Riconoscimento facciale: Il garante stoppa il Viminale bocciando l'utilizzo della videosorveglianza con riconoscimento facciale
La commissione UE non vieterà il riconoscimento facciale per la pubblica sicurezza e per la lotta al terrorismo. Qualcosa non torna. Manca una legge ad hoc.
(AGR) Di recente, il Garante per la protezione dei dati personali è intervenuto su un paio di questioni riguardanti il riconoscimento facciale. Un tema delicato considerando che, in Italia, non abbiamo ancora una legge ad hoc.
Da una parte, ha ritenuto il sistema italiano di riconoscimento facciale SARI Real Time non conforme alla normativa europea. Dall'altra, ha avviato un'istruttoria contro Clearview che esegue il facial recognition tramite foto prese dai social network.
Nei giorni scorsi, il deputato PD Filippo Sensi ha presentato una proposta di legge per chiedere una moratoria, la sospensione dell’utilizzo di telecamere con riconoscimento facciale biometrico nei luoghi pubblici da parte di autorità e privati, in attesa che entri in vigore una legge nazionale ad hoc.
La proposta di legge di Sensi prevede sanzioni amministrative pecuniarie per chi installa questi sistemi nel periodo di moratoria ai sensi dell’art. 166 del codice di protezione dei dati personali del 2003 e dell'art. 42 del decreto legge 51/2018 (sanzione prevista: da 50mila a 150mila euro). Sono esclusi dalla proposta di legge gli impianti di videosorveglianza autorizzati dalla normativa vigente che supportano le attività istituzionali di difesa e sicurezza. Approfondiamo la questione SARI Real Time e Clearview.
Riconoscimento facciale: perché il Garante considera SARI Real Time non conforme alla normativa privacy Il Garante ha dato parere sfavorevole sull'utilizzo di Sari Real Time (non ancora attivo) da parte del Ministero dell'Interno. Perché? Prima considerazione: questo sistema italiano è tuttora privo di una base giuridica che legittimi il trattamento dei dati biometrici automatizzato per il riconoscimento facciale finalizzato a scopi di sicurezza. Seconda considerazione: per come è stato progettato, implementerebbe una forma di sorveglianza indiscriminata, di massa.
Il sistema Sari Real Time, sviluppato come soluzione mobile, è installabile lì dove nasce l'esigenza di un sistema di riconoscimento facciale per supportare le Forze dell'Ordine nell'ambito della sicurezza pubblica oppure in base a necessità della Polizia Giudiziaria. Grazie ad una serie di telecamere installate in una certa area geografica, questo sistema permette di analizzare in tempo reale i volti di tutti i soggetti ripresi.
Confronta questi volti con una watch-list, una banca dati predefinita in grado di contenere fino a 10.000 volti. Se l'algoritmo riscontra una corrispondenza tra un volto ripreso dalle telecamere ed uno presente nelle banca dati, il sistema può generare alert per segnalarlo agli agenti.
La funzione di videosorveglianza di Sari Real Time permette di registrare le immagini riprese dalle telecamere.
Da sorveglianza mirata a sorveglianza di massa
Di base, la normativa sulla privacy definisce rigorose cautele per il trattamento di dati biometrici, in particolare per certi tipi di dati (come quelli che rivelano opinioni politiche, religiose, sindacali, orientamenti sessuali). I dati biometrici interferiscono in modo significativo con la vita privata delle persone. In linea con la normativa europea e con quanto disposto dal Consiglio d'Europa, il Garante Privacy considera di estrema delicatezza l'uso di tecnologie di riconoscimento facciale a scopo di prevenzione e repressione dei reati.
Riguardo a Sari Real Time, il Garante aggiunge che questo sistema porterebbe ad un trattamento automatizzato su larga scala che coinvolgerebbe persone presenti a manifestazioni sociali o politiche non oggetto di 'attenzione' da parte delle forze di Polizia.
Il Ministero dell'Interno, nella sua valutazione d'impatto presentata, ha spiegato che le immagini riprese vengono immediatamente cancellate. Nonostante ciò, il Garante evidenzia che l'identificazione di una persona avverrebbe mediante il trattamento dei dati biometrici di tutti i presenti nell'area monitorata al fine di "generare modelli comparabili con quelli dei soggetti contenuti nella watch-list".
Da videosorveglianza mirata di determinati individui si passerebbe alla sorveglianza universale. Serve una legge ad hoc e adeguatezza dei sistemi Il trattamento dei dati biometrici deve trovare legittimazione in un'adeguata base normativa che non è stata riscontrata nella documentazione fornita dal Ministero dell'Interno. Il problema principale resta proprio questo: manca una normativa che autorizzi questa tecnologia ancora in fase sperimentale e non utilizzata in campo.
Una tecnologia che oggi è, a tutti gli effetti, illegittima. Una base normativa adeguata, secondo quanto riporta il Garante, dovrebbe considerare tutte le libertà e i diritti coinvolti. Dovrebbe stabilire le situazioni in cui è possibile utilizzare questi sistemi senza lasciare un'ampia discrezionalità a chi li usa.
E' importante anche valutare alcuni aspetti nell'utilizzo del riconoscimento facciale come, ad esempio, i criteri di identificazione dei soggetti da inserire nel database, l'adeguatezza del sistema nei confronti di soggetti appartenenti a minoranze etniche o le conseguenze di falsi positivi (arresto di un innocente per errore come è successo a Detroit a giugno del 2020). Ad oggi, la tecnologia del riconoscimento facciale non è perfetta, può sbagliare.
