1. Introduzione

“Se siamo qualcosa ora, siamo informazione”, afferma Mark O’Connell nel famoso libro “Essere una Macchina”[1]. Ogni parte di noi è in grado di produrre dati: dalle azioni e decisioni che vengono prese nella infosfera[2], sino al nostro corpo. Ogni movimento nel mondo è mediato da devices e corporations il cui interesse primario è quello di approfondire la conoscenza dell’individuo per produrre risultati sempre più personalizzati. Un “unwanted gaze”[3]che segue l’individuo in ogni momento della sua vita personale.

Una tecnologia che rientra in questa problematica è il riconoscimento facciale[4]. Afferente alla branca del deep learning e dei “multilayered neural network”[5], l’oggetto della sua raccolta algoritmica sono quei dati biometrici definiti dalla Law Enforcement Directive “special categories of personal data”[6].  Il FRT non è altro che un algoritmo impiegato per riconoscere i visi umani attraverso l’uso della biometria, in grado di raccogliere informazioni a partire da video o foto, focalizzandosi sui dettagli dei volti, quali, ad esempio, la distanza degli occhi dalla fronte, il mento, per creare una c.d. “facial signature”[7]: ovverosia, una firma del nostro viso. Dagli aeroporti[8] alla più banale azione di sbloccare uno smartphone di ultima generazione, il FRT raccoglie dati biometrici per i più svariati motivi. Taluni studi[9] riportano, difatti, interessanti utilizzi di questa tecnologia come, ad esempio, la creazione di template da parte di social media: Facebook la applica sia per analizzare fotografie ed indentificare coloro che vi sono ritratti sia nei programmi di cifratura per riconoscere e bloccare le immagini che recano contenuti intimi e che possono recare un grave danno agli individui che ne sono oggetto, come nei terribili casi di revenge porn[10].  Occorre, inoltre, menzionare la creazione di database usati dalla polizia per ragioni di pubblica sicurezza[11], come per identificare coloro che hanno preso parte all’attacco a Capitol Hill del 6 gennaio 2021[12], per ritrovare dei minori scomparsi[13], o nei luoghi di lavoro, ove il riconoscimento facciale viene utilizzato per prendere alcune decisioni come l’assumere o il licenziare dei lavoratori[14].

Tuttavia, ubi commoda, ibi et incommoda: nonostante siano stati individuati diversi ambiti in cui una sua applicazione appare utile ed interessante[15], numerose sono le criticità rintracciabili sul piano giuridico, con particolare riferimento all’ambito regolatorio. L’interesse del giurista, prima di una piana accettazione del ciclone tecnologico in cui ogni ambito della nostra vita sembra essere avviluppato, dovrebbe essere quello di far luce su questo meccanismo ed evitare di ridurre l’essere umano a un mero studio algoritmico. Le problematiche sono essenzialmente legate alla pervasività di un tale strumento di sorveglianza e ai suoi limiti tecnologici, bias, riconducibili in senso stretto alla qualità del dataset dal quale l’algoritmo può “apprendere” e riprodurre il ragionamento alla base del riconoscimento[16]. Oltre ai limiti tecnici, una diffusione del FRT è spesso oggetto di applicazioni poco attente alla protezione dei diritti fondamentali, come quelle di cui sono vittime i cittadini del Myanmar[17] nel corso delle proteste che stanno infiammando il Paese, o, ancora, la famigerata app Clearview AI, divenuta simbolo della sorveglianza di massa e alla quale si dedicheranno i successivi paragrafi.

