Dati biometrici e di geolocalizzazione trattati in modo illecito, senza adeguata base giuridica, in violazione del GDPR. Sono i motivi per cui il Garante privacy ha sanzionato per 20 milioni di euro la società americana Clearview AI, la quale si ritiene abbia “messo in atto un vero e proprio monitoraggio biometrico anche di persone che si trovano nel territorio italiano”, spiegano dall’autorità.
Indice degli argomenti
Il commento di Guido Scorza
Caso Clearview AI, le violazioni contestate
La società avrebbe dichiarato il possesso di un database di oltre 10 miliardi di immagini di volti di persone “di tutto il mondo, estratte da fonti web pubbliche tramite web scraping come siti di informazione, social media e video online”, spiegano dal garante privacy. Il servizio di ricerca dell’azienda, “grazie a sistemi di intelligenza artificiale, consente la creazione di profili basati sui dati biometrici estratti dalle immagini, eventualmente arricchiti da altre informazioni ad esse correlate, come titolo e geolocalizzazione della foto, pagina web di pubblicazione”.
Ciò, da quanto rilevato dall’indagine del Garante privacy, coinvolge anche persone che si trovano in Italia, cittadini italiani e non: “È emerso che Clearview AI, diversamente da quanto affermato dalla società, consente il tracciamento anche di cittadini italiani e di persone collocate in Italia. Le risultanze hanno rivelato che i dati personali detenuti dalla società, inclusi quelli biometrici e di geolocalizzazione, sono trattati illecitamente, senza un’adeguata base giuridica, che non può sicuramente essere il legittimo interesse della società americana”.
Le violazioni al GDPR
Non solo. La società per il Garante privacy avrebbe violato altri principi base del GDPR, “come quelli relativi agli obblighi di trasparenza, non avendo adeguatamente informato gli utenti, di limitazione delle finalità del trattamento, avendo utilizzato i dati degli utenti per scopi diversi rispetto a quelli per i quali erano stati pubblicati online e di limitazione della conservazione, non avendo stabilito tempi di conservazione dei dati”. Ne consegue che “l’attività di Clearview AI si pone in violazione delle libertà degli interessati, tra cui la tutela della riservatezza e il diritto a non essere discriminati”, aggiungono dal Garante privacy.
Clearview AI, la sanzione del Garante privacy
Considerando questa situazione, il Garante ha sanzionato Clearview AI per 20 milioni di euro, ordinando alla società di eliminare i dati che riguardano soggetti stanziati in Italia. L’autorità ha anche vietato all’azienda di raccogliere ulteriormente i dati e di trattarli tramite il proprio sistema di riconoscimento facciale.
Ora Clearview AI dovrà incaricare un referente in Unione Europea che abbia il ruolo di interlocutore, per rendere più semplice agli interessati esercitare i propri diritti.
Privacy network: provvedimento importante
“Noi di Privacy Network siamo soddisfatti di questa decisione presa dal Garante a seguito di nostra segnalazione in quanto sarà un importante spartiacque su almeno due questioni importanti”, dice l’avvocato Diego Di Malta.
“Si tratta di un provvedimento importante in quanto decreta una volta per tutte l’illegittimità della pratica nota come “web scraping” ovvero la raccolta massiva di dati (e metadati) pubblicati in rete al fine di utilizzarli per scopi propri diversi da quello per cui sono stati pubblicati. Si tratta di una pratica che fino ad oggi si collocava in una zona grigia e che invece, da ora, sarà ufficialmente illegale”.
“Si consideri a tal riguardo che ad oggi il database di Clearview comprende circa 10 miliardi di immagini e di relativi metadati tutti raccolti in modo illegittimo. L’obiettivo di Clearview era di arrivare a 100 miliardi di immagini ma, anche grazie a questo provvedimento, immaginiamo che questa attività non riguarderà più gli utenti europei”.
“Non solo, se ce ne fosse bisogno, il Garante ha ribadito che per avere giurisdizione europea non è necessario che il servizio sia a favore di clienti europei, essendo sufficiente che i dati utilizzati per tale servizio siano di persone europee. Clearview difatti si difende dicendo di non avere clienti in EU, ma giustamente il Garante fa notare che -come dimostrato da un accesso agli atti del co-founder di Privacy Network Matteo Navacci- nel database di Clearview ci sono anche dati personali, poi sottoposti a scansione biometrica, di persone europee, motivo per cui il GDPR risulta pienamente applicabile”.
“Trattandosi quindi di una fattispecie soggetta all’ordinamento europeo, non avendo Clearview alcuna base giuridica per il trattamento e non avendo ella fornito le adeguate informative, è da ritenersi quantomeno naturale la sanzione”.