Una società di riconoscimento facciale dovrà cancellare i dati di un cittadino europeo

Riconoscimento facciale (Getty Images)
Riconoscimento facciale (Getty Images)

Con una decisione che non ha precedenti nell’Unione europea, l’Autorità garante per la protezione dei dati personali di Amburgo ha imposto all’azienda statunitense Clearview Ai, specializzata nel tracciamento tramite riconoscimento facciale, di cancellare le informazioni di un cittadino tedesco, raccolte a sua insaputa. La risoluzione costituisce un primo passo nel riaffermare la prevalenza del diritto alla propria identità digitale rispetto alla costante crescita del mercato della biometria, che secondo le proiezioni potrebbe arrivare a valere oltre 56 miliardi di euro a livello mondiale nel 2025. 

Particolarmente discussa e già bersaglio di forti critiche, la tecnologia sviluppata da Clearview Ai sostiene di poter associare il volto di qualunque persona d’interesse a milioni di immagini liberamente disponibili sul web, comprese quelle dei social network (con la sola eccezione di quelle condivise privatamente, si legge sul sito dell’azienda). Secondo quanto dichiarato dall’azienda, il database sarebbe costituito da 3 miliardi di immagini. Questa tecnologia è stata utilizzata da enti privati, fondazioni bancarie e casinò e oggi serve direttamente le forze dell’ordine statunitensi. Grazie a Clairview AI, “le autorità statunitensi utilizzano il l’archivio biometrico per individuare in foto e video ulteriori informazioni appartenenti a persone altrimenti sconosciute”, si legge in una nota pubblicata da Noyb (acronimo di None of your business, “Non sono affari tuoi”), un’organizzazione internazionale che si occupa di privacy

È stata la stessa Noyb a dare impulso all’attività del garante, in rappresentanza del cittadino tedesco Matthias Marx, un membro della comunità di hacker e attivisti del Chaos Computer Club. Grazie a una richiesta di accesso ai dati ai sensi del Gdpr (il Regolamento generale dell’Unione europea per la protezione dei dati) Marx aveva inviato una sua fotografia, ottenendo di sapere che la sua identità era associabile dal software alle immagini in rete. Naturalmente, il trattamento è avvenuto in spregio all’obbligo del consenso stabilito dal regolamento europeo, che come ricorda Nyob si applica anche all’estero “qualora riguardi dati processati nel mercato europeo”. Contattato da Wired, l’amministratore delegato di Clearview Ai, Hoan Ton-That, ha replicato: “La nostra tecnologia non è disponibile nell’Unione europea. Attendiamo di attivare un dialogo con il Data protection officer di Amburgo nell’ottica di rimediare alle loro preoccupazioni”.

Mezza soddisfazione

Ma la decisione di Amburgo rischia di costituire una vittoria a metà per i sostenitori della privacy, in quanto il garante ha ordinato all’azienda la sola rimozione degli hash – codici numerici associati a ciascuna foto e che permettono il riconoscimento delle caratteristiche biometriche comuni tra le immagini – senza imporre chiaramente anche la cancellazione delle foto stesse. Inoltre, il provvedimento non ha un carattere generale e “protegge solamente l’individuo coinvolto”, senza dunque costituire una regola estesa per tutto il mercato europeo. “Ciascun garante europeo ha il diritto di emettere provvedimenti generali che vanno oltre il singolo caso”, obietta Noyb: “Mancando il carattere di generalità, ciascun cittadino dovrebbe ricorrere contro Clearview Ai in modo da non venire incluso nei risultati di ricerca del database biometrico”. Un diritto reclamabile dagli oltre 440 milioni di cittadini dell’Unione Europea

“È la classica vittoria a metà, ma è pur sempre un passo avanti”, ha commentato a Wired Riccardo Coluccini, membro del Centro Hermes per i diritti digitali e tra i promotori di #ReclaimYourFace, una campagna internazionale volta a pretendere maggiori garanzie a tutela dei diritti dei cittadini in merito alle raccolte incontrollate di dati biometrici: “La legge già stabilisce che un simile trattamento di dati, palesemente in mancanza del consenso, è illegale – spiega Coluccini – ed è per questo che simili misure risultano comunque superficiali, non andando a incidere alla radice del problema: non dev’essere in alcun modo consentito di raccogliere massivamente dati senza il consenso dell’interessato”. Anche perché accertare che le aziende siamo coerenti con le disposizioni di legge e i provvedimenti delle autorità garanti è tutt’altro che semplice, specialmente se la presunta violazione avviene al di fuori dell’Unione europea. 

Cosa possiamo fare

Rimane tuttavia l’iniziativa dei cittadini, che hanno facoltà di pretendere l’applicazione delle norme rivolgendosi direttamente alle autorità per la protezione dei dati di ciascun Paese europeo, nel caso in cui si siano riscontrate delle violazioni. Per fare ciò è sufficiente chiedere a Clearview Ai (o a qualsiasi altra azienda che si sospetta possa aver archiviato dati personali senza consenso) di verificare se è in possesso dei nostri volti o di altri dati biometrici (la società statunitense mette a disposizione un formulario apposito). In alternativa, è possibile utilizzare un servizio offerto da Bits of freedom (localizzato in Italia dal Centro Hermes) che guida l’utente nella formulazione della richiesta. Infine, per maggiori informazioni e per adire il Garante italiano per la protezione dei dati personali – dallo scorso luglio l’autorità è presieduta dal giurista Pasquale Stanzione – è possibile consultare la modulistica offerta dalla stessa autorità

Clearview Ai avrà tempo fino al 12 febbraio di quest’anno per opporsi alla decisione del Garante di Amburgo, presentando le dovute motivazioni. L’esito non è scontato ma è di cruciale importanza per i volti di almeno 440 milioni di europei.  

 

The post Una società di riconoscimento facciale dovrà cancellare i dati di un cittadino europeo appeared first on Wired.