2. Clearview AI

Uno dei più famosi casi di utilizzo del riconoscimento facciale è Clearview AI, famosa azienda statunitense oggetto di un reportage dello scorso gennaio 2020 del New York Times[18] quando, a causa di un data breach, sono emerse informazioni sui clienti: sono all’incirca tremila le agenzie di pubblica sicurezza che utilizzano Clearview, tra cui la US Army e Air Force. Fondata da Hoan Ton-That, si tratta di un immenso database costituito da circa 3 miliardi di immagini che l’azienda afferma di aver ottenuto sondando il web: queste sono state ricavate da Facebook, YouTube, Venmo e moltissimi altri siti web[19]. Un tale pozzo di conoscenza è messo a disposizione, tra gli altri, delle forze di polizia. Niente di nuovo, potrà pensare qualcuno: la polizia fa identikit e cerca di identificare criminali dalla notte dei tempi. Vero, ma ciò che è assolutamente innovativo nell’intera vicenda Clearview è che si sono appropriati di foto che, sebbene pubbliche, non ritraggono tutti criminali e che sono state poste all’interno di un archivio che può essere utilizzato per identificare dei sospetti. Ciò ha come diretta conseguenza che moltissime persone si sono ritrovate nei database di Clearview senza aver mai dato il consenso ad allenare gli algoritmi di questa azienda che dichiara di vendere la propria tecnologia sia a soggetti pubblici sia a privati.

Come si diceva prima, questi dataset per essere davvero performanti, necessitano idealmente di moltissimi esempi. Tale aspetto non solleva solo un problema di tipo quantitativo nel costruire un set quanto più diversificato di volti, ma soprattutto un individuo dovrebbe essere ritratto da differenti angolature, in differenti ambienti e esposto a differenti fonti di luce, senza menzionare, poi, la ben ovvia complicazione di insegnare all’algoritmo a riconoscere il medesimo volto sebbene celato da un make-up più marcato, o baffi, o, ancora, barba. Allo scopo, dunque, di allenarlo e ovviare agli evidenti bias che ancora produce[20], al momento sono state raccolte decine e decine di foto da festival, albi professionali, foto di repertorio. Quanto mai inquietante il venire a sapere che le foto che senza darvi troppo peso vengono condivise online possono essere utilizzate per allenare un algoritmo[21]. Non si tratta solamente di Clearview in quanto, come abbiamo visto, anche le maggiori piattaforme di social network impiegano tali strumenti per gli scopi più vari. Tuttavia, ciò che fa il database di Ton-That è senza precedenti in termini di quantità e, soprattutto, appannaggio del miglior offerente: è descritto, difatti, dal suo creatore come un “search engine for faces”[22].

I principali punti di criticità sono così riassumibili:

1. I dati trattati sono dati biometrici e di per sé questo aspetto fa già sorgere degli interrogativi circa la necessità e la proporzionalità del trattamento. I dati biometrici sono, difatti, dati distintivi di un individuo che lo caratterizzano in maniera unica rispetto ad un altro essere vivente. Come suggerisce l’artista e attivista Adam Harvey, un selfie non è solo un selfie, anzi, esso vive una doppia vita come “training data” a servizio di un’analisi algoritimico-biometrica[23] per la quale non è stato espresso nessun tipo di consenso;
2. L’attività condotta da Clearview AI comprende 3 miliardi di fotografie: il che implica se non altrettante, ma comunque un grandissimo numero di persone presente nei loro database che ignorano completamente la cosa e che non hanno alcun controllo sulla destinazione delle loro foto e dei loro dati;
3. La pericolosità di Clearview è da rintracciare anche nella sua opacità, scarsità di informazioni nonché della mendace dichiarazione che raccoglierebbe solo “available photos” come recita il sito web. Difatti, come chiariscono le fonti[24], l’azienda tratta moltissimi dati oltre alle foto: metadati ricavati dai siti web dove sono stare trovare le menzionate foto.

