Stefano Useli è uno studente di Giurisprudenza presso l’università Roma Tre e un appassionato di I.A. e questioni inerenti, come la legge sulla privacy.
Ha accettato quindi di esprimersi in merito a questo affascinante argomento, dando modo di scendere più a fondo anche ai più inesperti, per di più da un pratico punto di vista giuridico.
Per questo motivo, anzitutto grazie di cuore per la partecipazione, Stefano! Quando ho sentito parlare di privacy, informazioni in rete e lo sviluppo della tecnologia nell’era moderna, ho immediatamente voluto saperne di più. Com’è nato il tuo interesse per la questione? E si collega in qualche modo ai tuoi studi?
Prima di tutto, Gabri, ti ringrazio per questa opportunità.
La trovo un’occasione per esprimermi su un argomento a me caro: l’I.A. e la cybersecurity, temi sicuramente molto sentiti e interessanti.
Da qualche anno mi interesso di cybersecurity, sicurezza e privacy per quanto riguarda il trattare i nostri dati sensibili.
Mi sono detto: ad oggi è molto semplice interfacciarsi con le altre persone.
Qualsiasi portale ti richiede un nome utente, un nome, un cognome, una email e una password.
Mi sono sempre chiesto: queste password, questo mio nome e questo mio cognome, chi li detiene? Che utilizzo ne fa? Perché mi deve chiedere tutte queste informazioni?
Da lì è nato l’interesse del perché e del soprattutto del come vengono tenuti questi dati.
Se, veramente, il mio nome e cognome sono tenuti in un modo consono e sicuro, e che utilizzo ne viene fatto all’interno del web.
Il web è qualcosa di immenso, veramente infinito. Desideravo sapere se dunque detiene questi dati in modo adeguato.
Il collegamento sta nello studio del RGPD (Regolamento Generale sulla Protezione Dati), materia trattata nella nostra università.
Viviamo in un’era in cui Facebook, Instagram e tanti altri siti e social raccolgono le informazioni personali. Qual è il tuo punto di vista sull’argomento? Vuoi parlarci di casi degni di nota relativi?
Bisogna anzitutto definire, giuridicamente parlando, cos’è un “dato personale”.
Il RGPD Unione Europea 2016 n.679, all’articolo 4, sancisce che il dato personale è una qualsiasi informazione sulla persona fisica identificata o identificabile direttamente o indirettamente tramite un identificativo, come il nome, il numero d’identificazione, dati relativi all’ubicazione, un’identificativo online o elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
È importante anche, in merito alla risposta alla tua domanda, definire cos’è il concetto di “profilazione”.
È una qualsiasi forma di trattamento automatizzato di dati personali, che consiste nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento o gli spostamenti di detta persona fisica.
Quindi, in risposta alla tua domanda, sono importanti questi due concetti: cos’è un dato personale e il concetto di profilazione.
Per quanto riguarda il concesso e la cessione dei dati, il consenso è importante: comporta la natura proprietaria del dato e la sua alienabilità.
Infatti l’AGCM, ossia l’Autorità Garante della Concorrenza e del Mercato, il 29 Novembre 2018, multa Facebook per la mancata informazione sulle conseguenze della registrazione per 10 milioni di euro, in quanto Facebook viola gli articoli 21 e 22 del Codice del Consumo. Induce ingannevolmente gli utenti consumatori a registrarsi non informandoli adeguatamente sull’attività di raccolta con intento commerciale dei dati da loro forniti delle finalità remunerative che sottendono la fornitura del servizio del social network enfatizzandone la sua gratuità.
Infatti, così gli utenti consumatori assumono una decisione di natura commerciale che non avrebbero altrimenti preso, ossia la registrazione al social network e la permanenza nel medesimo.
Sempre l’AGCM multa invece, l’11 maggio 2017, con il provvedimento n. 26597, WhatsApp, sempre parte del gruppo Facebook, per aver posto in essere pratiche commerciali scorrette, ossia aggressive, ai sensi degli articoli 20, 24 e 25 del Codice del Consumo. In particolare per aver indotto gli utenti ad accettare integralmente i nuovi termini d’utilizzo, pena l’interruzione del servizio, per 3 milioni di euro.
In dettaglio, l’opzione di condividere con Facebook alcuni dati personali del proprio account WhatsApp per l’utilizzo dei medesimi da parte di Facebook ai fini di profilazione commerciale e pubblicitaria.
L’AGCM ha posto l’accento proprio sulle norme di vantaggio economico di questa pratica commerciale, precisando come i dati personali degli utenti assumano rilevanza economica proprio in forza della loro condivisione infragruppo. Ossia, in questo caso, tra Facebook e WhatsApp. La strategia consente a queste società di migliorare le proprie pratiche di advertising e di profilazione dei consumatori iscritti alle piattaforme social.
Invece, l’antitrust tedesco, nel febbraio 2019, adotta una soluzione diversa, ossia decide che i vari servizi di Facebook, WhatsApp e Instagram, possono comunque continuare a raccogliere i dati, ma con la differenza che non possono combinare le informazioni con l’account principale di Facebook di un utente, a meno che non dia il suo consenso volontario.
