L’uso da parte dei nostri dati biometrici da parte delle multinazionali che ci offrono in cambio servizi più o meno gratuiti – dagli assistenti vocali allo sblocco dello smartphone – presenta rischi elevati e aspetti non molto rassicuranti, a dimostrazione del fatto che non sempre ciò che ci sembra sicuro o ci viene prospettato come tale dai big della tecnologia lo è in realtà e in considerazione del fatto che ciò che ci sembra inattaccabile oggi non è detto che lo sarà anche domani.
Sono molti fatti di cronaca che dovrebbero indurci a riflettere sull’uso spregiudicato che viene fatto dei nostri dati personali, spesso a nostra insaputa. Riguardo, ad esempio, il riconoscimento facciale, eclatante è la vicenda MegaFace, che vede tra i suoi protagonisti l’Università di Washington che cura il progetto di facial recognition, i colossi hi-tech (Amazon, Google, Tencent, Intel, SenseTime, Philips, Mitsubishi Eletric e NTechLab) fruitori delle immagini e circa 672 mila persone (anche minorenni) nello spiacevole ruolo di “vittime” inconsapevoli.
Il caso MegaFace e le conseguenti problematiche
Procediamo con ordine e vediamo cosa è successo.
Megaface (un database creato dall’Università di Washington nel 2015) ha recuperato circa 4 milioni di foto dal sito di photosharing Flickr, senza il consenso delle circa 672 mila persone ritratte – grazie ad una falla di sicurezza che consentiva di accedere alle foto di Flickr anche se rese private – il tutto a beneficio dei colossi hi-tech che hanno scaricato il database e utilizzato le foto per addestrare e perfezionare le tecnologie di riconoscimento facciale che, per essere sempre più precise ed affidabili, necessitano di un numero sempre maggiore di immagini di qualità.
Occorre considerare come le grandi aziende tecnologiche, nel corso degli anni, per poter far fronte alle più stringenti esigenze di perfezionamento della tecnologia siano dovute ricorrere ad un numero sempre maggiore di immagini per allenare gli algoritmi; pertanto, non era più possibile, per gli studiosi del settore limitarsi a fotografare gli studenti/ricercatori previo loro consenso, quindi Università e aziende hanno iniziato ad utilizzare foto acquisite con metodi molto più invasivi e senza richiederne il preventivo consenso (ad esempio utilizzando le immagini delle riprese effettuate nei locali pubblici, nei campus universitari o pubblicate online).
Lo scandalo Megaface, portato alla luce dal New York Times, potrebbe far pensare ad un caso isolato, purtroppo non è così, sono disponibili centinaia di banche dati con foto di chissà quante persone ignare. Altri database sono stati cancellati, come Ms Celeb, il database di Microsoft che conteneva oltre 10 milioni di immagini di circa 100.000 persone, Brainwash creato dalla Stanford University nel 2014, il database della Duke University (Duke MTMC) anche’esso attivato nel 2014, tutti hanno raccolto migliaia di immagini, ma ad oggi la loro cancellazione non può fornire nessuna garanzia in merito al non utilizzo delle immagini contenute, stante la pregressa condivisione e cessione a terzi.
Dati biometrici, (quasi) nessuna tutela negli Usa
Benché negli Stati Uniti non vi siano problematiche inerenti all’uso delle foto senza consenso degli interessati, ad eccezione dello Stato dell’Illinois dove i dati biometrici dei residenti sono tutelati con leggi molto severe che prevedono sanzioni pecuniarie, non bisogna sottovalutare il fatto che tutto il sistema facial recognition, oltre ad essere utile per fini più nobili come quello della sicurezza, possa presentare dei risvolti etici discutibili.
Ovviamente, il male non è mai nella tecnologia, ma nell’uso che se ne fa e, sebbene le Università promotrici dei vari progetti abbiano chiesto di utilizzare i database solo per scopi educativi e ricerche non commerciali, alcune aziende hanno disatteso tali richieste. SenseTime, ad esempio, ha messo a disposizione del governo cinese la propria tecnologia affinché potesse essere monitorata la minoranza musulmana degli Uiguri. Questo deve far riflettere sul fatto che la presenza di nostre immagini in un database ci espone alla identificabilità, alla localizzazione, alla sorveglianza.
Le tutele in Europa
Il fatto che la vicenda MegaFace nasca negli Stati Uniti, da una parte ci tranquillizza perché se fosse accaduto in Europa questa palese violazione dei diritti dei dati personali troverebbe tutela nel GDPR, con conseguente necessità di un consenso informato dell’interessato per il trattamento dei dati biometrici, ma dall’altro lato, il fatto che l’episodio finito nell’occhio del ciclone si sia verificato oltreoceano ci fa dormire sonni relativamente sereni, visto che non possiamo avere la certezza che nei database non ci siano foto di cittadini europei.
L’uso di dati biometrici e in particolare il riconoscimento facciale comportano rischi elevati per i diritti degli interessati, non a caso i dati biometrici rientrano tra le categorie particolari di dati disciplinate dal GDPR. Innanzitutto, affinché venga considerato come biometrico è necessario che il dato, relativo a caratteristiche fisiche, fisiologiche, o comportamentali di una persona, venga trattato allo scopo di identificarla in modo univoco. Come accennato, il GDPR stabilisce che il ricorso a tali tecnologie debba avvenire nel dovuto rispetto dei principi di liceità, necessità, proporzionalità e minimizzazione. Fatte queste premesse qualora si decida, all’esito di una valutazione di impatto (DPIA), di procedere con il trattamento dell’immagine per addestrare gli algoritmi di riconoscimento facciale occorre l’esplicito consenso informato di tutti gli interessati ai sensi dell’art. 9, comma 2 lettera a), e nel caso di minori, è necessario il consenso di chi esercita la potestà genitoriale.
