Riconoscimento automatico del volto, la battaglia dell’Europa per la privacy

Il Regolamento europeo per la protezione dei dati personali (Gdpr) ha mostrato una certa efficacia contro l’uso indiscriminato del riconoscimento facciale. 

L’unione Europea sta però ugualmente riflettendo se la protezione garantita dall’attuale normativa sia adeguata o se non sia necessario stabilire una regolamentazione più puntuale, estesa anche ad altri impieghi dell’Intelligenza Artificiale.

Facciamo il punto sugli sviluppi dell’AI applicata al riconoscimento dei volti, sul crescente utilizzo di questi sistemi anche (e soprattutto) nelle democrazie avanzate e sugli abusi purtroppo sempre più frequenti nei regimi autoritari per cercare di capire se e come approntare una nuova regolamentazione che permetta di cogliere i benefici della tecnologia prevenendone gli usi distorsivi.

La tecnologia si espande e anche i dubbi sul suo utilizzo

Nella cronaca delle proteste che nel mese di agosto hanno interessato Hong Kong, sono stati riportati episodi nei quali i dimostranti hanno abbattuto i pali dell’illuminazione intelligente^[1] per distruggerne le telecamere che, si temeva, avrebbero potuto essere usate per identificarli utilizzando software per il riconoscimento dei volti. Una considerazione simile ha portato molti manifestanti ad indossare delle mascherine, proprio per impedire di essere riconosciuti, e di converso, ha spinto la polizia di Hong Kong a vietare la partecipazione alle manifestazioni con camuffamenti di questo tipo.

Sebbene l’esigenza di partecipare alle proteste a volto coperto – dall’una e dall’altra parte delle barricate – per evitare il riconoscimento e le possibili ritorsioni a manifestazione terminata non siano affatto una novità, l’introduzione di sistemi di intelligenza artificiale applicati alla sorveglianza aggiunge un elemento nuovo e più sinistro. Il riconoscimento delle persone grazie a foto o riprese all’interno di movimenti di massa è un lavoro che, se condotto manualmente, è estremamente lento, soprattutto se mirante ad identificare “volti nuovi”, non precedentemente conosciuti alle forze dell’ordine. Per questo motivo è generalmente stata utilizzata limitatamente ai personaggi di spicco delle manifestazioni, i cosiddetti “leader”, o ai personaggi considerati più “pericolosi”, permettendo quindi alla massa dei manifestanti di manifestare all’interno di un relativo anonimato.

Lo sviluppo dell’intelligenza artificiale applicata al riconoscimento dei volti, unita alla pervasività delle immagini e dei metodi di ripresa, ha reso invece possibile la sorveglianza di massa, la possibilità di identificare in breve tempo non solo gli elementi di spicco di una manifestazione o movimento, ma la gran parte dei manifestanti. Le implicazioni ed i rischi per la libertà delle persone connesse a questa evoluzione, principalmente negli stati più autoritari, ma potenzialmente anche per le democrazie, sono evidenti.

Per questo motivo la sensibilità del pubblico e delle organizzazioni che difendono i diritti dei cittadini è molto elevata, e si moltiplicano sui media le segnalazioni di utilizzi impropri delle immagini. L’ultimo caso, che ha coinvolto anche cittadini italiani, è quello ormai famoso di Megaface, recentemente svelato dal New York Times, dove un database con milioni di foto relative a molte centinaia di migliaia di persone ignare, sono state utilizzate senza consenso per “addestrare” le reti neurali di numerose aziende attive nel settore dell’Intelligenza Artificiale^[2].

Ma gli esempi si moltiplicano ormai in numerosi paesi, e con essi i dubbi relativi alla creazione di database per il riconoscimento facciale. In Australia ad esempio^[3], sta suscitando polemiche la decisione delle municipalità di Victoria e Tasmania di caricare i dati della patente di guida in banche dati statali che entreranno successivamente a far parte di un data base nazionale. Questo perché il parlamento federale sta discutendo una legge che permetterà alle agenzie governative e alle imprese private di accedere a tale database di volti, con l’intento dichiarato di contenere il fenomeno dei “furti di identità”, il cui costo annuo è stimato essere pari a 2,2 miliardi di dollari. Tuttavia, accanto al servizio di verifica dei documenti, verrebbe introdotto un servizio di identificazione facciale per le forze dell’ordine.

