Una delle questioni attualmente più dibattute sullo sviluppo della tecnologia e sulla sua diffusione nella società riguarda le possibilità per macchine o robot di essere in grado di riconoscere, esprimere e generare emozioni e sentimenti umani. Ciò che infatti attualmente distinguerebbe l’uomo dalle macchine è la c.d. “Intelligenza emotiva”, ovvero la capacità di riconoscere e comprendere le emozioni umane, proprie e di chi ci circonda.
L’Affective Computing è un settore dell’Intelligenza Artificiale che si occupa di studiare, analizzare e sviluppare strumenti di calcolo algoritmico in grado di riconoscere, esprimere e generare emozioni tipicamente umane. Esso si suddivide in diverse applicazioni specifiche, quali:
– Espressione emotiva, ovvero si occupa di riprodurre le emozioni umane attraverso la rappresentazione di volti digitali che imitano i caratteri dell’espressione emotiva umana;
– Riconoscimento emotivo, ovvero l’analisi dello stato emotivo dell’utente attraverso lo studio della combinazione delle espressioni facciali;
– Manipolazione emotiva, che si occupa nello specifico di studiare come, attraverso l’interazione con l’uomo, la macchina può influenzare lo stato emotivo dell’utente.
Gli strumenti di Affective Computing così sviluppati possono avere diverse implicazioni pratiche. Ad esempio, essi sono utilizzati nel marketing per cogliere la reazione emotiva dell’utente rispetto ai messaggi pubblicitari e di recente sono stati utilizzati in alcune scuole europee per analizzare le emozioni degli studenti e valutare così le performance dei professori nella didattica. Essi utilizzano il c.d. “Algoritmo emozionale” ovvero una formula di calcolo che permette di identificare e qualificare qualsiasi espressione o movimento del volto umano.
L’analisi delle emozioni attraverso l’Algoritmo emozionale, dal momento che comporta un’analisi specifica delle espressioni facciali e dei movimenti muscolari del viso, implica però il trattamento di dati biometrici, che come tale, deve essere effettuato nel rispetto della normativa vigente in materia di protezione dei dati personali.
Algoritmo emozionale, riconoscimento facciale e dati biometrici
L’analisi delle espressioni facciali tramite l’Algoritmo emozionale comporta dunque un trattamento di dati personali, perché consente l’identificazione della persona fisica a cui si riferiscono e forniscono informazioni specifiche sull’identità personale di quest’ultima. Non solo, dal momento che sono in grado di fornire informazioni circa le caratteristiche fisiche, fisiologiche o comportamentali di questa persona, i dati sono considerati anche dati biometrici. Come è noto, dal momento che si tratta di dati di particolare delicatezza e importanza, considerando le conseguenze pratiche che la loro perdita o diffusione potrebbe comportare, sono soggetti ad una disciplina specifica.
In particolare, il GDPR Reg. UE 679/2016, all’art. 4, n. 14, definisce i dati biometrici: “dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”. Il trattamento dei dati biometrici è espressamente regolato dall’art. 9 GDPR che prevede una disciplina specifica per determinate categorie di dati, quali i dati biometrici, la cui perdita o la diffusione fuori dai casi previsti dalla legge, potrebbe comportare gravi conseguenze per le libertà e i diritti dell’interessato.
Si pensi, a titolo esemplificativo, alle conseguenze che potrebbe comportare la diffusione di dati comportamentali, come quelli rilevati attraverso l’Algoritmo Emozionale. Infatti, la conoscenza, o anche la mera conoscibilità, delle abitudini comportamentali o le emozioni di un determinato soggetto, lo rende vulnerabile e controllabile, con evidente lesione dei suoi diritti e della sua libertà come individuo nella società.
I dati biometrici però, come le impronte digitali, i tratti del viso, ma anche le espressioni facciali, se trattati nel rispetto dei vincoli previsti dalla legge, possono anche portare dei vantaggi ed essere utilizzati per migliorare la vita delle persone e garantire anche la sicurezza di determinate informazioni. Basti pensare all’utilizzo dell’impronta digitale o ai sistemi di riconoscimento facciale per sbloccare gli smartphone, e dunque per proteggere i dati in esso contenuti. I dati biometrici infatti, non possono essere falsificati, né persi, né dimenticati, come le password o i codici numerici, e attestano in modo pressoché sicuro l’identità del soggetto a cui si riferiscono.
