Videocamere, droni o altri dispositivi: così milioni di persone vengono spiate in barba alla privacy

Il problema della sicurezza di una città o un Paese resta uno dei più pressanti per chi ci governa. Richiede infatti un delicato equilibrio tra la necessità di prevenire atti criminali, si tratti di disordini negli stadi o di atti terroristici veri e propri, e di garantire il rispetto dei diritti fondamentali.

Dall’attacco alle Torri dell’11 settembre, evento che diede il via libera alla sorveglianza di massa effettuata dal governo americano e da alcuni suoi alleati, poi svelata nel 2013 da Edward Snowden, ex collaboratore dell’agenzia di sicurezza nazionale americana, molte cose sono cambiate. In questi vent’anni abbiamo assistito alla rivoluzione di internet, frutto della combinazione di una adozione massiccia di smartphone e social network, e a quella tecnologica che ci sta portando in questi anni l’adozione dell’intelligenza artificiale in sempre più settori.

Il mondo è cambiato

Tecnologia / Dal Riconoscimento facciale alla sorveglianza di massa: ecco come siamo spiati dall’algoritmo

Il primo cambiamento ci ha messo un minicomputer in tasca e la possibilità di esprimere e condividere col mondo quello che pensiamo, il secondo ci consente di gestire quel minicomputer con la voce, di avere auto che ci aiutano nella guida, di poter individuare tumori prima del tempo.

Inutile dire che la fiducia nel soluzionismo tecnologico non può essere cieca e deve sempre tenere a mente l’altra faccia della medaglia.

Il primo cambiamento ci ha portato, soprattutto in quei casi in cui usiamo il nostro vero nome e la nostra foto, ad auto-schedarci, fornendo preziose informazioni a qualsiasi attore, sia esso il vicino di casa stalker, che il dittatore di un Paese non democratico che perseguita attivisti per i diritti civili e giornalisti. Il secondo cambiamento ha migliorato quel processo di schedatura e controllo di quanto succede sul territorio, con l’ausilio di droni comandabili da remoto, o del riconoscimento facciale in tempo reale.

Inevitabilmente quel delicato bilanciamento di cui sopra si è spostato in modo significativo andando a pendere sempre più verso la voce della sicurezza a scapito di quella dei diritti.

La videosorveglianza nelle città

In Italia, e non solo, la politica ha capito che la sicurezza percepita, soprattutto nelle grandi città, conta più dei diritti. A tal punto che in molti casi si è passati ad utilizzare sistemi di riconoscimento facciale in tempo reale senza il rispetto delle prescrizioni normative europee sul tema, in vigore dal 2018. Si tratta del GDPR e della direttiva sorella sul trattamento dei dati personali da parte delle forze dell’ordine.

Una recente ricerca di Federprivacy ha rivelato tuttavia dati allarmanti secondo cui il 92% delle telecamere installate non sarebbe conforme al GDPR e “solo il 46% di chi le installa si rende conto di avere a che fare con temi complessi che comportano rischi elevati ed esposizione alle pesanti sanzioni previste dal GDPR”. Nella maggior parte dei casi, dunque, il cartello che dovrebbe avvisare della presenza di telecamere non è ben visibile, i rimandi legislativi non sono aggiornati e le informazioni di trasparenza che dovrebbero avvisare in poche righe, salvo rimando ad una informativa più completa, sulle finalità di quelle registrazioni non sono presenti. Semplificando, ma non troppo, questo comporta che milioni di persone sono spiate senza averne consapevolezza e senza sapere che possono esercitare dei diritti a riguardo o chiedere l’intervento del Garante.

In Italia Filippo Sensi, parlamentare del PD, ha fatto approvare a dicembre una moratoria sul riconoscimento facciale nei luoghi pubblici, moratoria però che ha una data di scadenza, dicembre 2023, e che pertanto rimanda solo la discussione per il momento.

Può avere aiutato il fatto che due mesi prima il Parlamento europeo aveva approvato una risoluzione per chiedere alla Commissione europea un ban totale della sorveglianza biometrica, un atto di indirizzo politico importante anche se senza dirette conseguenze. Al contempo il partito europeo dei Verdi aveva pubblicato una ricerca sul tema della sorveglianza biometrica secondo cui infatti sono diversi i casi in cui le polizie di tutta Europa hanno adottato queste tecnologie nel mancato rispetto della normativa europea.

