L’Avvertimento del Garante Privacy alla Worldcoin Foundation di Sam Altman: il caso ORB e le criticità relative all’identificazione biometrica alla luce del Provvedimento del Garante del 21 marzo 2024

Il provvedimento del garante privacy italiano del 21 marzo 2024

Con il Provvedimento del 21 Marzo 2024, doc. web n. 9998877, pubblicato sulla Gazzetta Ufficiale S. G. n. 82 dell'8 aprile 2024, annotato al Registro dei provvedimenti n. 179 del 21 marzo 2024 (di seguito il “Provvedimento”), il Garante Privacy Italiano (“Garante”), ai sensi dell’art. 58, par. 2, lett. a), del Regolamento Europeo n. 2016/679 (“GDPR”)  e dell’art. 154, comma 1, lett. f), del d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101,  (“Codice”), ha “avvertito”  la Società Worldcoin Foundation, con sede nelle Isole Cayman, in qualità di titolare del trattamento dei dati personali, e gestore del progetto denominato “Worldcoin”, che i trattamenti di dati biometrici che dovessero essere effettuati in Italia, attraverso dei particolari hardware finalizzati alla raccolta dell’immagine delle iridi (gli “ORBS”), possono verosimilmente violare della disposizioni del Regolamento.

In estrema sintesi, tre sono le censure del Garante che lo hanno spinto ad emettere questo Avvertimento:

1. Carenza dell’informativa sul trattamento dei dati personali disponibile sul sito https://worldcoin.org/, la quale non risulterebbe, a detta del Garante fornire informazioni circa i rischi legati al trattamento di dati biometrici

        b. Incentivo economico dell’utente il quale, entrando a far parte del network di Worldcoin, riceverebbe gratuitamente (e secondo le modalità meglio descritte nel white paper di Worldcoin) un numero di criptovalute               collegate al progetto e denominate WLD, incidendo così negativamente (sempre secondo il Garante) sulla sussistenza delle condizioni per il consenso prescritte dal GDPR (art. 7);

        c. assenza di filtri per impedire l’accesso agli ORBS e alla applicazione di Worldcoin, ovvero la “World App”, ai minori di età di 18 anni.

Il progetto worldcoin

Il progetto Worldcoin è stato ideato e co-fondato da Sam Altman, fondatore della ben più nota “OpenAI” la società statunitense, con sede in Delaware e filiale in Irlanda, da cui è gemmata l’applicazione ChatGPT.

Worldcoin intende elaborare una soluzione che, al fine di identificare ogni singolo individuo e distinguerlo da una macchina (e da una intelligenza artificiale), attesti una prova della sua personalità (“Proof of Personhood”) attraverso un sofisticato scanner biometrico denominato “ORB”, con il quale scannerizzare l’iride dell’utente, collegando in maniera univoca ciascuna iride ad un codice (il cosiddetto “IrisCode”).

Una volta scansionata l’iride e salvato il predetto IrisCode, l’ORB crea una ID per ciascun utente a livello mondiale (World ID).

L’ecosistema Worldcoin è costituito anche dalla World App che consente la verifica dell’utente, scambiando la chiave pubblica di identificazione con l’ORB mediante un QR code generato dalla stessa App e rende disponibile a ciascun utente il World ID e i WLD riscattati o acquistati.

Secondo l’indagine svolta dal Garante il consenso richiesto per il trattamento dei dati biometrici da parte del titolare del trattamento (la Worldcoin Foundation), sarebbe esteso anche al processo decisionale automatizzato sotteso all’autenticazione degli individui e, sempre secondo le indagini del Garante, lo stesso consenso risulterebbe necessario per riscattare i WLD token gratuiti offerti in cambio dal titolare del trattamento.