A causa del carattere controverso tanto della tecnologia impiegata quanto del database stesso, numerose autorità a tutela della privacy stanno iniziando a porre dei limiti. Una legge del Massachusets[25] sembra andare in questa direzione: se da una parte autorizza l’impiego da parte delle forze di polizia della tecnologia in esame, dall’altra costruisce una cornice protettiva volta a prevenire falsi positivi che hanno condotto, anche negli ultimi mesi[26], ad arresti arbitrari, in un paese che ancora soffre pericolosi e divisivi pregiudizi razziali, come la triste vicenda legata alla morte di George Floyd testimonia. La riforma prevede, dunque, alcune garanzie di sicurezza, quali la necessaria autorizzazione di un giudice prima di poter utilizzare il sistema basato su riconoscimento facciale e che tale ricerca possa essere condotta solamente da membri della polizia di stato, F.B.I, o Registry of Motor Vehicles: ciò priverebbe a un qualsiasi poliziotto locale di effettuare il download dell’app di riconoscimento facciale e condurre in autonomia una ricerca. La riforma prevede, inoltre, l’istituzione di un apposito organo che studierà le policy per un corretto (e rispettoso della legge) utilizzo di questi strumenti. L’ideatore è Mx. Crockford, ricercatore e attivista del ACLU Massachusets, organizzazione no profit a protezione delle libertà civili, che dichiara al NY Times[27]: “one of my concerns was that we would wake up one day in a world resembling that depicted in the Philip K. Dick novel “Minority Report,” where everywhere you go, your body is tracked; your physical movements, habits, activities and locations are secretly compiled and tracked in a searchable database available to god knows who”.

Un atteggiamento, quello della riforma, che fa riflettere: anziché procedere con un blocco generalizzato, si è tentata una nuova strada, i cui effetti dovranno essere esaminati sul lungo termine, che prevede sulla carta una convivenza sia dei diritti sia della tecnologia.

Moltissime città americane stanno, al contrario, procedendo a ban localizzati volti a bloccare l’uso del riconoscimento facciale: due su tutte Boston e Portland, mentre altre, come New York, sono divenute il target della campagna mondiale, “Ban the Scan”, lanciata da Amnesty International[28] che chiede lo stop generalizzato all’uso del FRT.

• Blocco del garante canadese

Un approccio simile è stato sostenuto in Canada, dove il Privacy Commissioner, Daniel Therrien, ha svolto un’investigazione su Clearview AI, al termine della quale ha dichiarato l’illegalità[29] dell’app di riconoscimento facciale[30]: si tratta della posizione più forte che è stata presa da un Governo nei confronti del discusso database. Secondo quanto riportano le fonti[31], l’investigazione è stata Condotta dal Federal Commissioner in collaborazione con le autorità equivalenti di Quebec, Alberta e British Columbia. Sebbene l’Autorità non abbia il potere di erogare sanzioni, ha ordinato a Clearview di cancellare ogni immagine appartenente a cittadini canadesi dai propri archivi, di evitare di raccoglierne ulteriori in futuro e, infine, di non vendere i loro prodotti su territorio canadese.

L’azienda statunitense, nel contestare la decisione, ha affermato che la Legge Canadese sulla Protezione delle Informazioni e dei Documenti Elettronici (PIPEDA)[32] autorizza le aziende ad utilizzare dati pubblici per scopi commerciali. La risposta dell’Autorità non si è fatta attendere e ha chiarito che ove nel PIPEDA è prevista la clausola dell’utilizzo di quelle informazioni ‘publicly available’ non apre all’uso delle immagini condivise sui social per scopi che non rientrano nell’originario consenso cui l’individuo ha aderito nel condividere suddette immagini[33]. Il CEO di Clearview AI ha risposto che da quando era iniziata l’investigazione era cessata ogni tipo di attività dell’app su territorio canadese, ma che non ha alcuna intenzione di cancellare le foto dei cittadini: secondo quanto riportato dalla giornalista Hill[34], che se lo vorranno, gli interessati potranno farne richiesta ad hoc tramite il loro sito.

Una vicenda che, sebbene apra a un primo e diretto blocco governativo all’uso che del riconoscimento facciale Clearview sta facendo, mostra le debolezze dell’autorità statale nel vedere recepite con efficacia diretta le proprie decisioni. Una vicenda che sicuramente riserverà dei nuovi sviluppi e che si auspica venga presa ad esempio anche da altri governi, in particolare in Europa.

