R EALTÀ AUMENTATA E D ATA A CCRETION

Minority Report è un film del 2002 diretto da Steven Spielberg, liberamente tratto dall'omonimo racconto di fantascienza di Philip K. Dick. Nel 2054 la città di Washington ha cancellato gli omicidi da ormai 6 anni grazie a un sistema chiamato PreCrime. Basandosi sulle premonizioni di tre individui dotati di poteri extrasensoriali di precognizione amplificati, detti Precog, la polizia riesce a impedire gli omicidi prima che essi avvengano e ad arrestare i potenziali "colpevoli". In questo modo non viene punito il fatto (che non avviene), bensì l'intenzione di compierlo e che porterebbe a concretizzarlo: è un sistema delicato, osteggiato da molti, che però sembra funzionare senza intoppi293_.

In chiusura oggetti IoT intercettano e localizzano il movimento di uno dei protagonisti - John Anderton (interpretato da Tom Cruise); on the fly, lo identificano, individuano ed estraggono alcune sue caratteristiche fisiche (ad esempio l'iride, il volto, l'odore) e, sulla base di queste, in tempo reale chiamandolo per nome propongono proposte personalizzate per l'acquisto di un nuovo modello di macchina, di un nuovo profumo, di regali per i suoi amici; prodotti mirati, familiari, adatti alle esigenze e alla personalità del soggetto al quale vengono indirizzate.

Per quanto avveniristico questo è un buon esempio di realtà aumentata. Altri esempi meno visionari possono essere l'aumento descrittivo dell'immagine di un bene culturale identificato per geolocalizzazione e arricchito di informazioni storiche o artistiche; oppure l'ampliamento sonoro della materialità di un oggetto parlante dei suoi possibili utilizzi o rivelatore dello stato di usura o di malfunzionamento.

Per realtà aumentata, si intende - di base, il miglioramento della percezione sensoriale umana mediante informazioni, in genere manipolate e convogliate digitalmente, non altrimenti o naturalmente percepibili o disponibili. Gli elementi che aumentano la realtà possono essere aggiunti attraverso un dispositivo mobile, come uno smartphone, oppure con l'utilizzo di un personal computer dotato di webcam, oppure con altre tipologie di sensori montati su videocamere digitali o rilevatori, od ancora mediante dispositivi di visione (per es. occhiali a proiezione sulla retina), di ascolto (auricolari) e di manipolazione (guanti)294_.

Il miglioramento della realtà può avvenire sia per aumento ed arricchimento delle informazioni, sia per diminuzione ed eliminazione dell'informazione non utile. L'arricchimento di informazione desta molte e non banali questioni rispetto al soggetto

293 _{Cft https://it.wikipedia.org/wiki/Minority_Report}

interessato e fruitore, il quale se per un verso può considerare l'aumento della realtà osservata come un beneficio e sfruttarne i vantaggi derivanti dall'ampliamento di conoscenza, per un altro potrebbe percepirne l'impatto anche come un'azione invasiva veicolo di un contenuto informativo, in definitiva, non desiderato; valutare con fastidio che un oggetto – in un determinato contesto, sia in possesso di informazioni senza averle volontariamente e reciprocamente condivise.

Le implicazioni di scontestualizzazione della realtà diventano più critiche quando un dato digitale viene arricchito con informazioni personali, quindi associabili ad una persona, con conseguenti ricadute di identificazione diretta o indiretta.

Sull'argomento al fine di significare l'impatto della realtà aumentata, rispetto alla protezione dei dati personali, si riportano le sperimentazioni di re-identificazione svolte nell'ambito di uno studio condotto nel 2014 dal gruppo di ricerca del prof. Alessandro Acquisti295 _{presso la Carnegie Mellon University (Pittsburgh, Pennsylvania USA). Questo} studio si colloca in contesti informazionali alimentati con dati personali pubblicati volontariamente sul proprio profilo Facebook dagli stessi soggetti interessati.