I limiti giuridici per il trattamento dei dati biometrici
L’art. 9 GDPR in particolare, stabilisce il divieto generale di trattamento di determinate categorie di dati, quali i dati biometrici o i dati sanitari, salvo nel caso in cui ricorrano determinate condizioni previste sempre da questa norma, al verificarsi delle quali, il trattamento deve ritenersi consentito. Ad esempio, il trattamento è lecito quando l’interessato ha dato il proprio consenso in modo libero o esplicito o quando ha reso pubbliche tali informazioni di propria spontanea volontà, o quando il trattamento è giustificato da motivi di interesse pubblico, come la sicurezza o la salute pubblica.
Occorre precisare però che anche in tali casi il trattamento non è comunque libero, in quanto devono essere in ogni caso rispettati determinati principi, in modo da evitare che un trattamento incontrollato possa provocare delle conseguenze negative per l’interessato. In particolare, devono essere rispettati i principi di cui all’art. 5 del GDPR, tra i quali spiccano, per quanto di interesse in questa sede, il “principio di minimizzazione dei dati” e il “principio di limitazione della finalità”.
Il principio di “limitazione della finalità” è previsto dall’art. 5 lett. b), secondo il quale i dati raccolti per specifiche finalità non possono essere successivamente trattati per finalità diverse da quelle per cui sono stati raccolti. Pertanto, nel caso in cui, come è avvenuto in alcune scuole Europee, il riconoscimento facciale sia introdotto per monitorare il livello di concentrazione degli studenti e migliorare le performance dei docenti, i dati così raccolti non potrebbero essere utilizzati per altri scopi. Il principio di “minimizzazione dei dati” è invece previsto dall’art. 5 lett. c) e limita la raccolta dei dati a quanto necessario rispetto alla finalità per cui sono trattati. Potrebbe quindi essere considerato illecito un sistema di riconoscimento emozionale che, oltre alle espressioni facciali raccolte al fine di decifrare un’emozione per una determinata finalità specificatamente accettata dall’interessato, raccolga anche dati diversi, quali il colore dei capelli e degli occhi, o la temperatura corporea.
Inoltre, particolari problematiche giuridiche sorgono anche in relazione alla validità del consenso prestato. Infatti, è possibile che l’interessato non sia in grado di fornire un valido consenso libero ed esplicito se non è correttamente informato sulle conseguenze del suo consenso, della diffusione dei dati così concessi o delle finalità per cui vengono trattati. In tal caso, il trattamento dovrà considerarsi illecito, in quanto il consenso così prestato non è idoneo a costituire un’idonea base giuridica per il trattamento ai sensi dell’art. 9 GDPR.
A tal proposito, ad esempio, il Garante della Privacy Svedese ha sanzionato un liceo pubblico che aveva introdotto il riconoscimento facciale degli allievi per violazione del principio di minimizzazione dei dati di cui all’art. 5 GDPR, in quanto i dati biometrici raccolti fornivano al titolare informazioni di gran lunga ulteriori rispetto alle finalità dichiarate. Ha poi ritenuto il trattamento illecito, dal momento che, sussistendo una sproporzione tra la posizione degli studenti e l’istituto scolastico, il consenso sarebbe stato nullo in quanto privo della caratteristica della libertà della sua manifestazione.
Conclusioni
L’Algoritmo emozionale, dunque, se correttamente impiegato e utilizzato nel rispetto dei principi posti a protezione e tutela dei dati personali, può certamente apportare dei vantaggi nella società e nella quotidianità delle persone. Esso può essere utilizzato ad esempio dalle aziende per migliorare la qualità del prodotto o del messaggio pubblicitario in base alle reazioni emotive degli utenti, oppure può essere utilizzato nelle scuole o nelle università per motivi di sicurezza o per migliorare le performance dei professori in base al livello di concentrazione degli studenti.
Non sono però trascurabili i rischi e le criticità connesse ad un’eventuale diffusione non controllata di questi dati personali, o dei possibili ulteriori trattamenti, diversi da quelli resi noti quando i dati vengono raccolti. Pertanto, il loro utilizzo dovrà avvenire sempre nel rispetto dei principi normativi rivolti a garantire la sicurezza e la liceità del trattamento.
Redazione Diritto Dell’Informatica