L’app Lensa crea tante versioni “creative” delle nostro foto con i nostri volti. Un fenomeno interessante, ma che mostra diversi problemi. Di privacy e di discriminazione verso le minoranze. Per ora almeno riusciamo a coglierle, ma chissà per quanto allora. La popolarità cieca dell’app non è un bel segnale.
Se il 2021 è stato l’anno della ascesa e declino di Clubhouse, sicuramente il 2023 è l’anno di Lensa, una app non diversa dalle varie “FaceApp” se non per un elemento in più: l’intelligenza artificiale qui non si limita a invecchiare o ringiovanire ma crea vere e proprie opere ex novo partendo da foto dell’utente.
Lensa, un po’ come Dall-E2, conferma che il 2022 è stato l’anno in cui le più avanzate tecnologie di AI (algoritmi generativi) sono uscite dai laboratori per entrare nella cultura dei massa, attraverso i social.
Come funziona?
L’app chiede di inserire una decina di foto dell’utente.
Queste foto, di fatto, creano una sorta di mini training per la macchina che così riesce ad interpretare angolazioni, espressioni e movimenti dell’utente, restituendone una versione, ad esempio, medioevale, spaziale e simili.
Costo: 29,99 euro l’anno.
Tutto molto interessante se non fosse per l’aspetto privacy che, come per i citati esempi di Clubhouse e FaceApp, sta destando non poche perplessità.
Per capire meglio cosa accade con i dati dell’utente ho così deciso di analizzare nel dettaglio la privacy policy ed ho trovato alcuni interessanti elementi.
La privacy policy di Lensa
In primo luogo l’utente, come dicevamo, inserisce una serie di proprie immagini. Come vengono trattate? Secondo la privacy policy queste immagini vengono trattate in modo separato rispetto ai dati dell’utente; parlano di anonimizzazione, ma lo fanno in senso atecnico dovendosi invece parlare di una sorta di deindicizzazione e di dissociazione dei dati in quanto l’immagine, di per sé, è già un dato personale.
Secondo l’informativa, Lensa, non avrebbe accesso alle foto originali ma solo ad alcune informazioni riguardanti le informazioni tecniche della foto (posizione dei volti, orientamento, loro topologia sulla tua immagine e/o frame video). Non si capisce bene cosa intenda Lensa in tal senso, possiamo però interpretare queste frasi alla luce di quanto affermato nei passaggi successivi dell’informativa dove si afferma:
“Raccogliamo e conserviamo i tuoi dati facciali per la funzione di elaborazione online”.
Come coglierà un occhio attento, si parla di dati facciali e non di foto. Quindi è legittimo pensare che, una volta inserite le foto queste siano sottoposte a scan biometrico al fine di individuarne i reticolati e che solo questi reticolati (“solo”) siano poi processati da Lensa.
Cosa fa Lensa con questi dati biometrici
“Condividiamo e trasferiamo inoltre i dati facciali dai dispositivi dell’Utente ai nostri fornitori di servizi cloud (Google Cloud Platform e Amazon Web Services) per lo stesso scopo, nel qual caso le foto: (i) diventano disponibili per noi in modo anonimo (otteniamo informazioni sulla tua posa, orientamento e topologia sulla tua immagine e/o fotogramma video) e (ii) vengono automaticamente cancellate entro 24 ore dall’elaborazione da parte di Lensa. In caso di utilizzo della funzione Magic Avatar, le foto vengono automaticamente eliminate dopo la generazione dei risultati AI.
Non utilizziamo i Dati del viso che ci fornisci quando usi Lensa per nessun motivo diverso dall’applicazione di diversi filtri o effetti stilizzati, a meno che tu non ci abbia dato il tuo esplicito consenso a utilizzare le foto o i video per uno scopo diverso.”
In particolare, Lensa dichiara di non effettuare una serie di trattamenti:
- Utilizzare i Dati facciali per identificare ogni singolo Utente.
- Utilizzare i Dati facciali per scopi di autenticazione, pubblicità o marketing
- Utilizzare i Dati facciali per creare un profilo utente o altrimenti tentare, facilitare o incoraggiare terze parti a identificare Utenti anonimi o ricostruire i profili utente sulla base dei Dati facciali.
Tutto ciò ad un primo sguardo dovrebbe incoraggiare, ma ci sono dei passaggi che necessitano di essere approfonditi. Perché, se è vero che Lensa non farà trattamenti particolarmente invasivi con i dati facciali o con le foto originarie, leggendo i Termini e Condizioni è evidente che Lensa si riservi grossi poteri con riferimento alle immagini elaborate dalla AI.
