Il riconoscimento facciale di Clearview AI viola la privacy. Multa del Garante.
Dati biometrici e geolocalizzazione
É da ricondursi principalmente a questi due elementi, il motivo della decisione dell’autorità di infliggere la sanzione di 20 milioni di euro al colosso americano. Dati, secondo il garante, trattati in modo non lecito e che violano alcuni punti del GDPR. Nero su bianco, nel comunicato del Garante si legge che l’azienda
ha messo in atto un vero e proprio monitoraggio biometrico anche di persone che si trovano nel territorio italiano
Le violazioni, nel dettaglio
Clearview AI è una società impegnata nei servizi di ricerca con l’utilizzo dei sistemi di intelligenza artificiale. La società è in possesso, secondo le dichiarazioni del colosso stesso, di un database contenente oltre 10 miliardi di immagini di volti di persone. Un numero di dati enorme, che il Garante ha così commentato:
immagini di tutto il mondo, estratte da fonti web pubbliche tramite web scraping come siti di informazione, social media e video online
dati che grazie a sistemi di intelligenza artificiale, consentono la creazione di profili basati sui dati biometrici estratti dalle immagini, eventualmente arricchiti da altre informazioni ad esse correlate, come titolo e geolocalizzazione della foto, pagina web di pubblicazione.
I dati italiani
L’indagine del Garante ha anche fatto emergere una criticità essenziale. Molti dei dati raccolti sono di persone collocabili sul territorio italiano:
È emerso che Clearview AI, diversamente da quanto affermato dalla società, consente il tracciamento anche di cittadini italiani e di persone collocate in Italia. Le risultanze hanno rivelato che i dati personali detenuti dalla società, inclusi quelli biometrici e di geolocalizzazione, sono trattati illecitamente, senza un’adeguata base giuridica, che non può sicuramente essere il legittimo interesse della società americana
Si legge nel comunicato dell’autorità.
GDPR alla mano, altre violazioni
Il riconoscimento facciale di Clearview AI viola la privacy, oltre che per le violazioni suddette, anche per altre azioni illecite, evidenziate dal Garante. In particolare, tra i principi base del GDPR ai quale l’azienda non si è conformata, compare l’obbligo di trasparenza. Dai controlli è emerso infatti che l’utente non risultava adeguatamente informato sulle finalità del trattamento dei dati, dati utilizzati poi per scopi diversi rispetto a quelli per i quali erano stati pubblicati online. Dal comunicato del Garante emerge anche che l’informativa era poco chiara sui tempi di conservazione dei dati raccolti. L’informativa è risultata poco chiara anche per quanto riguarda l’adeguata informazione degli utenti sulle finalità del trattamento.
l’attività di Clearview AI si pone in violazione delle libertà degli interessati, tra cui la tutela della riservatezza e il diritto a non essere discriminati
ha inoltre aggiunto il Garante.
Clearview AI, non solo la sanzione
Oltre alla sanzione pecuniaria, Clearview dovrà eliminare i dati riguardanti soggetti che vivono sul territorio italiano. L’autorità ha anche vietato all’azienda di raccogliere altri i dati e di trattarli tramite il proprio sistema di riconoscimento facciale. Ultimo ma non ultimo aspetto della vicenda: il colosso dovrà incaricare un referente europeo che si occupi di fare da interlocutore.
La segnalazione che ha aperto – e chiuso – il caso
Una segnalazione articolata e verificata in ogni suo punto dal Garante, che ha confermato le infrazioni praticamente su tutto.
Ad aprire la strada all’indagine del Garante è stata Privacy Network, organizzazione impegnata attivamente sul fronte dei rapporti istituzionali, della ricerca interna, e con una forte presenza legale per intervenire in caso di violazioni di legge e tutelare i diritti delle persone.
Ecco nel dettaglio la richiesta di intervento che nel Febbraio 2021 inviò al Garante – consultabile anche a questo link
- Crediamo che le modalità di acquisizione di dati di Clearview AI siano una forma di sorveglianza elettronica massiva ed invasiva, in violazione dei principi fondamentali dei cittadini europei e della normativa europea per la protezione dei dati (GDPR)
- La software house ha raccolto, e continua a raccogliere, fotografie dal web all’insaputa delle persone raffigurate, per poi elaborare dati biometrici con l’esplicito scopo di renderli accessibili alle forze dell’ordine.
- Questi dati sono acquisiti, elaborati e conservati in assenza di adeguate condizioni di liceità, come previsto dagli articoli 6 e 9 del GDPR, ed in assenza di qualsiasi trasparenza in merito al trattamento effettuato
In particolare, è evidente che:
- I dati biometrici elaborati attraverso le immagini acquisite da Clearview AI sono trattati in assenza di consenso del soggetto interessato, e quindi in violazione dell’articolo 9 GDPR, non potendo ragionevolmente sussistere nessun altra condizione di liceità tra quelle previste dallo stesso.
- Il trattamento massivo di dati fatto da Clearview AI è sconosciuto alla maggior parte dei soggetti interessati, che non avendo alcuna informazione in merito al trattamento dei loro dati (biometrici e non) ne perdono completamente il controllo.
- Le poche informazioni fornite da Clearview AI sono incomplete e fuorvianti (4). Sul sito si afferma infatti che “Clearview does not maintain any sort of information other than publicly available photos”. L’affermazione tende a minimizzare ampiamente il trattamento di dati, perché non fa menzione dei dati biometrici, così come dei metadati (descrizioni, tag, ecc.) che accompagnano il dataset (5).
- Nell’ambito di una istanza di accesso ai dati che abbiamo effettuato, è stato richiesto al soggetto interessato, obbligatoriamente, un documento d’identità. Questa prassi dovrebbe essere giustificata da specifiche e comprovate esigenze, e non certo adottata a livello generale, soprattutto considerando la natura del trattamento. Non è chiaro il motivo per cui l’azienda richieda un documento d’identità, posto che in questo caso il documento non influisce sulle capacità di riconoscimento del soggetto interessato.