaggiatori e ad effettuare controlli nel campo dell’immigrazione. Tuttavia, i critici della sorveglianza massiva temono che l’uso pervasivo della tecnologia di riconoscimento facciale potrebbe avere un effetto dannoso sulla libertà di parola, poiché la gente potrebbe sentirsi costantemente osservata. Ed il rischio di una “deriva cinese” nell’uso di tale tecnologia è dietro l’angolo.
Infine, è di pochi giorni fa la notizia dell’implementazione del riconoscimento facciale da parte della polizia di frontiera statunitense al confine col Messico. In particolare, il sistema consiste in “body cam” – ossia telecamere indossate sulla divisa – con software di cloud storage e di gestione video che dovrebbero aiutare gli agenti di frontiera nel contrasto al contrabbando ed all’immigrazione clandestina.[6]
Francia
La Francia è destinata a diventare il primo paese europeo ad utilizzare la tecnologia di riconoscimento facciale “di Stato” con l’obiettivo – a detta del governo – di fornire ai cittadini un’identità digitale sicura. Anche se la posta in gioco – in termini di protezione dei dati personali – è alta.
Il governo del presidente Emmanuel Macron sta per lanciare un programma di identificazione, chiamato Alicem, dopo una fase sperimentale durata sei mesi. Alicem è un acronimo che potrebbe essere tradotto come “autenticazione online certificata su dispositivo mobile”, e in soldoni risulta essere una’app che permetterà (a detta del governo), a chiunque deciderà di usarlo, di provare la propria identità su internet in modo sicuro. Il suo funzionamento è il seguente: l’app legge il chip presente sul passaporto elettronico dell’interessato, ed incrocia con sistema biometrico la foto con i dati dell’utente presenti sul suo dispositivo mobile, per convalidare l’identità. Una volta confermato, l’utente può accedere a una serie di servizi pubblici senza ulteriori controlli da parte delle autorità. Il governo francese ha affermato che i filmati utilizzati per il riconoscimento facciale saranno cancellati “entro pochi secondi” dalla registrazione dell’utente.
Tuttavia l’autorità privacy francese CNIL, ha già avvertito che il programma del governo viola alcune disposizioni del GDPR, poiché il sistema – così concepito – non fornisce alternative al riconoscimento facciale per accedere a determinati servizi. Avvertimenti che si sommano ai timori circa la comprovata debolezza delle app di Stato francesi. Proprio nel 2019 un hacker ha impiegato poco più di un’ora per entrare in un’app di messaggistica governativa dichiarata “sicura”.
La Francia sta seguendo una tendenza globale verso le “identità digitali” che sbloccano l’accesso sicuro a una gamma di servizi che vanno dai conti bancari alle dichiarazioni dei redditi.
Regno Unito
Discorso diverso è per il Regno Unito, dove sembra che vi sia in atto un’autentica “epidemia” circa l’uso del riconoscimento facciale: centri commerciali, musei, centri congressi, nonché indefiniti spazi privati, tutti interessati dall’uso di questa tecnologia.
Un’indagine dell’organizzazione britannica Big Brother Watch (BBW) ha scoperto che le aziende private del Regno Unito alimentano il propagarsi dell’uso del riconoscimento facciale. Il BBW ha pubblicato i risultati il giorno dopo che l’autorità privacy britannica ICO ha annunciato l’apertura di un’indagine sull’uso del riconoscimento facciale in un nuovo importante centro commerciale nel centro di Londra. Anche il sindaco di Londra Sadiq Khan ha sollevato alcuni interrogativi sulla liceità del riconoscimento facciale, principalmente nel sito privato di Granary Square (27 ettari sorvegliati), dopo che i proprietari hanno ammesso di utilizzare tale tecnologia “nell’interesse della pubblica sicurezza”. BBW ha dichiarato di aver scoperto che in molte parti del Regno Unito vi è un uso massivo del riconoscimento facciale senza l’utilizzo di idonee informazioni che avvertano gli interessati.