Il problema principale di Lensa
Al paragrafo 5 dei Terms e Conditions leggiamo:
“Esclusivamente allo scopo di gestire o migliorare Lensa, ci concedi una licenza perpetua, irrevocabile, non esclusiva, esente da royalty, mondiale, interamente pagata, trasferibile, sub-licenziabile per utilizzare, riprodurre, modificare, distribuire, creare opere derivate dei Contenuti dell’utente, senza alcun compenso aggiuntivo per te e sempre soggetto al tuo consenso esplicito aggiuntivo per tale uso ove richiesto dalla legge applicabile e come indicato nella nostra Informativa sulla privacy (la “Licenza aziendale”).
[…] La Licenza aziendale termina quando elimini il Contenuto dell’utente dalla libreria di Lensa o chiudendo il tuo account.
Pubblicando i Contenuti dell’utente pubblicamente, taggando Lensa sui social media (tramite menzione diretta o tramite un hashtag), l’utente concede alla Società un diritto mondiale, non esclusivo, esente da royalty, sublicenziabile, revocabile e trasferibile licenza di utilizzare quel Contenuto dell’utente, e in particolare di riprodurre, distribuire, modificare, creare opere derivate, visualizzare pubblicamente ed eseguire pubblicamente o utilizzare in altro modo quel Contenuto dell’utente o qualsiasi sua parte, allo scopo di promuovere e pubblicizzare Lensa e i servizi della Società ( “licenza di commercializzazione”). Puoi revocare questa licenza di marketing in qualsiasi momento contattandoci all’indirizzo [contact@lensa-ai.com]”
In sostanza, Lensa si riserva poteri molto ampi sul c.d. Contenuto ovvero sull’opera derivata vantando peraltro, condivisibilmente, tutta una serie di diritti d’autore sul risultato finale dell’opera creata dall’algoritmo; opera che però non può prescindere dalla corretta gestione quantomeno del diritto all’immagine del soggetto ritratto. Anche per questo, come visto, Lensa si dichiara disposta a domandare il consenso ove necessario. Se lo farà davvero non possiamo saperlo ma dobbiamo comunque sperarlo.
Le grandi criticità nascono ancora una volta (come già capitato pochi gorni fa per Clubhouse) con riferimento alle basi giuridiche.
In particolare Lensa dichiara di fondare sul legittimo interesse i seguenti trattamenti:
“To monitor metrics such as total number of Users, traffic, and demographic patterns (including via Service Providers as specified in Section 7). It is our legitimate interest to make analytics of our audience as it helps us understand our business metrics and improve our product.
To provide, improve, test, and monitor the effectiveness of Lensa. It is our legitimate interest to make analytics of our audience as it helps us understand our business metrics.
To train our neural network algorithms. We use your photos and videos to train our algorithms to perform better and show you better results. We have a legitimate interest to do so, and we do our best to minimise the data that we receive and not to override the rights and freedoms of the users in this regard”.
L’equivoco del legittimo interesse
Come abbiamo imparato dalla decisione relativa al caso di Clubhouse (ma anche prima di essa), il legittimo interesse non è la base giuridica corretta per tali trattamenti di dati. Non è corretto per fare analisi dei dati (analytics), non è corretto per i trattamenti che comportano i training della macchina.
Su questo, Lensa dovrà sicuramente cambiare direzione in brevissimo tempo, come del resto dovrà fare con riferimento al trasferimento dati, pacificamente effettuato a favore di server negli Sati Uniti, senza che alcuna misura ulteriore sia specificata in modo particolare all’utente.
Certo, si afferma che Lensa ha provveduto ad effettuare le valutazioni di impatto necessarie, ma nulla si specifica nel dettaglio, lasciando comunque qualche dubbio in capo all’utente che non può che fidarsi.
In conclusione, non si possono non riconoscere una serie di sforzi fatti quantomeno per rassicurare gli utenti in merito al corretto trattamento dei dati, anche se, in tutta onestà, sul versante delle basi giuridiche è da ritenere che Lensa debba operare una serie di attività correttive non procrastinabili, risolvendo altresì i problemi derivanti dal trasferimento di dati in USA.
Solo così potrà guadagnarsi la fiducia di chi ancora oggi guarda (a ragione o torto) con sospetto il trattamento di dati effettuati da simili applicativi.
Altro lavoro andrà fatto per correggere le discriminazioni implicite nell’app. Alcuni – come Microsoft e Meta – hanno ritirato chatbot razzisti e offensivi, che riflettevano le storture etiche e sociali dei loro dati.
Chissà se Lensa mostrerà la stessa maturità.
