Da Wired.it :
Privacy Network ha inviato un appello al Garante per la protezione dei dati per fermare la discussa società di riconoscimento facciale
*di Matteo Navacci, cofondatore, responsabile advocacy e ricerca di Privacy Network
Il 19 febbraio 2021 abbiamo formalmente chiesto al Garante per la protezione dei dati di intervenire nei confronti di Clearview Ai, azienda statunitense che ha sviluppato un software di riconoscimento facciale rivolto primariamente alle forze dell’ordine.
Per allenare il suo algoritmo di riconoscimento facciale l’azienda da anni acquisisce in modo automatizzato miliardi di immagini presenti sul web (anche dai social network). Da queste immagini sono creati i dati biometrici che saranno poi usati dalle forze dell’ordine per identificare le persone. Tutto questo, all’insaputa delle persone a cui si riferiscono le immagini.
Siamo convinti che l’attività di Clearview Ai sia un pericolo per i diritti e libertà dei cittadini europei e italiani, oltre ad essere in totale violazione dei principi fondamentali europei e del Regolamento sulla protezione dei dati (Gdpr).
I motivi sono principalmente tre:
1) I dati biometrici, elaborati dalle fotografie acquisite da Clearview Ai, sono trattati senza alcun consenso da parte delle persone, che invece è espressamente richiesto dal Gdpr, come misura di tutela.
2) L’attività di Clearview Ai è completamente sconosciuta alla maggior parte delle persone presenti nei loro database, che ad oggi sembrerebbe contare più di 3 miliardi di fotografie. Le persone non hanno alcun controllo sui loro dati e sulla loro identità.
3) Il sito di Clearview Ai è estremamente scarno di informazioni. Le poche informazioni disponibili sono fuorvianti e incomplete. Dal sito si legge che “Clearview does not maintain any sort of information other than publicly available photos”. L’affermazione è incorretta, dato che omette di dichiarare che Clearview Ai tratta tantissimi dati oltre alle fotografie delle persone: dati biometrici, riferimenti web da cui sono state prese le foto (es. profili social), e chiaramente una serie di metadati come descrizioni delle fotografie e tag necessari anche al funzionamento dell’algoritmo di machine learning.
Uso in Europa
L’attività di Clearview è una forma di sorveglianza elettronica di massa il cui unico scopo primario è fornire alle forze dell’ordine di tutto il mondo uno strumento per identificare in tempo reale qualsiasi persona. Centinaia di milioni di persone, tra cui anche bambini, sono alla mercè di questa sorveglianza subdola e pervasiva, senza alcuno strumento di tutela o garanzia. Non bisogna commettere l’errore di pensare che sia un problema lontano.
È ormai appurato che nel database di Clearview sono presenti immagini di cittadini italiani ed europei, così come è confermato che anche alcune forze dell’ordine europee hanno già iniziato ad usarlo, illegalmente. È recente la notizia della sanzione al corpo di polizia svedese proprio per aver illecitamente usato Clearview Ai durante alcune indagini. Ricordo che nell’Unione europea sono previsti specifici limiti e tutele per l’uso di dati biometrici per la prevenzione, l’indagine o il perseguimento di reati. La polizia non può semplicemente accedere a un database di dati biometrici e iniziare ad usarlo come vuole.
Lo scenario che si prospetta è inquietante e distopico: milioni di persone potrebbero essere oggetto di indagini, scrutinio e sorveglianza da parte delle forze dell’ordine di tutto il mondo, senza alcuna tutela giuridica, e senza alcuna trasparenza. Questo è particolarmente grave se pensiamo che i software di riconoscimento facciale non sono affidabili al 100%, e in questo caso un singolo errore potrebbe comportare l’identificazione di qualcuno come sospetto di reato.
Vale la pena poi evidenziare che Clearview Ai rende difficoltoso esercitare il diritto di accesso ai dati, in quanto viene obbligatoriamente richiesta una copia del documento d’identità del soggetto interessato. Questa prassi dovrebbe essere giustificata da specifiche e comprovate esigenze di identificazione della persona, e non certo adottata a livello generale per ogni istanza di accesso. Non è chiaro il motivo per cui l’azienda abbia bisogno di un documento d’identità, considerando che in questo caso sarebbe sufficiente una fotografia per riconoscere la persona, e considerando che l’azienda non dovrebbe essere in possesso dei dati anagrafici delle persone per poterli confrontare con quelli presenti sul documento.
I punti critici
E parlando di diritto di accesso, proprio il 24 marzo ho ricevuto riscontro alla mia istanza di accesso, scoprendo mio malgrado di essere finito nel loro database. Due cose in particolare mi hanno lasciato perplesso: la prima, è che nella loro stessa risposta contraddicono la loro affermazione di non mantenere alcun dato se non le foto. Nella documentazione è chiaramente indicata anche la fonte dei dati, che spesso è un profilo social (non necessariamente il mio).
La seconda cosa che mi lascia perplesso è la completa assenza di informazioni sul trattamento. Il Gdpr prevede che una richiesta di accesso debba essere corredata da informazioni specifiche sul trattamento: quali sono le finalità, le categorie di dati, i destinatari, il periodo di conservazione, e così via. Clearview Ai invece si limita a inviare le fotografie presenti nel database e la loro fonte. Solo per questo sarebbero sanzionabili per violazione dell’articolo 15 del Gdpr.
In conclusione, sono questi i motivi per cui abbiamo chiesto al Garante per la protezione dei dati di intervenire e istruire un’indagine su Clearview Ai. Chiediamo di fare luce sulla natura del trattamento di dati e sulla sua estensione. È inaccettabile non conoscere in modo dettagliato le attività di questa azienda, così come è inaccettabile non conoscere l’elenco delle forze dell’ordine che hanno accesso al database.
Al Garante chiediamo anche di prendere pubblicamente posizione contro le attività di Clearview, in quanto assolutamente inconciliabili con i principi fondamentali europei e con il Gdpr. È doveroso che i cittadini siano consapevoli dell’esistenza di questa minaccia, ed è doveroso che le Autorità europee intervengano nel più breve tempo possibile.
Potrebbe interessarti anche