Altri casi riguardano il centro commerciale Meadowhall di Sheffield, che avrebbe esaminato più di 2 milioni di visitatori con un test sul riconoscimento facciale effettuato in collaborazione con la polizia; i dati sarebbero stati cancellati immediatamente dopo la fine del test. Al Trafford Centre di Manchester è stato vietato dall’ICO l’uso di un sistema di riconoscimento facciale che avrebbe potuto scansionare circa 15 milioni di visitatori. Al Museo Mondiale di Liverpool sono stati analizzati i volti dei visitatori durante una mostra sulla storia cinese (ironico!) nel 2018: il gruppo che riunisce i musei nazionali di Liverpool sta attualmente testando la fattibilità di utilizzare una tecnologia simile in futuro in maniera estesa. A Birmingham, il centro conferenze Millennium Point ha rivelato nella sua privacy policy di aver utilizzato il riconoscimento facciale su richiesta delle forze dell’ordine; l’area intorno al centro è stata teatro di manifestazioni di sindacalisti e attivisti antirazzisti. Anche in diversi casinò e centri scommesse britannici vi è l’uso della sorveglianza mediante riconoscimento facciale.
Tuttavia nel luglio del 2019, la Camera dei Comuni ha affermato che le autorità dovrebbero cessare i test connessi all’uso del riconoscimento facciale fino a quando non vi sarà un quadro giuridico in materia. Infine, in un rapporto sull’approccio del governo alla biometria, alcuni parlamentari della Camera dei Comuni hanno fatto riferimento ad un test sul riconoscimento facciale da parte della Metropolitan Police e della polizia del South Wales, rilevando seri interrogativi sull’accuratezza e sulla parzialità di tale tecnica.
Norme privacy per limitare il riconoscimento facciale: il Gdpr
Il GDPR – Regolamento UE 2016/679 – risulta essere il più grande ed importante argine normativo a quel “fiume in piena” rappresentato dall’uso del riconoscimento facciale (e dall’uso della biometria massiva in generale). Il riconoscimento facciale permette di raccogliere informazioni sulle caratteristiche facciali di una persona e sulla sua classificazione sotto forma di dati (particolari) biometrici.
L’Art. 9.1 GDPR elenca quelli che sono i dati particolari (“più meritevoli di tutela”, tra i quali prevalentemente “già sensibili” ai sensi del “vecchio” Codice Privacy): dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
L’Art. 4 n. 14) GDPR scende nel dettaglio, definendo i dati biometrici come i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;
Infine il Considerando 51 GDPR specifica che “il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione di una persona fisica”.
Per trattare correttamente (e legalmente) i dati biometrici è necessario utilizzare una delle basi giuridiche previste dall’Art. 9.2 GDPR, tra le quali “spicca” il consenso esplicito dell’interessato.
Vediamo, di seguito, i punti fondamentali per la necessaria compliance al GDPR.
Il consenso dell’interessato
Nel caso di optasse per l’utilizzo della base giuridica del consenso, questo deve soddisfare non solo i requisiti dell’Art. 9 GDPR (esplicito), ma anche dell’Art. 7 GDPR.
Secondo il punto 4 delle Linee Guida WP259, il consenso esplicito è richiesto in talune circostanze nelle quali emergono gravi rischi per la protezione dei dati e in cui si ritiene quindi appropriato un livello elevato di controllo individuale sui dati personali (il riconoscimento facciale è tra queste). In base al GDPR, prerequisito per l’ottenimento di un consenso “conforme” è una “dichiarazione o un’azione positiva inequivocabile”. Il termine esplicito si riferisce al modo in cui il consenso è espresso dall’interessato e significa che l’interessato deve fornire una dichiarazione esplicita di consenso. Un modo ovvio per assicurarsi che il consenso sia esplicito consisterebbe nel confermare espressamente il consenso in una dichiarazione scritta. Se del caso, il titolare del trattamento potrebbe assicurarsi che la dichiarazione scritta sia firmata dall’interessato, al fine di dissipare tutti i possibili dubbi e la potenziale mancanza di prove in futuro. Nel contesto digitale o online, l’interessato può acconsentire esplicitamente compilando un modulo elettronico, inviando un’e-mail, caricando un documento scansionato con la propria firma oppure utilizzando una firma elettronica e così via.
Secondo l’Art. 7 GDPR la richiesta di consenso, se prestata nel contesto di una dichiarazione scritta che riguarda anche altre questioni, è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato è informato di ciò (si veda il Capo 3 del GDPR). Il consenso è revocato con la stessa facilità con cui è accordato.
Una Valutazione di Impatto (DPIA) ad hoc per il riconoscimento facciale
La Valutazione di Impatto (DPIA) prevista dagli artt. 35 e 36 GDPR è fondamentale per identificare e ridurre al minimo il rischio per i dati personali nell’ambito dell’utilizzo del riconoscimento facciale. La DPIA si configura come un’autonoma valutazione che il Titolare del trattamento pone in essere per analizzare la necessità, la proporzionalità e i rischi di un determinato trattamento dati per i diritti e le libertà delle persone fisiche.
