Il Garante Privacy a seguito di segnalazione ha avviato un’istruttoria contro Clearview nota azienda americana che ha fatto del riconoscimento facciale il suo core business tramite foto prese dai social, rivolgendosi a polizie di tutto il mondo.
In questi stessi giorni, ha affermato che il SARI Real Time (sistema italiano di riconoscimento facciale) non è conforme alla normativa Europea.
Del resto, in questi giorni, a seguito dei data leak di Facebook, Clubhouse e Linkedin, si sta parlando molto di “scraping”, attività con la quale si ”raschiano” (da cui l’inglesismo) foto e dati pubblici da internet per creare database utilizzati per fini diversi rispetto a quelli per cui sono stati pubblicati.
Si tratta di un fenomeno che si attesta in una zona grigia in quanto non è un vero e proprio data breach ma non è nemmeno una attività legittima in quanto la creazione di database per fini ulteriori necessita, ad esempio, di una apposita informativa agli interessati e di una base giuridica.
I problemi di Clearview
E’ proprio approfittando di questo momento di incertezza che aziende come Clearview hanno colto l’occasione per creare enormi database di foto pubbliche raccolte dai vari social al fine di sottoporle a sistemi capaci di individuare i reticolati utili per procedere poi al riconoscimento facciale.
Per questo motivo già il 19 febbraio Privacy Network aveva depositato una segnalazione al Garante Privacy evidenziando l’illegittimità di tale processo di scraping posto in essere da Clearview, segnalazione che, a quanto riporta Baldo Meo (Garante Privacy) su Twitter, sembra aver dato i suoi frutti visto che l’Autorità italiana per la protezione dei dati ha avviato un’istruttoria contro il colosso americano. “L’attività istruttoria avviata a Marzo è ancora in corso” afferma Meo, precisando che la circostanza che si tratti di un soggetto statunitense non agevola di certo le indagini.
Del resto, sono diverse le Authority che hanno avviato indagini contro Clearview.
In Canada, ad esempio, è stato evidenziato come l’attività della società statunitense abbia portato alla raccolta di circa 3 miliardi di foto. Una cifra enorme che, anche se considerata per difetto (è possibile ad esempio che per un singolo soggetto ci siano più immagini) porta comunque legittimamente a pensare che una buona parte della popolazione mondiale sia già stata schedata dai sistemi di riconoscimento facciale di Clearview.
Siamo uomini o codici a barre? Ecco perché bisogna bandire la sorveglianza biometrica in Ue
I contrasti con il GDPR
Questa è una circostanza inaccettabile oltreché in contrasto con i principi dettati dal GDPR.
Evidenzia difatti Privacy Network nella citata segnalazione che tali trattamenti male si sposano con diversi punti cardine del Regolamento Europeo sulla Protezione dei Dati.
- 1- I dati biometrici (ovvero sensibili) usati senza consenso in violazione dell’articolo 9 GDPR;
- 2- mancanza di informativa in totale spregio del principio di trasparenza;
- 3- perdita totale del controllo dei propri dati da parte dell’interessato il quale, come visto, non è in grado di sapere se le sue foto, e i suoi dati biometrici, sono o meno inseriti nel database di Clearview.
E’ quindi presumibile che il Garante si concentrerà proprio su tali aspetti, come del resto già fatto dalle Autorità svedesi, canadesi e di Amburgo.
C’è però un grosso problema geopolitico all’orizzonte riguardante, ancora una volta, il differente approccio alla protezione dei dati posto in essere dalla UE e dagli USA.
La diffusione anche a New York
E’ difatti di questi giorni la notizia del MIT Technology Review secondo cui la polizia di New York starebbe ormai da tempo collaborando a stretto contatto con Clearview per identificare criminali e gente comune.
Il giornale del MIT, nel riprendere alcune mail apparse sul sito Muckrock, evidenzia come la NYPD abbia in diverse occasioni scambiato messaggi di posta con Clearview, tracciando quello che appare a tutti gli effetti un rapporto amichevole, della durata di almeno due anni, tra il dipartimento e la società tecnologica durante il quale il NYPD ha testato molte volte la tecnologia in questione e utilizzando tale riconoscimento facciale anche in indagini reali, non solo quindi in esercitazioni.