A premessa, rispetto alla sperimentazione, si indicano due trend paralleli di contesto e importanti in qualsiasi applicazione di realtà aumentata: il primo attiene la costante ed enorme crescita di foto pubblicate sui social ed in particolare su Facebook296 _{buona parte delle quali,} grazie al meccanismo del tagging, risultano associate a dati personali identificativi (nome e cognome) del soggetto interessato; il secondo attiene la crescente capacità elaborativa dei sistemi di face recognizer per il successo delle operazioni di face detection e face identification297_.

A ciò si aggiunga un fattore esogeno rispetto all'utente connesso ai default settings di Facebook di trattare l'immagine del profilo (la primary profile photo) come dato obbligatorio e pubblico, con associati nome e cognome.

Ciò rende Facebook, verosimilmente, la più grande banca dati al mondo di profili pubblici, alimentata dagli stessi utenti identificati direttamente almeno dai dati

295 _{Cfr ACQUISTI ALESSANDRO, GROSS RALPHAND STUTZMAN FRED, Face Recognition and Privacy in the Age ofAugmented Reality,}

Journal of Privacy and Confidentiality, 6(2) (2014)

296 _{In argomento per gli indicatori quantitativi si rimanda la capitolo 2 - Privacy e Protezione dei Dati personali: pluralità semantiche e}

criticità, paragrafo 1 - I dati e le informazioni personali. Ulteriormente si indica il report leonardo.it - Tutti i numeri di Facebook: ecco le cifre del social network più famoso del mondo di Di Ilaria Zanchetta, secondo il quale ogni giorno su Facebook vengono

globalmente caricate 300 milioni di foto; ciò rende Facebook probabilmente la più grande banca dati di immagini (in parte pubblica, in parte privata) al mondo.

297 _{In proposito si accenna che nell'arco di un decennio tra il 2000 e il 2010 i sistemi di face recognition hanno registrato un}

miglioramento di performance di oltre 3 ordini di grandezza, passando – in condizioni ideali, da un tasso di errore pari a 0,54 ad uno pari a 0,003. Cfr ACQUISTI ALESSANDRO, GROSS RALPHAND STUTZMAN FRED, Face Recognition and Privacy in the

Nome_Cognome_FotoProfilo. Infatti, in generale298_{, il profilo social - nei contenuti base di} Nome_Cognome_FotoProfilo, è un contenitore pubblico ed accessibile a chiunque: con l'utilizzo congiunto dei software di face recognizer, della potenza di calcolo del cloud computing e della pervasività dell'ubiquitous computing, esso si rivela una base significativa per il successivo arricchimento dei dati con finalità di re-identificazione.

Le sperimentazioni condotte e prese ad esempio hanno previsto: i) l'utilizzo un campione di 5000 di foto anonime (prive dell'associazione con i dati identificativi); ii) un dominio di 270.000 primary profile photos scaricate da Facebook da altrettanti profili (pubblici); iii) la comparazione di entrambi gli insiemi mediante il software PittPatt;299 _{iv) l'estrazione del}

miglior match score ad indicatore della positiva (nel senso di statisticamente corretta) corrispondenza di due comparazioni.

A seconda che l'immagine iniziale fosse stata acquisita on-line mediante download da repositories pubblici, oppure fornita volontariamente da un utente (ad esempio tramite webcam) le relative sperimentazioni si differenziano, rispettivamente in on-line re-identifictation e off-line re-identification300_.

Nel primo caso rispetto alle 5000 immagini acquisite on-line, 1 su 10 di esse è stata identificata; nel secondo caso 1 su 3 utenti è stato identificato dopo aver fornito la foto del proprio volto; entrambi i risultati indicano come il dato rappresentativo di un volto anonimo possa essere arricchito con ulteriori attributi descrittivi301_{, quindi reso nonimo mediante l'utilizzo} congiunto di un software di face redognition e della base di dati esposta dai social media.

