Riconoscimento vocale sempre più diffuso, sempre più centrale per il nuovo marketing. E riservatezza e privacy? di GDPRlab

Siri, Alexa, Echo, Google Assitant, smartphone e iPhone gestiti con l’assistente vocale, ma anche Clubhouse o Twitter Space: che si parli di smart speaker, di social network, di call center gestiti con l’intelligenza artificiale ( avete presente la frase “Questa telefonata potrebbe essere registrata per il controllo qualità”) poco cambia, il dato di fatto è che il riconoscimento vocale a fine di profilazione fa meno notizia (rispetto al facial recognition ad esempio), ma si sta diffondendo capillarmente a grande velocità. Siamo evidentemente agli albori di un nuovo periodo dell’era digitale, un periodo in cui la profilazione della voce degli utenti sarà parte integrante del futuro del marketing: anzi, in dettaglio un periodo in cui le attività di marketing saranno guidate in tempo reale dalla profilazione della voce di milioni di persone.

Non a caso, sono sempre più diffusi gli algoritmi che utilizzano le voci campionate attraverso il riconoscimento vocale per profilare le persone in base agli schemi di conversazione che vengono captate dai vari dispositivi, con particolare attenzione al timbro della voce. E’ dal timbro della voce infatti che vengono stabiliti sensazioni, sentimenti, personalità e perfino alcune peculiarità fisiche, sulle quali organizzare fasce di profilazione che garantiscano agli inserzionisti la possibilià di creare pubblicità sempre più personalizzate. E questa è una grande differenza rispetto al passato recente, nel quale la profilazione avveniva non sul timbro di voce ma solo sugli schemi di conversazione e dialogo delle persone.

Gli addetti ai lavori spiegano come la diffusione di questo modello di marketing sia dovuto, paradossalmente, alla scarsa fiducia che gli utenti vivono ad ora nei confronti degli attuali sistemi di marketing: c’è chi blocca le inserzioni sui dispositivi, chi il tracciamento pubblicitario (la soluzione App Tracking Trasparency di Apple ha istituzionalizzato questo blocco), chi si preoccupa giustamente del caos che regna nel mondo della raccolta, dei dati e dei data breach / data leak ecc.. Un percorso a ostacoli che rende difficile ormai agli inserzionisti la raccolta dati: ma fare leva su dati biometrici cambierebbe ogni cosa.

Dati biometrici, dati sensibili: e il diritto alla privacy e alla riservatezza?
Tutti i principali fornitori di smart speaker assicurano di non usare le registrazioni delle conversazioni e dei comandi vocali degli utenti: è credibile pensare che non raccolgano ed analizzino i dati provenienti dai miliardi di dispositivi sparsi nel mondo? Difficile dirlo, quel che è certo è che stanno fioccando brevetti che, al contrario, sfruttano proprio questi dati. Amazon ha un progetto, ad esempio, nel quale un dispositivo integrato con Alexa può individuare le irregolarità nelle frasi di una donna in modo da valutare se abbia o meno un raffreddore. Così magari non sarà la donna raffreddata a chiedere ad Alexa di ordinare un certo farmaco alla farmacia online, ma Alexa stessa.

Un brevetto di Google invece consente di tracciare in tempo reale tutti i membri di una famiglia sfruttando una serie di microfoni sparsi per la casa: con questi dati Google dice di poter profilare ogni singolo membro della famiglia, categorizzandone genere ed età, ma anche le abitudini (a che ore cenano gli utenti? A che ore si svegliano?) così da poter offrire “i giusti suggerimenti al momento giusto“.

Qualche giorno fa l’esperto di marketing, nuovi media e privacy Joseph Turow ha parlato lungamente, nel corso di una intervista, proprio di questi temi. All’apparenza c’è, sul punto, una contraddizione evidente: se il marketing sta prendendo questa direzione, le normative che mano a mano vengono approvate in difesa di dati, privacy e riservatezza dicono il contrario, ovvero impongono restrizioni e limiti alla raccolta e trattamento dati per regolamentare un campo che, ad ora, è stato un vero e proprio far west.

Secondo Turow “appare chiaro come siamo ai primi passi di una rivoluzione basata sulla profilazione della voce che le società vedono come parte integrante del futuro del marketing” e le legislazioni attuali non interromperanno tale processo. Come è già successo con Google e Facebook e la loro incredibile quantità di dati raccolti, il marketing basato sul riconoscimento vocale diverrà comunque un pezzo fondamentale delle strategie di promozione e vendita e lo diverrà quando ormai gli assistenti vocali saranno così diffusi da non poterne fare a meno. Insomma, GDPR o meno, il nuovo marketing sfrutterà le nostre voci ed eventuali ulteriori specifiche di legge rischiano di arrivare a “frittata già fatta“.