L’AI Global Surveillance Index

Come sa chi segue questo tema su Agendadigitale.eu, non si tratta di casi isolati, un numero crescente di stati sta implementando strumenti avanzati di sorveglianza basati sull’intelligenza artificiale per monitorare, tracciare e sorvegliare le città. L’organizzazione no profit Carnegie Endowment for International Peace ha di recente lanciato un’iniziativa per la raccolta di dati empirici sull’uso dell’Intelligenza Artificiale per la sorveglianza da parte di oltre 170 paesi in tutto il mondo, dando vita all’indice “AI Global Surveillance Index” (AIGS^[4]). Lo scopo della ricerca è mostrare come le nuove capacità di sorveglianza stiano trasformando e accrescendo la capacità dei governi di monitorare e tracciare individui o sistemi. La ricerca non si limita all’uso del riconoscimento facciale, ma considera anche le tecnologie impiegate nelle smart (o safe) cities^[5] e lo smart policing^[6].

L’indice misura l’espansione nell’utilizzo di queste tecnologie, la cui produzione e commercializzazione, in questo momento, è largamente dominata da Stai Uniti e Cina. I risultati mostrano la loro rapida espansione, e già 64 paesi adottano questo tipo di tecnologia. Le democrazie liberali sono i principali utenti di tecnologie per la sorveglianza che sfruttano le capacità dell’intelligenza artificiale: il 51% delle democrazie avanzate ha adottato sistemi di sorveglianza di questo tipo, mentre fra gli stati autocratici questa percentuale si ferma al 40%. Questo non significa necessariamente che le democrazie stiano abusando di questi sistemi: il fattore più importante per prevedere se i governi utilizzeranno questa tecnologia a fini repressivi rimane comunque la natura del loro modello di governo. Ciononostante, è comunque inquietante assistere ad un uso sempre più massiccio dell’IA a fini repressivi da parte degli stati più autoritari.

Analizzando il tema con razionalità, è evidente che lo sviluppo di queste tecniche di riconoscimento non sia necessariamente un fenomeno negativo. Molti di noi infatti sono già abituati ai vantaggi che questa tecnologia può comportare per i singoli, ad esempio col semplice sblocco “a vista” del cellulare, ma altre applicazioni sono possibili o lo saranno a breve: la possibilità di limitare il fenomeno dei furti d’identità, la ricerca di persone scomparse, l’identificazione di criminali, l’aumento della sicurezza delle transazioni personali (acquisti, operazioni bancarie) e così via^[7].

Di contro però, le stesse tecniche possono essere rivolte contro i cittadini stessi – e il caso di Hong Kong in apertura ce lo ricorda – se usate da regimi autoritari, ma anche da regimi democratici, qualora questo uso non sia adeguatamente regolamentato, finendo per sfuggire al controllo del cittadino, che da beneficiario ne diventa vittima. Se mi si consente un esempio mutuato dalla fantascienza, nel film “Minority report” del 2002, si immagina un futuro prossimo in cui la pubblicità è personalizzata. Quando una persona entra in un negozio, o passa accanto ad un cartellone pubblicitario, delle onnipresenti telecamere lo riconoscono e proiettano delle clip pubblicitarie su misura, fino a cercare di attrarne l’attenzione chiamandolo per nome^[8]. Uno scenario da incubo per chiunque consideri la privacy un valore importante.

Questo esempio mostra chiaramente la necessità di una regolamentazione efficace sia nella fase di raccolta dei dati necessari per l’addestramento di questi sistemi, sia per il loro successivo utilizzo.

Le tutele del Gdpr

In Europa l’introduzione della regolamentazione generale per la data privacy (GDPR) ha già fatto un passo in questa direzione: il considerando (51) specifica che: “Il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione di una persona fisica”.

Quindi se la fotografia di un volto permette, attraverso l’uso di dispositivi tecnici specifici, come è il caso di sistemi di IA, l’identificazione univoca del soggetto, questo rende automaticamente questa foto un dato biometrico, secondo la definizione che ne dà l’art. 4(1)(14): “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.

I dati biometrici rientrano in pieno nel campo di applicazione della disciplina, in particolare per quanto rileva il consenso dell’interessato al trattamento. Tornando quindi a Minority report, uno scenario come quello descritto nel film potrebbe verificarsi solo per quei soggetti che abbiano esplicitamente espresso il consenso al trattamento (in questo caso a fini di marketing e pubblicitari), e sempre ne rispetto del diritto di revoca.