È richiesta obbligatoriamente in tre casi:
- quando si procede ad una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
- quando si è in presenza di un trattamento, su larga scala, di categorie particolari di dati personali di cui all’art. 9.1 GDPR (dati particolari), ovvero di dati relativi a condanne penali e a reati di cui all’art. 10 GDPR;
- la sorveglianza sistematica su larga scala di una zona accessibile al pubblico (es. videosorveglianza su larga scala)
Secondo le Linee Guida WP248 per determinare se un trattamento è svolto su larga scala si deve far riferimento al numero degli interessati, al volume di dati e/o tipologie di dati, alla durata dell’attività di trattamento e all’ambito geografico dell’attività di trattamento.
La DPIA deve contenere:
- una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal Titolare del trattamento;
- una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
- una valutazione dei rischi per i diritti e le libertà degli interessati:
- nonché le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al GDPR, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
Anonimizzazione o pseudonimizzazione dei dati
Un metodo per proteggere i dati trattati con tecnologia a riconoscimento facciale è quello di renderli del tutto anonimi, rendendo impossibile determinare a quale interessato si riferiscano. Si può prendere in considerazione la rimozione del nominativo prima che vengano registrati in un database. Il software di anonimizzazione dei dati può essere utilizzato per creare un alto livello di sicurezza. Se l’anonimizzazione non si dimostrasse pratica è possibile procedere con la pseudonimizzazione – tecnica che consiste nel trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile (Art. 4 n. 5 GDPR).
Garantire la sicurezza dei dati
Il GDPR richiede “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio” (Art. 32 GDPR). Tra le misure adottabili vi sono le seguenti.
- Avere una strategia di Data Loss Prevention (DLP) ben ponderata.
- Creare un piano di Disaster Recovery a prova di errore. Il GDPR richiede alle aziende “la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico”.
- Avere una politica di backup dei dati conforme al GDPR: Il backup non solo è necessario per la portabilità dei dati (Art. 20 GDPR), ma anche per il diritto alla cancellazione (Art. 17 GDPR). In altre parole, il backup deve ripristinare rapidamente le informazioni, ma – se richiesto dall’interessato – sarà necessario rimuovere tutti i dati dai backup.
Gli interventi “contenitivi”: la sanzione del garante privacy svedese
L’autorità privacy svedese, lo scorso agosto è intervenuta sanzionando una scuola con l’equivalente di quasi 19.000€, la sua prima sanzione ai sensi del GDPR.
Una scuola superiore aveva implementato un sistema per la rilevazione delle presenze degli studenti con tecnologia di riconoscimento facciale. La scuola ha utilizzato un software di riconoscimento facciale tramite telecamere “intelligenti” per catturare e registrare le presenze degli studenti. Lo scopo era stato quello di semplificare ulteriormente le operazioni e automatizzare la registrazione giornaliera delle classi, un compito che generalmente richiedeva 10 minuti per classe. Tuttavia la scuola ha giustificato l’implementazione del riconoscimento facciale con un risparmio di circa 18000 euro l’anno (ironicamente, quasi quanto l’entità della sanzione in euro).
I dati biometrici sono stati catturati dalle telecamere sotto forma di fotografie dei volti degli studenti, abbinati ai loro nominativi. Le informazioni sono state memorizzate in un computer senza connessione internet; computer che è stato conservato in un armadio chiuso a chiave. Il consenso esplicito è stato raccolto dai legali rappresentanti degli studenti (poiché minorenni) ed è stato possibile non partecipare a “l’esperimento”. Tuttavia, non è stata effettuata nessuna DPIA né una consultazione preventiva presso l’autorità privacy svedese.
Secondo l’autorità privacy di Stoccolma la scuola ha – quindi – violato gli artt. 5, 9, 35 e 36 del GDPR.
Violazione dell’Art. 5 GDPR
L’art. 5.1 lett. b) GDPR stabilisce che i dati personali sono raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità (limitazione delle finalità). Inoltre, i dati personali trattati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (Art. 5.1 lett. c GDPR – minimizzazione dei dati).
L’autorità privacy svedese ha rilevato che, anche se pochi studenti erano preoccupati e il periodo del trattamento limitato nel tempo, l’uso del riconoscimento facciale ha rappresentato una grande intrusione nella privacy degli studenti. Inoltre, la registrazione delle presenze in classe poteva essere effettuata in modi meno invasivi: quindi l’uso del riconoscimento facciale è risultato sproporzionato rispetto allo scopo.
