Il Garante per la protezione dei dati personali ha sanzionato per 20 milioni di euro la società americana Clearview AI, per aver effettato un monitoraggio biometrico di persone che si trovavano nel territorio italiano attraverso un algoritmo proprietario di matching facciale.
La Società – che dichiara di possedere un database di oltre 10 miliardi di immagini di volti di persone di tutto il mondo, estratte da fonti web pubbliche tramite web scraping (come siti di informazione, social media e video online) – offre un servizio di ricerca che, grazie a sistemi di intelligenza artificiale, consente la creazione di profili basati sui dati biometrici estratti dalle immagini, eventualmente arricchiti da altre informazioni ad esse correlate (metadati), come titolo e geolocalizzazione della foto, pagina web di pubblicazione.
In propria difesa, Clearview AI sosteneva che la società fornirebbe solo uno strumento (tool), ma è il cliente della società a decidere di usare il motore di ricerca per la ricerca delle immagini, caricando una immagine per ottenere i risultati ad essa corrispondenti, quindi è il cliente che decide cosa fare con gli esiti della ricerca (rendendolo nei fatti il Titolare del trattamento).
Dall’istruttoria del Garante è emerso che Clearview AI, diversamente da quanto affermato dalla società, consente il tracciamento anche di cittadini italiani e di persone collocate in Italia. Le risultanze hanno rivelato che i dati personali detenuti dalla società, inclusi quelli biometrici e di geolocalizzazione, sono trattati illecitamente, senza un’adeguata base giuridica, non riconducibile ad un legittimo interesse della società.
Clearview AI ha anche violato altri principi base del GDPR, come quelli relativi agli obblighi di trasparenza (non avendo adeguatamente informato gli utenti), di limitazione delle finalità del trattamento (avendo utilizzato i dati degli utenti per scopi diversi rispetto a quelli per i quali erano stati pubblicati online) e di limitazione della conservazione (non avendo stabilito tempi di conservazione dei dati). Pertanto, l’attività di Clearview AI si è posta in violazione delle libertà degli interessati, tra cui la tutela della riservatezza e il diritto a non essere discriminati.
Oltre alla sanzione amministrativa, il Garante ha ordinato alla società di cancellare i dati relativi a persone che si trovano in Italia e ne ha vietato l’ulteriore raccolta e trattamento attraverso il suo sistema di riconoscimento facciale. Inoltre, è stato ordinato alla società di designare un rappresentante nel territorio dell’Unione europea che funga da interlocutore, in aggiunta o in sostituzione del titolare del trattamento dei dati con sede negli Stati Uniti, al fine di agevolare l’esercizio dei diritti degli interessati (la società avrebbe spontaneamente ottemperato alle richieste di accesso dei residenti europei, in quanto non riteneva che le proprie attività fossero nella giurisdizione del Regolamento europeo).
I dati raccolti con tecniche di web scraping e trattati dalla società erano di ingente quantità, inoltre, non essendo stati oggetto di alcun processo di verifica, molto probabilmente ritraevano anche soggetti minori di età. Il trattamento dei dati di minori di 14 anni e, più in generale, il trattamento con tecniche di monitoraggio biometrico delle immagini rappresenta un trattamento di dati di categoria particolare ex art. 9 GDPR (dati biometrici intesi a identificare in modo univoco una persona fisica).
Il trattamento di dati personali particolari è generalmente vietato, tuttavia, nel paragrafo 2 dell’art. 9 GDPR sono elencate le deroghe a questo divieto. In ogni caso, il trattamento di dati nell’ambito di queste deroghe deve avere adeguate misure di sicurezza, per garantire che i diritti degli interessati abbiano la maggior tutela possibile.
Clearview AI ha evidentemente mancato di considerare la propria attività commerciale come un trattamento di dati di categoria particolare su grande scala, sostenendo, all’interno della propria difesa, che il Regolamento europeo non potesse avere applicazione, dato che la società non offriva i propri prodotti nell’Unione Europea.