Alcuni esperti affermano che la tecnica di “anonimizzazione intelligente” dei video di D-ID viola le regole sulla privacy.
di Angela Chen
Come dice il proverbio: se sembra un’anatra, nuota come un’anatra e ciondola come un’anatra, è probabilmente un’anatra. Ora, se qualcuno in un video clip ha la stessa razza, sesso, età, gesti ed espressioni emotive di un’altra persona, ma non le assomiglia… potrebbe ugualmente essere l’altra persona?
No, secondo Gil Perry, cofondatore della società israeliana per la privacy D-ID. E questo, sostiene, è il motivo per cui la sua startup funziona. D-ID prende filmati, catturati da una telecamera all’interno di un negozio, per esempio, e utilizza la visione computerizzata e l’apprendimento profondo per creare una sembianza alternativa che protegga l’identità del soggetto. Il processo trasforma il “tu” nel video in un avatar che ha tutti gli stessi attributi, ma ha un aspetto leggermente diverso.
Il vantaggio per le aziende è che questo nuovo video “anonimizzato” non svela più l’esatta identità di un cliente, il che, secondo Perry, significa che le aziende che utilizzano D-ID possono “eliminare la necessità del consenso della persona ripresa” e analizzare le riprese per qualsiasi attività e per scopi di marketing.
Un negozio potrebbe, per esempio, modificare il video di una donna bianca dall’aspetto felice con un algoritmo e farle presentare un annuncio pubblicitario in tempo reale (vale la pena notare che la legittimità del riconoscimento delle emozioni è stata messa in discusione, con un importante gruppo di ricerca sull’intelligenza artificiale che ha recentemente chiesto che il suo uso sia completamente vietato).
Esempi del servizio di “anonimizzazione intelligente” di D-ID mostrano vari livelli di successo nell’oscurare l’identità nel video. In un filmato dimostrativo, l’ex primo ministro britannico David Cameron assomiglia solo in parte a David Cameron con i baffi. In un frame di un altro video, appaiono due volti femminili affiancati apparentemente diversi, ma simili in modo sconcertante. In un terzo, Brad Pitt diventa irriconoscibile.
D-ID non nomina i clienti che utilizzano la sua tecnologia, ma Perry ricorda che l’azienda lavora principalmente con rivenditori, case automobilistiche e “grandi conglomerati che implementano telecamere a circuito chiuso in Europa”.
Ann Cavoukian, membro del comitato consultivo di D-ID ed ex commissario per la privacy nella provincia canadese dell’Ontario, afferma che la soluzione rappresenta “un considerevole passo avanti”. Altri esperti, invece, ritengono che l’azienda interpreti erroneamente la regola generale sulla protezione dei dati in Europa.
Violazione del GDPR?
Tre importanti esperti europei di privacy che hanno parlato con “MIT Technology Review” americana hanno espresso le loro preoccupazioni sulla tecnologia di D-ID e le sue possibili applicazioni. Tutti dicono che, a loro avviso, D-ID in realtà viola il GDPR (tuttavia, potrebbe essere legale in aree extra UE).
Per il GDPR, la “razza” è una categoria speciale, il che significa che l’elaborazione dei dati che la citano è illegale senza un consenso esplicito, spiega Gaëtan Goldberg, un esperto legale di privacy dei dati che collabora con Noyb, un’organizzazione senza scopo di lucro.
Le violazioni delle regole del GDPR possono comportare multe di 20 milioni di euro o il 4 per cento delle entrate annuali di un’azienda, a seconda di quale dei due sia l’importo maggiore.
David Mirchin, a sua volta esperto legale di privacy, non è d’accordo con l’analisi negativa del software D-ID. Egli afferma che “non esiste mai un punto in cui la tecnologia di Anonimizzazione Intelligente di D-ID analizzi, riveli o memorizzi” questo tipo di dati sensibili.
Perry aggiunge che D-ID anonimizza anche i dati sull’appartenenza etnica. Gli esperti esterni, tuttavia, sostengono che il semplice rilevamento dei volti, sia che li “anonimizzi” o meno, rappresenti una violazione.
Perry e Mirchin ritengono anche che sia giusto fornire agli algoritmi dati biometrici anonimi. Ma, anche se il GDPR non si applica ai dati anonimi, l’avvio in realtà non anonimizza il video, afferma Michael Veale, un esperto di privacy presso l’University College di Londra.
Il video criptato non sarebbe considerato anonimo ai sensi del GDPR. Con dati veramente anonimi, un’informazione non può essere ricollegata a un particolare individuo anche quando è combinata con altri dati.
Ma anche se i filmati alterati non assomigliano del tutto alla persona ripresa, possono essere combinati con altre informazioni, per esempio i dati sulla posizione presi dai social media o i dati delle carte di credito, e permettere di rintracciare chi è nell’immagine.
Inoltre, afferma Veale, l’applicazione della tecnologia non significherebbe automaticamente concedere carta bianca alle aziende per “riutilizzare la TVCC per scopi commerciali piuttosto frivoli che non abbiano un interesse pubblico di peso, come combattere il crimine”.
Lo spirito della legge è violato
Il fatto che D-ID si presenti come una soluzione del problema della privacy è rivelatore. Con alcuni aspetti delle nuove leggi sulla protezione dei dati come il GDPR e il California Consumer Privacy Act che rimangono aperti all’interpretazione, le aziende si stanno dimostrando ingegnose nel commercializzare se stesse.
Queste tecnologie “rispettano” le normative in un modo che avvantaggia le aziende che vogliono fare soldi sui dati, invece di tutelare le persone i cui dati vengono acquisiti. Questa è una violazione dello spirito della legge, dicono i critici.
Britt Paris, studiosa di scienze dell’informazione all’Università di Rutgers, definisce lo sfruttamento dei dati da parte di D-ID un “ulteriore esempio dello sviluppo della dataficazione”.
Ma Cavoukian, membro del consiglio di amministrazione di D-ID, afferma di non essere una “fondamentalista della privacy” e pensa che non ci sia nulla di sbagliato nel raccogliere dati fintanto che le identità delle persone sono oscurate.
La sorveglianza sta diventando sempre più diffusa. Un recente studio di Pew ha scoperto che la maggior parte degli americani pensa di essere costantemente monitorata senza possibilità di opporsi. Si prevede, inoltre, che il mercato del riconoscimento facciale crescerà da circa 4,5 miliardi di dollari nel 2018 e arriverà a 9 miliardi di dollari entro il 2024.
D-ID si potrebbe considerare un compromesso tra una visione purista della privacy e la datificazione, ma senza la tecnologia, forse le aziende coperte dal GDPR non utilizzerebbero affatto questi dati video.
“Le regole non sono messe a caso”, afferma Lilian Edwards, esperta di GDPR alla Newcastle Law School. “D-ID dice di raccogliere i dati visivi nel rispetto delle normative sulla privacy ma, in realtà, vuole raccogliere questi dati evitando le normative sulla privacy”.
(rp)