Dopo la condanna del CNIL francese, anche il Garante Privacy sanziona l’azienda americana per l’uso indiscriminato di dati biometrici e il monitoraggio degli individui che si trovano sul territorio italiano.
La società americana e il riconoscimento facciale
Clearview AI Inc. è una società americana che ha sviluppato una piattaforma di intelligence, basata sulla tecnologia di riconoscimento facciale, che fornisce ad aziende, forze dell’ordine e privati.
La piattaforma funge da motore di ricerca di immagini pubblicamente disponibili – la società dichiara di possederne più di 10 miliardi - per supportare i processi investigativi e di identificazione, fornendo un riconoscimento facciale estremamente accurato. Simile ad altri motori di ricerca, che estraggono (web scraping) e compilano dati disponibili pubblicamente da Internet, Clearview AI archivia tali immagini in un database proprietario da utilizzare in combinazione con la tecnologia di riconoscimento facciale. Le immagini così raccolte vengono elaborate con tecniche biometriche al fine di estrarre le caratteristiche identificative di ognuna di esse e, successivamente, trasformate in “rappresentazioni vettoriali”. Quando un utente della piattaforma Clearview AI carica un’immagine, la tecnologia proprietaria della società la elabora, grazie ad un meccanismo di intelligenza artificiale, e restituisce collegamenti a immagini pubblicamente disponibili che contengono volti simili alla persona raffigurata nell’immagine caricata.
Ogni immagine può essere arricchita con i metadati associati (ad esempio, il titolo dell’immagine o della pagina web, il link della fonte, la geolocalizzazione, il genere, la data di nascita, la nazionalità, la lingua) cosicché quando il software identifica una corrispondenza, estrae dal database tutte le relative immagini e le presenta al cliente del servizio come risultato della ricerca, unitamente ai metadati e ai link associati, permettendo così di risalire ad ogni singola pagina sorgente, anche se successivamente rimossa o resa privata.
La tecnologia sottesa al servizio, come sostiene l’azienda statunitense, è finalizzata a migliorare la sicurezza pubblica, riducendo i tempi delle indagini e coadiuvando le forze dell’ordine nell’identificazione dei criminali (compresi criminali violenti, pedofili e narcotrafficanti).
Il caso
Il procedimento in esame trae origine da una complessa attività istruttoria avviata d’ufficio dal Garante per la Protezione dei Dati Personali a seguito di notizie stampa che hanno rivelato l’esistenza di diverse problematiche relative ai prodotti di riconoscimento facciale della società Clearview AI Inc. Nel corso del 2021, inoltre, l’Ufficio del Garante ha ricevuto quattro reclami presentati nei confronti della società americana nei quali veniva segnalato che il trattamento dei dati dei reclamanti era avvenuto senza il loro consenso e che Clearview, per dare seguito alle istanze di accesso presentate, richiedeva di inviare copia di un documento di identità personale.
Preliminarmente, il provvedimento in esame ha accertato la sussistenza della giurisdizione eurounitaria – contestata invece dalla società – in quanto, ai sensi dell’art. 3, par. 2 del GDPR, si è riscontrato che la società effettua un trattamento di dati personali di soggetti che si trovano nell’Unione europea e, in particolare in Italia, come si evince dai riscontri che Clearview AI ha fornito ai reclamanti.
Le contestazioni mosse alla società statunitense riguardano nello specifico:
- la violazione dei principi di liceità, correttezza e trasparenza (art. 5, par.1, lett. a) GDPR) nei confronti degli interessati che non sono informati dell’attività svolta da Clearview AI, in quanto l’eventuale natura pubblica delle immagini non è sufficiente a far ritenere che gli interessati possano ragionevolmente attendersi un utilizzo per finalità di riconoscimento facciale, per giunta da parte di una piattaforma privata, non stabilita nell’Unione e della cui esistenza ed attività la maggior parte degli interessati è ignaro;
- la violazione del principio di limitazione della finalità (art. 5, par. 1, lett. b) GDPR) secondo il quale, solo per il fatto che le immagini siano pubbliche, ciò non ne legittima l’utilizzo senza idonea base giuridica (art. 6 GDPR), non ravvisandosi, nel caso di specie, la possibilità di fare ricorso - come invocato dalla società - al legittimo interesse che deve essere subordinato ai diritti e alle libertà degli interessati;
- la violazione del principio di limitazione della conservazione (art. 5, par. 1, lett. e) GDPR) in quanto non si evince – né sulla privacy policy sul sito web aziendale, né nei riscontri forniti dalla società – l’indicazione di alcun periodo di conservazione dei dati;
- il trattamento illecito di categorie particolari di dati, in violazione del generale divieto previsto dall’art. 9 del GDPR, in quanto l’attività svolta da Clearview AI non sembra riconducibile ad una mera classificazione di individui sulla base di caratteristiche note come l’età, il sesso e l’altezza, poiché viene effettuata un’attività ulteriore consistente nell’estrazione di dati biometrici dalle immagini raccolte nel web utilizzandole a fini comparativi per poi recuperare anche le informazioni ad esse associate;
- la violazione dei principi di trasparenza e modalità di comunicazione agli interessati (Artt. 12, 13, 14 e15 GDPR) in quanto le modalità rese disponibili dalla società per l’esercizio dei diritti non si sono rivelate né agevoli, né chiare, e non risultano essere stati rispettati i termini previsti dal GDPR per fornire riscontro agli interessati. Inoltre, Clearview AI, con lo scopo di evadere le istanze di accesso, ha chiesto agli interessati elementi identificativi, quali il documento di identità, che risultano eccedenti rispetto alla finalità perseguita posto che, unitamente ad esso, è stato altresì chiesto ai medesimi di produrre un’immagine alla quale comparare i dati presenti nell’archivio della società;
- la violazione dell’obbligo di designare un rappresentante nel territorio dell’Unione europea (art. 27 GDPR), in quanto Clearview tratta dati personali di interessati che si trovano nell’Unione e le sue attività di trattamento sono connesse alla prestazione di servizi ad utenti europei, nonché al controllo del comportamento di individui che si trovano nel territorio dell’Unione.
La sanzione del Garante
Alla luce delle violazioni riscontrate, il Garante ha comminato a Clearview AI una sanzione amministrativa di 20 milioni di euro. L’Autorità ha, inoltre, disposto il divieto di ulteriore raccolta, mediante tecniche di web scraping, e di trattamento, e ordinato la cancellazione dei dati, comuni e biometrici, elaborati dalla Società attraverso il suo sistema di riconoscimento facciale relativi a persone che si trovano nel territorio italiano e imposto, infine, a Clearview AI di designare un rappresentante nel territorio dell’Unione europea che funga da interlocutore, in aggiunta o in sostituzione del titolare del trattamento - con sede negli Stati Uniti - al fine di agevolare l’esercizio dei diritti degli interessati.
L’Ucraina ha libero accesso a Clearview AI
L’amministratore delegato della società americana, Hoan Ton-That, ha dichiarato recentemente che il 12 marzo il Ministero della Difesa ucraino ha iniziato ad utilizzare la tecnologia di riconoscimento facciale di Clearview AI, affermando inoltre di avere a disposizione più di 2 miliardi di immagini prelevate da VKontakte, l’equivalente russo di Facebook. Ton-Hat ha anche dichiarato che quel database può aiutare il popolo ucraino ad identificare i morti, abbinando le impronte digitali, senza quindi scansionare i tratti del viso, che potrebbe non essere più riconoscibile.