Infatti, per il garante tedesco, addirittura, una spunta obbligatoria sulla casella per accettare tutti i termini dell’azienda non è una base sufficiente per questo trattamento intensivo di dati.
Facebook difende queste pratiche di utilizzo di dati con tre motivazioni: aiutano a mostrare annunci più interessanti per i consumatori, permettono agli inserzionisti di misurare il successo delle loro campagne, e in più rendono più facile identificare gli account falsi, combattendo il terrorismo e proteggendo gli utenti.
Di fronte alla sanzione posta dall’AGCM, Facebook ha impugnato la decisione, vincendo il primo grado, ma pende ancora il secondo grado di giudizio.
Credi ci debba essere più tutela, da una prospettiva legale, sulla tutela dei dati?
Secondo me si potrebbe fare un qualcosa in più, anche perché basti pensare che il RGPD è entrato in vigore solo nel 24 maggio 2016, quindi, tra virgolette, pochi anni fa.
Il tema sul trattamento dei dati personali è ancora oggi molto sentito e attuale.
Il RGPD definisce cos’è un dato, le varie limitazioni di trattamento, definisce cos’è la profilazione, definisce come dev’essere trattato un dato per il consenso. È uno strumento molto importante per la tutela dei dati. Ma è ancora molto limitato e quindi migliorabile per parecchi punti di vista.
Parliamo dell’intelligenza del riconoscimento facciale. Ci sono differenze nell’utilizzo da parte dei vari paesi? Ci sono stati inoltre casi in cui l’intelligenza del riconoscimento facciale ha commesso gaffe ed errori eclatanti, con conseguenze pesanti, anche dal punto di vista legale?
In primis, per quanto riguarda il riconoscimento facciale, vorrei dare una definizione. È una tecnica biometrica che consente la comparazione fra i volti di soggetti noti, raccolti all’interno di un database, e con i dati facciali di un individuo acquisiti con strumenti tecnologici di diversa natura.
È una tecnica di identificazione che viene soprattutto utilizzata dalle forze dell’ordine, e resa sempre più facile dalla diffusione delle telecamere nelle strade.
Rende possibile, infatti, determinare la presenza di una persona nel tempo e nello spazio senza aver bisogno di testimoni in quanto basta il filmato della telecamera.
Vorrei fare una importante distinzione tra Cina, Stati Uniti, Australia, Francia e Regno e Unito.
In Cina, il riconoscimento facciale spazia dagli aeroporti, addirittura con l’obiettivo di sostituire i documenti di riconoscimento e biglietti; nei tornelli delle metropolitane, che si aprono con uno sguardo, oppure alla stipula di un contratto di telefonia mobile, ossia la perfezione del contratto la sia ottiene tramite la scansione del volto.
Il sistema cinese è molto rigido. Il sistema di profilazione, il Social Credit System, consente allo stato di raccogliere una gran quantità di dati, elaborati poi da un’autorità giudiziaria.
A ogni individuo viene associato un punteggio in relazione alla sua condotta. I dati valutano la moralità di ogni cittadino.
Per condotta si intende pagamento delle tasse, adempimenti contrattuali, sanzioni relative alla circolazione stradale e via dicendo.
Nel 2019 è stato impedito l’accesso ai trasporti pubblici e dato perfino l’espatrio a causa di un basso Social Credit System. Quindi è un sistema molto invasivo.
Negli Stati Uniti, le forze dell’ordine si avvalgono di un’applicazione, Clearview, che caricando la foto di un soggetto consente appunto il riconoscimento tramite il confronto con tutte le foto pubblicate su Internet.
Clearview crea una banca di immagini prese da Facebook, YouTube e Instagram con un database di circa 3 miliardi di immagini.
Si scoprono le altre immagini pubbliche della stessa persona, conoscendone l’identità con il confronto con le foto del database. Dal 2019, questa applicazione è utilizzata dietro un pagamento da parte della polizia americana, anche se le foto non sempre sono frontali o nitide.
Essendo questa applicazione molto invasiva, nel 2020 venne promossa una class action, chiedendo al giudice di punire la lesione della privacy dei soggetti inseriti nella banca dati. Addirittura gli stessi social network la diffidano affinché cessi l’utilizzo dei propri contenuti.
Clearview si difende sostenendo che l’uso non è illecito.
Sempre in America, il software Google Photo ha etichettato l’immagine di due persone di colore addirittura come gorilla, fatto molto eclatante. Capiamo che non è una situazione molto piacevole.
È vero che il software è stato poi migliorato, ma ci sono comunque studi del National Institute of Standards and Technology (NIST) che dimostrano come fatti negativi non siano casuali, ma si verificano soprattutto rispetto al riconoscimento di donne e anziani appartenenti a minoranze etniche. Questo dipende dalla mancanza di diversità delle immagini utilizzate nei data set sottostanti.
Abbiamo, per esempio, il caso di Robert Williams, che è stato arrestato e trattenuto per oltre 24 ore perché il software della polizia di Detroit aveva confuso il suo volto con quello di un rapinatore ripreso da una telecamera a circuito chiuso.