• Migranti contro Clearview: la causa californiana

Le problematiche legali per Clearview non si fermano al territorio canadese: due gruppi di attivisti per i diritti dei migranti, Mijente e Norcal Resist, hanno portato in tribunale la controversa azienda[35]. Sul filone del noto movimento Black Lives Matter, l’intera causa si basa su due principali motivi: il primo riguarda gli errori e le inaccurate risposte dell’app quando si tratta di identificare persone di colore, come i menzionati arresti provocati da falsi positivi testimoniano. In secondo luogo, la causa vuole premere sullo Stato della California nel muoversi verso un blocco generalizzato di Clearview, dato che molte città, tra cui San Francisco, sono già andate in questa direzione[36].

L’esito di questa controversia è ancora tutto da vedere ma non è l’unica controversia legale che l’azienda di Ton-That deve fronteggiare: lo scorso anno ne è stata instaurata un’altra da ACLU, ed è tutt’ora in corso, sul presupposto che Clearview agisca in violazione del 2008 Biometric Information Privacy Act[37]. L’azienda ha, altresì, ricevuto lettere di cease and desist da vari social media che hanno visto prendere le foto caricate sui loro social e renderle cibo per l’algoritmo di un potente rivale.

Clearview AI sta, insomma, ricevendo le attenzioni in negativo di moltissimi attori pubblici e privati: perché sebbene il suo ideatore affermi che si tratta puramente di un motore di ricerca per volti, l’occhiolino che strizza alla sorveglianza di massa è altrettanto evidente è preoccupante. Anche in Europa non sono mancate le voci di dissenso nei confronti di tale tecnologia: avviandoci alla conclusione, nel prossimo paragrafo, verranno trattati i punti che appaiono maggiormente controversi oltreoceano, alla luce dello scudo del Regolamento 2016/679[38]. 

3. “Reclaim your face”: uno sguardo all’Europa

Clearview AI non conduce la sua attività in Europa. Ciò significa che non ci sono foto di cittadini europei nei database? No, tutt’altro. Finire all’interno dei misteriosi archivi di questa app, è più facile di quello che sembra. Uscirne, non così semplice. E’ di recente pubblicazione la vicenda di Matthias Marx, informatico tedesco, che, assistito dall’organizzazione fondata dal famoso Max Schrems, ha ottenuto la cancellazione dei codici hash, ossia quei valori numerici che Clearview aveva associato alle sue foto, a seguito della pronuncia del Garante per la Protezione dei Dati Personali di Amburgo[39]. Non si tratta, ovviamente, di un ban Europeo di Clearview, per quanto auspicabile, ma di una misura presa ad hoc. Il GDPR sembra essere, difatti, uno scudo insufficiente soprattutto per quanto concerne l’applicazione extra-territoriale: un’annosa vicenda che si inserisce nella ben complicata Schrems Saga e la mancanza di un solido ponte per il trasferimento dei dati personali degli utenti europei oltreoceano[40]. Anche con riferimento a Clearview, questa problematica è emersa in modo preponderante: l’azienda non si occupa, difatti, di raccogliere “semplicemente” le foto di individui trovate nel web. Come ha chiarito anche il Garante di Amburgo[41], i risultati con cui lavora l’app eccedono dalle immagini, coinvolgendo anche quei metadati, di cui si diceva, associati alle immagini stesse: un’attività che rientra in tutto e per tutto nella definizione dell’attività monitoring[42] dei comportamenti di cittadini europei e che esula dal mero utilizzo e training del database.

Nel mese di Febbraio 2021, inoltre, il Garante per la Privacy Svedese, IMY, ha sanzionato un corpo della polizia per aver illecitamente usato Clearview durante alcune indagini. La nota rilasciata dall’Autorità mette in luce, inoltre, che l’app sarebbe stata impiegata da alcuni ufficiali senza avere le autorizzazioni necessarie. La Polizia ha, inoltre, mancato di agire nel rispetto delle norme del GDPR come data controller in numerose occasioni: difatti, non sono state predisposte le misure organizzative tali da assicurare che i dati vengono processati nel rispetto della normativa; ha processato illegalmente dati biometrici, violando l’art. 9 del GDPR; ha, infine, fallito nel condurre un adeguato “risk and impact assessment” che è richiesto quando si processano dati biometrici. Una decisione, questa, che mostra un’attenzione particolare per la Svezia per il tema del riconoscimento facciale[43], ma che ha consentito di mettere in luce quelli che dovrebbero essere i criteri per impiegare tali strumenti nel pieno rispetto delle norme.

