Tecnologia di riconoscimento facciale: il caso Kmart

Oggi ho letto il rapporto di indagine su Kmart Australia, un gigante della vendita al dettaglio che ha utilizzato la tecnologia di riconoscimento facciale (FRT) su TUTTI i clienti per 2 anni senza consenso. Cosa succede quando le nobili intenzioni si scontrano con una mancanza di una governance adeguata?

È già successo prima?

Sì! Nel 2024, si è scoperto che anche Bunnings, una grande catena di negozi di bricolage, utilizzava la FRT nei suoi negozi, la stessa storia - ragioni diverse. Per Bunnings, si trattava di prevenire l’aggressività dei clienti nei confronti del personale. Alla direzione del negozio è stato chiesto di pubblicare una spiegazione su come funziona esattamente la tecnologia - cosa che hanno fatto.

(Fonte: https://www.bunnings.com.au/about-us/facial-recognition-technology)

Kmart ha utilizzato la tecnologia per cercare di combattere le frodi sui resi - cose come la restituzione di articoli rubati o lo scambio di codici a barre, un problema serio: solo negli Stati Uniti, circa il 15% dei resi ha comportato una qualche forma di frode nel 2024, con un costo di miliardi.

Perché il Commissario per la privacy ha stabilito che non andava bene?

Nonostante le buone ragioni alla base della decisione di implementare la tecnologia, il Commissario per la privacy ha stabilito che Kmart aveva violato la legge sulla privacy (in Australia non esiste una legislazione specifica sull’IA, quindi si applicano le leggi esistenti). “Solo perché una tecnologia può essere utile o conveniente, non significa che il suo uso sia giustificabile”, ha affermato, sollevando il tema della proporzionalità: il vantaggio dell’utilizzo di una tecnologia deve superare in modo chiaro e schiacciante i rischi per la privacy che essa comporta. Le “impronte facciali” raccolte dal negozio, anche se non conservate per più di un secondo, sono state utilizzate per la corrispondenza, il che trasforma una foto da informazione personale a sensibile - una distinzione molto importante.

Il sistema scansionava chiunque entrasse, raccogliendo dati biometrici da centinaia di migliaia di persone, non solo dai pochi malintenzionati. Ma non era molto bravo nel suo lavoro: la quantità di frodi prevenute era minima rispetto al problema generale. L’enorme rischio per la privacy di ogni cliente non era controbilanciato dai benefici molto limitati.

È importante sottolineare che l’azienda non ha mai esplorato adeguatamente alternative meno invasive per la privacy come una migliore formazione del personale o politiche di reso più rigorose. Il Commissario ha sottolineato che l’azienda non doveva trovare un’alternativa che fosse altrettanto efficace nel prevenire le frodi. Invece, dovevano solo dimostrare di aver considerato e respinto adeguatamente altri metodi meno invasivi per la privacy. L’azienda non è riuscita a farlo.

Infine, sebbene l’azienda avesse esposto un Avviso sulle condizioni di ingresso “aggiornato” all’ingresso del negozio, in cui si affermava che il negozio aveva “una copertura CCTV 24 ore su 24, che include la tecnologia di riconoscimento facciale”, molti negozi utilizzavano la tecnologia da mesi prima che questo avviso fosse esposto, il che significa che un gran numero di clienti non era a conoscenza dell’uso della tecnologia quando sono entrati. L’informativa sulla privacy, in vigore per oltre un anno dall’inizio del progetto pilota, non menzionava affatto il riconoscimento facciale.

Non si tratta di mettere alla gogna le aziende. Né Bunnings né Kmart sono stati multati. È un promemoria per tutte le organizzazioni: trasparenza, necessità e proporzionalità sono le considerazioni chiave quando si implementano sistemi di riconoscimento facciale come questo.

Quali sono le vostre opinioni in merito? Le aziende dovrebbero avere il diritto di utilizzare la FRT per proteggere la propria attività, anche se ciò influisce sulla privacy di ogni cliente?