In Italia il caso più noto è quello del comune di Como, svelato da una inchiesta di Wired, e poi fermato dal Garante che imposto lo spegnimento delle telecamere in mancanza di una base legale. Intenzioni simili sono state manifestate anche dalle città di Torino e Udine con gli stessi esiti.

Nel 2020 Algorithm Watch, ong con sede a Berlino che si occupa di monitorare l’uso di algoritmi e intelligenza artificiale, ha pubblicato una ricerca approfondita sul tema dell’uso di queste tecnologie in Europa secondo cui almeno 11 forze di polizia le hanno usate mentre altre ci hanno solo pensato o hanno intenzione di usarle.

In Finlandia invece la polizia nazionale ha scoperto solamente da una inchiesta di BuzzFeed che una polizia locale aveva usato la tecnologia di riconoscimento facciale dell’americana ClearviewAI per trovare potenziali autori di abusi su minori. Il Garante della privacy finlandese aveva osservato come “il trattamento era stato avviato senza ottenere informazioni su come il servizio utilizzato trattava i dati personali. Per esempio, la polizia non aveva determinato in anticipo per quanto tempo i dati sarebbero stati conservati o se avrebbero potuto essere divulgati a terzi”.

ClearviewAI è l’azienda che fornisce alle forze dell’ordine di tutto il mondo i suoi servizi legati ad un database di oltre 10 miliardi di immagini prese, senza alcun consenso, dai social network e dal web. Negli ultimi mesi è stata sanzionata da diversi garanti della privacy per violazione del GDPR, incluso quello italiano che l’ha sanzionata con una multa di 20 milioni di euro e la richiesta di cancellazione delle foto dal database. Il fatto che le immagini siano pubbliche non vuol dire infatti che possano essere usate per il riconoscimento biometrico, trattamento che richiede il consenso del soggetto.

Alla politica non piace la privacy

Tale situazione mostra come la privacy sia, nella migliore delle ipotesi, non considerata, o, nella peggiore, addirittura combattuta. Nei due anni passati con la pandemia, molti politici, di diversi partiti, hanno manifestato la loro insofferenza nei confronti di questo diritto fondamentale quando ogni mossa del governo che mirava ad aumentare i controlli sui cittadini, vedevano il semaforo giallo del Garante a ricordare le salvaguardie necessarie per non scivolare lentamente verso uno Stato di sorveglianza. Solo per fare un esempio, quando il Garante chiese maggiori garanzie di sicurezza all’App IO di PagoPa, alcuni politici dissero che il Garante impediva il ritorno al lavoro perché i cittadini non avrebbero più potuto usare il green pass. Affermazione palesemente falsa visto che il green pass si poteva comunque usare nella sua versione cartacea e che la dimenticata, ma sempre attiva, App Immuni, consentiva di scaricare la versione elettronica.

Nella maggior parte dei casi, si tratti di pubblico o privato, rispettare la privacy vuol dire fare le cose meglio e con più attenzione, piuttosto che non farle. Purtroppo, molti hanno pensato che invece fosse meglio indebolire il Garante. Ad ottobre 2021 dunque fu promulgato il decreto legge Capienze che ha ridotto il potere del Garante di fornire pareri preventivi alla Pubblica Amministrazione su quelle decisioni che hanno un impatto sui diritti fondamentali dei cittadini, lasciando alla PA campo largo per decidere in autonomia come trattare i dati personali per i suoi fini. Il tutto mentre si parla da mesi di usare l’intelligenza artificiale nella selezione dei candidati dei concorsi pubblici. Al contempo il Garante non potrà più stabilire requisiti minimi di sicurezza e protezione dei dati per quanto concerne il traffico telefonico e la distruzione di quei dati. Questo potrebbe far sì che quei dati non siano cancellati in modo appropriato.

Cosa fa Bruxelles

Ad aprile 2021 è stato presentato l’AI Act, la proposta di regolamento sull’intelligenza artificiale.

Tale proposta prevede una classificazione in quattro tipi di rischio, da inaccettabile a nessuno. Nella prima categoria rientra proprio l’uso del riconoscimento biometrico (come quello facciale) da remoto da parte delle forze dell’ordine, considerato illecito, salvo che in alcuni casi che vanno dal terrorismo alla frode. In questi casi dunque la polizia, richieste le dovute autorizzazioni al giudice, potrà usare questa tecnologia per ricercare sospetti di terrorismo. Per permettere questo uso eccezionale sarà comunque necessaria l’installazione delle telecamere, non esenti da possibili abusi.

