Le questioni legate alle tecniche algoritmiche di riconoscimento facciale investono profili giuridici (diritti individuali e GDPR contrapposti a valori economici), etici ed economici di portata internazionale. E in più toccano direttamente i nostri diritti fondamentali: ecco perché da più parti – associazioni per i diritti civili, comunità, esperti – si chiede una moratoria su queste tecnologie, come riportato dal recente AI Now 2019 report. Del tipo: sospendiamone l’adozione – che intanto galoppa da parte di città, aeroporti… – finché non ne abbiamo colto a fondo le implicazioni.
Forse tra tutte le tecnologie connesse all’intelligenza artificiale, quella del riconoscimento facciale è la più contestata (insieme a quella gemella per il riconoscimento delle emozioni), per la combinazione di due motivi: è tecnologia ad alto rischio falsi positivi (innocenti scambiati per criminali per errore) ed evoca con forza scenari da società della sorveglianza.
Ma da dove partire per un nuovo scenario normativo a riguardo, per evitare che il dibattito sul tema sia dettato solo dall’umore del momento e dalle reazioni agli ultimi scandali?
Tag e identità: come si orientano i vari Paesi
Partirei da una affermazione di Brad Smith, Presidente di Microsoft: «La tecnologia di riconoscimento facciale solleva questioni che vanno al cuore delle protezioni fondamentali dei diritti umani come la privacy e la libertà di espressione. Questi problemi aumentano la responsabilità delle aziende tecnologiche che creano questi prodotti. A nostro avviso, richiedono anche una regolamentazione ponderata del governo e lo sviluppo di norme relative a usi accettabili. In una repubblica democratica, non vi è alcun sostituto per il processo decisionale da parte dei nostri rappresentanti eletti per quanto riguarda le questioni che richiedono il bilanciamento della sicurezza pubblica con l’essenza delle nostre libertà democratiche. Il riconoscimento facciale richiederà sia al settore pubblico che quello privato di intensificare le azioni».
È infatti innegabile che il riconoscimento facciale è entrato a far parte della vita quotidiana: pensate ai tag delle persone sulle piattaforme di social network e per sbloccare gli ultimi modelli di smartphone. In assenza di una regolamentazione specifica, le società private e gli enti pubblici delle democrazie e degli stati autoritari hanno adottato questa tecnologia per svariati usi. In Cina viene utilizzato per il check-in in aeroporto e per attribuire rating sociali. Negli USA per identificare le persone ai confini con il Messico e i nostri dati (impronte e foto col viso assonato) popolano le banche dati della sicurezza generate dai gate aeroportuali.
Il problema è: vedo il tuo volto; lo identifico; so tutto di te. È ammissibile? No, davvero. Ci sono due spinte dietro al diffondersi dei sistemi di riconoscimento facciale.
La prima: il senso di insicurezza o paura che associa i movimenti di stranieri attraverso i confini con il crimine e il terrorismo. Il riconoscimento facciale si presenta come la soluzione migliore per la sicurezza efficiente, l’ordine pubblico e il controllo delle frontiere.
La seconda: la convenienza personale. Alcune persone preferiscono poter accedere a un’area o un servizio senza dover produrre un documento riducendo anche i tempi di attesa e le diseconomie.
Nell’Unione europea abbiamo diversi atteggiamenti: la Francia che vuole fare del riconoscimento facciale la garanzia per l’identità digitale mentre in Svezia l’Autorità garante ha sanzionato una scuola che aveva utilizzato il riconoscimento facciale per verificare la presenza degli studenti alle lezioni.
GDPR e riconoscimento facciale
I problemi di protezione dei dati personali con il riconoscimento facciale, come tutte le forme di data mining (l’insieme di tecniche e metodologie che hanno per oggetto l’estrazione di informazioni utili da grandi quantità di dati – database, datawarehouse ecc. –, attraverso metodi automatici o semi-automatici o machine learning e l’utilizzo scientifico, aziendale/industriale o operativo delle stesse e sorveglianza) sono piuttosto evidenti.
Prima di tutto, le norme dell’UE sulla protezione dei dati coprono chiaramente il trattamento dei dati biometrici, che comprende immagini facciali «relative alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica, che consentono o confermano l’identificazione univoca di quella persona fisica» (ex Art. 4 par. 14 – Definizioni)). Il GDPR generalmente proibisce il trattamento di dati biometrici per scopi di identificazione univoca a meno che non si possa fare affidamento su una delle dieci esenzioni elencate nell’Art. 9 par. 2 – Trattamento di categorie particolari di dati).
