Clearview AI salva imputato da procedimento penale

Clearview AI, com’è noto, si occupa di raccolta di immagini di volti, che poi elabora con tecniche di intelligenza artificiale (AI), per estrarne i componenti biometrici. Una volta individuata, la persona può essere riconosciuta in altre foto o filmati, confrontando l’impronta biometrica presente nell’archivio di Clearview con quella presente nelle foto o nei filmati analizzati.

La raccolta dei volti avviene all’insaputa degli interessati, con tecniche cosiddette di web scraping, ossia di apprensione automatica di contenuti da Internet, prevalentemente da piattaforme social. Tale attività è illecita ai sensi del GDPR perché svolta senza consenso esplicito conforme all’art. 9.2.a( GDPR (i dati biometrici sono dati sensibili, o “particolari”) e senza informativa. Mancano poi una serie di condizioni ulteriori, come una DPIA conforme all’art. 35 GDPR.

Nonostante ciò, licenze di utilizzo del software sono state in passato sottoscritte da molte autorità di polizia e altre LEA (Law Enforcement Agency) dell’Unione europea. Per ovvi motivi: in fase di indagine, comprendere chi è una certa persona che compare in un filmato o in uno scatto fotografico può essere decisivo.

Riassumendo perciò:

  • la piattaforma in questione “si nutre” delle immagini pubblicate spontaneamente per ragioni relazionali e ricreative dagli stessi utenti o da loro amici e conoscenti su piattaforme social (es. Facebook, Instagram, LinkedIn). Si nutre all’insaputa dei soggetti fornitori, cioè;
  • tale attività è illecita ai sensi del GDPR (e nella misura in cui esso trova applicazione territoriale);
  • questo software illecito è (stato) utilizzato da forze di polizia per attività tuttavia commendevoli, in abstracto, quali l’indagine e il contrasto di attività criminali.

E’ chiaro che la piattaforma pone rilevanti problemi etici e soprattutto, per quanto ci riguarda, evidentissimi problemi giuridici. Non a caso il trattamento è stato considerato illecito da numerose autorità di controllo dell’Unione, tra le quali per l’Italia il Garante per la protezione dei dati personali, e sanzionata applicando lo scaglione più alto previsto dal GDPR.

In effetti, la piattaforma rappresenta un esempio perfetto del paradigma del “capitalismo della sorveglianza” di cui ha scritto Shoshana Zuboff nel saggio diventato ormai un classico per comprendere e definire concettualmente i modelli di potere ed economici del contesto digitale. La società estrae – alla lettera – da milioni di persone fisiche, considerate come materie prime (raw material) da sfruttare, informazioni che acquistano rilevante valore economico una volta elaborate e vendute a terzi sul mercato digitale. E’ esattamente questo il business model di Clearview AI.

Ma che cosa succede se la piattaforma permette a un avvocato difensore di individuare un testimone chiave e di far cadere un’imputazione per omicidio stradale a carico di un suo assistito? E’ esattamente quanto avvenuto recentemente negli Stati Uniti. La vicenda rappresenta insieme un tentativo del produttore di software di migliorare la sua immagine pubblica, fortemente compromessa da una serie di iniziative di contrasto giuridico, non solo europee, e anche un modo per apportare una nuova prospettiva di valutazione del suo prodotto e porre stimolanti sfide logiche. Ne ho parlato per Ius Law Web Radio – la radio dell’avvocatura, in un’intervista ascoltabile qui (link esterno). Qui invece la mia precedente intervista relativa alla sanzione venti milioni di euro comminata dal Garante alla società.

AI ed evasione fiscale: l’app VeRA

Ha suscitato notevole interesse l’annuncio di nuovi applicativi basati sull’intelligenza artificiale (AI), e in particolare su tecniche di machine learning, da parte dell’Agenzia delle Entrate e della Guardia di Finanza per il contrasto all’evasione.

Sappiamo da notizie di stampa che il software dell’Agenzia delle Entrate si chiama “VeRA”, e poco altro. Infatti, nonostante la notizia circoli da mesi, gli unici spiragli per cogliere veramente dimensioni e caratteristiche del trattamento vengono dall’Autorità garante per la protezione dei dati personali.

Perché i dati personali? Perché il trattamento si colloca in pieno GDPR, racconta moltissimo dell’attività relazionale di ciascuno, della vita privata, delle scelte, e richiede una DPIA, in quanto sussiste probabilità di rischio elevato per i diritti e le libertà. E’ questa la condizione che innesca appunto l’adempimento, ex art. 35 GDPR.

Intendiamoci: l’obiettivo ultimo, quello di contrastare l’evasione, è assolutamente necessario e commendevole, urgente. Va conseguito. Il punto è come, e soprattutto se i mezzi siano proporzionati nell’impatto sulla sfera privata e trasparenti nel funzionamento.

Si pone cioè il più classico dei dibattiti: stiamo introducendo un sistema di controllo proprio di uno Stato della sorveglianza, con il pretesto del conseguimento di una finalità di assoluto e preminente interesse pubblico, oppure stiamo soltanto facendo uso di quanto strettamente necessario?

Per più ampie riflessioni e per un approfondimento sulle banche dati che alimenteranno il sistema, sia permesso rimandare all’articolo dell’avv. Pelino “App ‘VeRA’ dell’Agenzia delle Entrate” pubblicato su Agenda Digitale