L’agenzia italiana per la protezione dei dati ha sanzionato la controversa azienda di riconoscimento facciale
Il Garante italiano per la protezione dei dati personali (Gpdp), noto anche come Garante della privacy, il 9 marzo annuncia, una sanzione di 20 milioni di euro alla società Clearview AI per le violazioni del diritto comunitario.
Clearview AI, è un’azienda di riconoscimento facciale. Recupera i selfie da Internet per un database di circa 10 miliardi di volti. Inoltre alimenta un servizio di abbinamento di identità che viene poi rivenduto. Il Gpdp ha ordinato alla società di cancellare tutti i dati degli italiani che detiene, vietando qualsiasi ulteriore elaborazione dei dati biometrici facciali dei cittadini.
Le precedenti richieste europee
Già in novembre l’ICO, l’autorità per la protezione dei dati del Regno Unito, aveva avvertito Clearview di una possibile multa e aveva chiesto alla società di smettere di elaborare i dati.
In dicembre anche il garante della privacy francese, la CNIL, aveva reiterato la richiesta a Clearview di cessare l’elaborazione dei dati dei cittadini. La CNIL pur senza menzionare una sanzione finanziaria aveva dato due mesi di tempo alla società per cancellare tutti i dati in suo possesso.
Ora è la volta dell’Italia. Il Garante della privacy, a seguito di “denunce e segnalazioni” e dopo aver avviato un’indagine, ha scoperto che oltre alle violazioni della legge sulla privacy la società ha tracciato cittadini italiani e persone che si trovano in Italia.
“L’attività di Clearview AI viola le libertà degli interessati, compresa la protezione della riservatezza e il diritto a non essere discriminati”
“I risultati hanno rivelato che i dati personali in possesso della società, compresi i dati biometrici e di geolocalizzazione, sono trattati illegalmente, senza un’adeguata base giuridica, che certamente non può essere il legittimo interesse della società americana”, ha precisato il Garante italiano nel proprio comunicato stampa.
Tra le altre violazioni del regolamento generale sulla protezione dei dati (gdpr) individuate ci sono: gli obblighi di trasparenza. (Clearview non ha informato adeguatamente gli utenti di ciò che stava facendo con i loro selfie); le violazioni della limitazione delle finalità e l’aver utilizzato i dati degli utenti per scopi diversi da quelli per cui sono pubblicati online; le violazioni delle norme sulla conservazione dei dati senza limiti di archiviazione.
L’assenza di una sede in Europa limita l’esecuzione legale
Tuttavia, poiché Clearview è un’entità con sede negli Usa ma senza alcun rappresentante nell’Ue non sarà facile per l’Italia raccogliere la sanzione di 20 milioni di euro. Infatti mentre il gdpr dell’Ue ha una portata extraterritoriale, ovvero si applica anche al di fuori dell’Ue a chiunque elabori i dati dei cittadini dell’Ue, l’applicazione contro entità straniere, che non hanno alcuna sede locale dove indirizzare le sanzioni, può limitare l’esecuzione della legge.
La decisione è stata comunque notificata alla società Clearvew. Questa dovrà ora informare l’Autorità sui passi che sta intraprendendo per conformarsi alla decisione o per contestarla. Tra le richieste del Garante a Clearvew c’è anche quella di designare un rappresentante nell’Ue “al fine di facilitare l’esercizio dei diritti degli interessati”. Un altro requisito legale secondo il diritto dell’Ue che la società non ha soddisfatto.
Sanzioni a Clearvieuw anche negli Usa
Ogni divieto che Clearview accumula nel mercato riduce la sua potenziale base di clienti. Nonostante le comunicazioni di espansione internazionale ai propri investitori, l’azienda di riconoscimento facciale Clearview è stata colpita da sanzioni sulla privacy non solo in Europa, ma in tutto il Mondo, dal Canada all’Australia. Anche in alcuni Stati degli Usa, ove ha la propria sede, pare che Clearview stia affrontando opposizioni all’uso della sua tecnologia anti-privacy.
Rossella Vezzosi
Foto © eff.org, informazione, giornalettismo