È bene che gli interessati prestino particolare attenzione al contenuto dell’informativa, in particolare ai punti che riguardano le finalità e che prevedono l’eventuale comunicazione o diffusione dei dati a soggetti terzi. Ottenuto il consenso, in base al principio di minimizzazione dei dati, i titolari devono garantire che il trattamento dei dati estratti da un’immagine digitale sia proporzionata alla finalità perseguita. Come consigliato dal EDPB, nelle Linee Guida 3/2019, bisogna garantire: la sicurezza dei dati immagazzinati, la disponibilità, l’integrità e la riservatezza.
Trattamento illecito dei dati e danni “immateriali”
Come abbiamo visto, le immagini godono di una tutela adeguata e, per la prima volta, un tribunale dell’UE ha tenuto in considerazione i danni “immateriali” patiti dall’interessato per l’illecito trattamento dei propri dati.
Qualche settimana fa, infatti, l’Autorità austriaca per la protezione dei dati (DPA) ha inflitto un’ammenda amministrativa di 18 milioni di euro alla società postale austriaca perché ha svolto un trattamento ingiustificato dei dati personali dei propri clienti, in alcuni casi effettuando anche delle valutazioni sull’orientamento politico. Proprio perché sono state fatte queste valutazioni un cliente è ricorso alle vie giudiziarie ed, in merito a questa vicenda, il Tribunale regionale di Feldkirch ha affermato che il solo fatto di sentirsi disturbato dal trattamento illecito dei dati, al fine di conoscere le affinità politiche (dell’interessato), costituisca un danno immateriale e pertanto al richiedente è stato riconosciuto l’importo di € 800,00 a titolo di risarcimento.
Sebbene la fattispecie da cui è scaturita la condanna sia diversa dal caso oggetto del presente articolo sul trattamento delle immagini, entrambe le vicende sono accomunate dal fatto che riguardano il trattamento di categorie particolari di dati che sono tutelati dall’art. 9 del GDPR.
Questa condanna è molto importante, resta solo da vedere se sarà un caso isolato o costituirà un valido precedente per tutte le volte in cui si avrà un trattamento illecito dei dati.
Non solo le immagini, anche la nostra voce è tutelata
È di qualche mese fa lo scandalo che ha coinvolto Amazon e gli altri player del settore, in merito all’ascolto ed alla trascrizione delle conversazioni registrate dai rispettivi assistenti vocali o alla conservazione delle conversazioni, nonostante l’utente abbia provveduto alla cancellazione manuale o abbia impartito il relativo ordine. Amazon ha infatti ammesso di non provvedere sempre all’eliminazione dei dati memorizzati, sia perché il processo di cancellazione non è immediato, sia perché si sceglie di conservare i dati senza dire nulla all’utente (!).
Per quanto riguarda la violazione della privacy bisogna fare un distinguo tra l’ascolto delle registrazioni e la non cancellazione delle conversazioni. Il fatto che un team di dipendenti ascolti parti di registrazioni per scopi migliorativi della tecnologia difficilmente può essere considerata una violazione della privacy, dipende sempre per quali finalità si è prestato il consenso. È cosa nota che Amazon registri la cronologia delle conversazioni e ogni utente ha prestato il proprio consenso per questo; certo sorprende che ad ascoltare le registrazioni delle conversazioni ci sia un nutrito gruppo di impiegati, ma d’altro canto la componente umana in un sistema di machine learning è ancora fondamentale e non si può pensare che le risposte ci arrivino da Alexa o i suoi simili come per magia, è sempre l’uomo che impartisce i comandi alla macchina, per addestrarne e/o migliorarne gli algoritmi.
Nei termini e condizioni sull’utilizzo di Alexa al punto 1.3 viene affermato che “…Quando interagisci con Alexa, Alexa trasmette il sonoro al cloud. Alexa impara e diventa sempre più intelligente. Alexa si aggiorna automaticamente attraverso il cloud per aggiungere nuove funzionalità e Skill…”. A sua tutela Amazon tramite un portavoce ha dichiarato: «Prendiamo sul serio la sicurezza e la privacy delle informazioni personali dei nostri clienti. Annotiamo solo un campione estremamente ridotto di registrazioni vocali di Alexa per migliorare l’esperienza del cliente. Queste informazioni ci aiutano, ad esempio, a formare i nostri sistemi di riconoscimento vocale e di comprensione del linguaggio, in modo che Alexa possa capire meglio le vostre richieste e garantire che il servizio funzioni bene per tutti. Abbiamo rigorose garanzie tecniche e operative e una politica di tolleranza zero per l’abuso del nostro sistema. I dipendenti non hanno accesso diretto alle informazioni che possono identificare la persona o l’account. Tutte le informazioni sono trattate con alta riservatezza”.
Ben più grave, per quanto riguarda la violazione della privacy, è la non cancellazione delle conversazioni nonostante l’ordine impartito, visto che da Amazon non sono stati rispettati i termini di contratto, che devono essere accettati dagli utenti per poter usare l’app Alexa sugli smartphone o gli smart speaker, infatti sempre al punto 1.3 si legge: “Conserviamo le registrazioni vocali dei clienti e le trascrizioni fino a quando il cliente sceglie di eliminarle”. Ma non sempre è così.
Dobbiamo essere consapevoli delle conseguenze che l’uso dei nostri dati biometrici comporta, oltre ad essere attenti a non “cederli” con molta facilità in cambio di qualche maggiore comodità.
