Il riconoscimento biometrico presenta diversi problemi non tanto di carattere tecnico quanto di carattere etico. Non è un caso che le applicazioni dell’intelligenza artificiale che vanno in questa direzione siano soggette a iter di regolamentazione che stanno vivendo – in questi ultimi mesi – lunghe fasi di gestazione. Si pensi al regolamento europeo sull’intelligenza artificiale – il primo firmatario della legge è proprio l’eurodeputato italiano Brando Benifei – che sta prevedendo delle casistiche ben precise che limitano, in qualche modo, l’utilizzo della tecnologia in contesti pubblici. Il dibattito su questo tema è molto serrato perché anche i legislatori stanno cercando dei compromessi non semplici tra le applicazioni positive e quelle potenzialmente negative dell’intelligenza artificiale. In Italia, la moratoria sull’utilizzo del riconoscimento biometrico nei luoghi pubblici è stato un primo, importante passaggio messo a segno dal parlamento. La verità, però, è che quando si parla di intelligenza artificiale su strumenti che nulla hanno a che fare con telecamere o pubblica sicurezza, si entra in un terreno ancor più minato. Perché le sfumature sono molteplici. Lo ha dimostrato il caso di Clearview AI, lo potrebbe dimostrare anche il caso di Lensa AI.

Lensa AI e Garante Privacy, quali sono i rischi in cui ci si imbatte

Clearview AI – lo ricorderete – ha l’obiettivo ambizioso di mappare praticamente l’intera popolazione mondiale. Attraverso lo scraping di immagini, l’azienda ha dichiarato di riuscire a creare un database di 100 miliardi di immagini entro la fine del 2022. Anche in virtù di questa dichiarazione, nel marzo del 2022, l’azienda è stata raggiunta da un provvedimento del Garante della Privacy italiano, che l’ha multata per 20 milioni di euro. La motivazione di questa sanzione è stata così sintetizzata dall’autorità: «I dati personali detenuti dalla società, inclusi quelli biometrici e di geolocalizzazione, sono trattati illecitamente, senza un’adeguata base giuridica, che non può sicuramente essere il legittimo interesse della società americana. La società ha, inoltre, violato altri principi base del GDPR, come quelli relativi agli obblighi di trasparenza, non avendo adeguatamente informato gli utenti, di limitazione delle finalità del trattamento».

Visto che di dati biometrici si parla anche per Lensa AI, ci si chiede quali prospettive si potranno aprire nel caso in cui le autorità europee di tutela della privacy dovessero ravvisare delle irregolarità nel trattamento dei dati sensibili. Sicuramente ci sono diversi punti interrogativi sul trasferimento dai Paesi europei a Paesi terzi, che è alla base di tutti i provvedimenti – come quello su Google Analytics – che prevedono questo transito. Lensa esplicita chiaramente che i dati saranno conservati negli Stati Uniti, dove ha sede l’azienda. Tuttavia, si spiega che per i trasferimenti da UE a Usa, le misure di sicurezza sono state rafforzate. Il GDPR prevede, effettivamente, che il trasferimento dei dati verso Paesi terzi sia possibile in presenza di misure di sicurezza analoghe a quelle dell’Unione Europea: ma come Lensa risponda a questi maggiori standard di sicurezza non è esplicitato.

Inoltre, la questione che va evidenziata è se le immagini e i dati raccolti da Lensa AI siano effettivamente trattati correttamente. All’interno delle policies sulla privacy di Lensa AI si fa più volte riferimento al regolamento europeo sulla privacy, il GDPR, prevedendo anche un percorso speciale per eventuali ricorsi dei cittadini soggetti a questa legge comunitaria.

Lensa dichiara di non conservare alcun dato (la scomparsa delle foto dal database dell’applicazione dovrebbe avvenire, secondo le indicazioni dell’azienda, entro le 24 ore), ma di non essere responsabile sull’utilizzo delle immagini dalle terze parti (si pensi, ad esempio, a una condivisione di una foto sui social network). Inoltre, l’azienda specifica: «Sebbene facciamo del nostro meglio per proteggere le informazioni raccolte, non possiamo garantire la sicurezza delle informazioni raccolte trasmesse a Lensa o attraverso Lensa, né possiamo dare una garanzia assoluta che tali informazioni non possano essere accessibili, divulgate, alterate o distrutte».

Uno scopo di carattere commerciale – il servizio di Lensa è a pagamento – può essere considerato proporzionato al trattamento di tutti questi dati personali? La sensazione è che – in futuro – delle valutazioni dei garanti UE potranno affrontare in maniera più approfondita la tematica