Lo stesso Garante precisa che gli Orb non sono presenti in Italia ma che i cittadini italiani possono già scaricare, dagli app store, la World App, fornire i relativi dati personali e prenotare i propri WLD token gratuiti e che “…la disponibilità della App dal territorio italiano potrebbe anticipare l’istallazione degli ORB in Italia”

Le principali criticità in ambito privacy

Il progetto, costruito con l’utilizzo di soluzioni blockchain e con l’emissione di criptomonete funzionali al progetto stesso, prende le mosse da una tematica molto sentita nell’ambito della comunità degli sviluppatori della rete blockchain “Ethereum”: la creazione di un sistema decentralizzato per l’identificazione delle persone, tutelando la privacy delle stesse.

La questione parrebbe a prima vista contradditoria: come è possibile creare un sistema decentralizzato di identificazione delle persone - che evidentemente, presuppone la raccolta di dati personali – tutelando la privacy delle stesse?

La distribuzione di archivi informatici e la decentralizzazione dei meccanismi di validazione delle transazioni digitali in essi contenute è, come noto a molti esperti del settore, uno straordinario strumento di resilienza informatica e di potenza di calcolo.

Tuttavia, il tema si complica allorquando si intende affidare alla decentralizzazione, la gestione di dati personali ed in particolare, come nel caso di specie, di dati biometrici. Ed infatti, se è vero che la decentralizzazione favorisce il ricorso al cosiddetto “pseudo-anonimato” degli utenti titolari di account (o meglio “wallet”) contenenti criptoasset, è opportuno ricordare che innanzitutto il dato pseudonimo è a tutti gli effetti un dato personale protetto dal GDPR e soggetto alla sua regolamentazione (salve le ipotesi in cui il ricevente non abbia gli strumenti tecnici per re-identificare l’interessato, come stabilito dalla Sentenza del Tribunale Europeo del 26 aprile 2023, doc. n. 62020TJ0557) ma soprattutto che i processi di affidamento di dati personali (biometrici e non) affidati ad un sistema decentralizzato possono nei fatti integrare un rilevante rischio di “diffusione” degli stessi, senza che vi sia una chiara identificazione dell’effettivo titolare del trattamento e della piramide di responsabili e sub-responsabili che processano questi dati.

Sono stati diversi i tentativi volti a trovare una soluzione per la Proof of Personhood, ma certamente Worldcoin si è da subito caratterizzato per le sue caratteristiche innovative e per la portata del progetto che aspira chiaramente a diventare un riferimento mondiale dell’identificazione personale.

L’obbiettivo è quello di distribuire ovunque sul pianeta gli scanner denominati ORB, al fine di catturare in maniera rapida (e naturalmente con il consenso dell’utente) l’immagine dell’iride in modo creare un account personale per ogni persona identificata che potrà così far parte del network worldcoin, ricevere e spendere la criptomoneta connessa WLD, e farsi sempre identificare univocamente e come essere umano (e non robot).

D’altra parte, il dichiarato intento di “decentralizzare” l’intero network, richiede passaggi tecnici non indifferenti poiché come noto nessun sistema nasce come de-centralizzato ma richiede passaggi di centralizzazione evidenti (Worldcoin, come layer secondario di Ethereum, ha dichiarato il 5 novembre del 2023 di volersi avvalere dell’Optimism Stack).

Se gli scopi che stanno alla base del progetto Worldcoin possono apparire nobili (soluzioni privacy by-design volte alla identificazione delle persone proteggendo i dati di identificazione), ci si chiede se le soluzioni tecniche adottate sono proporzionate all’obbiettivo, se il trattamento e la conservazione dei dati biometrici avviene nel rispetto del GDPR e se viene consentita all’utente la possibilità di revocare in maniera effettiva il consenso.

Per quanto il white paper e le diverse pubblicazioni reperibili online rassicurino sulla assoluta affidabilità delle soluzioni adottate, ad un attento osservatore non sfuggirà la platea di soggetti coinvolti e la apparente scarsità di informazioni presente nell’informativa sulla privacy. Per quanto quest’ultimo aspetto sia più un tema formale che sostanziale, è sempre bene ricordare che affinchè il consenso al trattamento del dato (come nel caso di specie necessario poiché biometrico) sia valido, è sempre necessario che l’informativa sulla privacy sia accurata e completa (oltre che semplice e chiara) ma soprattutto che non vi siano azioni che possano viziare tale consenso.

