Riconoscimento facciale: le linee guida del Consiglio d’Europa
17 Febbraio 2021
Nel documento si raccomanda che la legislazione che limita l’uso della tecnologia sia ben definita, stabilendo parametri e criteri chiari da rispettare a tutela degli utenti. Il riconoscimento va permesso solo in ambienti non controllati (come i centri commerciali) e per scopi a norma di legge.
Il Consiglio d’Europa, organizzazione internazionale in prima linea nella difesa dei diritti umani del vecchio continente, ha chiesto – e progressivamente ottenuto – regolamentazioni severe della tecnologia di riconoscimento facciale, al fine di proteggere i dati personali e l’uguaglianza dei cittadini europei. Nelle sue “Guidelines on Facial Recognition”, varate il 28 gennaio scorso, il Consiglio d’Europa – che riunisce ben 47 paesi tra Unione Europea e resto del continente – tramite il Comitato della Convenzione 108 ha fornito delle linee “di indirizzo” per i governi, i legislatori, i fornitori e le imprese che orbitano a diverso titolo attorno alla tecnologia del riconoscimento facciale. Le linee guida stabiliscono una serie ristretta di situazioni in cui la tecnologia in esame dovrebbe essere utilizzata, proponendone al contempo un divieto totale di utilizzo in taluni casi.
I membri del Comitato della Convenzione 108 del Consiglio d’Europa che ha emanato le Linee Guida
Il senso delle Linee Guida del Consiglio d’Europa
Per il segretario generale del Consiglio d’Europa, Marija Pejčinović Burić, il riconoscimento facciale può essere effettivamente “comodo”, aiutando le persone a superare gli ostacoli nella propria vita quotidiana. Tuttavia può anche porsi come una minaccia ai diritti umani “essenziali”, tra cui la privacy, la parità di trattamento e la non discriminazione, autorizzando le autorità statali e altri terzi “determinati o meno” a monitorare e controllare aspetti importanti della vita dei cittadini europei, spesso senza la loro piena conoscenza né consenso. Per la Burić tali abusi possono essere fermati con queste linee guida che dovranno garantire (nell’intenzione dell’organismo in esame) la protezione della dignità personale, dei diritti umani e delle libertà fondamentali, compresa la sicurezza dei dati personali.
Le Guidelines raccomandano che la legislazione che limita l’uso della tecnologia di riconoscimento facciale sia ben definita, stabilendo parametri e criteri chiari da rispettare a tutela degli utenti. Si raccomanda di permettere il riconoscimento facciale solo in ambienti non controllati (come i centri commerciali), per scopi a norma di legge. Il Consiglio d’Europa ha affermato che l’uso del riconoscimento facciale in ambienti “affollati” deve essere strettamente necessario e proporzionato per prevenire un rischio imminente e grave per la sicurezza pubblica, come documentato in più occasioni. Per il Consiglio d’Europa le aziende private non dovrebbero essere autorizzate a utilizzare questa tecnologia negli spazi pubblici per scopi di marketing o di sicurezza privata.
Le linee guida del Consiglio d’Europa sul riconoscimento facciale necessitano di un dibattito democratico sull’uso del riconoscimento facciale negli spazi pubblici e nelle scuole, e una possibile moratoria in attesa di ulteriori analisi. Tra i divieti “netti” imposti dall’organismo internazionale in esame spiccano le finalità di determinazione del colore della pelle, dell’affinità religiosa, del sesso, dell’origine razziale o etnica, dell’età, della salute e della condizione sociale di una persona. Questo dovrebbe estendersi anche alle tecnologie di “riconoscimento degli affetti”, che tentano di identificare le emozioni, i tratti della personalità, le difficoltà di apprendimento e le condizioni di salute mentale. Il Consiglio d’Europa, nelle linee guida sul riconoscimento facciale ha avvertito che queste situazioni comportano rischi importanti in campi come l’occupazione, l’istruzione e le assicurazioni.
