L’Autorità per la Protezione dei Dati olandese (Autorità privacy olandese) ha imposto una sanzione di 30,5 milioni di euro a Clearview AI per diverse violazioni del GDPR.
Questa decisione è in linea con azioni simili intraprese da altre autorità europee per la protezione dei dati, tra cui il Garante privacy italiano.
Contesto
Clearview AI è un’azienda che fornisce servizi di riconoscimento facciale, principalmente a enti di intelligence e agenzie investigative. L’azienda gestisce un vasto database contenente oltre 30 miliardi di immagini facciali, acquisite attraverso lo scraping di contenuti pubblicamente disponibili su internet. Queste immagini vengono poi elaborate in codici biometrici univoci senza la conoscenza o il consenso delle persone ritratte.
Violazioni
L’indagine condotta dall’Autorità privacy olandese ha rivelato diverse significative violazioni della normativa privacy:
- Interesse legittimo: Clearview AI ha sostenuto di trattare i dati personali in base a un interesse legittimo. Tuttavia, l’Autorità privacy olandese ha rilevato che Clearview AI non ha giustificato adeguatamente l’interesse legittimo protetto dalla legge il quale non risultava nemmeno specifico. Inoltre, l’Autorità olandese ha concluso che il trattamento dei dati da parte di Clearview non rispettava il principio di necessarietà e che i diritti e gli interessi fondamentali degli interessati prevalevano sugli interessi commerciali di Clearview.
- Trattamento di dati biometrici: l’Autorità privacy olandese ha rilevato che Clearview AI stava trattando dati biometrici di individui situati nei Paesi Bassi senza una valida base giuridica ai sensi dell’articolo 9 comma 2 del GDPR. L’unica possibile eccezione applicabile prevista dall’articolo 9 riguarderebbe i dati resi manifestamente pubblici dall’interessato. Tuttavia, secondo l’Autorità privacy olandese, il semplice fatto che i dati siano reperibili online non implica che gli individui intendessero rendere pubblicamente accessibili tutti i loro dati, né che abbiano fornito un consenso chiaro e esplicito.
- Trasparenza: Clearview AI è stata ritenuta carente nel fornire informazioni chiare e complete agli interessati riguardo al trattamento dei loro dati personali. Questo include la mancata comunicazione della base giuridica per il trattamento, i periodi di conservazione e le categorie di destinatari dei dati. L’Autorità olandese ha evidenziato che i soggetti dei dati non erano stati adeguatamente informati su come le loro foto (inclusi i metadati) potessero essere utilizzate a fini di riconoscimento facciale. Il ricorso di Clearview a un’informativa sulla privacy sul loro sito web è stato considerato insufficiente, in quanto non notificava attivamente agli individui la raccolta e l’uso dei loro dati.
Infine, l’indagine ha anche rivelato che Clearview AI non ha facilitato i diritti dei soggetti dei dati di accedere ai propri dati personali e non ha designato un rappresentante all’interno dell’UE.
L’Autorità olandese ha inoltre emesso un avvertimento contro l’uso dei servizi di Clearview AI, affermando che tale uso è proibito. L’Autorità ha osservato che Clearview AI non ha cessato le sue pratiche illecite nemmeno dopo l’inizio dell’indagine. Se Clearview continuerà a violare le normative sulla protezione dei dati, potrebbe incorrere in ulteriori sanzioni fino a 5,1 milioni di euro.
Conclusioni
Questa decisione dell’Autorità privacy olandese è in linea con le azioni intraprese da altre autorità europee. Sentenze simili sono state emesse dal Garante italiano, dall’Autorità francese per la protezione dei dati, dall’ICO e dall’Autorità ellenica per la protezione dei dati. Ciò riflette una tendenza più ampia tra le Autorità europee a esaminare attentamente i servizi che coinvolgono l’IA e la loro conformità agli standard del GDPR. C’è una crescente attenzione a garantire che tali servizi aderiscano ai principi chiave del GDPR, in particolare riguardo alla trasparenza, alla base legale per il trattamento, alle pratiche di conservazione dei dati e alla minimizzazione dei dati.
Su un argomento simile può essere di interesse l’articolo “Il Garante Privacy sanziona Clearview AI per 20 milioni di euro per monitoraggio biometrico sul territorio italiano“.
