Il 9 marzo 2022 il Garante Privacy ha annunciato tramite un comunicato stampa l’imposizione di una sanzione di 20 milioni di euro a Clearview AI per aver messo in atto un vero e proprio monitoraggio biometrico anche di persone che si trovano nel territorio italiano.

 

Noi di Didomi riteniamo che questa sanzione del Garante Privacy sia particolarmente significativa nel contesto dell’evoluzione delle normative sulla privacy: in questo breve articolo vi spieghiamo in maniera semplice provvedimenti e motivazioni dietro la sanzione a Clearview AI.

 

Sommario: 

 

 

Clearview AI : il riconoscimento facciale e il rapporto con la privacy

 

Clearview, fondata nel 2017 negli Stati Uniti, ha sviluppato un software di riconoscimento facciale che è destinato principalmente alle forze dell’ordine. Negli anni, l’azienda americana ha “pescato a strascico” (tramite web scraping) miliardi di immagini su Facebook, YouTube, Venmo e milioni di altri siti web per vendere il servizio alle forze dell'ordine americane che possono usarlo per identificare i colpevoli di reato. In sostanza: la polizia carica sulla piattaforma di Clearview AI la foto di qualcuno che non riesce a identificare e il software identifica il nome della persona, oltre a fornire altre immagini prese dal web ed eventuali contatti del suo network (tratti dai social a cui è iscritta).

 

Grazie a finissimi strumenti di intelligenza artificiale, Clearview AI ha creato miliardi di profili sulla base dei dati biometrici estratti dalle immagini, arricchendoli con ulteriori informazioni ad esse correlate (la geolocalizzazione, il titolo, la pagina web su cui la foto era stata condivisa). Inclusi i dati di cittadini italiani e di persone presenti sul territorio italiano.

 

Cosa sono i dati biometrici?

I dati biometrici sono definiti nel regolamento europeo (GDPR) all'art. 4, par. 1, n. 14 come: “dati personali ottenuti da un trattamento tecnico specifico, relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica e che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.

 

 

La sanzione del Garante Privacy : come ci siamo arrivati, il precedente della CNIL

 

La sanzione è il risultato di un’istruttoria che il Garante Privacy ha avviato in Febbraio 2021, in seguito a ripetute segnalazioni di violazione del GDPR (ossia il regolamento generale sulla protezione dei dati dell’UE).

 

Citando direttamente il provvedimento dal sito del Garante Privacy “Dall’istruttoria del Garante, attivata anche a seguito di reclami e segnalazioni, è emerso che Clearview AI, diversamente da quanto affermato dalla società, consente il tracciamento anche di cittadini italiani e di persone collocate in Italia.” 

 

I servizi forniti da Clearview AI sono stati spesso portati alla ribalta europea ed internazionale, in seguito a numerose contestazioni da parte di privati cittadini, organizzazioni per la tutela della privacy e autorità nazionali per la protezione dei dati personali.

 

Già a Dicembre 2021 la CNIL, il Garante per la privacy della Francia, aveva richiesto alla società di cancellare tutti i dati raccolti sui cittadini francesi. Secondo la CNIL, i servizi di Clearview AI comportano due evidenti violazioni di alcuni principi fondamentali del GDPR:

 

  • L’articolo 6 del GDPR sulla liceità del trattamento dei dati, in quanto i dati biometrici degli utenti vengono raccolti e usati senza il consenso dei soggetti interessati;

  • Gli articoli 12, 15 e 17, una serie di regole e parametri che stabiliscono i diritti di accesso ai dati, che non avviene in maniera adeguata e trasparente.

Nell’ultimo anno, l’utilizzo di Clearview è stato dichiarato illegale dalle autorità del Canada, dell’Australia, del Regno unito. Non solo: già nel febbraio 2021 il Garante della privacy di Amburgo ha espressamente imposto alla società americana di cancellare le informazioni di un cittadino tedesco acquisite a sua insaputa. Infine, il Centro Hermes, Homo Digitalis, noyb - the European Center for Digital Rights e Privacy International avevano già inviato una serie di segnalazioni contro Clearview AI.