Se, difatti, da una parte il Regolamento fornisce una spia per orientare le decisioni dei Garanti e dei Giudici anche in casi che riguardano aspetti di una certa complessità tecnologica, non tiene conto, tuttavia, delle molte implicazioni, lasciando molto ad una interpretazione basata su soluzioni localizzate e improntate al “caso per caso”: soluzioni che non garantiscono uno scudo sufficiente nei confronti di pericolose derive contrarie tanto ai principi comunitari quanto alla protezione dei diritti fondamentali. Come dichiarato al Financial Times da Axel Voss, uno dei padri del GDPR, il Regolamento necessita di “some type of surgery”[44]: sebbene abbia tracciato una linea netta per l’Europa e per il mondo, non tiene in considerazione l’emergenza di nuovissime ma dilaganti tecnologie, quali blockchain, facial e voice recognition, AI. Si deve sottolineare che lo scorso gennaio^[45] la Commissione Europea, nell’ambito dei lavori di scrittura del White Paper on Artificial Intelligence, stava considerando la possibilità di istituire un moratorium di cinque anni con ad oggetto proprio l’uso del FRT^[46] negli spazi aperti al pubblico. Una misura che da ultimo non è stata adottata, lasciando ancora una volta in sospeso un gran numero di questioni relative al suo legittimo utilizzo nella cornice del diritto euro-unitario. Deboli sono, altresì, le Linee Guida del CoE pubblicate nel gennaio 2021, ove la distinzione tra usi buoni e cattivi del riconoscimento facciale non rende giustizia all’effettivo grado di intrusività di questa tecnologia^[47].

Mentre sul tavolo del legislatore europeo non vi è in discussione una revisione di tal tipo e nell’attesa di una potenziale Schrems 3, varie organizzazioni per i diritti digitali online si stanno muovendo nella direzione di costruire consapevolezza dei cittadini nei confronti sia dei rischi sia dell’esercizio positivo di suddetti diritti: il diritto di accesso, tanto per menzionare uno di quelli che è maggiormente centrale nella vicenda di Matthias Marx. La campagna europea prende il nome di Reclaim your Face ed è stata creata dallo European Citizens’ Initiative (ECI), uno strumento per creare petizioni e sondaggi in ambito comunitario: si sta raccogliendo un milione di firme per portare il dibattito sul riconoscimento facciale nelle agende delle istituzioni europee. Il cambiamento deve iniziare con il coinvolgimento dal basso di ognuno di noi: metterci la faccia, per salvare la nostra[48].

4. Conclusioni

Non è possibile tracciare una netta linea tra usi buoni e cattivi della tecnologia e questo è ancora più difficile quando si ha a che fare con tecnologie alquanto controverse come il riconoscimento facciale. Abbandonando, dunque, un atteggiamento tranchant è possibile sostenere che il dibattito deve essere tra usi costituzionalmente orientati e non di queste potenze tecnologiche che tanto possono dare quanto togliere all’uomo. Pensare che si possa in un qualche modo fermare il vortice tecnologico, è paradossale.

In conclusione, occorre, dunque, chiedersi: “quanta sorveglianza può – ancora – tollerare la democrazia per (riuscire a) restare tale?”[49].

 

[1] M. O’Connell, “Essere una macchina: Un viaggio attraverso cyborg, utopisti, hacker e futurologi per risolvere il modesto problema della morte”, (Adelphi Edizioni spa, 2018): pag. 77.

[2] L. Floridi, “Pensare l’infosfera: La filosofia come design concettuale”, (Raffaello Cortina Editore, 2020).

[3] J. Rosen, “The unwanted gaze: The destruction of privacy in America”, (Vintage, 2011).

