La polizia italiana usa l'AI di Clearview? Sarebbe gravissimo, ecco perché - Agenda Digitale

intelligenza artificiale

La polizia italiana usa l’AI di Clearview? Sarebbe gravissimo, ecco perché

Una inchiesta di Buzzfeed mette anche la polizia italiana tra gli utenti del contestato sistema di intelligenza artificiale di Clearview, riconoscimento facciale per le indagini. Illecito alla luce del GDPR. In merito anche una interrogazione parlamentare. Ciò che manca è la trasparenza, soprattutto

10 Set 2021
Diego Dimalta

Studio Legale Dimalta e Associati

Un articolo apparso nelle scorse settimane su BuzzFeed ha evidenziato come numerose forze di polizia in tutto il mondo si stiano servendo già oggi della tecnologia Clearview, riconoscimento facciale con intelligenza artificiale.

Tra queste vi sarebbe anche la Polizia Italiana che, stando ai numeri riportati, avrebbe già utilizzato questo sistema per 130 volte. Non solo un test quindi ma un vero e proprio utilizzo prolungato nel tempo.

Per questo motivo l’associazione Privacy Network ha presentato una ulteriore segnalazione all’Autorità Garante della Privacy, che va di fatto ad aggiungersi a quella già inviata a febbraio dell’anno scorso e, a seguito della quale, il Garante aveva avviato indagini per comprendere al meglio cosa stava accadendo.

L’ufficio stampa della Polizia di Stato, interrogata sulla vicenda, non risponde. Ne sapremo comunque di più a breve, dato che il PD ha pure presentato una interrogazione alla Camera.

Il problema se la Polizia Italiana usa Clearview

Chi non conosce Clearview potrebbe domandarsi “che problema c’è se le forze dell’ordine utilizzano questi sistemi?”

I problemi sono in realtà molti, soprattutto sotto il punto di vista giuridico.

Sorveglianza via riconoscimento facciale, Garante Privacy solo baluardo di diritti

In primo luogo, da quello che emerge da indagini di altre autorità estere, Clearview avrebbe allenato il proprio algoritmo di intelligenza artificiale utilizzando un database di immagini di soggetti del tutto ignari.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Queste foto sarebbero state difatti prese dai social network e, in generale, da Internet, da pagine accessibili a chiunque. Tanto che hanno protestato gli stessi social network.

Si tratta di foto pubbliche quindi, allora dove sta il problema?

Il problema è che la raccolta di informazioni da un database per la creazione di altri database, con diverse finalità, è da considerarsi illegittima. Manca un’informativa, manca una base giuridica, manca ogni minimo requisito di legittimità imposto dal GDPR. Si badi, a tal riguardo, che i dati raccolti non riguardano solo soggetti stranieri ma, anzi, spesso riguardano anche soggetti europei. Uno dei miei più cari amici, ha voluto fare una prova. Ha esercitato il suo diritto di accesso riconosciuto dal GDPR ed ha scoperto che Clearview in effetti ha diverse sue fotografie nel proprio database. Senza che lui sapesse nulla, una società ha quindi raccolto le sue foto e le ha messe in un database. È evidente, anche a chi di privacy non si occupa, che si tratta di una situazione piuttosto anomala.

Il database di Clearview è quindi caratterizzato da una quantomeno dubbia legittimità. Questo porta a ritenere che l’utilizzo di tale sistema sia di per sé uno sbaglio enorme da parte delle forze dell’ordine. Sicuramente questi aspetti non sono stati ben spiegati a chi avrà in qualche modo acconsentito all’implementazione di tale tecnologia, ma è importante che anche le forze dell’ordine si pongano qualche domanda, in primis, come visto, sul funzionamento del sistema e, in secundis, sulla possibilità di utilizzare lo stesso.

Già, perché se anche l’algoritmo di Clearview si basasse su foto legittimamente raccolte dal Web è da ritenere dubbia la possibilità di utilizzo di tale sistema da parte delle forze dell’ordine.

Vietato per il GDPR e il Garante Privacy

Sul punto il Garante era già stato molto chiaro riferendosi al progetto SARI Real Time: ad oggi per trattare dati biometrici di questo tipo serve necessariamente una previsione di legge, attualmente inesistente. L’Autorità precisava in particolare che anche qualora fossero state adottate precauzioni come la cancellazione immediata delle immagini, ed altre, l’identificazione di una persona si sarebbe comunque realizzata attraverso il trattamento dei dati biometrici di tutti i presenti nello spazio monitorato, determinando così una evoluzione della natura stessa dell’attività di sorveglianza, che segnerebbe un passaggio dalla sorveglianza mirata di alcuni individui alla possibilità di sorveglianza universale.

Sulla stessa scia il provvedimento contro il Comune di Como ove, oltre a vietare l’installazione di telecamere smart, il Garante ha voluto ribadire nuovamente alcuni importanti passagi giuridici.

L’Autority, in quel caso ha evidenziato che, quando si parla di sorveglianza finalizzata alla riduzione della criminalità,  pur applicandosi la disciplina di cui al d.lgs. n. 51/2018 – relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali- tali disposizioni non prevedono in alcun modo la possibilità di ricorrere a dati biometrici. Lo scenario normativo attuale non permette di comparare una telecamera “normale” da una dotata di intelligenza artificiale. Le norme attualmente in vigore, si limitano infatti, a consentire l’identificazione dell’indagato e delle persone in grado di riferire su circostanze rilevanti per la ricostruzione dei fatti.

In particolare è l’articolo 7 del d.lgs. n. 51/2018 ad evidenziare che Il trattamento di dati di cui all’articolo 9 del regolamento  UE è  autorizzato  solo  se  strettamente  necessario  e  assistito  da garanzie adeguate per i diritti  e  le  libertà  dell’interessato  e specificamente previsto dal diritto dell’Unione europea o da legge o, nei casi previsti dalla  legge,  da  regolamento,  ovvero,  ferme  le garanzie  dei  diritti  e   delle   liberta’,   se   necessario   per salvaguardare un interesse  vitale  dell’interessato  o  di  un’altra persona fisica o se ha ad oggetto dati resi  manifestamente  pubblici dall’interessato.

Ora, alla luce di tutto quanto sopra, è quindi evidente come, nel caso in cui sia accertato l’utilizzo di Clearview da parte delle Forze di Polizia, lo stesso difficilmente potrà ritenersi legittimo.

Serve più trasparenza

Per questo, anche al fine di evitare il verificarsi di situazioni simili, sarà necessario indagare anche sul come si sia giunti all’acquisto o, comunque, alla presa in carico di tale sistema. Perché nessuno ha sollevato qualche dubbio di legittimità? Ancora una volta, purtroppo, il problema principale pare essere la totale mancanza di conoscenza della normativa privacy da parte della PA, e questo è molto grave.

In passato inchieste del New York Times hanno evidenziato che Clearview considerava come clienti – a scopo di comunicazione marketing – anche le forze di polizie che avevano avviato un trial gratuito. Per i motivi suddetti anche questo sarebbe grave, da parte della polizia italiana.

Non resta che attendere una risposta e in generale trasparenza – mancata nel caso Sari – sulla vicenda.

Clearview AI testato in Italia: le implicazioni, tra tutela della privacy e sicurezza dei cittadini

WHITEPAPER
Quali sono le strategie da seguire per difendersi contro gli attacchi di phishing?
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 3