Gli algoritmi nascondono anche pregiudizi razziali come succede negli USA con i neri oppure a Hong Kong nello Xinjiang con la minoranza islamica degli Uiguri. Ci teniamo a specificare che il Sari normale, non il Real Time, continua ad essere impiegato dalla Polizia e non ha ricevuto nessun blocco. Ci chiediamo: il riconoscimento facciale su dati biometrici è da considerare sbagliato in sé o perché è ancora imperfetto oppure perché manca una legge specifica?
L'Intelligenza Artificiale e la tecnologia machine learning è destinata ad evolversi, perfezionarsi, a fare passi da gigante. Una volta che sarà perfezionata, il problema sarà soltanto politico, non tecnologico.
Il Garante Privacy avvia un'istruttoria contro Clearview
Negli ultimi giorni, si parla molto di scraping, attività con cui si 'raschiano' foto e dati pubblici da Internet per creare database sfruttati per scopi diversi da quelli per cui vengono pubblicati. Se ne parla a seguito dei data leak di Facebook, Clubhouse e Linkedin.
Questo fenomeno non è "né carne né pesce": non si può definire un vero data breach ma non è neanche legittimo perché, per esserlo, dovrebbe prevedere una base giuridica e un'apposita informativa per gli interessati.
In questo clima tutt'altro che trasparente, salta fuori un'altra gatta da pelare per il Garante: la questione Clearview. Il Garante, a seguito di una segnalazione da parte di Privacy Network, a marzo ha avviato un'istruttoria contro Clearview ancora in corso e vi spieghiamo perché. Clearview è un colosso statunitense, una nota azienda il cui business è proprio il riconoscimento facciale. Ha creato enormi database di foto pubbliche carpite dai social che continuano a crescere. Obiettivo: sottoporle a sistemi in grado di individuare i reticolati utili per procedere al riconoscimento facciale.
Anche in Canada diverse Authority hanno avviato indagini contro Clearview: hanno evidenziato che la società ha raccolto circa 3 miliardi di foto. Vale a dire che, una buona parte della popolazione mondiale potrebbe essere già stata schedata dalla tecnologia di riconoscimento facciale Clearview.
Una notizia del MIT Technology Review riporta che il NYPD (Polizia di New York) starebbe collaborando da tempo (almeno 2 anni) a stretto contatto con Clearview per identificare criminali e gente comune.
La NYDP avrebbe testato numerose volte (oltre 5.100 ricerche) la tecnologia utilizzando il riconoscimento facciale Clearview AI anche in indagini reali, non solo per esercitazioni. Secondo i dati del MIT, pare che molti agenti abbiano ottenuto l'autorizzazione ad installare l'app sui propri dispositivi personali per una serie di impieghi difficilmente controllabili.
Clearview in contrasto con il GDPR
L'attività di Clearview è decisamente in contrasto con i principi dettati dal GDPR, il Regolamento Europeo sulla Protezione dei Dati. Sono almeno 3 i principi europei violati dal colosso statunitense su cui si sta concentrando il Garante: - dati sensibili (biometrici) utilizzati senza il consenso dell'interessato (violazione dell'art. 9 del GDPR); - nessuna informativa, violazione del principio di trasparenza; - perdita di controllo totale dei propri dati per l'interessato che non può sapere se i suoi dati biometrici e le sue foto sono inclusi nel database di Clearview o meno.
Su questi punti si sono già concentrate le autorità canadesi, svedesi e di Amburgo. C'è un ostacolo da superare, però: il diverso approccio alla protezione dei dati utilizzato dagli USA e dall'Unione Europea. E' l'ostacolo più grande nei rapporti tra Europa e Stati Uniti.
Privacy in USA e UE: due approcci diversi alla protezione dei dati
Che succederebbe se il Garante Privacy dichiarasse illegittimi i trattamenti di dati biometrici di Clearview? Ammetterebbe ufficialmente che la NYDP sta utilizzando da tempo un sistema illegittimo e questo porterebbe a conseguenze enormi, peraltro difficili da prevedere.
In più, il colosso Clearview non sarebbe tanto propenso né a cancellare obbligatoriamente i dati trattati in modo illegittimo né a pagare un'eventuale sanzione per la decisione del Garante italiano. Quanti colossi Big Tech statunitensi rispettano (o fanno finta di farlo) le disposizioni europee in termini di trattamento dei dati? Indipendentemente da un'eventuale dichiarazione di illegittimità da parte dell'UE, oltreoceano non cambierebbe nulla: nessuno cancellerebbe i dati e continuerebbero ad utilizzarli come fa la NYDP.
La proposta di regolamento UE sull'Intelligenza Artificiale
E’ di ieri 21 aprile la proposta di regolamento sull'Intelligenza Artificiale, la prima in assoluto della Commissione UE. In base alla consultazione seguita al white paper, la Commissione europea per la prima volta tenterà di disciplinare l'utilizzo di questa tecnologia anticipando USA e Cina.
Le tecnologie che si basano su dati biometrici sono ritenute ad alto rischio e sono soggette a protezione speciale. In linea di principio, il trattamento di dati biometrici è vietato ma, per quel che riguarda il riconoscimento facciale, sono previste eccezioni legate alla tutela della pubblica sicurezza ed alla lotta contro il terrorismo.
Il garante stoppa il Viminale bocciando l'utilizzo di Sari Real Time per la videosorveglianza con riconoscimento facciale finalizzata all'ordine e alla pubblica sicurezza. La commissione UE non vieterà il riconoscimento facciale per la pubblica sicurezza e la lotta contro il terrorismo.
Qualcosa non torna. Manca una legge ad hoc.
di Francesco Ciano