Violazione dell’Art. 9 GDPR
L’autorità privacy svedese ha affermato che il consenso non potesse essere utilizzato come base giuridica, in quanto lo stesso non poteva essere considerato “volontario”. Quindi mancherebbero le stesse “colonne portanti” di cui all’Art. 7 GDPR. Inoltre la scuola aveva avanzato la possibilità di utilizzo della base giuridica dell’interesse pubblico rilevante: bocciato dall’autorità.
Violazione degli Artt. 35 e 36 GDPR
La scuola aveva effettuato una sorta di “valutazione dei rischi”, in cui sosteneva la non sussistenza di rischi elevati per le persone interessate. Tuttavia, non è stata effettuata alcuna DPIA. L’autorità privacy svedese ha rilevato che la valutazione del rischio non comprendeva una valutazione dei rischi per i diritti e le libertà degli interessati, nonché un resoconto della proporzionalità del trattamento in relazione alle sue finalità. Inoltre, precisa l’autorità, la DPIA era necessaria in quanto la sorveglianza con telecamere intelligenti è una sorveglianza sistematica che include informazioni personali “sensibili”, in questo caso su bambini in un ambiente a loro riservato.
Smartphone e riconoscimento facciale
L’utilizzo della tecnologia “intelligente” del Riconoscimento Facciale su dispositivi di uso personale come smartphone, tablet e PC è diventato comune per larga parte dell’utenza (privata o aziendale) interessata. Tale tecnologia, è vero, può apparire ancora come “futuristica”; tuttavia lo è solo in apparenza. Basti pensare a come il riconoscimento facciale utilizzato dalla maggior parte degli smartphone in commercio nel 2021 abbia mandato “in soffitta” l’utilizzo di PIN e password, utilizzati (con maggior sicurezza) fino a pochi anni fa. Tuttavia, anche con il crescente avanzamento dello sviluppo tecnologico, è necessario essere edotti che non tutte le implementazioni del Riconoscimento Facciale sono uguali. Alcune tecniche sono intrinsecamente più sicure di altre, mentre alcune offrono impostazioni “ulteriori” che riducono le possibilità di falsi positivi o falsi negativi (ad es. non permettendo l’accesso di “intrusi” al proprio dispositivo).
Riconoscimento facciale tramite fotocamera
Come suggerisce il nome, questa tecnica si basa sulle camere frontali – presenti in prossimità dello schermo di larga parte dei dispositivi in commercio – per identificare il volto del proprietario del device. Praticamente tutti gli smartphone Android hanno incluso questa funzione dal rilascio di Android 4.0 nel 2011. E ben prima che i sensori di impronte digitali (fingerprint) fossero così diffusi come lo sono oggi, rendendolo – di fatto – la prima opzione di sblocco biometrico. Il modo in cui funziona il riconoscimento mediante fotocamera è piuttosto semplice: quando si attiva la funzione per la prima volta (es. al momento della prima accensione del device), il dispositivo chiede all’utente di catturare immagini del suo viso, anche più volte e da diverse angolazioni; successivamente il dispositivo utilizza un algoritmo software per estrarre le caratteristiche facciali dell’utente e le memorizza per “riferimenti futuri”.
Da quel momento in poi, ogni volta che qualcuno tenterà di sbloccare il dispositivo, il dispositivo confronterà i tratti somatici “di chi ha di fronte” con i dati di riferimento archiviati nel device. E il tutto si gioca sul terreno della precisione. Quest’ultima dipende principalmente dagli algoritmi software utilizzati: più essi sono precisi, più il riconoscimento sarà efficace e (quasi) esente da pregiudizi (bias). E il tutto diventa ancora più complicato quando i dispositivi devono tenere conto di variabili come le diverse condizioni di luce, i cambiamenti di aspetto e l’uso di accessori di bellezza come cappelli, occhiali, gioielli e persino maschere. Le implementazioni di riconoscimento facciale basate sull’uso delle fotocamere dei dispositivi devono trovare un attento equilibrio tra precisione e velocità. Mentre Android stesso offre API di riconoscimento facciale, i produttori di smartphone hanno sviluppato soluzioni personalizzate nel corso degli anni. Nel complesso, l’obiettivo è stato quello di migliorare la velocità di riconoscimento del dispositivo senza “sacrificare” troppo la precisione. Tuttavia, alcune implementazioni potrebbero essere ingannati ad accettare anche “sconosciuti”.