Gli aspetti normativi rilevanti richiamati nel provvedimento

L’art. 4 punto 14) GDPR definisce «dati biometrici» “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici”.

Come anche precisato dal Garante nel suo Provvedimento, l’art. 9 del GDPR impone un divieto generale al trattamento, tra gli altri, anche dei “dati biometrici intesi a identificare in modo univoco una persona fisica”, salvo le deroghe previste al successivo par. 2 del medesimo articolo e, in particolare, alla lett. a) che fa riferimento all’esplicito consenso dell’interessato.

Inoltre il successivo par. 4 prevede che “Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute”.

Il Provvedimento richiama, inoltre, il considerando 51 del GDPR, il quale precisa che “Tali dati personali [dati biometrici] non dovrebbero essere oggetto di trattamento, a meno che il trattamento non sia consentito nei casi specifici di cui al presente regolamento […]” e che “Oltre ai requisiti specifici per tale trattamento, dovrebbero applicarsi i principi generali e altre norme del presente regolamento, in particolare per quanto riguarda le condizioni per il trattamento lecito”

D’altra parte il considerando 39 del GDPR statuisce quanto segue: “È opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali”.

Nel caso di specie, tale necessità appare – a detta del Garante - più pressante per la presenza di rischi elevati collegati ai trattamenti di dati biometrici degli interessati, potenzialmente anche minorenni.

Sul punto è bene ribadire che ogni trattamento di dati personali deve avvenire nel rispetto dei principi fissati all’articolo 5 GDPR, tra qui il principio di liceità, correttezza e trasparenza del trattamento; il principio di limitazione della finalità del trattamento, compreso l’obbligo di assicurare che eventuali trattamenti successivi non siano incompatibili con le finalità della raccolta dei dati; il principio di minimizzazione dei dati: ossia, i dati devono essere adeguati pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento; il principio di esattezza e aggiornamento dei dati, compresa la tempestiva cancellazione dei dati che risultino inesatti rispetto alle finalità del trattamento; il principio di integrità e riservatezza: occorre garantire la sicurezza adeguata dei dati personali oggetto del trattamento.

Il GDPR (articolo 5, paragrafo 2) richiede al titolare di rispettare tutti questi principi e di essere “in grado di comprovarlo”. Questo è il principio detto di “responsabilizzazione” (o accountability) che viene poi esplicitato ulteriormente dall’articolo 24, paragrafo 1, del GDPR, dove si afferma che il titolare mette in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR.

Ad avviso del Garante, il progetto Worldcoin non sembrerebbe – a seguito delle indagini svolte - fornire elementi di chiarezza in merito al rispetto dei principi di liceità e minimizzazione sopra citati. Tale aspetto diventa ancora più rilevante alla luce delle Linee Guida dello European Data Protection Board (EDPB) adottate il 26 aprile 2023 (versione 2.0), sull’uso della tecnologia di riconoscimento facciale.

Per quanto importante possa essere, un obiettivo di interesse generale (come quello annunciato da Worldcoin e dai developer di Ethereum) non giustifica di per sé la limitazione di un diritto fondamentale come quello legato alla privacy dell’utente. I dati devono essere trattati in modo da garantire l’applicabilità e l’efficacia delle norme e dei principi di protezione dei dati dell’UE. In base a ogni situazione, la valutazione della necessità e della proporzionalità deve inoltre individuare e considerare tutte le possibili implicazioni per altri diritti fondamentali. Il trattamento di categorie particolari di dati, quali ad esempio i dati biometrici, si può considerare «strettamente necessario» (articolo 10 della Direttiva UE 2016/680 anche detta LED, Law Enforcement Directive) solo se l’ingerenza nella protezione dei dati personali e le sue limitazioni non eccedono la misura assolutamente necessaria, ossia indispensabile, escludendo qualsiasi trattamento di carattere generale o sistematico.