In secondo luogo, deve essere inequivocabilmente evitata qualsiasi interferenza ai sensi dell’Art. 52 – Portata e interpretazione dei principi – della Carta dei diritti fondamentali dell’Unione europea che recita «Eventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti dalla presente Carta devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà. Nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui. 2. I diritti riconosciuti dalla presente Carta per i quali i trattati prevedono disposizioni si esercitano alle condizioni e nei limiti dagli stessi definiti. 3. Laddove la presente Carta contenga diritti corrispondenti a quelli garantiti dalla Convenzione europea per la salvaguardia dei Diritti dell’Uomo e delle Libertà fondamentali, il significato e la portata degli stessi sono uguali a quelli conferiti dalla suddetta convenzione. La presente disposizione non preclude che il diritto dell’Unione conceda una protezione più estesa. 4. Laddove la presente Carta riconosca i diritti fondamentali quali risultano dalle tradizioni costituzionali comuni agli Stati membri, tali diritti sono interpretati in armonia con dette tradizioni. 5. Le disposizioni della presente Carta che contengono dei principi possono essere attuate da atti legislativi e esecutivi adottati da istituzioni, organi e organismi dell’Unione e da atti di Stati membri allorché essi danno attuazione al diritto dell’Unione, nell’esercizio delle loro rispettive competenze. Esse possono essere invocate dinanzi a un giudice solo ai fini dell’interpretazione e del controllo di legalità di detti atti. 6. Si tiene pienamente conto delle legislazioni e prassi nazionali, come specificato nella presente Carta. 7. I giudici dell’Unione e degli Stati membri tengono nel debito conto le spiegazioni elaborate al fine di fornire orientamenti per l’interpretazione della presente Carta».
Il database MegaFace
Emblematico lo scandalo MegaFace di fine 2019 dove 4 milioni di immagini di 700 mila persone sono entrate nella disponibilità di Google, Amazon, Tencent, Samsung e SenseTime (fra gli altri) per allenare i loro algoritmi – machine learning – per il riconoscimento biometrico.
Il database MegaFace nasce da un progetto di Yahoo del 2014 quindi, per ciò che riguarda i cittadini residenti nello Spazio Economico Europeo (SEE), prima dell’entrata in vigore del Regolamento 2016/679 UE. Yahoo ha creato un data base di oltre 100 milioni di immagini con licenza Creative Commons per usi commerciali (i Creative Commons sono dal 2001 un’associazione no profit, ma con questo termine vengono comunemente indicate licenze che indicano chiaramente quali diritti patrimoniali l’autore tiene per sé e a quali invece rinuncia, consentendo quindi la condivisione di lavori originali e permettendone eventualmente anche la modifica) derivante a sua volta da Flickr (la piattaforma che ti permette di caricare e condividere immagini che recentemente è stata acquistata da SmugMug, altro colosso dell’acquisizione e condivisione di immagini).
Quello che è emerso da un’inchiesta del New York Times è che molte delle foto sono di minorenni, molte non hanno il consenso per questo tipo di finalità e molte sono di cittadini SEE. Inoltre, l’Università di Washington ha lanciato una sfida alla quale hanno aderito 300 gruppi di lavoro che prevedeva l’utilizzo del medesimo data base che è stato anche venduto dalla medesima Università a una società che sviluppa le tecnologie per il riconoscimento facciale per Facebook. E di “megaface” ce ne sono decine in tutto il mondo democratico e non.
Facial recognition: dov’è l’opt in?
Potrebbe esserci una base giuridica valida per l’applicazione del riconoscimento facciale, dato che si basa sul trattamento su larga scala di dati particolari (origine razziale o etnica ex Art. 9 par. 1) GDPR)? Il consenso dovrebbe essere esplicito oltre che libero, informato e specifico. Però, una persona non può rinunciare, ancor meno optare, quando ha bisogno di accedere a spazi pubblici coperti da videosorveglianza con riconoscimento facciale. Ai sensi dell’Art. 9, par. 2), lettera g), i legislatori nazionali e dell’UE hanno la facoltà di decidere in merito ai casi in cui l’uso di questa tecnologia garantisce un’interferenza proporzionata e necessaria con i diritti umani.