Oltre le attuali norme

L’unione Europea, dunque sta riflettendo se sia il caso di stabilire una regolamentazione estesa anche ad altri impieghi dell’Intelligenza Artificiale che possono avere degli impatti negativi sulla vita, il benessere ed i diritti dei cittadini europei^[9].

Il nuovo regolamento limiterebbe “l’uso indiscriminato della tecnologia di riconoscimento facciale” da parte di aziende e autorità pubbliche, ha affermato un funzionario UE al Financial Times. Bruxelles starebbe esplorando metodi più efficaci per imporre limiti rigorosi all’uso della tecnologia di riconoscimento facciale per interrompere la crescente diffusione della sorveglianza pubblica nei confronti dei cittadini europei.

In questo ambito è opportuno ricordare che il Garante Privacy ha emesso un Provvedimento generale prescrittivo in tema di biometria già nel novembre 2014^[10], nel quale erano dettagliati i principi di liceità, necessità, finalità e proporzionalità relativi all’uso dei dati biometrici, ivi incluso il riconoscimento del volto.

In realtà la disciplina europea esistente ha mostrato una certa efficacia: il Garante Privacy svedese ha multato per quasi 20 mila euro una scuola per aver utilizzato un sistema di riconoscimento facciale allo scopo di rilevare la presenza degli studenti alle lezioni, utilizzando la disciplina del GDPR. Si tratta di un provvedimento interessante, ma una sua disamina mostra la complessità interpretativa che tale decisione sottende^[11].

Probabilmente la direzione più ragionevole sarebbe quella di sviluppare una sorta di “manuale per l’utilizzo legale dell’Intelligenza Artificiale” che, appoggiandosi al GDPR, possa fornire delle linee guida chiare e comprensibili sia ai potenziali utilizzatori sia ai cittadini, per permettere ad entrambi di cogliere i benefici che tali tecnologie possono comportare, tenendo però strettamente sotto controllo i possibili abusi.

_________________________________________________________________

1. Loanes, E., “Hong Kong protesters destroyed ‘smart’ lampposts because they fear China is spying on them” – Business Insider, August 2019 ↑
2. Longo, A. “Scandalo MegaFace, migliaia di foto date in pasto all’Intelligenza artificiale senza consenso”, La Repubblica Tecnologia, 14 ottobre 2019. ↑
3. Taylor, J., “Plan for massive facial recognition database sparks privacy concerns”, The Guardian, 28 settembre 2019 ↑
4. Feldstein, S., “The Global Expansion of AI Surveillance”, reperibile qui: https://carnegieendowment.org/2019/09/17/global-expansion-of-ai-surveillance-pub-79847—- ↑
5. Città equipaggiate con sensori che trasmettono dati in tempo reale per facilitare l’erogazione la gestione della città e la sicurezza pubblica, spesso definite anche “città sicure”. Queste città hanno installato sensori, telecamere per il riconoscimento facciale collegate a centri di comando intelligenti allo scopo di prevenire la criminalità, garantire la sicurezza pubblica e rispondere alle emergenze. Nell’indice sono incluse solo piattaforme con una chiara focalizzazione sulla sicurezza pubblica. ↑
6. Tecnologie di analisi di tipo big data, utilizzate per facilitare le indagini e gli interventi della polizia; alcuni sistemi incorporano analisi algoritmiche per fare previsioni su reati futuri. ↑
7. Per una panoramica dei possibili utilizzi, si può visitare il Blog Facefirst: https://www.facefirst.com/blog/amazing-uses-for-face-recognition-facial-recognition-use-cases/ ↑
8. La clip è disponibile su youtube: https://youtu.be/uiDMlFycNrw ↑
9. “EU considers new rules on facial recognition”, EU Observer, Agosto 2019 ↑
10. Garante Privacy “Provvedimento generale prescrittivo in tema di biometria”, Pubblicato sulla Gazzetta Ufficiale n. 280 del 2 dicembre 2014 ↑
11. Per una trattazione dettagliata, si veda l’articolo “GDPR, riconoscimento facciale e dati biometrici. Il caso svedese”, pubblicato su Privacy Italia il 2 settembre 2019 ↑