Anche l’AI nel mirino della Commissione Europea
Nel frattempo, la Commissione Europea sta contemplando una nuova legislazione comunitaria che regoli l’uso dell’intelligenza artificiale, compresa la tecnologia di riconoscimento facciale. È il caso di rammentare che lo scorso ottobre il Parlamento Europeo ha votato con forza per approvare i “principi guida” per un’intelligenza artificiale fortemente incentrata su privacy, trasparenza e responsabilità sociale.
Riconoscimento facciale: il caso Clearview AI
L’azienda statunitense, leader di settore nel campo del riconoscimento facciale, Clearview AI Inc. è costantemente sotto esame in Europa, Nord America e Australia, poiché si scontra più volte con le normative statali e regionali poste a tutela della riservatezza e della protezione dei dati. E gran parte dell’attenzione degli “esaminatori” delle tre aree geografiche di cui sopra si concentra sulle diverse normative che regolano l’uso di foto raccolte sul web e sulle quali sono stati costruiti diversi “profili biometrici”.
Clearview AI: indagini e giudizi pendenti
A fine gennaio scorso l’autorità di protezione dati di Amburgo (Germania), ha emesso un ordine contro Clearview AI, che ha sede a New York, obbligandola a cancellare i dati biometrici relativi a Matthias Marx, un dottorando tedesco di 32 anni. Il garante amburghese ha ordinato all’azienda statunitense di cancellare gli “hash” biometrici, utilizzati per identificare il ricorrente partendo da alcune foto che ritraggono il suo viso. L’azienda ha avuto tempo fino al 12 febbraio per conformarsi. È giusto il caso di rammentare che non tutte le foto che ritraggono una persona sono considerate dati biometrici “particolari” secondo il GDPR (e quindi tutelate dal medesimo); infatti, solo i dati che identificano in modo univoco una persona fisica assurgono come “dati particolari biometrici” (Art. 9 GDPR).
Ma l’azione del garante privacy di Amburgo è solo una delle molte indagini, giudizi pendenti e richiami che Clearview AI sta affrontando dinanzi ai tribunali di svariati paesi del mondo. Ad esempio, ad inizio febbraio 2021 le autorità canadesi per la protezione dei dati hanno definito le pratiche dell’azienda statunitense come una forma di “identificazione e sorveglianza di massa”, violando le leggi sulla privacy in vigore nel paese della foglia d’acero. Clearview AI, a sua discolpa, ha affermato che la sua tecnologia non è più disponibile in Canada e che avrebbe rimosso qualsiasi dato sui cittadini canadesi su richiesta di questi ultimi.
Clearview AI si basa su un database di circa 3 miliardi di foto che ha “raschiato” da internet, permettendogli di cercare le corrispondenze utilizzando algoritmi di riconoscimento facciale. Alcune forze dell’ordine di diversi paesi usano la sua tecnologia per trovare criminali e testimoni. Basti pensare che il dipartimento di polizia dell’Alabama ha dichiarato di aver trovato – grazie a Clearview AI – i sospetti che parteciparono all’assalto del Campidoglio di Washington D.C. lo scorso 6 gennaio.
I dati biometrici sono definiti nel GDPR come informazioni – ad esempio un’impronta digitale o una scansione per il riconoscimento facciale – che possono identificare “univocamente” una persona, tenendo presente però (come affermato) che la mera foto di un soggetto non è automaticamente considerata biometrica. Tuttavia, per alcuni questa definizione è “troppo stretta”, perché anche una singola foto può portare all’identificazione univoca di qualcuno.
Clearview: come difendere la privacy
Ad esempio, tornando a Matthias Marx, alcuni algoritmi di riconoscimento facciale riconoscerebbero il suo volto anche se cambiasse espressione o fosse parzialmente coperto. Poiché i dati biometrici sono quelli, immutabili. Il signor Marx presentò la sua denuncia lo scorso febbraio (2020) dopo che Clearview AI gli confermò che le sue immagini erano nel suo database. Un database peraltro disponibile online. L’autorità privacy di Amburgo ha affermato che il GDPR si applica a tutta la “raccolta di dati” del signor Marx fatta da Clearview AI, con alcune delle immagini e dei testi “didascalici” che lo identificano come uno studente. E questo si qualifica come un tratto comportamentale coperto dal GDPR.