Poi, la responsabilità e la trasparenza. La diffusione di questo metodo di riconoscimento finora è stata contrassegnata come minimo da opacità, a volte da oscurità. Infatti, in molti casi, non sappiamo come i dati vengono utilizzati da coloro che li raccolgono, chi ha accesso e a chi vengono ceduti, per quanto tempo li conservano, per quali scopi/finalità, come viene formato un profilo e chi è responsabile del trattamento. Inoltre, è quasi impossibile rintracciare l’origine dei dati di input; i sistemi di riconoscimento facciale sono alimentati da numerose immagini raccolte genericamente da Internet e dai social network senza la nostra autorizzazione. Di conseguenza, chiunque potrebbe diventare vittima di un algoritmo progettato e governato da chissà chi e discriminato dallo stesso.
Infine, la conformità della tecnologia a principi come la minimizzazione dei dati e la protezione dei dati in fase di progettazione (privacy by design) è altamente dubbia. La tecnologia di riconoscimento facciale non è accurata (è per questo che servono le nostre immagini per allenare le macchine e devono essere tante al fine di migliorare gli algoritmi e diminuire gli errori) e ciò ha gravi conseguenze per l’identificazione errata di individui (è un criminale o no).
In realtà, non ci saranno mai abbastanza dati per eliminare la distorsione e il rischio di falsi positivi o falsi negativi. Senza considerare che sono stati prodotti strumenti basati sull’intelligenza artificiale (filtri e app) che modificano impercettibilmente le immagini al fine di evitare il riconoscimento facciale. Di fatto: intelligenza artificiale contro intelligenza artificiale.
Riconoscimento facciale, la questione etica
Queste tecnologie tendono ad essere testate sui più poveri e vulnerabili della società, sulle minoranze etniche, sui migranti e sui bambini. Il volto è nostro e possiamo farci ciò che vogliamo. Pensate alla chirurgia estetica o alla decisione di portare la barba oppure no o all’inevitabile invecchiamento naturale.
Gli stati autoritari cosa faranno e come utilizzeranno i nostri profili? Credo che ogni tanto dobbiamo ricordare che nel 1940 i nazisti, dopo aver occupato i Paesi Bassi (neutrali), fecero molto presto a individuare gli ebrei. Erano precisamente elencati e divisi nei tabulati redatti dalle municipalità in base alla religione al fine di gestire in maniera più efficiente i cimiteri.
Se poi il riconoscimento facciale viene combinato e/o interpolato con altre informazioni pubblicamente disponibili utilizzando le tecniche dei big data, potrebbe ovviamente limitare la libertà individuale di espressione e associazione. Il caso di Hong Kong è emblematico: a Hong Kong il volto è diventato un punto focale. L’uso di maschere è stata una reazione all’uso da parte delle Autorità del riconoscimento facciale e, a sua volta, è stato proibito da una nuova Legge.
È il grande scontro tra etica e etica delle conseguenze: fare qualcosa anche solo di eticamente dubbio al fine di evitare conseguenze ritenute peggiori o più gravi (riconoscimento facciale contro sicurezza). È moralmente inammissibile privare o non rispettare alcuni dei diritti individuali al fine di assicurare la presunta o effettiva sicurezza di molti. Ecco perché un certo numero di Paesi in tutto il mondo si sono mossi per regolare l’uso del riconoscimento facciale e anche nella UE, mentre si discute dell’etica dell’intelligenza artificiale e della necessità di una regolamentazione, si cerca di determinare se la tecnologia di riconoscimento facciale potrà essere consentita in una società democratica. Se la risposta sarà affermativa si potranno determinare garanzie e responsabilità.
Il futuro non sarà semplice. Prima ancora che una questione giuridica, le intelligenze artificiali, i big data, i lettori del pensiero e delle emozioni e la robotica saranno una questione filosofica, etica e politica. L’umanesimo digitale vuole le facoltà umane aiutate e ampliate dalla tecnologia e non macchine tecnologiche interpretate come esseri umani e nemmeno esseri umani interpretati come macchine tecnologiche.
Riconoscimento facciale, è allarme privacy nel mondo: ecco i rischi e le misure a tutela