Williams ha dovuto provare l’errore del software, dimostrando che il computer si fosse sbagliato. Si produce così un’inversione dell’onere della prova, si perde la presunzione d’innocenza che è principio di tutte le costituzioni democratiche.
In Australia, il riconoscimento facciale è in uso per verificare la validità dei passaporti dei passeggeri portuali, e addirittura verrà presto utilizzato nelle università per evitare che, in sede di esame, gli studenti si facciano sostituire.
In Europa siamo più fortunati sotto questo punto di vista, avendo il Libro Bianco sull’I.A..
Per esempio, la diffusione di dati facciali comporta rischi specifici per i diritti fondamentali. Infatti, si raccomanda agli stati membri l’uso dell’I.A. per la riconoscenza biometrica solo ed esclusivamente dove l’uso sia adeguatamente giustificato e proporzionati.
In Francia, invece, il riconoscimento facciale sarà il metro utilizzato per creare a ogni cittadino un’identità digitale con l’apposita applicazione Alicem.
Nel Regno Unito, è presente un gran numero di telecamere intelligenti (420.000), ossia dotate di riconoscimento facciale. Per ogni 1000 abitanti ci sono ben 50 telecamere, tutte queste dotate di tecnologie di riconoscimento facciale, utilizzate per migliorare la sicurezza e contrastare il crimine. Infatti sono tante le cause in tribunale per la difesa della privacy, denunciando i diritti fondamentali.
In Italia abbiamo il S.A.R.I., il sistema di riconoscimento facciale delle immagini.
Nel settembre 2018, a Brescia la polizia arresta due uomini ritenuti responsabili di un furto in appartamento. L’arresto è stato possibile grazie a S.A.R.I., che effettua ricerche nell’A.F.I.S. (Automatic Fingerprint Identification System), attraverso l’inserimento di un’immagine fotografica di un soggetto ignoto che elaborata da due algoritmi di riconoscimento facciale fornisce un elenco di immagini ordinato secondo un grado di similarità.
In Italia, la polizia si avvale del S.A.R.I.. Si tratta di due sistemi, l’Entreprise che effettua il confronto in una banca dati, mentre il Real Time identifica fotogrammi di video live di immagini di telecamere.
Ci si è chiesti se in Italia questo sistema fosse compatibile con le leggi delle privacy. Nel luglio 2018, il Garante della Privacy ha riconosciuto la sua compatibilità con la disciplina in materia di protezione dei dati personali, dando come motivazione che automatizza l’inserimento di alcuni dati attraverso l’inserimento di un semplice fotogramma.
In generale, la coscienza di essere sorvegliati con macchine invisibili condiziona inoltre il comportamento delle persone: si pensi a manifestazioni contro il governo.
In merito a quanto detto, è importante spiegare cos’è il Libro Bianco dell’Unione Europea. Parlacene pure liberamente!
Il Libro Bianco, in Europa può essere il vaso di terracotta tra due vasi di ferro, Cina e America, in quanto hanno notevoli vantaggi e sono molto avanti a livello tecnologico e sull’I.A..
Nel febbraio del 2020, l’Unione Europea pone le basi per la definizione dell’I.A.. Quindi, il Libro Bianco è un documento compilato dalla Commissione Europea che pone le basi per la tutela dei diritti dei consumatori e la promozione dell’innovazione nel campo dell’I.A..
È un primo passo che compie l’Europa per interfacciarsi sull’I.A.. Infatti la pone all’avanguardia in questo settore: l’obiettivo della Commissione Europea è identificare tutti i possibili effetti collaterali che l’I.A. può portare.
Si legge nel Libro Bianco che ha un approccio basato sulla regolamentazione e sugli investimenti con un duplice obiettivo, ossia quello di affrontare i rischi riguardanti questa nuova tecnologia e di promuoverne l’evoluzione. Richiede un approccio da parte di tutti gli stati membri, per raggiungere un livello sufficiente di sviluppo.
Il progetto ha due pilastri fondamentali: un ecosistema di eccellenza e un ecosistema di fiducia.
L’eccellenza promuove la collaborazione di pubblico e privato, mobilitando le risorse e sostenendo l’intera catena del valore, anche da parte di piccole e medie imprese. Infatti l’UE cerca di aumentare gli investimenti, spendendo 3,3 miliardi di euro in ricerche (un quarto di ciò che hanno messo gli Stati Uniti).
L’ecosistema fiduciario punta a far evolvere il quadro legale per far fronte ai piccoli rischi dell’I.A..
Il Libro Bianco sottolinea che l’ecosistema deve offrire sicurezza ai cittadini, che adottino le garanzie giuridiche alle aziende e alle tecnologie che le sviluppino.
L’I.A. dovrà essere sviluppata tenendo presente delle normative sulla privacy già in vigore.
Il Libro Bianco classifica l’I.A. come ad alto rischio.
Di nuovo un sentito grazie, Stefano, per i tuoi commenti e il tempo dedicatoci!
Pillole di Folklore e Scrittura 