IL GARANTE PRIVACY SANZIONA CLEARVIEW
A cura di Redazione Selefor CReFIS
Il Garante per la protezione dei dati personali, dopo una complessa istruttoria ha inflitto una sanzione di 20 milioni di euro alla Società statunitense Clearview AI Inc. fornitrice di servizi di riconoscimento facciale. Tali servizi consistono in un monitoraggio del comportamento di persone che si trovano nell’Unione europea compreso il territorio dello Stato membro italiano. Sotto questo aspetto, il controllo del comportamento si caratterizza per la raccolta di immagini, effettuata attraverso tecniche di web scraping, da social network, blog e, in genere, da siti web in cui sono presenti foto pubblicamente accessibili, ma anche video resi disponibili da social media (es., Youtube). Le immagini raccolte vengono elaborate da Clearview con tecniche biometriche al fine di estrarre le caratteristiche identificative trasformate in “rappresentazioni vettoriali” (modelli biometrici).
La Società – che possiede un database di oltre 10 miliardi di immagini di volti di persone di tutto il mondo, estratte da internet – offre pertanto un servizio che, avvalendosi di sistemi di intelligenza artificiale, consente la creazione di profili biometrici ricavati dalle immagini integrati da altre informazioni (metadati), come titolo e geolocalizzazione della foto, pagina web di pubblicazione.
Dall’istruttoria del Garante, attivata anche a seguito di reclami e segnalazioni, è emerso che l’attività di Clearview soddisfa entrambi i presupposti di applicabilità dell’art. 3.2 del GDPR (c.d. targeting) , e dunque l’applicazione del regolamento a trattamenti di dati personali di interessati che si trovano nell’UE, effettuati da un titolare del trattamento (o da un responsabile del trattamento) che non è stabilito nell’Unione (come nel caso di Clearview).
In relazione all’applicabilità dell’art. 3.2, ai sensi dell’art. 27 del GDPR la Società, nel ruolo di titolare del trattamento, avrebbe dovuto designare, mediante mandato scritto, un rappresentante nel territorio dell’Unione europea, incaricandolo come interlocutore, in aggiunta o in sostituzione di Clearview, in particolare delle autorità di controllo e degli interessati, per tutte le questioni riguardanti il trattamento.
Le risultanze istruttorie hanno altresì rivelato che i dati personali detenuti dalla società – dati comuni, biometrici e di geolocalizzazione – sono trattati in assenza di un’adeguata base giuridica che, alla luce delle caratteristiche del trattamento, del contesto in cui si svolge e della finalità (la libera iniziativa economica), va individuata nel consenso degli interessati, dovendosi escludere che il legittimo interesse della Società legato alla predetta finalità economica possa prevalere rispetto ai diritti e alle libertà degli interessati, in particolare al diritto alla riservatezza – messo in discussione da un trattamento particolarmente intrusivo nella sfera privata degli interessati – e al diritto alla non discriminazione insiti in un trattamento come quello effettuato da Clearview.
L’attività di Clearview AI, pertanto, si pone in violazione delle libertà degli interessati, tra cui la tutela della riservatezza e il diritto a non essere discriminati.
La società ha, inoltre, violato alcuni princìpi generali del GDPR, segnatamente i princìpi di liceità, correttezza e trasparenza (art. 5.1.a), GDPR), non avendo adeguatamente informato gli interessati, di limitazione delle finalità del trattamento (art. 5.1.b), GDPR), avendo utilizzato i dati degli interessati per scopi diversi rispetto a quelli per i quali erano stati pubblicati online (non ravvisandosi una “ragionevole aspettativa”, da parte degli interessati, di un utilizzo delle loro immagini per finalità di riconoscimento facciale, per giunta da parte di una piattaforma privata, non stabilita nell’Unione e della cui esistenza ed attività gli interessati sono ignari), e di limitazione della conservazione, non avendo stabilito i tempi di conservazione dei dati.
Alla luce delle violazioni riscontrate, il Garante ha comminato a Clearview AI una sanzione amministrativa di 20 milioni di euro. L’Autorità ha, inoltre, ordinato alla società di cancellare i dati relativi a persone che si trovano in Italia e ne ha vietato l’ulteriore raccolta e trattamento attraverso il suo sistema di riconoscimento facciale. Il Garante ha infine imposto a Clearview AI di designare un rappresentante nel territorio dell’Unione europea che possa svolgere le funzioni di interlocutore, al fine di agevolare l’esercizio dei diritti degli interessati.
Cfr. GARANTE PER LA PROTEZIONE DEI DATI PERSONALI, Provv. n. 50/2022, Ordinanza ingiunzione nei confronti di Clearview AI, in Registro dei provvedimenti, 10 febbraio 2022, https://www.garanteprivacy.it
Cfr. EDPB, Liee guida 3/2018 sull’ambito di applicazione territoriale del RGPD (articolo 3), 12 novembre 2019.
Per contenuti come questo e su tanti altri temi, Iscriviti alla nostra Newsletter!!