Riconoscimento facciale a infrarossi: l’opzione più sicura
Mentre la maggior parte dei dispositivi possiedono una fotocamera frontale, il riconoscimento facciale a infrarossi richiede la presenza di un hardware aggiuntivo. Tuttavia, non tutte le soluzioni di riconoscimento facciale a infrarossi sono uguali. Il primo tipo di riconoscimento facciale basato sugli infrarossi comporta lo scatto di una foto bidimensionale del viso dell’utente, simile al metodo precedente, ma nello “spettro” degli infrarossi. Il vantaggio principale è che le telecamere a infrarossi non hanno bisogno che il viso sia ben illuminato e possono funzionare anche in ambienti poco illuminati. Sono anche molto più resistenti ai tentativi di intrusione da parte di soggetti non autorizzati, poiché le telecamere a infrarossi utilizzano l’energia termica o il calore per formare un’immagine.
I sensori a infrarossi possono rilevare le caratteristiche facciali degli utenti anche in ambienti poco illuminati. E nonostante il Riconoscimento facciale ad infrarossi 2D (bidimensionale) è già un passo avanti rispetto ai metodi tradizionali basati sulla fotocamera (visti nel punto precedente), vi sono anche soluzioni migliori sul mercato. Il Face ID di Apple, per esempio, utilizza una serie di sensori per catturare una rappresentazione tridimensionale del viso dell’utente (Riconoscimento 3D); e lo fa utilizzando un illuminatore e un proiettore di punti per proiettare migliaia di piccoli punti invisibili sul viso dell’utente. Un sensore a infrarossi misura successivamente come sono disposti i punti e crea una mappa di profondità del viso dell’utente. Ci sono due vantaggi nei sistemi 3D: Possono lavorare al buio e sono molto più difficili da ingannare. Mentre i sistemi a infrarossi 2D cercano solo il calore, quelli 3D “richiedono” anche informazioni sulla profondità. Naturalmente, quest’ultima è impossibile da ottenere senza che il potenziale intruso si procuri una figura protesica molto accurata che sostituisca il viso dell’utente proprietario del dispositivo.
Il riconoscimento facciale basato su infrarossi è molto più sicuro. E se l’utente decidesse comunque di usare il riconoscimento facciale basato sulla fotocamera del dispositivo, è necessario tener presente che la maggior parte dei produttori di dispositivi non permette di usarlo per applicazioni più “sensibili” (tipo quelle bancarie). Su Android, per esempio, il programma di certificazione Google Mobile Services impone soglie minime di sicurezza per vari metodi di autenticazione biometrica. Meccanismi di sblocco meno sicuri, come lo sblocco facciale basato su fotocamera, sono classificati come una “comodità”. In poche parole, non è possibile utilizzarli per l’autenticazione con APP come Google Pay o – come anticipato – con APP di istituti di credito. Apple, invece, è così sicura dell’affidabilità del suo “riconoscimento tridimensionale” da trattare il suo Face ID alla pari dei sensori di impronte digitali e delle password. Apple, infatti, permette di utilizzarlo non solo per sbloccare il proprio dispositivo, ma anche per riempire automaticamente i campi delle password e autorizzare i pagamenti.
Data la natura controversa del riconoscimento facciale, ci si potrebbe chiedere se memorizzare i propri dati biometrici elettronicamente sia o meno una buona idea. La buona notizia è che non c’è da preoccuparsi, poiché la maggior parte dei sistemi operativi che supportano i metodi di sblocco biometrico impiegano misure specifiche per garantire che le informazioni “sensibili”, comprese le proprie caratteristiche facciali e le impronte digitali, siano memorizzate in modo sicuro. Negli smartphone i dati biometrici sono tipicamente criptati e isolati in un pezzo di hardware resistente alla sicurezza all’interno del “sistema su circuito integrato” (system-on-a-chip, SoC) del dispositivo. Qualcomm, uno dei maggiori produttori di chip per smartphone Android al mondo, include una Secure Processing Unit nei suoi SoC. Apple, invece, ha etichettato il sottosistema sicuro del suo SoC “Secure Enclave”. In altre parole, le applicazioni di terze parti non possono accedere ai dati biometrici dei dispositivi e nemmeno un potenziale intruso potrà farlo (nella maggior parte dei casi).