A partire da marzo 2020, Clearview AI ha interrotto i pochi account di prova forniti ad alcune forze dell’ordine dell’Unione Europea. L’azienda di New York ha dichiarato di non aver mai avuto alcun contratto con alcun cliente comunitario, ribadendo che “non vede l’ora” di lavorare con l’autorità privacy di Amburgo, con l’auspicio di conformarsi al più presto alle sue richieste. Inoltre l’azienda ha dichiarato che procede sempre alla cancellazione dei dati su richiesta dei cittadini europei.
Nel frattempo le associazioni a difesa della privacy di tutto il mondo stanno monitorando come Clearview AI trasferisce i dati tra i diversi paesi. Dal momento che l’azienda si trova al di fuori dell’Unione Europea, il trasferimento dei dati dai paesi UE agli Stati Uniti violerebbe le regole sul trasferimento all’estero dei dati personali senza adeguate garanzie a loro tutela. Sul punto per il Privacy Commissioner of Canada, Daniel Therrien, potrebbe essere difficile per Clearview AI rimuovere le immagini di diverse persone in alcuni paesi. Infatti, per Therrien Clearview AI sta raccogliendo così tante informazioni e immagini da non sapere se tali immagini si riferiscano a canadesi, americani o persone di altre nazionalità.
Sanzioni per chi utilizza la tecnologia Clearview
Tornando in Europa, l’autorità svedese per la protezione dei dati (Datainspektionen) ha multato l’autorità di polizia locale con 250mila euro per l’uso illecito del database di Clearview AI, in violazione delle normative in vigore nel paese scandinavo. Come parte della sanzione, la polizia del regno deve condurre un’ulteriore formazione e istruzione del suo personale al fine di evitare qualsiasi futuro trattamento di dati personali in violazione delle norme sulla protezione dei dati e dei regolamenti vigenti. L’autorità privacy di Stoccolma ha anche diramato l’ordine di informare le persone i cui dati personali sono stati inviati a Clearview AI. L’indagine della Datainspektionen ha scoperto che la polizia ha usato lo strumento di riconoscimento facciale in un certo numero di occasioni e che diversi dipendenti lo hanno usato senza autorizzazione preventiva da parte dei superiori. L’autorità privacy scandinava ha dichiarato che la polizia non ha adempiuto ai suoi obblighi in materia di protezione dei dati utilizzando Clearview AI con estrema leggerezza. Infatti la polizia svedese non ha implementato misure organizzative sufficienti per garantire ed essere in grado di dimostrare che il trattamento dei dati personali fosse effettuato in conformità alle normative nazionali svedesi. Utilizzando Clearview AI la polizia svedese ha trattato illegalmente i dati biometrici di riconoscimento facciale, oltre a non aver condotto una valutazione d’impatto sulla protezione dei dati che questo caso avrebbe sicuramente richiesto.
Per la Datainspektionen vi sono regole chiaramente definite su come l’autorità di polizia svedese può trattare i dati personali, specialmente per scopi di applicazione della legge: è responsabilità della polizia assicurarsi che i dipendenti siano consapevoli di queste regole.
La sanzione è stata decisa sulla base di una valutazione complessiva, anche se per i critici risulta piuttosto bassa rispetto al massimo edittale previsto dalla legislazione svedese.
La Datainspektionen ha affermato che non è stato possibile determinare cosa sia successo alle foto dei cittadini svedesi inviate a Clearview AI, né è stato possibile determinare se la società newyorkese abbia memorizzato tali informazioni e in quale modo. Come ultima “stoccata” la Datainspektionen ha anche ordinato alla polizia del regno di prendere provvedimenti per assicurarsi che Clearview AI cancelli i dati illegalmente in suo possesso.