Il caso di studio illustrato è una significativa Proof of Concept e rappresenta molto bene come dati personali (anche privati) resi volontariamente pubblici dallo stesso soggetto interessato - in uno specifico contesto, per determinate finalità e specifici utilizzi (comunicativi e specificatamente strumentali ai servizi esposti dalla piattaforma social), possano essere riutilizzati in altri contesti, per finalità ed utilizzi diversi ed imprevisti, senza che il soggetto interessato ne sia a conoscenza, quindi impattando in maniera rilevante la protezione dei dati personali con fattive implicazioni di re-identificazione.

298 _{Questo contesto si riferisce a condizioni di base in cui l'utente in fase di registrazione al social abbia pubblicato una}

primary profile photo contenente il proprio volto e non abbia rilasciato dati identificati falsi

299 _{PittPatt - Pittsburgh Pattern Recognition, è un software di face recognition sviluppato presso la Carnegie Mellon University}

(Pittsburgh, Pennsylvania USA) e recentemente acquistato da Google Inc.

300 _{Cfr ACQUISTI ALESSANDRO, GROSS RALPHAND STUTZMAN FRED, Face Recognition and Privacy in the Age ofAugmented Reality,}

Journal of Privacy and Confidentiality, 6(2) (2014) p. 4; 7.

301 _{Nella sperimentazione, volendo porre in risalto la re-identificazione diretta, quindi l'impatto del data accretion sulla}

protezione dei dati personali, l'arricchimento concerne i dati identificativi di nome e cognome senza con ciò limitare qualsiasi altra informazione contenuta nel profilo ed esposta come pubblica.

Figura 4.7 – Data accretion e re-identificazione.

L'immagine evidenzia il ciclo di re-identificazione: da un volto anonimo - con l'utilizzo di profili social pubblici e un software di face recognition, si possano comparare le immagini di migliaia di volti; individuare quello statisticamente corretto, quindi ottenere un nome presunto dal quale ricavare dati personali non privati o non particolarmente sensibili; incrociando queste informazioni con quelle di altre fonti pubbliche, reiterando il processo su molte persone si possono inferire anche informazioni private o sensibili attinenti lo stato di salute, il reddito di uno specifico soggetto; il ciclo si chiude quando il volto anonimo è identificato e il dato che lo rappresenta (immagine) arricchito di ulteriori informazioni e nuovi attributi descrittori.

Oltre ai dati identificativi di nome e cognome, combinando le informazioni degli utenti disponibili sui profili pubblici dei social con altre fonti pubbliche (ad esempio curriculum vitae, informazioni pubbliche della previdenza sociale, della pubblica amministrazione o dell'istruzione) si può implementare concretamente il data accretion302 _{inferendo informazioni}

private ed anche sensibili.

302 _{Il termine data accretion richiama quello dell'incremento del capitale: i dati accrescono se ben combinati insieme, generando}

nuova informazione così come il capitale accresce se ben investito.

In una prospettiva futura sfruttando la piena affermazione e diffusione dell'ubiquitous computing sarà possibile puntare il volto di una persona con uno smartphone, con degli smartglasses o con delle lenti a contatto interconnesse in cloud; in tempo reale l'immagine del volto potrà essere arricchita da ulteriori dati, pubblici, personali, privati o sensibili. Allo stato i costi computazionali elevati limitano l'implementazione reale di un simile scenario su larga scala (ad esempio quello rappresentato dalla popolazione di un intero stato con almeno 10 immagini per persona pubblicate sui social), ma tale limitazione tende a diminuire contestualmente al miglioramento degli algoritmi, alla capacità di segmentare il problema in sotto problemi più semplici e parallelizzarne i processi computazionali in cloud.

2. LE NUOVE FORME DIVULNERABILITÀ E DI RISCHIO PER LAPROTEZIONE DEI DATI