Motori di ricerca basati sull’AI e trattamento di dati biometrici

di Marco Soffientini - Esperto di Privacy e Diritto delle Nuove Tecnologie e docente Ethos Academy

La recente sanzione di venti milioni di euro irrogata dall’Autorità Garante per la protezione dei dati personali (Provv. 10 Febbraio 2022 – registro dei provvedimenti n.50 – doc. web 9751362) alla società statunitense Clearview per avere tracciato cittadini italiani ed effettuato trattamenti di dati biometrici, ci offre lo spunto per capire come e quando si possono utilizzare dati personali presenti in internet e quando un’immagine si trasforma in dato biometrico.

L’offerta di Clearview (principalmente rivolta a forze di polizia) consiste in un servizio di ricerca immagini attraverso un motore di ricerca per il riconoscimento facciale (c.d. facial recognition search engine) di immagini in internet. Le immagini vengono raccolte da Clearview attraverso tecniche di web scraping da diverse fonti internet (siti web, social network, ecc.). Successivamente, queste vengono elaborate con tecniche biometriche al fine di estrarne le caratteristiche identificative di ognuna di esse. Così facendo, quando il  cliente interroga il database, sottoponendo allo stesso un’immagine da ricercare, questa viene confrontata con quelle raccolte dalla società.  

Il reclamo

Il procedimento del Garante è nato su reclamo di alcuni cittadini italiani le cui immagini erano presenti nel database della società statunitense, la quale le aveva “raccolte” da internet in quanto diffuse dagli stessi reclamanti sul web. La Società, infatti, raccoglie - attraverso tecniche di web scraping - immagini da social network (es. Twitter o Facebook), blog e, in genere, da siti web in cui sono presenti foto pubblicamente accessibili, ma anche dai video disponibili online (es. su Youtube).Le immagini così raccolte vengono elaborate con tecniche biometriche.

Uso di dati personali presenti sul web

Sul punto il Garante ha precisato che la pubblica disponibilità di dati in Internet non implica, per il solo fatto del loro pubblico stato, la legittimità della loro raccolta da parte di soggetti terzi. Infatti, ogni dato che viene pubblicato on-line viene diffuso sulla scorta di una base giuridica e per finalità determinate e legittime stabilite e perseguite dal titolare del trattamento che ne ha disposto la pubblicazione. Pertanto, la pubblicazione in Internet di dati personali da parte del soggetto cui si riferiscono, ad esempio nell’ambito di un social media network, non comporta, di per sé, una condizione sufficiente per legittimarne il libero riutilizzo da parte di soggetti terzi. Ne segue che la raccolta di dati personali liberamente disponibili in Internet mediante tecniche di web scraping costituisce un trattamento di dati personali, che deve trovare legittimazione in una delle basi giuridiche previste dall’art. 6 del Regolamento (UE) 2016/679.

L’immagine e il dato biometrico

Nel caso esaminato dal Garante, inoltre, non ci si limita a raccogliere immagini da internet, ma queste ultime vengono elaborate con tecniche biometriche al fine di estrarre le caratteristiche identificative di ognuna di esse e, successivamente, trasformate in “rappresentazioni vettoriali”. Tali rappresentazioni, costituite da 512 vettori che ricalcano le diverse linee uniche di un volto, vengono successivamente sottoposte ad hashing per finalità di indicizzazione del database e di successiva ricerca. La Società crea, dunque, dei modelli (template) biometrici che, nella fase della ricerca, vengono sottoposti a comparazione con il campione oggetto della ricerca generando un processo di verifica 1 a N (one to many). L’image hash, l’identificativo univoco di ogni immagine (una sorta di impronta digitale facciale), agevola  l’indicizzazione e la successiva ricerca.

Machine learning

Quello appena descritto è un trattamento realizzato attraverso un motore di ricerca che si basa su di una tecnologia di machine learning. Quest’ultima, come noto, è una branca dell’intelligenza artificiale che si occupa di creare sistemi che apprendono in base ai dati che utilizzano. I dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale, sono definiti “dati biometrici”, ai sensi dell’art. 4, par. 1, n. 14), del Regolamento e, come tali, sottoposti al regime di maggior tutela previsto dall’art. 9 del Regolamento (UE) 2106/679.