Il Garante ha sanzionato 20 milioni di euro Clearview AI che effettuava attività di monitoraggio biometrico all’interno del territorio italiano mediante l’utilizzo di sistemi di intelligenza artificiale e ha dichiarato l’illiceità del relativo trattamento nonché la violazione dei principi fondamentali di cui al GDPR.Il Garante Privacy ha dichiarato l’illiceità del trattamento di dati personali effettuato da Clearview AI mediante l’utilizzo di sistemi di intelligenza artificiale, realizzando attività di monitoraggio biometrico all’interno del territorio italiano.
Pertanto, con il provvedimento del 10 febbraio 2022, il Garante ha rilevato la violazione degli artt. 5, par. 1, lett. a), b) ed e), 6, 9, 12, 13, 14, 15 e 27 del Regolamento UE 679/2016, il GDPR, e irrogato una sanzione pari a 20 milioni di euro.
Il procedimento di cui in oggetto ha avuto origine da una serie di reclami di interessati e segnalazioni da parte di due organizzazioni attive nella tutela della privacy e dei diritti fondamentali che sono pervenuti al Garante nel corso del 2021, oltre alla pubblicazione di notizie stampa che denunciavano l’esistenza di diverse problematiche relative ai prodotti di riconoscimento facciale della Società. In tale contesto, l’Autorità ha avviato d’ufficio una complessa attività istruttoria.
In relazione ai servizi di Clearview AI, la stessa è specializzata nell’offerta di un servizio di ricerca altamente qualificato che, grazie a sistemi di intelligenza artificiale, consente la creazione di profili basati sui dati biometrici estratti da immagini ed eventualmente arricchiti da altre informazioni ad esse correlate, quali titolo e geolocalizzazione della foto nonché pagina web di pubblicazione. L’effettuazione di tali attività da parte della società è resa possibile attraverso l’utilizzo di un database contenente oltre 10 miliardi di immagini di volti di persone di tutto il mondo, estratte da fonti web pubbliche – quali siti di informazione, social media e video online – tramite web scraping. In altre parole, la Società non si limita alla mera raccolta di immagini con il fine di renderle accessibili ai propri clienti, ma tratta tali immagini “arricchite” attraverso un algoritmo proprietario di matching facciale, con lo scopo di fornire un servizio di ricerca biometrica altamente qualificata. Tra l’altro, come reso noto dalla stessa Società all’interno del suo sito, il servizio gratuito offerto non è liberamente accessibile al pubblico, ma è destinato a determinate categorie di clienti (quali, ad esempio, forze dell’ordine).
Alla luce dei summenzionati profili, il Garante ha ritenuto che la piattaforma offerta dalla Società assumesse caratteri tali da poter realizzare attività di monitoraggio degli interessati. Infatti, la piattaforma non poteva intendersi, secondo il Garante, come un semplice motore di ricerca. Infatti, la piattaforma consente di realizzare un database di istantanee di immagini, elaborate con tecniche biometriche, sottoposte ad hashing e associate ai metadati eventualmente disponibili.
L’istruttoria del Garante ha rilevato una serie di gravi problematiche legate alle attività di trattamento effettuate mediante la Piattaforma, fra cui:
- il tracciamento anche di cittadini italiani e di persone collocate in Italia;
- l’assenza di base giuridica adeguata per il trattamento dei dati personali detenuti dalla società, inclusi quelli biometrici e di geolocalizzazione. La Società, infatti, faceva affidamento sul proprio legittimo interesse;
- la mancata informativa nei confronti degli utenti, in violazione degli obblighi di trasparenza:
- l’utilizzo dei dati degli utenti per scopi diversi rispetto a quelli per i quali erano stati pubblicati, contrariamente da quanto stabilito dal principio di limitazione delle finalità del trattamento;
- l’assenza di definizione dei tempi di retention, in contrasto con il principio di limitazione della conservazione.
Sebbene la società avesse sostenuto la non applicabilità del GDPR e quindi la carenza di giurisdizione del Garante, l’Autorità ha comunque imposto alla Società la summenzionata sanzione monetaria e previsto una serie di adempimenti ulteriori. Infatti, alla Società è stato:
- ordinato di cancellare i dati relativi a persone che si trovano in Italia;
- vietato l’ulteriore raccolta e trattamento attraverso il suo sistema di riconoscimento facciale;
- imposto di designare un rappresentante nel territorio dell’Unione europea che funga da interlocutore, in aggiunta o in sostituzione del titolare del trattamento dei dati con sede negli Stati Uniti, al fine di agevolare l’esercizio dei diritti degli interessati.
Il presente provvedimento è particolarmente interessante poiché conferma la sempre maggiore attenzione e sensibilità degli individui nei confronti dei propri diritti e libertà online, con particolare riferimento al trattamento dei dati personali e alle tematiche di monitoraggio e sorveglianza. In tale contesto, i cittadini stanno godendo di un crescente supporto e dalla moltiplicazione di associazioni di tutela specializzate nella tutela dei diritti nel “mondo” digitale. Ciò è reso possibile anche dall’esistenza di appositi meccanismi che consentono a chiunque di rivolgersi al Garante, mediante reclamo o segnalazione.
Sulle attività del Garante, potrebbe interessarvi l’articolo “Garante privacy: pubblicato il piano delle ispezioni per il primo semestre 2022”.
Autore: Giorgia Carneri
