Apple, il riconoscimento facciale e il diritto di difesa (extra: qualche spunto sul GDPR)

La notizia sta prendendo slancio: Osumane Bah, studente accusato di furti ripetuti in Apple store situati in diverse città degli Stati Uniti, ha intentato una causa contro l’azienda di Cupertino per ottenere un risarcimento di un miliardo di dollari per essere stato erroneamente identificato da Apple come l’autore di questi crimini. La prova decisiva che porta al suo coinvolgimento nelle indagini, questa è la base dell’azione di Bah, è che è stato erroneamente identificato da un sistema di riconoscimento facciale gestito da Apple o da una società di sicurezza assunta per fare questo lavoro.

I fatti documentati e indiscutibili sono:

  1. Bah è già stato processato – e scagionato – a Boston e New York (un terzo processo è in corso nel New Jersey),
  2. Il ladro degli Apple Store è stato identificato dall’operatore del sistema di videosorveglianza dell’Apple Store di Boston che ha detto di essere stato in grado di collegare il ladro con  Bah a causa del fatto che quest’ultimo era stato precedentemente arrestato per un precedente furto in un Apple Store del Connecticut,
  3. Nel processo di Boston, l’avvocato di Bah ha presentato una istanza per ottenere tutti i video di sorveglianza dall’imputato che lo avrebbe collegato ai reati in questione. Gli è stato detto, tuttavia, da un dipedente Apple identificato solo come Greg C., che il video non esisteva. Inoltre, è stato informato che
    Apple non conserva abitualmente registrazioni di informazioni dopo un arresto (fonte: atto introduttivo, pagina 6, paragrafo 16).
  4. La dichiarazione rilasciata da “Greg C.” si è rivelata falsa, come recentemente è stato dato al Procuratore Distrettuale di Boston il presunto “inesistente” filmato che ha scagionatoBah, (fonte: atto introduttivo, pagina 8, paragrafo 28,)
  5. Nel caso di New York, la persona che appare sul filmato dell’Apple Store di Manhattan non è Bah (fonte: dichiarazione del detective del dipartimento di polizia di New York che ha eseguito l’arresto), ma è stato comunque arrestato,
  6. Apple utilizza sistemi di sorveglianza all’interno dei suoi negozi,
  7. Apple, direttamente o tramite una società di sicurezza, ha un modo per estrarre informazioni biometriche dalle riprese video e per collegarle ad altre informazioni come i precedenti penali individuali.

È ovviamente troppo presto per valutare il merito delle affermazioni di Bah, tuttavia da questa notizia si possono trarre alcune lezioni:

  • se le affermazioni di Bah saranno dimostrate per vere, ciò significherebbe che Apple ha eseguito un’elaborazione completamente automatizzata che ha portato alla mancata corrispondenza tra i dati biometrici e l’identità personale, e che
  • Apple non dispone di procedure (del tutto o in parte funzionanti) per garantire che l’abbinamento di cui sopra sia corretto prima di segnalare un individuo all’Autorità giudiziaria,
  • a differenza di quanto potrebbe apparire, l’eventuale maggior superficialità è imputabile ai vari agenti di polizia coinvolti nelle indagini. Il detective della Polizia di New York che si è occupato dl caso, ha riconosciuto che il ladro non assomigliava a Bah, e il procuratore di Boston ha ritirato le accuse una volta che ha visto il filmato “resuscitato”. A quanto pare, non ci è voluto uno sforzo così grande per confrontare l’aspetto del ladro con quello di Bah. Pertanto, la polizia avrebbe dovuto essere più attenta prima di fidarsi degli elementi forniti da Apple,

E, infine, la domanda da un milione di dollari: e se tutto questo fosse avvenuto nell’Unione europea?

Non posso rispondere per le regole processuali di tutti gli stati dell’Unione, ma in Italia la prima cosa che un giudice avrebbe fatto, prima di emettere un ordine di arresto, è vedere se la persona catturata nel filmato somigliasse – almeno probabilmente – al sospettato e, in caso contrario, Bah non sarebbe stato arrestato sulla sola base di una prova così debole.

Una menzione speciale, però, è meritata dalla questione della conservazione dei filmati emersa nel processo di Boston: in prima istanza, il rappresentante di Apple ha dichiarato che i filmati del ladro non erano più disponibili perché Apple li cancella dopo l’arresto (ma poi i filmati sono riapparsi e hanno scagionato l’accusato). Se quanto dichiarato dal signor Greg C. fosse vero, sarebbe stata una chiara violazione del GDPR.

In primo luogo, il trattamento eseguito da Apple o da terzi per suo contto non riguardava solo un filmato delle telecamere di sicurezza, ma anche altre informazioni personali come quelle giudiziarie penali. Pertanto, nel processo di Boston – e sicuramente in un tribunale dell’UE – sarebbe stato necessario chiedere l’esibizione di queste ulteriori informazioni, e il modo in cui viene stabilita la corrispondenza tra i dati giudiziari e i filmati della videosorveglianza.

In secondo luogo, l’esistenza di questo sistema integrato di sicurezza avrebbe dovuto essere notificata alle persone interessate, in quanto si tratta di una misura preventiva che, come avviene per il controllo di merito creditizio, non può essere gestita in modo occulto.

Terzo: se un filmato è il fondamento di un’azione legale, non può essere cancellato. Il GDPR è chiarissimo su questo punto, in quanto la correttezza del trattamento in relazione ai processi penali implica il dovere dell’denunciantte di non distruggere le prove delle sue affermazioni.

Possibly Related Posts: