Le tecniche di Open Source Intelligence (OSINT) e di Social Media Intelligence (SOCMINT) rappresentano oggi strumenti sempre più rilevanti anche nell’ambito dell’attività investigativa civile e giudiziaria. OSINT si riferisce alla raccolta di informazioni accessibili pubblicamente (open source), come dati provenienti da siti web, registri pubblici o articoli di giornale, mentre SOCMINT si concentra sulla raccolta di dati e comportamenti tracciabili sui social network. Entrambe si basano sulla consultazione di fonti disponibili legalmente, ma la loro applicazione solleva interrogativi crescenti sul piano della privacy, della liceità del trattamento e della ammissibilità in giudizio delle informazioni ottenute.
Il caso Clearview AI, oggetto dell’Ordinanza di ingiunzione del Garante per la protezione dei dati personali del 10 febbraio 2022 (doc. web n. 9751362), costituisce un esempio emblematico dell’utilizzo su vasta scala di tecniche OSINT e SOCMINT a fini di riconoscimento facciale, con l’ulteriore complicazione derivante dall’impiego di tecnologie di machine learning e di analisi biometrica automatizzata.
OSINT e SOCMINT tra raccolta lecita e rischi sistemici
Le tecniche OSINT e SOCMINT si fondano sull’idea che ciò che è pubblicamente accessibile online possa essere raccolto, archiviato e riutilizzato per finalità lecite. Tuttavia, l’evoluzione tecnologica ha profondamente modificato l’impatto di tali strumenti.
L’acquisizione di dati biometrici come le immagini facciali elaborate da Clearview AI da social network, blog e piattaforme video tramite web scraping non costituisce più una semplice raccolta passiva di dati, ma un vero e proprio trattamento strutturato e profilante, spesso non noto agli interessati.
Nella vicenda Clearview, la società statunitense ha aggregato oltre 10 miliardi di immagini facciali indicizzate e ricercabili nel proprio database, utilizzando una tecnologia di riconoscimento facciale basata sulla trasformazione delle immagini in vettori biometrici associati a metadati, anche sensibili (come geolocalizzazione, data di nascita, genere).
Secondo il Garante, il fatto che Clearview effettui un trattamento di dati personali di soggetti residenti nell’Unione Europea, elaborando immagini facciali con finalità identificative, costituisce di per sé una violazione dell’art. 3, par. 2, lett. b) del Regolamento (UE) 2016/679, in quanto attività di monitoraggio del comportamento di interessati all’interno dell’Unione.
Il trattamento dei dati biometrici e la profilazione automatizzata
Uno dei punti più rilevanti del provvedimento riguarda la qualificazione delle immagini elaborate da Clearview come “dati biometrici”, ai sensi dell’art. 4, par. 1, n. 14 del GDPR.[1] La raccolta e l’elaborazione delle fotografie anche se pubblicamente accessibili non è neutra, ma costituisce trattamento di dati personali sensibili, che necessita di una base giuridica specifica (art. 9 GDPR).
La piattaforma Clearview, contrariamente a quanto sostenuto dalla società, non si limita a restituire risultati statici simili a un motore di ricerca: le immagini vengono indicizzate, associate a dati identificativi e sottoposte a confronti biometrici automatizzati, che consentono l’individuazione di un soggetto a partire da una fotografia anche caricata da terzi.
Il Garante ha ritenuto che questa attività integri una profilazione automatizzata, contraria ai principi di minimizzazione, trasparenza e liceità del trattamento. Inoltre, ha evidenziato che la permanenza nel database delle immagini raccolte, anche se successivamente rimosse dai siti originari, comporta un rischio permanente per i diritti e le libertà degli interessati, trattandosi di un archivio dinamico e persistente.
La giurisdizione del Garante italiano nel contesto del trattamento extraterritoriale
Una delle principali difese opposte da Clearview AI nel procedimento dinanzi al Garante italiano ha riguardato la pretesa inapplicabilità del GDPR, per carenza di stabilimento nell’Unione europea e per assenza di attività direttamente rivolte al mercato europeo.
