L’utilizzo sconsiderato di intelligenze artificiali mette a rischio i dati biometrici, soprattutto dei minori
Dalla fantascienza alla realtà, ormai le intelligenze artificiali hanno invaso le nostre vite, e non sono più fonte di sorpresa quanto piuttosto di curiosità. Lo sdoganamento dell’utilizzo di intelligenze artificiali per attività frivole come, ad esempio, modificare la propria immagine, può provocare gravi conseguenze, se viene fatto senza tener conto dell’importanza di tutelare la propria immagine da trattamenti che potrebbero implicare anche la raccolta dei dati biometrici. In particolare, sta spopolando, soprattutto tra i più giovani, un bot su Telegram per trasformare la propria foto in un cartone Manga.
A differenza delle App, tra cui vale la pena ricordare il caso di FaceApp e quello più recente di Lensa, l’utilizzo di un bot su una piattaforma come Telegram riduce ancor di più le eventuali misure di sicurezza che i genitori posso implementare sui dispositivi dei propri figli, come, ad esempio, le impostazioni di Parental control disponibili sugli store di Apple e Google. Infatti, è probabile che il minore abbia già ricevuto il benestare, da parte dei genitori, per scaricare Telegram e tenersi in contatto con i propri amici.
Fatto ciò, tutto quello che serve per mettere a rischio la propria immagine sarà cercare il bot “qq_2d_ai_bot” e premere il tasto “Avvia” all’interno della chat. Una volta avviato il bot, si potrà allegare qualunque immagine, compresa eventualmente la propria, e l’IA la trasformerà come promesso. Anzi, in alcuni casi non serve neanche entrare direttamente in contatto con il canale Telegram di questo bot, il quale può addirittura venire implementato in una chat già esistente (ad esempio quella di una classe scolastica o di un gruppo sportivo di cui fa parte il minore) e tramite l’utilizzo di semplici comandi quali “/2d” oppure “/transform”, l’immagine allegata verrà elaborata in pochi minuti.
Inoltre, nonostante non venga direttamente menzionato, il bot lavora solamente su foto che comprendono facce, in quanto, se provate ad allegare un’immagine senza di esse, il bot vi risponderà con un messaggio di errore affermando che “l’IA non è riuscita a rilevare la faccia in questa immagine”.
Sul fatto che l’IA a cui è agganciato il bot utilizzi dati biometrici, per quanto non espressamente menzionato, possiamo quasi certamente affermarlo in quanto tale dato particolare ex art. 9 del GDPR viene trattato in tutti i casi precedenti di App simili, quali, ad esempio, FaceApp, Lensa e FaceTune.
Pertanto, alla luce di quanto sopra detto, analizziamo ora la situazione sul piano del rispettivo della normativa Europea sulla protezione dei dati personali da parte del bot su Telegram che trasforma la propria foto in un cartone Manga.
Innanzitutto, non viene resa agli interessati alcuna informativa ex art. 13 del GDPR, né durante l’utilizzo del bot né sul sito inserito nel link all’interno del messaggio di benvenuto.
Anzi, sul sito è presente solamente la scritta “Privacy Policy”, nella quale sono elencati dei brevissimi termini di utilizzo del servizio, che nulla hanno a che fare con la Privacy.
(Nella foto: Matteo Alessandro Pagani, Delegato Federprivacy nell'area metropolitana di Milano)
Vista la presenza di caratteri cinesi nel sito, è probabile che la società dietro questo bot sia cinese, con tutte le conseguenze previste per un eventuale trasferimento di dati personali al di fuori dell’UE in un Paese terzo, come la Repubblica Popolare Cinese, che non è stato ritenuto adeguato ex art. 45 del GDPR. E alla luce del fatto che le attività sopra descritte ricadono ampiamente nell’art. 35 par. 1 del GDPR, la società si sarà preoccupata di effettuare una Valutazione d’Impatto? Quali misure tecniche ed organizzative di sicurezza sono state implementate dalla società per proteggere una tale quantità di dati particolari? Avranno nominato un Responsabile della Protezione Dati ex art. 37 del GDPR, visto che la loro attività consiste anche nel trattamento su larga scala di categorie particolari di dati personali di cui all’art. 9 del GDPR?
Purtroppo, nulla di questo ci è dato sapere in quanto il bot si limita semplicemente a ricevere foto di facce e a trasformarle in una versione da cartone animato. Lo svago di pochi minuti, magari dietro anche la pressione dei compagni di scuola o di sport, può venire pagato a caro prezzo con la perdita di controllo della propria immagine.
In conclusione, le minacce alla propria privacy, soprattutto a quella dei minori, si fanno sempre più insidiose e solo un occhio attento ed educato ai pericoli della rete le può prevenire.
A cura di Matteo Alessandro Pagani e Alessandro Burro