 

La sentenza del Garante Privacy contro Clearview AI: i punti fondamentali

 

A seguito di un’analisi meticolosa delle segnalazioni sulla violazione della privacy e dei servizi della società americana, il 9 Marzo 2022 il Garante Privacy ha dunque sanzionato Clearview AI per 20 milioni di euro. L’istruttoria, che ha avuto come relatore l’avvocato Guido Scorza, ha infatti rilevato che Clearview AI, diversamente da quanto affermato, consente il tracciamento anche di cittadini italiani e di persone collocate in Italia. Il Garante sottolinea come non sussista alcuna base giuridica che possa giustificare il trattamento illecito di dati personali, inclusi quelli biometrici e di geolocalizzazione, e nega la possibilità per la società americana di appellarsi al legittimo interesse.

 

In effetti, fra i punti cardine della sanzione figura anche la ripetuta violazione di alcuni principi base del GDPR da parte di Clearview AI, fra cui l’obbligo trasversale di trasparenza verso gli utenti. Infatti, la società americana non ha mai chiesto il consenso delle persone per poter utilizzare i loro dati biometrici e non ha alcuna base legale per motivare la loro raccolta e il loro utilizzo per “legittimo interesse”.

 

Come il GDPR definisce il concetto di trasparenza

È il "considerando 39" del GDPR che fornisce una definizione del concetto di trasparenza: “Dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che li riguardano nonché la misura in cui i dati personali sono o saranno trattati. Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro.”

 

Non solo: fra i principi fondamentali del GDPR che hanno contribuito alla pronuncia del Garante Privacy contro Clearview AI rientrano anche quelli di limitazione delle finalità del trattamento, avendo utilizzato i dati degli utenti per scopi diversi rispetto a quelli per i quali erano stati condivisi sul web, e di limitazione della conservazione, non avendo stabilito tempi di conservazione dei dati.

L’utilizzo dei dati biometrici da parte di Clearview AI, conclude pertanto il Garante della privacy italiano, avviene in chiara violazione della libertà degli utenti, tra cui la tutela della riservatezza e il diritto a non essere discriminati.

 

Le conseguenze della sanzione del Garante Privacy

 

Il Garante Privacy, come abbiamo già menzionato, ha inoltrato una sanzione amministrativa del valore di 20 milioni di euro a Clearview AI. Ma non è finita qui: al fine di garantire e proteggere i diritti degli interessati, l’Autorità italiana per la protezione dei dati personali ha inoltre ordinato all’azienda americana di cancellare i dati relativi a persone che si trovano in Italia e ne ha vietato l’ulteriore raccolta e trattamento attraverso il suo sistema di riconoscimento facciale.

 

Il Garante ha infine imposto a Clearview AI di designare un rappresentante nel territorio dell’Unione europea che funga da interlocutore al fine di agevolare l’esercizio dei diritti degli interessati. Il fatto che l’istruttoria del Garante Privacy sia stata così articolata e prolungata nel tempo è, infatti, in gran parte dovuto alla mancanza di un rappresentante della società sul territorio europeo.

 

La difesa di Clearview è che i suoi test per la distribuzione del servizio nel mercato italiano si sono conclusi entro marzo 2020. La società americana sostiene di essere estranea all’ambito di applicazione del GDPR in quanto non distribuisce i suoi servizi in territorio europeo. Su segnalazione di altre autorità nazionali, l’azienda ha inoltre bloccato l’accesso di prova al suo software agli indirizzi IP europei. Infine, Clearview AI ha basato la sua difesa sulla differenza fra lo scraping di dati biometrici e il monitoraggio delle persone, sostenendo di non aver adottato analisi del comportamento o tecniche di profilazione.

 

Il Garante non ha però ritenuto valide queste obiezioni e ha condannato l’azienda alle azioni citate. Guido Scorza, membro del collegio del Garante Privacy, ha sottolineato come ancora una volta sia necessario ricordarsi che tutto cio’ che è tecnologicamente sostenibile non debba essere necessariamente considerato giuridicamente accettabile. Noi di Didomi, che abbiamo sviluppato una Piattaforma per la Gestione del Consenso in piena conformità con le normative nazionali ed europee, ci allineiamo con la posizione del Garante Privacy di condanna all’utilizzo dei dati biometrici dei privati cittadini senza il loro consenso o una base giuridica adeguata.

 

Per maggiori informazioni sulla conformità al Garante Privacy o su soluzioni di conformità, mettiti in contatto con il nostro team di esperti. In alternativa, visita il nostro sito su www.didomi.io/it

 

Parla con un esperto