Il Garante per la privacy italiano sanziona Clearview A.I.

Il Garante per la protezione dei dati personali (GPDP) italiano, accertata la violazione da parte di Clearview A.I. di diverse disposizioni del General Data Protection Regulation (GDPR) a causa degli invasivi metodi di web scraping utilizzati dalla stessa, impone alla Società diverse e rilavanti misure correttive e la condanna al pagamento di una somma pari a 20 milioni di euro.

 

 

 

Clearview A.I. (ne abbiamo già parlato qui, qui, qui, qui e qui) è effettivamente approdata anche in Italia (del tema ci siamo occupati qui) ed è stata sottoposta al vaglio del Garante per la protezione dei dati personali (GPDP). Il procedimento ha avuto origine d’ufficio a seguito di notizie stampa che hanno rivelato l’esistenza di diverse problematiche relative ai prodotti di riconoscimento facciale offerti dalla società statunitense Clearview A.I. ed è culminato nella ordinanza di ingiunzione n. 50 del 10 febbraio 2022.

Clearview, con diverse memorie difensive, ha sostenuto innanzitutto che – non operando in alcuno Stato membro dell’Unione Europea e non monitorando i comportamenti di interessati che si trovano in essa – non è sottoposto alla giurisdizione di nessuna Autorità europea.

La Società ha proseguito, inoltre, sottolineando che non esiste alcuna base giuridica che possa giustificare l’apertura di procedimenti amministrativi nei confronti di società non stabilite in Italia e che non fanno affari in Italia. A questo punto, e con specifico riferimento al General Data Protection Regulation (GDPR), ha ribadito la non applicabilità dell’art. 3, par. 2, lett. a) e b), che stabilisce i criteri per l’applicazione del GDPR alle società non stabilite nell’Unione europea: l’art. 3, par. 2, lett. a), non sarebbe applicabile perché Clearview non offre prodotti e servizi nell’Unione; l’art. 3, par. 2, lett. b), applicandosi ai «monitoraggi dei comportamenti» degli interessati nell’Unione – attività che Clearview non realizzerebbe, non effettuando operazioni di videosorveglianza, ma essendo costituita da un algoritmo che rende meramente accessibili le informazioni pubblicate in Internet – non si estenderebbe all’attività della Società.

Come è possibile leggere nella ordinanza, il GPDP ha ritenuto, invece, che l’attività di Clearview non sia limitata alla raccolta di «immagini per renderle accessibili ai propri clienti». Piuttosto la stessa «tratta le immagini raccolte mediante web scraping, attraverso un algoritmo proprietario di matching facciale, al fine di fornire un servizio di ricerca biometrica altamente qualificata».

Quanto alla base giuridica, il Garante ha rilevato che Clearview effettua un trattamento di dati personali di soggetti che si trovano nell’Unione europea – e anche in Italia – e ciò si evince dai «riscontri che la Società ha fornito ai reclamanti, da cui risulta pacificamente che sono state raccolte immagini degli stessi, che tali immagini sono state associate a metadati e sottoposte ad elaborazione biometrica». L’impiego di Clearview in Ue, inoltre, è confermato dal provvedimento adottato dall’Autorità di controllo svedese il 10 febbraio 2021 relativamente all’avvenuto utilizzo del sistema di riconoscimento facciale offerto da Clearview da parte di soggetti appartenenti alle forze dell’ordine nazionali. Il GPDP ha, inoltre, ritenuto applicabile il GDPR a Clearview, in quanto l’attività svolta dalla medesima non è riconducibile ad una mera classificazione di individui, consistendo piuttosto «nell’estrazione di dati biometrici dalle immagini raccolte nel web utilizzandole a fini comparativi per poi recuperare anche le informazioni ad esse associate».

Quanto alla competenza del GPDP, Clearview – società con sede negli Stati Uniti d’America – non ha stabilimenti nel territorio dell’Unione europea e dunque, sulla base di quanto previsto dall’art. 55, par. 1, GDPR, «ogni Autorità di controllo è compente ad eseguire i compiti assegnati e a esercitare i poteri ad essa conferiti a norma del […] regolamento nel territorio del rispettivo Stato membro».

Il Garante ha sostenuto, inoltre, che la raccolta di dati personali liberamente disponibili in Internet mediante tecniche di web scraping costituisce un trattamento di dati personali, nella specie della raccolta dei medesimi, di cui Clearview deve essere considerata titolare.

Clearview ha dunque violato, a parere del Garante, le seguenti disposizioni del GDPR:

  • l’ 5, par. 1 lett. a), b) ed e), (liceità, correttezza e trasparenza del trattamento, limitazione della finalità della raccolta e della conservazione dei dati), poiché raccoglie e conserva le immagini con i riferimenti, creando un database «stratificato ed alimentato in modo progressivo e costante, costituito da una serie di informazioni legate ad una certa immagine attraverso il tempo»;
  • l’ 6, in quanto la Società non rispetta alcuna delle condizioni poste a fondamento della liceità del trattamento;
  • l’ 9, risultando violato anche il divieto generale di trattamento di categorie particolari di dati (con riferimento ai dati biometrici);
  • gli 12, 13, 14 e 15, relativi ai diritti di informativa e di accesso dell’interessato, non rispettati dalla Società;
  • l’ 27, per non aver designato un rappresentante nel territorio dell’Unione pur operando nella stessa.

Il Garante ha imposto, inoltre, delle misure correttive:

  1. Divieto del trattamento, consistente nel: a) divieto di ulteriore raccolta tramite web scraping di immagini e relativi metadati concernenti persone che si trovano nel territorio italiano; b) divieto di ulteriore trattamento dei dati, comuni e biometrici, elaborati dalla Società di persone che si trovano nel territorio italiano.
  2. Obbligo di cancellazione dei dati raccolti;
  3. Obbligo di designazione di un rappresentante nel territorio italiano che funga da interlocutore;
  4. Ordine di pagare 20 milioni di euro a titolo di sanzione amministrativa pecuniaria per le suddette violazioni.

Il relatore, Guido Scorza, si è espresso sulla questione, riassumendo quelli che sono i principi salienti desumibili dalla stessa. Ha infatti sottolineato come non si possa «cedere al principio secondo il quale il fine giustificherebbe i mezzi e ciò che è tecnologicamente possibile debba considerarsi anche giuridicamente legittimo e democraticamente sostenibile. Non si può travolgere, come è avvenuto nella vicenda di Clearview A.I., il diritto alla privacy di miliardi di persone in tutto il mondo in nome di una semplice ambizione, lontana peraltro dal potersi considerare scientificamente provata, di assicurare alla giustizia un criminale in più».

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 4.0 Internazionale