[4] Del riconoscimento facciale si era parlato anche in F. Paolucci, “Riconoscimento facciale a scuola: il caso francese”, Ius in itinere (blog), 8 dicembre 2020, https://www.iusinitinere.it/riconoscimento-facciale-a-scuola-il-caso-francese-33027. Da qui in avanti si userà anche l’abbreviazione FRT (facial recognition technology) per ragioni di brevità.

[5] X. Han e Q. Du, “Research on face recognition based on deep learning”, in 2018 Sixth International Conference on Digital Information, Networking, and Wireless Communications (DINWC), 2018, 53–58.

[6] La definizione di biometric data è rintracciabile nell’art. 10, par.1, Dir. (EU) 2016/680 Law Enforcement Directive. Categoria speciale di dati poiché relativa ad aspetti intrinsecamente connessi con il data subject: dati etnici, raziali o di genere. Possono, come menzionato dall’art. 9 del Regolamento (UE) 2016/679 (General Data Protection Regulation, da qui in avanti, “GDPR”), anche rivelare dati circa lo stato di salute e l’orientamento sessuale.

[7] Sul punto si veda E. McClellan, “Facial Recognition Technology: Balancing the Benefits and Concerns”, Journal of Business, 15 J. Bus. & Tech. L. 363, 2020.

[8] «A Linate gli imbarchi hi tech: via al riconoscimento facciale», Il Sole 24 ORE, 2020, https://www.ilsole24ore.com/art/a-linate-imbarchi-hi-tech-via-riconoscimento-facciale-ACEyExIB.

[9] Si veda il citato paper (nota n.7) a cura di E. McClellan.

[10] Del tema e del progetto di Facebook sostenuto anche dal Garante per la Privacy italiano ne abbiamo parlato qua: https://www.iusinitinere.it/revenge-porn-il-garante-lancia-un-nuovo-canale-di-emergenza-36264?fbclid=IwAR0eokGt2_LGmtX5bYFKaOmC23Fd9CmnA546wxNYwu6IyhMHlYIwsBMA3-8.

[11] C. McCarthy, “Facial Recognition Leads cops to Alleged Rapist in Under 24 Hours”, N.Y. POST (Aug. 5, 2019), https://nypost.com/2019/08/05/facial-recognition-leads-cops-to-alleged-rapist-in-under-24-hours/.

[12] A. Hines, “How Normal People Deployed Facial Recognition on Capitol Hill Protesters”, Vice, 2 febbraio 2021, https://www.vice.com/en/article/4ad5k3/how-normal-people-deployed-facial-recognition-on-capitol-hill-protesters.

[13] Si veda, ad esempio, la notizia riportata da Findbiometrics in “Police Use Facial Recognition to Find Child Abducted 30 Years Ago”, 21 maggio 2020, https://findbiometrics.com/chinese-police-use-facial-recognition-find-child-abducted-30-years-ago-052107/.

[14] D. Gargao, “The Pros and Cons of Facial Recognition Technology”, IT PRO, 26 marzo 2021, https://www.itpro.com/security/privacy/356882/the-pros-and-cons-of-facial-recognition-technology.

[15] Jake Parker, Senior Director of Government Relations of SIA, Security, Industry Association, riporta taluni casi “vincenti” di applicazione del riconoscimento facciale in “Facial Recognition Success Stories Showcase Positive Use Cases of the Technology”», Security Industry Association, 16 luglio 2020, https://www.securityindustry.org/2020/07/16/facial-recognition-success-stories-showcase-positive-use-cases-of-the-technology/.

[16] M. Gal and D. Rubinfeld, “Data Standardization”, 94 NYU Law Review (2019).

[17] Lo riporta Human Rights Watch in “Myanmar: Facial Recognition System Threatens Rights”, 12 marzo 2021, https://www.hrw.org/news/2021/03/12/myanmar-facial-recognition-system-threatens-rights.

[18] K. Hill, “The Secretive Company That Might End Privacy as We Know It”, The New York Times, 18 gennaio 2020, par. Technology. https://www.nytimes.com/2020/01/18/technology/clearview-privacy-facial-recognition.html.

[19] Si veda sul punto K. Hill, ibidem, nota n. 19.

[20] Una storia che merita di essere citata è quella che riguarda il riconoscimento facciale di Amazon, Rekognition, che ha erroneamente identificato come sospetti dei membri del Congresso Statunitense, come riporta il The Guardian in “Amazon face recognition falsely matches 28 lawmakers with mugshots”, 2020, https://www.theguardian.com/technology/2018/jul/26/amazon-facial-rekognition-congress-mugshots-aclu.

[21] E’ accaduto a Luca Zorloni, responsabile del settore economia della rivista Wired Italia, il quale ha fatto richiesta di accesso al discusso database e ha così scoperto che talune delle foto che ritraggono il suo volto sono state ivi inserite, come raccontato nel reportage pubblicato sulla rivista per cui scrive in “Ho scoperto che la più discussa società di riconoscimento facciale al mondo ha le mie foto”, 23 marzo 2021, https://www-wired-it.cdn.ampproject.org/c/s/www.wired.it/amp/301869/attualita/tech/2021/03/23/clearview-ai-riconoscimento-facciale-foto/.

[22] Affermazione proveniente dal video che segue, pubblicato sul sito della CNN: https://edition.cnn.com/videos/business/2020/02/10/clearview-ai-facial-recognition-orig.cnn-business.

[23] Adam Harvey, “MegaPixels: MS-CELEB-1M”, MegaPixels, consultato 14 settembre 2020, .

[24] R. Van Noorden, “The Ethical Questions That Haunt Facial-Recognition Research»” Nature 587, n. 7834 (18 novembre 2020): 354–58, https://doi.org/10.1038/d41586-020-03187-3.

[25] Link alla riforma: https://www.mass.gov/news/governor-baker-signs-police-reform-legislation.

[26] Lo riporta il New York Times in “Flawed Facial Recognition Leads To Arrest and Jail for New Jersey Man”, 29 dicembre 2020, https://www.nytimes.com/2020/12/29/technology/facial-recognition-misidentify-jail.html.

[27] K. Hill, “How One State Managed to Actually Write Rules on Facial Recognition”, The New York Times, 27 febbraio 2021, par. Technology, https://www.nytimes.com/2021/02/27/technology/Massachusetts-facial-recognition-rules.html.

[28] “Amnesty International Calls for Ban on the Use of Facial Recognition Technology for Mass Surveillance”, 7 settembre 2020, https://www.amnesty.org/en/latest/research/2020/06/amnesty-international-calls-for-ban-on-the-use-of-facial-recognition-technology-for-mass-surveillance/.

[29] Si veda K. Hill, “Clearview AI’s Facial Recognition App Called Illegal in Canada”, The New York Times, 4 febbraio 2021, par. Technology, https://www.nytimes.com/2021/02/03/technology/clearview-ai-illegal-canada.html.

[30] Il Report è ivi consultabile: https://www.priv.gc.ca/en/opc-actions-and-decisions/investigations/investigations-into-businesses/2021/pipeda-2021-001/#toc1.

[31] Oltre al menzionato articolo del Times, si menziona anche “Commissioners Rule Clearview’s Data Collection Practices Violate Canadian Privacy Laws”, FindBiometrics, 4 febbraio 2021, https://findbiometrics.com/commissioners-rule-clearviews-data-collection-practices-violate-canadian-privacy-laws-020410/.

[32] Link: https://www.priv.gc.ca/en/privacy-topics/privacy-laws-in-canada/the-personal-information-protection-and-electronic-documents-act-pipeda/.