In base al principio di minimizzazione dei dati (articolo 4, paragrafo 1, lettera e), della direttiva LED), qualsiasi materiale video non pertinente per la finalità del trattamento dovrebbe essere sempre cancellato o anonimizzato prima dell’utilizzo. Tale potere di gestione del dato sembrerebbe presentare criticità nel caso in cui la gestione avvenga attraverso una soluzione decentralizzata.

Secondo i fondatori di Worldcoin il problema è superato dal fatto che l’immagine dell’iride verrebbe acquisita secondo moderne tecniche crittografiche che rendono il dato pseudonimo e non più riconducibile alla persona, la quale invece avrà “trasformato” tale immagine in un codice connesso univocamente all’iride.

Orbene, in presenza di una base giuridica delicata come quella di cui all’art. 6.1 lett. a) del GDPR (il Consenso), è bene riporre la massima attenzione proprio sul come il titolare del trattamento mette l’utente nella condizione di fornire un consenso il più possibile informato e libero.

Considerazioni generali sul provvedimento e sviluppi futuri

Pur condividendo molte delle censure evidenziate nel Provvedimento, si rilevano una serie di aspetti formali che potrebbero meritare un approfondimento.

Innanzitutto il soggetto a cui è rivolto il provvedimento: si tratta della Worldcoin Foundation con sede nelle Isole Cayman. Tuttavia scorrendo il White Paper di Worldcoin, notiamo che il fron-end della World ID e del Worldcoin Protocol è legato alla World App realizzata dal collettivo di sviluppatori denominato “Tools for Humanity” (o “TFH”), co-fondato sempre da Sam Altman nel 2019 e facente capo ad una società con sede a San Francisco (Tools for Humanity Corporation) e una filiale europea in Germania (Tools for Humanity Gmbh). Congiuntamente definite qui di seguito (TFH).

TFH risulta essere (secondo la privacy policy disponibile sul sito https://worldcoin.pactsafe.io/), il titolare del trattamento dei dati personali di (si cita testualmente tradotto in italiano) “tutti i dati relativi alla World App (i “World App Data”) e tutti i dati di business (i “Business Data”)”.

La definizione che ci viene offerta dalla privacy policy di TFH in merito è la seguente:

“Per World App Data si intendono tutti i dati personali raccolti e trattati attraverso l’utilizzo della World App, fatta eccezione per eventuali dati personali relativi all’utilizzo del Worldcoin Protocol o delle criptomonete WLD sulle quali TFH non avrebbe alcun controllo”.

La successiva sezione 5 della informativa privacy di TFH relativa alla World App elenca quelli che sarebbero i dati personali raccolti e trattati nell’ambito dell’uso del servizio offerto, e in particolare i seguenti: nome e cognome; email; numero di telefono; corrispondenza (anche attraverso messaggistica); lista dei contatti (tematica questa che apre altri scenari sui dati personali di soggetti terzi). In buona sostanza, leggendo l’informativa privacy di TFH non sembrerebbe vi sia traccia di dati biometrici raccolti direttamente (al contrario, al 5.2 della informativa si precisa che TFH non raccoglie dati biometrici tramite soggetti terzi, mentre – nell’addendum destinato alla giurisdizione giapponese – esisterebbe un modulo espresso per il consenso al trattamento dei dati biometrici).

Passando invece alla informativa privacy oggetto di attenzione del nostro Garante, e disponibile sul sito della Worldcoin Foundation al link worldcoin.org, rileviamo quanto segue:

• La sezione 1 precisa che il titolare del trattamento è la Worldcoin Foundation ma si indica anche l’esistenza di una stabile organizzazione all’interno dell’Unione Europea. Sarebbe opportuno chiarire tale aspetto e se effettivamente esiste una filiale in Europa, un semplice rappresentante fiscale o una vera e propria società controllata.

• La sezione 13 ci indica l’esistenza di un DPO. Curiosamente per poter scrivere al DPO bisogna indirizzare la corrispondenza alla TFH, il che ci riporta ad un evidente collegamento (se non commistione) tra le entità, quella a San Francisco e quella alle Cayman, aprendo dubbi sui motivi che hanno spinto a creare questa separazione. Inoltre, non è chiaro se il DPO da loro richiamato (figura obbiettivamente obbligatoria vista la natura e le modalità del trattamento) sia stato effettivamente nominato nel rispetto di quanto previsto dall’art. 37 GDPR.