Niet del Garante al Ministero dell’Interno: bocciato il sistema di riconoscimento facciale SARI di GDPRlab

Il sistema SARI Real Time non è conforme alle normative privacy: è una netta bocciatura quella che il nostro Garante ha riservato al sistema di riconoscimento facciale che è una evoluzione di quello che è già in uso alla Polizia scientifica.

A cosa si deve un no così secco? Al rischio, evidenziato chiaramente dalla nostra authority, di una sorveglianza di massa indiscriminata.

Il SARI Real Time in breve
SARI è l’acronimo che sta per Sistema Automatico di Riconoscimento Immagini: nella descrizione che il Ministero dell’Interno, dipartimento di Pubblica Sicurezza, ha inviato al Garante si spiega che il sistema consente di analizzare in tempo reale i volti di quei soggetti che dovessero finire ripresi dalle telecamere installate in una determinata area per confrontarli con i volti presenti in una banca dati predefinita che già contiene 10.000 volti. Se l’algoritmo di riconoscimento facciale rileva una corrisponenza tra il volto ripreso dalle telecamere e uno dei volti presenti nel database (watch list), il sistema genera un alert che viene inviato ad operatori specializzati delle forze dell’ordine. Oltre a riconoscere i volti, SARI è in grado di registrare immagini, svolgendo anche funzioni di videosorveglianza.

Un sistema che, in breve, raccoglie ed utilizza dati biometrici che, come sappiamo, sono ritenuti estremamente sensibili e bisognosi di particolare protezione.

I dubbi del Garante Italiano
Sul tema riconoscimento faciale a fini di sicurezza e ordine pubblico il dibattito è accesso un pò ovunque, dagli Stati Uniti all’Europa, come testimoniato dalle polemiche scatenatesi attorno all’app ClearView: ovviamente il problema è trovare un equilibrio tra il rispetto della privacy delle persone e le esigenze di sicurezza e ordine pubblico. Equilibrio che, ad oggi, pare molto lontano e questa difficoltà è confermata dal fatto che non vi sono basi normative chiare che delimitino questa tecnologia.

Infatti il primo dubbio, quello fondamentale, espresso dal Garante italiano è l’assenza di un quadro normativo chiaro entro il quale strumenti come il SARI Real Time possano collocarsi. Il Garante fa notare che, in assenza di norme certe, le rassicurazioni del Ministero dell’Interno non sono sufficienti, anche nel caso in cui, come annunciato dal Ministero, la volontà sia quella di cancellare le immagini dei volti una volta acquisiste dal sistema.

Il SARI inoltre, permetterebbe un trattamento automatico su larga scala di dati personali sensibili di chiunque si trovasse a passare in una determinata area: sul punto il Garante fa notare che “SARI Real Time realizzerebbe un trattamento automatizzato su larga scala che può riguardare anche persone presenti a manifestazioni politiche e sociali, che non sono oggetto di “attenzione” da parte delle forze di Polizia“. Evenienza che, oltre a mettere in gioco dati biometrici di persone non attenzionate, svelerebbe le opinioni politiche degli individui e, come si sa, tale tipologia di dati gode di una tutela rafforzata che verrebbe violata apertamente da uno strumento di videosorveglianza di massa non normato sufficientemente.

È proprio a causa della loro forte interferenza con la vita privata delle persone che la normativa in materia di privacy stabilisce rigorose cautele per i trattamenti di dati biometrici e per particolari categorie di dati (ad esempio, quelli idonei a rivelare opinioni politiche, sindacali, religiose, orientamenti sessuali), i quali devono trovare giustificazione in una adeguata base normativa. Base normativa che non è stata rinvenuta nella documentazione fornita dal Ministero dell’interno” si legge ancora nella nota del Garante.

Da questo punto di vista quindi il Garante caldeggia l’approvazione di una specifica normativa sul tema del riconoscimento facciale a fini di prevenzione e repressione dei reati: normativa che dovrebbe del tutto eliminare ogni spazio di discrezionalità dell’utilizzatore. Perchè ciò sia possibile andrebbero dettagliati i criteri per i quali i soggetti sono inseriti nella watch list, le conseguenze in caso di falsi positivi dato che gli algoritmi di riconoscimento facciale presentano ancora forti limiti e ampio margine d’errore e specifiche previsioni di tutela delle minoranze etniche.

Ad ora, insomma, il SARI Real Time non potrà essere utilizzato: potrà entrare in uso solo dopo che sarà emanata apposita legge e dopo che saranno apportati gli eventuali correttivi perchè il sistema sia conforme.