[33] Come chiarisce l’Autorità nel Report pubblicato in data 2 febbraio 2021 (nota n. 30): “Biometric information is considered sensitive, in almost all circumstances, and facial recognition data is particularly sensitive. Furthermore, individuals who posted their images online, or whose images were posted by third party(ies), had no reasonable expectations that Clearview would collect, use and disclose their images for identification purposes. As such, express consent would generally be required. In Quebec, such use of biometric data requires express consent.Clearview did not attempt to seek consent from the individuals whose information it collected. Clearview asserted that the information was “publicly available”, and thus exempt from consent requirements. Information collected from public websites, such as social media or professional profiles, and then used for an unrelated purpose, does not fall under the “publicly available” exception of PIPEDA, PIPA AB or PIPA BC. Nor is this information “public by law”, which would exempt it from Quebec’s Private Sector Law, and no exception of this nature exists for other biometric data under LCCJTI. Therefore, we found that Clearview was not exempt from the requirement to obtain consent”.

[34] Ibidem, nota n.29.

[35] I. Ivanova, “Immigrant Rights Groups Sue Facial-Recognition Company Clearview AI”, CBS News, 9 marzo 2021, https://www.cbsnews.com/news/clearview-ai-facial-recognition-sued-mijente-norcal-resist/.

[36] R. Metz, “Clearview AI sued in California by immigrant rights groups, activists”, CNN, 10 marzo 2021, https://www.cnn.com/2021/03/09/tech/clearview-ai-mijente-lawsuit/index.html.

[37] C. Duffy, “The ACLU sues Clearview AI, calling the tool an “unprecedented violation” of privacy rights”, CNN, 29 maggio 2020, https://www.cnn.com/2020/05/28/tech/clearview-ai-aclu-lawsuit/index.html.

[38] Reg. (UE) 2016/679, General Data Protection Regulation (da qui in avanti, GDPR).

[39]  “How to Reclaim Your Face from Clearview AI”, EDRI, 10 febbraio 2021, https://edri.org/our-work/reclaiming-your-face-from-clearview-ai/.

[40] O. Pollicino e G. De Gregorio, “Diabolical Persistence”, Verfassungsblog (blog), 25 luglio 2020, https://verfassungsblog.de/diabolical-persistence/.

[41] Si veda nota n. 39.

[42] Come chiarito, difatti, dall’art. 3 co.2 del GDPR, il Regolamento si applica anche a soggetti che si trovano al di fuori dell’Unione Europea se conducono attività di “monitoring”, monitoraggio dei comportamenti dei data subject se questi avvengono nel territorio dell’Unione.

[43] La vicenda è chiarita con una breve nota sul sito di DataGuidance: https://www.dataguidance.com/news/sweden-imy-fines-swedish-police-authority-sek-25m. Il testo (solo in svedese) è consultabile a questo link: https://www.imy.se/globalassets/dokument/beslut/beslut-tillsyn-polismyndigheten-cvai.pdf.

[44] J. Espinoza, “EU Must Overhaul Flagship Data Protection Laws, Says a ‘Father’ of Policy”, Financial Times, 3 marzo 2021, https://www.ft.com/content/b0b44dbe-1e40-4624-bdb1-e87bc8016106.

[45] Il riferimento è alle consultazioni che hanno preceduto l’adozione del White Paper on Artificial Intelligence, nel febbraio del 2020. Circa il mancato deal sul moratorium si faccia riferimento a Luana Pascu in EU No Longer Considering Facial Recognition Ban in Public Spaces, in Biometric Update, 30 gennaio 2020, https://www.biometricupdate.com/202001/eu-no-longer-considering-facial-recognition-ban-in-public-spaces.

[46] Abbreviazione di Facial Recongition Technology (FRT): termine usato in alternativa a riconoscimento facciale.

[47] Si veda sul punto Comitato Europeo per la Protezione dei Dati, 31a Sessione Plenaria, Creazione di una task force su TikTok, risposta ai Deputati al Parlamento europeo sull’utilizzo di Clearview AI da parte delle autorità incaricate della protezione della legge, 10 giugno 2020.

[48] Aderire alla campagna è facilissimo: basta inserire le proprie generalità, Paese di provenienza, numero della carta d’identità. Link: https://reclaimyourface.eu/.

[49] Antonello Soro, “Un diritto di libertà”, in Riservatezza (Treccani, 2021), 7–40.