• Tra i dati personali raccolti, vengono chiaramente richiamati i dati biometrici (sezione 5.3) che però non possono essere trattati senza il consenso raccolto attraverso un formato (il “Biometric Data Consent Form”) che parrebbe, almeno da un punto di vista della trasparenza e della comunicazione, efficace e semplice, con un richiamo anche all’esercizio del diritto di revoca del consenso (attraverso un apposito portale dove poter richiedere la revoca di tale consenso).

• La sezione 1.4 dell’informativa della Worldcoin Foundation parrebbe anche elencare la lista dei rischi relativi al trattamento di dati biometrici e di come la fondazione intende mitigare tali rischi. Peraltro l’informativa precisa che si tratta solo di alcuni rischi e che altri potrebbero emergere. La fondazione sembrerebbe essere molto chiara sul punto: i dati biometrici sono connessi ad altri dati (l’Iris Code) e questi dati potrebbero ricondurre alla identificazione della persona tramite un percorso a ritroso. L’informativa precisa che tali rischi sarebbero mitigati dall’uso di “Zero Knowledge Proof” ma non parrebbe in alcun modo escludere l’esistenza di tali rischi. Addirittura l’informativa precisa che i dati biometrici potrebbero essere sottratti nell’ambito di un attacco informatico, potrebbero essere usati in maniera inappropriata da un Governo e potrebbero essere usati illegittimamente dallo stesso titolare del trattamento. Tale ultimo aspetto sarebbe mitigato dall’esistenza di un “memorandum” che dovrebbe stabilire severe regole di funzionamento interno proprio per prevenire utilizzi impropri dei dati biometrici.

In conclusione

• Il Provvedimento, pur affrontando una tematica estremamente delicata ed essendo pionieristico nel panorama europeo (come già successo con il provvedimento nei confronti di OpenAI), sembrerebbe concentrarsi più sull’aspetto formale che su quello sostanziale. Vengono infatti evidenziati all’azienda aspetti connessi alla chiarezza e completezza dell’informativa e alla esistenza di filtri per i minori di anni 18. Temi questi, ad avviso di chi scrive, agevolmente superabili dalla stessa azienda (tralasciando il fatto che sono molte le aziende anche italiane prive di filtri adeguati per i minorenni). Va inoltre considerato il fatto che già oggi l’informativa parrebbe, ad avviso di chi scrive, contenere diverse informazioni relative ai rischi sottesi alla condivisione dei dati biometrici.

• Il tema relativo al consenso meriterebbe un ulteriore approfondimento, considerata la portata della questione. Il sistema di incentivi è alla base di molti protocolli blockchain ed ha più una funzione di rafforzamento del network che di vera e propria retribuzione economica. D’altra parte ci si chiede se, in un sistema economico moderno, sia legittimo o meno “vendere” i propri dati personali a fronte di un servizio, fermo restando che non sembrerebbe essere questo il caso di Worldcoin. Anche la scelta se vendere (o in alcuni casi regalare) i propri dati personali è pur sempre una scelta e ci si chiede fino a che punto questa scelta deve essere considerata NON libera solo perché il titolare del dato è stato spinto in qualche modo da un interesse economico. Peraltro le parole “incide negativamente sulla sussistenza delle condizioni per il consenso prescritte dal regolamento” non parrebbe offrire elementi utili a comprendere quale possa essere il perimetro di tale impatto negativo.

• Ultimo (ma non meno importante) aspetto: il soggetto a cui è rivolto il Provvedimento. A parere di chi scrive sarebbe opportuno valutare (se non già fatto) la posizione della Tools for Humanity Corporation e della sua filiale tedesca Tools for Humanity Gmbh, le quali, pur dichiarando di non trattare dati biometrici, parrebbero essere funzionali al progetto.