Pericolosa diffusione di utilizzo di informazioni biometriche e intervento della FTC
a cura di Raffaella Aghemo
L’utilizzo sempre crescente delle informazioni biometriche dei consumatori e la relativa commercializzazione di tecnologie che utilizzano o pretendono di utilizzare informazioni biometriche, ha allertato la Federal Trade Commission statunitense, la quale ha, proprio pochi giorni fa, emanato una dichiarazione politica, proprio a monito della preoccupante espansione del fenomeno.
La Federal Trade Commission si impegna a combattere gli atti sleali o ingannevoli relativi alla raccolta e all’uso delle informazioni biometriche dei consumatori e alla loro commercializzazione ed uso.
Si legge però, altresì in nota, che la presente Dichiarazione politica non conferisce alcun diritto ad alcuna persona e non opera per vincolare la FTC o il pubblico. In qualsiasi azione esecutiva, la Commissione deve dimostrare che l’atto o la pratica impugnata, violi uno o più requisiti di legge o regolamentari esistenti. Inoltre, tale documento non prevale sulle leggi federali, statali o locali. Il rispetto di tali leggi, tuttavia, non precluderà necessariamente l’azione di contrasto da parte della Commissione ai sensi della legge FTC o di altri statuti.
Con il termine “informazioni biometriche” si fa riferimento, come si legge nel documento di cui sopra, a «dati che raffigurano o descrivono tratti fisici, biologici o comportamentali, caratteristiche o misurazioni di o relative al corpo di una persona identificata o identificabile. Le informazioni biometriche includono, a titolo esemplificativo ma non esaustivo, rappresentazioni, immagini, descrizioni o registrazioni delle caratteristiche facciali, dell’iride o della retina, delle impronte delle dita o delle mani di un individuo, della voce, della genetica o di movimenti o gesti caratteristici (ad es. andatura o modello di battitura). Le informazioni biometriche includono anche i dati derivati da tali rappresentazioni, immagini, descrizioni o registrazioni, nella misura in cui sarebbe ragionevolmente possibile identificare la persona dalle cui informazioni sono stati ricavati i dati. A titolo di esempio, sia una fotografia del volto di una persona che un modello di riconoscimento facciale, incorporamento, impronta facciale, o altri dati che codificano misure o caratteristiche del volto raffigurato nella fotografia. dati che costituiscono informazioni biometriche.»
Molte tecnologie dell’informazione biometrica sono sviluppate utilizzando l’apprendimento automatico o simili processi basati sui dati che richiedono grandi quantità di informazioni biometriche a scopo di “addestramento” o di test.
Con manifesta preoccupazione si legge infatti: «Dal 2012, alcune tecnologie dell’informazione biometrica, come la tecnologia di riconoscimento facciale, hanno compiuto progressi significativi. Ad esempio, il NIST ha scoperto che tra il 2014 e il 2018 il riconoscimento facciale è migliorato di 20 volte nel trovare una fotografia corrispondente da un database. Tali miglioramenti sono dovuti in gran parte ai progressi nell’apprendimento automatico, insieme a capacità di raccolta, archiviazione ed elaborazione dei dati sufficienti a supportare l’uso di queste tecnologie. Allo stesso tempo, molte tecnologie dell’informazione biometrica sono diventate meno costose da implementare. Grazie anche a questi sviluppi, l’uso delle tecnologie dell’informazione biometrica è sempre più pervasivo. Ad esempio, secondo quanto riferito, l’uso del riconoscimento facciale e di altre tecnologie di informazione biometrica in luoghi fisici, come negozi al dettaglio, arene, aeroporti e altri luoghi, è in crescita.»
Nel 2019 e nel 2021, la Commissione ha inoltre avviato azioni esecutive nei confronti di società che avrebbero travisato il loro utilizzo della tecnologia di riconoscimento facciale.
I consumatori, le imprese e la società si trovano, ora, ad affrontare nuovi e crescenti rischi associati alla raccolta e all’utilizzo delle informazioni biometriche, che possono essere utilizzate per la produzione di video o registrazioni vocali contraffatti (i cosiddetti “deepfake”), i quali consentirebbero ai malintenzionati di impersonare in modo convincente le persone per commettere frodi o per diffamare o molestare le persone raffigurate. Grandi database di informazioni biometriche possono anche essere bersagli attraenti per attori malintenzionati a causa del potenziale delle informazioni da utilizzare per altri scopi illeciti, incluso ottenere un ulteriore accesso non autorizzato a dispositivi, strutture o dati, cagionando e comportando, in questo modo, rischi non solo per i singoli consumatori, ma anche per le imprese e la società.
Come capirete, il rischio di discriminazione è dietro l’angolo: l’utilizzo di tecnologie informatiche biometriche per identificare i consumatori in determinate località potrebbe rivelare informazioni personali sensibili su di loro, ad esempio che hanno avuto accesso a particolari tipi di assistenza sanitaria, hanno partecipato a servizi religiosi o hanno partecipato a riunioni politiche o sindacali. Lo stesso NIST, in una sua ricerca, ha rilevato che molti algoritmi di riconoscimento facciale producono un numero significativamente maggiore di “corrispondenze” di falsi positivi per immagini di volti dell’Africa occidentale e orientale e dell’Asia orientale rispetto a immagini di volti dell’Europa orientale, con anche tassi di falsi positivi molto più alti!
