Il Garante italiano per la Privacy ha sanzionato per 20 milioni di euro la società newyorkese Clearview A.I., guidata dall’australiano Hoan Ton That e divenuta molto famosa dopo le inchieste che hanno svelato la fornitura dei suoi servizi a dipartimenti di polizia Usa, agenzie federali, aziende ed enti pubblici di tutto il mondo.
Da una recente intervista, rilasciata a Wired del Ceo dell’azienda, si apprende che Clearview disporrebbe di un database con oltre 10 miliardi di foto raccolte online, grazie al quale ha potuto sviluppare un’intelligenza artificiale capace di riconoscere persino i volti delle persona parzialmente coperti o ripresi in modo sfocato.
Molte di queste immagini sono state attinte dai social network a cui sono iscritti numerosissimi cittadini italiani e, per questo, l’Autorità Garante per la Protezione dei Dati Personali ha aperto un’inchiesta, culminata il 9 marzo 2022 con la pesante sanzione pecuniaria ed il divieto assoluto di uso dei dati biometrici illecitamente raccolti in Italia.
Riportiamo di seguito il comunicato del sito web ufficiale del Garante, che illustra nel dettaglio la vicenda.
Il Garante per la protezione dei dati personali ha imposto una sanzione di 20 milioni di euro alla società americana Clearview A.I., per aver messo in atto un vero e proprio monitoraggio biometrico anche di persone che si trovano nel territorio italiano.
La Società – che dichiara di possedere un database di oltre 10 miliardi di immagini di volti di persone di tutto il mondo, estratte da fonti web pubbliche tramite web scraping (come siti di informazione, social media e video online) – offre un servizio di ricerca altamente qualificata che, grazie a sistemi di intelligenza artificiale, consente la creazione di profili basati sui dati biometrici estratti dalle immagini, eventualmente arricchiti da altre informazioni ad esse correlate, come titolo e geolocalizzazione della foto, pagina web di pubblicazione.
Dall’istruttoria del Garante, attivata anche a seguito di reclami e segnalazioni, è emerso che Clearview A.I., diversamente da quanto affermato dalla società, consente il tracciamento anche di cittadini italiani e di persone collocate in Italia. Le risultanze hanno rivelato che i dati personali detenuti dalla società, inclusi quelli biometrici e di geolocalizzazione, sono trattati illecitamente, senza un’adeguata base giuridica, che non può sicuramente essere il legittimo interesse della società americana. La società ha, inoltre, violato altri principi base del GDPR, come quelli relativi agli obblighi di trasparenza, non avendo adeguatamente informato gli utenti, di limitazione delle finalità del trattamento, avendo utilizzato i dati degli utenti per scopi diversi rispetto a quelli per i quali erano stati pubblicati online e di limitazione della conservazione, non avendo stabilito tempi di conservazione dei dati. L’attività di Clearview A.I., pertanto, si pone in violazione delle libertà degli interessati, tra cui la tutela della riservatezza e il diritto a non essere discriminati.
Alla luce delle violazioni riscontrate, il Garante ha comminato a Clearview A.I. una sanzione amministrativa di 20 milioni di euro. L’Autorità ha, inoltre, ordinato alla società di cancellare i dati relativi a persone che si trovano in Italia e ne ha vietato l’ulteriore raccolta e trattamento attraverso il suo sistema di riconoscimento facciale.
Il Garante ha infine imposto a Clearview A.I. di designare un rappresentante nel territorio dell’Unione europea che funga da interlocutore, in aggiunta o in sostituzione del titolare del trattamento dei dati con sede negli Stati Uniti, al fine di agevolare l’esercizio dei diritti degli interessati.