Il NYPD, a seguito di queste notizie, ha inizialmente minimizzato la sua relazione con Clearview, ma i citati leak mostrano in modo evidente che la relazione polizia e la società era ben sviluppata, con un gran numero di agenti di polizia che conducevano un alto volume di ricerche con l’app e le utilizzavano in indagini reali. I dati del resto sono impressionanti, secondo il MIT, la polizia della Grande Mela avrebbe eseguito oltre 5.100 ricerche con Clearview AI. Non solo, parrebbe che molti agenti abbiano addirittura avuto l’autorizzazione ad installare la tecnologia di Clearview sui propri device personali, aprendo in questo modo la possibilità ad una serie di utilizzi difficilmente controllabili.
Clearview e Schrems II
Tutto ciò non può che costituire un grosso problema, forse l’ostacolo più grande nei rapporti UE ed USA che, peraltro, si trovano ancora alle prese con le conseguenze della decisione Schrems II.
Se il Garante Privacy dichiarasse l’illegittimità di tali trattamenti, metterebbe di fatto nero su bianco l’utilizzo da parte della NYPD di un sistema illegittimo, circostanza questa che potrebbe avere enormi conseguenze. Del resto è difficile pensare che Clearview accetti di buon cuore la decisione del Garante Italiano, pagando la eventuale sanzione e cancellando (come d’obbligo) i dati trattati illegittimamente.
Il blocco di SARI Real Time
Anche nel caso del Sari Real Time, il problema principale è che manca una normativa che autorizzi tale tecnologia – al momento sperimentata ma non utilizzata sul campo – la quale resta quindi del tutto illegittima.
Sari Real Time, difatti, realizzerebbe un trattamento automatizzato su larga scala in tempo reale. Si noti che il Sari normale, non real time, continua a essere usato dalla polizia e non ha ricevuto alcun blocco. Sui suoi usi per altro la trasparenza finora fornita è limitatissima e il ministero dell’Interno non ha mai risposto alle varie richieste Foia arrivate da diversi media.
Per quanto riguarda il real time, anche se nella valutazione di impatto presentata il Ministero spiega che le immagini verrebbero immediatamente cancellate, l’identificazione di una persona sarebbe realizzata attraverso il trattamento dei dati biometrici di tutti coloro che sono presenti nello spazio monitorato, allo scopo di generare modelli confrontabili con quelli dei soggetti inclusi nella “watch-list”.
Si determinerebbe così una evoluzione della natura stessa dell’attività di sorveglianza, che segnerebbe un passaggio dalla sorveglianza mirata di alcuni individui alla possibilità di sorveglianza universale.
In conclusione
Insomma, la direzione intrapresa pare proprio portare alla dichiarazione di illegittimità del trattamento dati effettuato da parte di Clearview. Questo significherà quindi aprire un’ulteriore falla costituita dall’ennesima decisione UE del tutto ignorata dalle Big Tech, senza nemmeno scomporsi più di tanto.
Del resto, tornando a Schrems, ad eccezione di Microsoft sono poche le aziende che hanno cercato di rispettare (o anche solo di far finta di farlo) l’obbligo di trattare in UE i dati degli europei. La maggior parte di loro non si è minimamente smossa, come se la UE non contasse nulla.
E’ quindi probabile che sarà questo l’epilogo più probabile per il caso Clearview. La UE (o l’Italia) potrà anche statuire l’illegittimità di tali trattamenti ma, alla fine, oltreoceano i dati non verranno cancellati ed anzi continueranno ad essere utilizzati, come già accade per la NYPD.
In tutto questo, interviene anche la proposta di regolamento UE su intelligenza artificiale, prevista per il 21 aprile, che allo stato della bozza non vieta il riconoscimento facciale ma pone paletti autorizzativi; con però una pericolosa eccezione, appunto, negli usi per “pubblica sicurezza”.
Intelligenza artificiale, il regolamento della Commissione UE: una sfida complessa