A ciò va aggiunto anche il rischio di discriminazioni intersezionali, di cui spesso ho parlato, ovvero i differenziali demografici possono essere ancora più pronunciati se analizzati in modo intersezionale, come quando si confrontano maschi di carnagione chiara con femmine di carnagione scura, piuttosto che semplicemente maschi con femmine e soggetti di carnagione chiara con soggetti di carnagione scura. Allo stesso modo, alcune tecnologie dell’informazione biometrica, come quelle che elaborano immagini facciali o registrazioni vocali, possono essere particolarmente soggette a errori, quando l’oggetto dell’analisi è una persona con disabilità.
Dunque, in questo documento, la Commissione riporta un elenco non esaustivo di esempi di pratiche che esaminerà, per determinare se, le società che raccolgono e utilizzano informazioni biometriche o commercializzano o utilizzano tecnologie di informazione biometrica, rispettino la sezione 5 della legge FTC (esempio CIPPA):
1. Inganno che si palesa con:
- dichiarazioni di marketing false o prive di fondamento relative alla validità, affidabilità, accuratezza, prestazioni, equità o efficacia delle tecnologie che utilizzano informazioni biometriche. Nello specifico: «Ad esempio, le aziende dovrebbero fare attenzione a non fare affermazioni false o prive di fondamento secondo cui le tecnologie sono imparziali. Le affermazioni di validità o accuratezza sono ingannevoli se sono vere solo per determinate popolazioni e se tali limitazioni non sono chiaramente indicate. Inoltre, le aziende non devono fare affermazioni false o prive di fondamento sulla validità, l’accuratezza o le prestazioni nel mondo reale delle tecnologie dell’informazione biometrica quando le affermazioni si basano su test o audit che non replicano le condizioni del mondo reale.»
- dichiarazioni ingannevoli sulla raccolta e l’uso di informazioni biometriche
2. Ingiustizia: l’uso di informazioni biometriche o di tecnologia dell’informazione biometrica può costituire una pratica sleale ai sensi della legge FTC. Ai sensi della sezione 5, una pratica è scorretta se provoca o è suscettibile di causare un danno sostanziale ai consumatori che non è ragionevolmente evitabile dai consumatori stessi e non controbilanciato da vantaggi compensativi per i consumatori o la concorrenza. Il monito è rivolto a quelle aziende che sono impegnate nella sorveglianza invasiva, nel tracciamento o nella raccolta di informazioni personali sensibili, che sono state nascoste ai consumatori o contrarie alle loro aspettative, per esempio implementando, in determinate circostanze, impostazioni predefinite invasive della privacy.
«Al fine di evitare responsabilità ai sensi della legge FTC, le aziende dovrebbero implementare ragionevoli misure di privacy e sicurezza dei dati per garantire che tutte le informazioni biometriche che raccolgono o conservano siano protette da accessi non autorizzati, indipendentemente dal fatto che tale accesso derivi da un esterno».
La valutazione della Commissione terrà conto di fattori quali, a titolo esemplificativo ma non esaustivo, i seguenti:
- Mancata valutazione dei danni prevedibili per i consumatori prima di raccogliere informazioni biometriche. (contesto e ruolo degli operatori del settore, oltre che test algoritmici per prestazioni differenziali tra gruppi demografici, anche intersezionali).
- Palese impegno nella raccolta o nell’uso surrettizio e inaspettato di informazioni biometriche. In alcune situazioni, tale condotta può essere ingiusta in sé e per sé. Ad esempio, le aziende possono violare la legge se utilizzano o facilitano l’uso di informazioni biometriche o di tecnologia dell’informazione biometrica per identificare o tracciare surrettiziamente un consumatore in un modo che espone il consumatore a rischi quali stalking, esposizione allo stigma, danni alla reputazione.
- Mancata valutazione delle pratiche e delle capacità di terze parti, inclusi affiliati, venditori e utenti finali, che avranno accesso alle informazioni biometriche dei consumatori o saranno incaricati di utilizzare tecnologie di informazione biometrica. Le imprese dovrebbero cercare garanzie pertinenti e accordi contrattuali che richiedano a terzi di adottare misure adeguate per ridurre al minimo i rischi per i consumatori.
- Mancata formazione adeguata per dipendenti e appaltatori, le cui mansioni comportano l’interazione con informazioni biometriche o tecnologie che utilizzano tali informazioni.
- Mancato monitoraggio continuo delle tecnologie che l’azienda sviluppa e offre in vendita.
Questo documento vuol essere programmatico ma anche di monito non solo verso le aziende che palesemente violino i diritti degli utenti e dei consumatori, ma anche, si legge in chiosa finale, vista la rapida evoluzione delle tecnologie, verso le aziende che anche parzialmente si avviino verso partiche pericolose e/o ingannevoli.
qui il link al documento: https://www.ftc.gov/system/files/ftc_gov/pdf/p225402biometricpolicystatement.pdf
Riproduzione Riservata
Avv. Raffaella Aghemo