Riconoscimento facciale: il “falso ostacolo” delle mascherine anti-contagio
A quasi un anno dall’inizio della pandemia Covid-19, risulta “relativamente” facile ricordarsi di indossare la mascherina prima di uscire di casa; tuttavia, riconoscere il proprio vicino di casa o il proprio collega che indossa una mascherina può risultare ancora un po’ una “sfida”. Con così tante persone in tutto il mondo che indossano regolarmente mascherine, il riconoscimento dei volti diventa complicato. Il ricercatore Erez Freud e alcuni suoi colleghi hanno recentemente pubblicato uno studio che ha scoperto come la capacità umana di riconoscere un volto si riduce di circa il 15 per cento in presenza di una mascherina anti-Covid indossata correttamente. I ricercatori hanno somministrato a quasi 500 persone il “Cambridge Face Memory Test”, un esame creato per determinare le capacità di percezione dei volti. I partecipanti hanno esaminato un dataset online di volti a loro non familiari. E per la metà dei partecipanti i visi da esaminare avevano mascherine aggiunte digitalmente. Il team di ricerca ha scoperto che nel 13% dei partecipanti, un volto mascherato comprime talmente tanto la capacità di riconoscimento da causare un effetto simile alla prosopagnosia, una condizione nota anche come “cecità del volto”.
La nostra capacità di leggere i volti non riguarda solo il riconoscimento reciproco, ma è anche fondamentale per l’interazione sociale. Una cosa di cui è necessario tenere conto è che la percezione dei volti è probabilmente la più importante capacità visiva che l’uomo possiede. Infatti si usano le informazioni sul volto non solo per identificare la persona, ma anche per determinare le sue emozioni, il suo sesso, nonché le sue intenzioni. Indossare la mascherina ha probabilmente causato alla gente alcuni momenti imbarazzanti, come chiedersi perché quello sconosciuto dall’altra parte della strada sta salutando, o chi ha appena detto “ciao” sull’autobus. Ma per alcuni, può essere socialmente debilitante.
Per gli anziani di una casa di riposo, ad esempio, il vedere altre persone indossare mascherine tutto il tempo può essere dannoso. In età più avanzata, infatti, le capacità di percezione del volto sono compromesse. E se a ciò si aggiunge l’isolamento, la situazione peggiora.
In genere quando guardiamo il volto di un’altra persona, il nostro cervello lavora alla velocità della luce per “calcolare le distanze” tra le singole caratteristiche – es. il naso, gli occhi, la bocca – “tutto in una volta”, per determinare chi stiamo guardando. I ricercatori hanno scoperto che una mascherina interrompe totalmente questo approccio olistico al riconoscimento facciale. Così, a causa della mascherina, si tende a concentrarsi più sugli occhi e le caratteristiche individuali invece che sul volto nel suo complesso. E questo dà al cervello meno informazioni con cui lavorare, rendendo il processo di identificazione meno efficiente.
Ma si scopre che gli esseri umani non sono gli unici a “lottare” per riconoscere i propri simili. Anche i software di riconoscimento facciale hanno trovato “pane per i loro denti” con l’arrivo delle mascherine sul panorama mondiale. Un rapporto di luglio 2020 del National Institute of Standards and Technology (NIST) ha scoperto che alcuni dei più accurati algoritmi di riconoscimento facciale non sono riusciti ad autenticare i volti lo 0,3% delle volte. Tuttavia, aggiungendo la variabile della mascherina, il tasso di errore aumenta fino a circa il 5 per cento. E in alcuni casi gli algoritmi hanno sbagliato fino al 50 per cento delle volte. Un secondo rapporto del NIST di novembre 2020 vide qualche miglioramento. I nuovi algoritmi sviluppati nel corso del 2020 risultarono più efficienti nell’identificare i volti “mascherati”, poiché gli sviluppatori adattarono i loro software alla realtà. Ma tutti i 65 algoritmi inclusi nel rapporto continuarono ad avere un più alto tasso di errore quando la mascherina copriva il naso e la bocca della persona.
Fonte: Network Digital 360 – Ai4Business