Riconoscimento facciale e indagini di polizia
Nell’ultimo decennio il Riconoscimento facciale ha trovato il suo naturale habitat applicativo nella prevenzione e nel perseguimento dei reati da parte delle forze di polizia. Un utilizzo, quello degli inquirenti di mezzo mondo, che ha sollevato e continua a sollevare numerose polemiche, sul fronte della protezione della privacy e dei dati personali, nonché dei pregiudizi insiti nella tecnologia dell’Intelligenza Artificiale (“bias”, come ad es. quelli razziali). Nonostante i diversi “anni di vita”, il Riconoscimento Facciale è una tecnologia relativamente nuova, introdotta dalle forze dell’ordine di numerosi paesi per identificare le persone “di interesse” per la giustizia. Normalmente un sistema di Riconoscimento Facciale utilizzato dai dipartimenti di polizia contiene immagini facciali ricevute da più di 179 paesi (ossia la quasi totalità delle nazioni mondiali), il che lo rende un database criminale globale unico. Abbinato ad un’applicazione software biometrica automatizzata, questo sistema è in grado di identificare o verificare una persona confrontando e analizzando i diversi modelli, le forme e le proporzioni dei suoi tratti e contorni facciali. Basti pensare che nel caso del software utilizzato dall’Interpol quasi millecinquecento terroristi, criminali, fuggitivi e persone scomparse sono state identificate dal lancio del sistema di riconoscimento facciale di Interpol alla fine del 2016.
A differenza delle impronte digitali e del DNA, che non cambiano durante la vita di una persona, il riconoscimento facciale deve prendere in considerazione diversi fattori, come quello di “lavorare” con immagini di buona qualità (che è fondamentale). Immagini di bassa o media qualità possono non essere ricercabili nei sistemi e, se ove lo fossero, la precisione della ricerca e i risultati stessi potrebbero esserne significativamente influenzati. Una fototessera standard, ad esempio, sarebbe l’ideale, in quanto si tratta di un’immagine frontale del soggetto, con un’illuminazione uniforme sul viso e con uno sfondo neutro.
Prendendo in esame lo strumento utilizzato dall’Interpol, quando un’immagine facciale (immagine sonda) viene inserita nel sistema dell’organizzazione internazionale di polizia criminale essa viene automaticamente codificata da un algoritmo e confrontata con i profili già memorizzati nel sistema. Il risultato è una lista di “candidati” con le corrispondenze più probabili. L’Interpol dichiara di eseguire sempre un processo manuale (Face Identification) per verificare i risultati prodotti dal sistema in automatico. Funzionari qualificati ed esperti dell’organizzazione esaminano attentamente le immagini per trovare caratteristiche uniche che possono condurre ai risultati (identificato, potenziale tale, inconcludente). Queste informazioni vengono poi trasmesse ai paesi che hanno fornito le immagini e a quelli che sarebbero interessati dal profilo o da una corrispondenza. Tutte le immagini dei volti contenute negli avvisi e nelle diffusioni richieste dai paesi membri sono ricercate e memorizzate nel sistema di riconoscimento facciale di Interpol, a condizione – tuttavia – che soddisfino i rigorosi criteri di qualità necessari al riconoscimento. I paesi membri possono anche richiedere una “sola ricerca” nel sistema, per esempio, per effettuare un controllo su una persona negli aeroporti o altri passaggi di frontiera. I risultati vengono restituiti rapidamente per consentire un’azione di follow-up immediata, con conseguente non registrazione delle immagini nel sistema. Poiché questa tecnologia di confronto biometrico computerizzato è ancora agli inizi, nella maggior parte dei paesi, gli standard e le migliori pratiche sono ancora in fase di creazione, e Interpol sta contribuendo a questo scopo.
Ogni due anni, l’Interpol tiene l’International Fingerprint and Face Symposium, occasione che fornisce un’opportunità agli esperti di tutto il mondo di condividere le best practice e gli ultimi sviluppi nel campo del riconoscimento facciale (comprese le riunioni biennali di gruppi di lavoro di esperti del settore). Tale gruppo di esperti ha prodotto documenti sulle best practice in materia di qualità, formato e trasmissione delle immagini dei volti per promuovere un riconoscimento accurato ed efficace. E al contempo Interpol incoraggia fortemente i paesi membri dell’organizzazione a utilizzare il servizio di riconoscimento facciale di Interpol e a seguire le raccomandazioni della medesima organizzazione. Mentre i sistemi di riconoscimento facciale hanno un enorme potenziale se utilizzati per la sicurezza nazionale, essi – al contempo – richiedono una solida struttura di governo per proteggere i diritti umani e i dati personali degli interessati. Interpol, insieme al World Economic Forum (WEF), l’Interregional Crime and Justice Research Institute delle Nazioni Unite (UNICRI) e alla polizia nazionale dei Paesi Bassi, ha progettato un quadro politico per promuovere l’uso responsabile e trasparente della tecnologia di riconoscimento facciale nelle indagini di polizia in tutto il mondo.