Tuttavia, l’art. 3, par. 2, lett. b) del GDPR estende l’ambito di applicazione del Regolamento anche ai titolari del trattamento non stabiliti nell’Unione quando pongano in essere attività consistenti nel monitoraggio del comportamento degli interessati nell’Unione, purché tale comportamento abbia luogo nel territorio europeo.
Il Garante ha riconosciuto la competenza dell’Autorità italiana in base all’art. 55 del GDPR, essendo state trattate immagini e dati biometrici di cittadini italiani residenti nel territorio nazionale.
La qualificazione civilistica della lesione del diritto all’identità personale
Sul piano civilistico, la condotta di Clearview AI solleva profili problematici sotto il profilo della tutela dei diritti della personalità, in particolare del diritto all’identità personale, all’immagine e alla riservatezza, tutti tutelati in via generale dagli artt. 2, 10 e 41 della Costituzione, nonché dagli artt. 2043 e 2059 c.c.
Tale trattamento può integrare un illecito extracontrattuale, suscettibile di generare un danno patrimoniale e non patrimoniale ai sensi dell’art. 2059 c.c., per violazione della dignità, dell’immagine, della reputazione e dell’autodeterminazione informativa. Il Garante ha rilevato che la condotta della società si risolve in una profilazione arbitraria e non trasparente, potenzialmente fonte di lesioni civilisticamente rilevanti.
Conclusioni: tra prova digitale e tutela della persona
Il caso Clearview rappresenta un precedente significativo per la riflessione sul rapporto tra tecniche di intelligence open source (OSINT e SOCMINT) e diritti fondamentali della persona, specie nel contesto digitale. Sebbene le informazioni acquisite tramite scraping[2] da fonti aperte possano sembrare liberamente utilizzabili, il trattamento massivo e automatizzato di dati biometrici impone limiti sostanziali e formali, dettati dalla normativa europea e dalla Costituzione.
In ambito civilistico, il ricorso a dati ottenuti tramite SOCMINT nei giudizi civili dovrà passare per una rigorosa verifica di liceità della raccolta, veridicità e proporzionalità rispetto alla finalità perseguita. Il caso Clearview segna dunque un confine chiaro: l’intelligenza da fonti aperte non equivale a intelligenza senza regole.
Formazione in materia
Il corso online registrato “AI ACT e GDPR: come garantire la conformità per imprese e Pubbliche Amministrazioni” (Maggioli Formazione) è rivolto alle Pubbliche Amministrazioni, ai giuristi, alle imprese e a tutti i professionisti coinvolti nei processi con l’obiettivo di approfondire i profili pratici per garantire la conformità all’AI ACT e GDPR alle aziende e Amministrazioni che sviluppano o utilizzano sistemi di intelligenza artificiale.
La prima sessione mira a fornire una panoramica generale dell’AI e introdurre i partecipanti ai profili normativi ed etici connessi all’AI ACT.
La seconda sessione si concentra sui profili pratici degli adeguamenti richiesti: gli obblighi di documentazione e trasparenza, il ruolo del DPO e dei responsabili della conformità, la valutazione d’impatto dei sistemi AI (AI Impact Assessment) e la protezione dei dati personali. Durante questa sessione, i partecipanti prenderanno parte a un workshop pratico che prevede la simulazione di una valutazione di conformità.
La terza sessione è dedicata alla sicurezza informatica dei sistemi AI e ai modelli di responsabilità legale in caso di danni da essi causati. <<<scopri di più e iscriviti qui>>>
Note
- Ordinanza di ingiunzione del Garante Privacy nei confronti di Clearview AI – Registro dei provvedimenti n. 50 del 10 febbraio 2022, doc. web n. 9751362.
- Regolamento (UE) 2016/679, artt. 3, 5, 9, 82.
- Cass. civ., sez. I, sent. 9 luglio 2013, n. 16133.
- Corte di Giustizia UE, sent. 13 maggio 2014, causa C-131/12 (Google Spain).
[1] Ai fini del presente regolamento s’intende per: 14) «dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;
[2] Pratica di estrazione automatica di informazioni da siti web o da altre fonti online, spesso per utilizzi di analisi, ricerca di mercato, o altri scopi specifici
