Il Garante privacy ha irrogato una sanzione amministrativa del valore di 20 milioni di euro alla Clearview AI, società degli Stati Uniti che opera nel settore IT mediante la fornitura di software di riconoscimento facciale.

La società era già conosciuta da diversi paesi europei per il monitoraggio su larga scala di dati personali di cittadini, in particolare biometrici, realizzato mediante i propri sistemi informatici.

Il provvedimento è stato emesso all’esito di una procedura avviata dall’Autorità Garante a seguito di alcune segnalazioni pervenutele nel corso del 2021 in cui venivano lamentati evidenti criticità nei trattamenti dei dati personali da parte della società americana, realizzati in particolare senza aver acquisito il consenso degli interessati.

Nello specifico, i segnalanti riferivano che la società disponesse nei propri database di diverse immagini degli istanti indicizzate tramite appositi Url.

Secondo quanto accertato nel corso dell’istruttoria, infatti, l’operatore dispone di un motore di ricerca per il riconoscimento facciale (facial recognition search engine) che permette la ricerca di immagini provenienti da fonti esterne (social network, siti web o video presenti sulla rete (Youtube) e raccolte all’interno di un proprio database.

“Le immagini così raccolte vengono elaborate con tecniche biometriche al fine di estrarre le caratteristiche identificative di ognuna” in modo da consentirne, mediante l’associazione di metadati (quali ad es., il titolo dell’immagine o della pagina web, il link della fonte, la geolocalizzazione, il genere, la data di nascita, la nazionalità, la lingua), il reperimento nelle successive ricerche.

Il database, dal canto suo, mantiene al proprio interno l’immagine raccolta anche dopo la relativa rimozione dal web.

Ne deriva che “Clearview […] non raccoglie solamente immagini per renderle accessibili ai propri clienti, ma tratta le immagini raccolte mediante web scraping, attraverso un algoritmo proprietario di matching facciale, al fine di fornire un servizio di ricerca biometrica altamente qualificata”.

Alle accuse rivoltele, la società statunitense si è difesa affermando di aver disattivato i pochi account di prova creati per alcuni utenti europei sul finire del 2019 e che, pertanto, attualmente non eroga alcun servizio a clienti stabiliti nell’UE. 

Ciò, peraltro, è assicurato da una precisa impostazione della propria piattaforma che impedisce l’accesso al software tramite indirizzi IP europei.

La conseguenza – a detta della stessa Clearview – è quella di non essere sottoposta all’ambito di applicazione del GDPR. 

Di diverso avviso è, tuttavia, apparso il Garante privacy nel provvedimento in commento in cui si afferma come sia emerso chiaramente che la Società operi un trattamento di dati personali di cittadini italiani o individui comunque situati nel territorio dello Stato, circostanza confermata peraltro dai riscontri forniti daClearview ai reclamanti ai quali sono stati persino indicati gli Url con cui sono state indicizzate le relative immagini.

Non solo, ma l’intenzione da parte della società americana di rivolgersi al mercato europeo emerge anche dai termini della Informativa Privacy, prima che venisse modificata nel Marzo 2021. 

Questa, invero, nella sua forma originaria, conteneva una serie di indicatori, tra cui – ad esempio – la base giuridica del trattamento, in linea con quanto previsto dall’art. 6 del GDPR, dai quali era possibile confermare un simile intento.

Ebbene, secondo l’Autorità italiana gli esiti dell’attività istruttoria condotta “ hanno rivelato che i dati personali detenuti dalla società, inclusi quelli biometrici e di geolocalizzazione, sono trattati illecitamente e senza un’adeguata base giuridica”. 

Nello specifico, Clearview, non avrebbe rispettato i principi fondamentali che devono oggi sorreggere i trattamenti dei dati personali alla luce del GDPR quali:

1. Quello di di trasparenza, per non aver informato in maniera adeguata gli utenti;
2. Quello di limitazione delle finalità di trattamento, per l’utilizzo di dati degli utenti per scopi diversi rispetto a quelli per cui erano stati messi in rete;
3. Infine, quello di limitazione della conservazione, per non aver fissato limiti di tempo per la conservazione dei dati.

La conseguenza è che “L’attività di Clearview AI si pone in violazione delle libertà degli interessati, tra cui la tutela della riservatezza e il diritto a non essere discriminati”, il che ha giustificato l’epilogo dell’istruttoria conclusasi con l’ingiunzione alla cancellazione di tutti i dati di cittadini italiani raccolti fino al momento della sua emissione e l’applicazione della sanzione massima possibile di 20 milioni di euro.

Leggi qui il provvedimento del Garante