Riconoscimento facciale e SPID
Com’è noto, per attivare lo SPID, che permette ai cittadini di usufruire di numerosi servizi digitali della Pubblica Amministrazione (si pensi alla verifica del Green Pass o alla consultazione del proprio Fascicolo Sanitario Elettronico), con alcuni gestori – gratuitamente o a pagamento – è possibile procedere con il riconoscimento facciale “da remoto”, ossia tramite la fotocamera del dispositivo in uso da parte dell’utente (es. smartphone). Tale modalità di riconoscimento c.d. “via webcam” permette all’utente di attivare il servizio mediante operatore “che lo intervista” da remoto – previa verifica di un documento di riconoscimento in corso di validità e/o di tessera sanitaria –, evitando così il recarsi presso gli uffici preposti (si può evitare, ad esempio, di recarsi presso gli uffici postali nel caso di attivazione di “PosteID”). A differenza del riconoscimento con Intelligenza Artificiale (come, ad esempio, la già citata autenticazione biometrica per l’accesso al dispositivo), il riconoscimento per l’attivazione dello SPID – come succede anche per talune APP bancarie – vede la presenza dell’operatore connesso da remoto, che interagisce con l’utente abbinando il riconoscimento del viso con il riconoscimento del documento di identità; ed in più, cosa non irrilevante, vi è un vero e proprio colloquio tra le parti che “abbina” le voci ai volti dei “partecipanti”.
Riconoscimento facciale di Google
Google utilizza il Riconoscimento Facciale (“Face Match”) in talune sue applicazioni che spaziano dal riconoscimento del volto nelle foto (Google Photos) all’utilizzo della tecnologia in esame per finalità di sicurezza (anche per la collettività, si pensi al contrasto al terrorismo). Per esempio, Google Photos raggruppa “in autonomia” le foto presenti nella galleria del dispositivo e chiede agli utenti di identificare il proprio volto (stessa cosa che fanno colossi come Apple e, più recentemente, Huawei). E tutto questo è possibile grazie a una forma di tecnologia di riconoscimento facciale utilizzata da questi provider. Ma Face Match può andare oltre. Quando l’utente “lo autorizza” può identificare il suo volto; successivamente, dopo il primo riconoscimento, inizia ad offrire contenuti digitali “su misura”, come foto, messaggi, appuntamenti e anche quanto tempo si può aspettare ad una fermata di autobus (nel caso di un pendolare). Questa modalità di riconoscimento facciale offre molto in termini di convenienza.
Ma la questione gira su come Google (e, in genere, le grandi aziende tecnologiche) raccolgono, memorizzano ed elaborano i dati del viso di una persona, questione che è diventata una delle principali preoccupazioni per le associazioni di consumatori di diverse parti del mondo; soprattutto sulla scia delle rivelazioni degli ultimi anni circa la società Clearview AI, la quale ha “collezionato” nel corso del tempo un database di foto del viso di numerosi utenti da tutti gli angoli più nascosti dei siti web e dei social media, condividendo queste informazioni con i dipartimenti di polizia di mezzo mondo. Gli utenti vogliono sapere cosa fanno le aziende come Google con le loro informazioni personali, soprattutto una volta che queste vengono stoccate sul cloud.
Il Face Match di Google permette di scansionare il viso dell’utente per creare un “modello facciale”, che il Nest Hub Max (smart display di Google) utilizza poi per presentare informazioni personalizzate sugli appuntamenti in calendario, i messaggi di testo e così via. Permette, inoltre, di firmare con la propria impronta digitale ovvero mediante l’APP (tracciamento online mediante impronta digitale, ergo utilizzo massivo della biometria). Quando la funzione Face Match di Google Nest Hub Max è attivata, la stessa monitora e analizza costantemente l’input dalla fotocamera del dispositivo per rilevare i volti (si tratta di un rilevamento attivo H24).