Questo sarà uno dei temi più caldi nel confronto istituzionale tra Parlamento e Consiglio (formato dai capi di Stato e governo). Tra gli emendamenti proposti dal Parlamento c’è la possibilità di un ban totale di questa tecnologia per le forze dell’ordine, senza eccezioni, proprio in vista del rischio di finire in uno stato che abbracci l’idea che la sorveglianza di massa sia diffusa e senza limiti.

Urge ricordare infatti due fattori: il primo è che, pur vivendo nell’Unione europea, non tutti gli Stati membri hanno la stessa attenzione ai diritti fondamentali come la libera espressione e questa tecnologia potrebbe essere abusata in futuro. Il secondo è che, senza dover citare gli Stati Uniti, qualche mese fa il Regno Unito è stato sanzionato dalla Corte europea dei diritti dell’uomo che, pur non riconoscendo l’illegittimità della sorveglianza di massa da parte di uno Stato, ha affermato che tale soluzione estrema debba sempre essere limitata nel tempo, nello spazio e nei fini.

La posizione dei Garanti europei

Su questo tema si è pronunciato da poco l’EDPD, il comitato che riunisce i garanti nazionali della privacy in Europa, che ha pubblicato delle linee guida sull’uso del riconoscimento facciale da parte delle forze dell’ordine. Il documento non è definitivo, in quanto ancora aperto a commenti, e integra le precedenti linee guida sulla videosorveglianza, anche privata, pubblicate nel 2019.

L’EDPB non è contrario in assoluto al suo uso che però deve essere circoscritto e giustificato da una base legale e da un opportuno bilanciamento e rispetto dei diritti fondamentali.

Così, negli esempi proposti, i Garanti bocciano l’uso del riconoscimento facciale per confrontare le foto di sospetti con le immagini riprese dalle CCTV e dai video pubblicati sui social media nei casi di rivolte e manifestazioni violente. In questo caso, in assenza di limitazioni, il bilanciamento dei diritti pone troppo a sfavore dei cittadini possibili indagati. Bisogna tenere in conto infatti che queste tecnologie sono molto fallaci nei casi in cui le immagini sono raccolte da soggetti in movimento, con poca luce e bassa qualità e porterebbero ad arresti non giustificati.

L’EDPD invece ammette la legittimità del caso in cui tale operazione viene svolta da personale specializzato, attingendo, per il confronto, al solo database della polizia composto di altri sospetti criminali e per indagare un crimine molto grave. I dati biometrici resteranno nel perimetro controllato e sicuro dell’ufficio, senza essere inviati a soggetti terzi e saranno trattai da personale selezionato e che ha ricevuto un training specifico. Da ultimo, ma fondamentale, la legge nazionale che ne giustifica l’uso dovrà essere sufficientemente specifica e non generica.

Come riconosciuto dall’agenzia europea dei diritti fondamentali (FRA) l’uso di queste tecnologie non costituisce un rischio solo per la privacy ma per diversi diritti fondamentali come il diritto alla libera espressione e di riunione. Col diffondersi di questo tipo di telecamere in spazi pubblici, le persone potrebbero scegliere di non passare più per quegli spazi o di non recarsi a manifestazioni politiche sapendo che, anche successivamente, potrebbero essere identificate per il solo fatto di essere state presenti. Per questo i Garanti chiedono che la legge nazionale sia appropriata per perseguire l’obiettivo di interesse generale di garanzia della sicurezza perché da solo, tale interesse, non può limitare gli altri diritti fondamentali. L’uso del riconoscimento facciale deve essere usato solo quando strettamente necessario, in modo proporzionato rispetto al fine perseguito.

Serve più formazione

La videosorveglianza non si limita alle telecamere, l’abbiamo vista all’opera anche nelle scuole in questi anni di pandemia con gli studenti costantemente controllati e accusati di aver copiato solo per aver distolto lo sguardo dalla webcam.

Questo dimostra che manca ancora una sufficiente formazione del personale, delle scuole, delle imprese e, ovviamente, delle forze di polizia e dei decisori politici, nazionali e locali.

L’autorità garante della privacy da tempo, col sostegno della società civile (si veda l’iniziativa di Hermes Center “Reclaim Your Face”) cerca di diffondere questa cultura e consapevolezza ma solo se la politica sarà pronta ad ascoltare, non bollando la privacy come un cavillo burocratico, potremo gestire il cambiamento sociale che lo sviluppo tecnologico sta portando.