Un’altra questione riguarda il luogo di conservazione “dei volti”. Per quanto Google sottolinei che i profili facciali siano memorizzati ed elaborati sul dispositivo stesso (Nest Hub Max), il colosso di Moutain View ammette che occasionalmente invia alcuni dati sul suo cloud per aiutare a migliorare “l’esperienza del prodotto”. Google, tuttavia, specifica che tutti i dati facciali che finiscono sul suo cloud vengono cancellati subito dopo il “miglioramento” del prodotto. Google Photos, invece, ha una tecnologia di riconoscimento facciale da qualche anno. Con essa, puoi lasciare che Google scansioni la galleria di foto per aiutare a identificare ed etichettare le persone che appaiono in quelle immagini.
Il riconoscimento facciale di Meta (Facebook)
A differenza di Google, la recentemente nominata multinazionale di Menlo Park “Meta” (proprietaria di Facebook e di altre piattaforme) sta procedendo verso un abbandono – stando a quanto dichiarato – dell’uso del riconoscimento facciale sulle sue piattaforme. Meta ha affermato alcune settimane fa di voler smettere di utilizzare il suo software di Intelligenza Artificiale deputato al riconoscimento automatico delle persone partendo dalle foto e dai video pubblicati sulle sue piattaforme (principalmente Facebook ed Instagram), segnando un cambiamento enorme sia per l’industria tecnologica che per una società nota al grande pubblico per la raccolta di grandi quantità di dati personali di iscritti (e non) alle sue piattaforme.
Jerome Pesenti, del dipartimento di Intelligenza Artificiale di Meta, ha affermato che il più grande social network del mondo chiuderà il suo sistema di riconoscimento facciale nelle prossime settimane come parte di una mossa a livello aziendale per limitare l’uso del riconoscimento facciale nei propri prodotti. Meta, tuttavia, continuerà a lavorare sulla sua tecnologia di riconoscimento facciale, con lo scopo di implementarla su nuovi prodotti, come ad esempio i già discussi (e già sotto la lente del Garante Privacy) occhiali a realtà aumentata implementati con Ray-Ban (gruppo Luxottica). Per Pesenti le preoccupazioni sarebbero dovute principalmente ad una mancanza di regolamentazione del settore del Riconoscimento Facciale (principalmente negli Stati Uniti).
Per Woodrow Hartzog, un professore di diritto e informatica alla Northeastern University di Boston (USA), la decisione di Meta sul punto in esame è una vera e propria vittoria che mostra la necessità di una continua difesa della privacy e della protezione dei dati degli utenti, sottolineando che tali tecnologie non sono – in fin dei conti – indispensabili per i consumatori. La mossa inaspettata di Meta – comprensiva della cancellazione dei dati degli utenti già presenti sulle sue piattaforme – segna un decisivo cambio di rotto per Meta, che è stata – quando si chiamava Facebook – tra le prime aziende a sostenere l’utilità di tale tecnologia. Per anni, il colosso di Menlo Park ha permesso alle persone di optare per un’impostazione di riconoscimento facciale che li avrebbe automaticamente etichettati in foto e video – una mossa di cui ha massicciamente beneficiato Facebook, in quanto ha reso più facile per gli utenti di interagire con gli altri, portandoli a trascorrere ancora più tempo sulle piattaforme social della compagnia.
Tuttavia il software di riconoscimento facciale di Meta è stato irto di controversie, “infestato” com’era da numerosi pregiudizi circa l’etnia dei suoi utenti (problemi che, peraltro, affliggono l’Intelligenza Artificiale da anni). Per esempio, la tecnologia di Meta ha dimostrato di essere meno accurata quando identifica le persone di colore; sul punto diversi uomini di etnia afroamericana sono stati ingiustamente arrestati a causa dei pregiudizi del riconoscimento facciale. Mentre – come dichiarato da Pesenti – non c’è una legislazione nazionale statunitense che regoli l’uso della tecnologia in esame, un numero crescente di stati e città USA stanno adottando le loro regole per limitare o vietare l’uso del riconoscimento facciale.
Tuttavia, per alcuni la mossa di Meta non è un addio ma un arrivederci. Per Caitlin Seeley George, direttrice della campagna per il gruppo di diritti digitali “Fight for the Future”, siamo di fronte ad una trovata pubblicitaria di Meta, poiché il colosso di Zuckerberg non ha intenzione di smettere di lavorare sulla tecnologia di riconoscimento facciale. La sta, per il momento, spostando su altri prodotti da implementare. Staremo a vedere nei prossimi mesi come evolverà la questione.