Il Garante sanziona la società americana che gestisce il software per il riconoscimento facciale attraverso l’uso dell’intelligenza artificiale

Indice:

1. I fatti
2. Gli scritti difensivi della società
3. L’esito dell’istruttoria del Garante
4. Le valutazioni del Garante
5. Le violazioni accertate
6. La decisione del Garante

1. I fatti

L’Autorità Garante per la protezione dei dati personali riceveva quattro reclami nei confronti della società Clearview AI, una società americana specializzata in software per il riconoscimento facciale potenziato dall’intelligenza artificiale.

I reclamanti denunciavano che il trattamento dei loro dati era avvenuto senza il consenso. Riferivano, inoltre, che la suddetta società aveva loro inoltrato richiesta di copia dei loro documenti di identità al fine di dare seguito alle istanze di accesso che le avevano presentato.

La Clearview AI aveva, quindi, dato riscontro alle istanze di accesso dei reclamanti tramite report i quali contenevano i risultati di ricerca generata dal software.

Oltre ai quattro reclami, il Garante riceveva segnalazioni anche da due organizzazioni impegnate nella difesa dei dati personali e dei diritti fondamentali delle persone, le quali denunciavano criticità connesse alla base giuridica sottesa al trattamento dei dati della società Clearview e alla liceità delle procedure adottate dalla stessa in materia di diritto di accesso.

Successivamente, la stessa organizzazione inviava al Garante un’altra segnalazione con la quale rendeva edotta l’Autorità di aver chiesto alla Polizia di stato di accertare la fruizione dei servizi offerti dalla società stessa.

Il Garante, dunque, avviava un’attività istruttoria al fine di verificare la conformità dell’operato della società in materia di trattamento dei dati personali e richiedeva, a tal fine, informazioni in merito alla stessa società.

Clearview AI, in prima battuta, rispondeva eccependo la carenza di giurisdizione del Garante italiano dovuta alla non applicabilità del GDPR. Sul punto la società osservava che i suoi prodotti e servizi non venivano offerti in Italia, in quanto adottava misure finalizzate al blocco di ogni tentativo di accesso alla piattaforma da parte di indirizzi IP italiani.

Inoltre, la società affermava di non effettuare un monitoraggio ai sensi dell’art. 3, pr. 2 lett. b) del GDRP in quanto una procedura di monitoraggio implica di per sé una osservazione costante e perdurante, mentre la tecnologia offerta dalla società si risolve in un’istantanea dei risultati di ricerca al momento del compimento della stessa.

Tuttavia, il Garante procedeva comunque a notificare a detta società l’avvio del procedimento per l’adozione di misure previste dall’art. 58, par. 2 GDPR e, dunque, invitava la società a produrre scritti difensivi in merito alle presunte violazioni in materia di privacy.

>> Leggi l’ordinanza ingiunzione nei confronti di Clearview AI – 10 febbraio 2022

2. Gli scritti difensivi della società

La società provvedeva a far pervenire al Garante i propri scritti difensivi nei quali, innanzitutto, osservava che gli account di prova avviati in territorio europeo erano stati chiusi e disattivati a seguito di reclami ricevuti per il tramite di Autorità di controllo. Dunque, ad oggi, la società affermava di non aver più nessun utente europeo registrato nei suoi programmi.

Ancora, sosteneva che il software dalla stessa sviluppato e messo a disposizione degli utenti è soggetto a condizioni d’uso, grazie alle quali il cliente è responsabile nel verificare che l’utilizzo dello stesso sia compatibile con la normativa locale ad esse applicabile.

Inoltre, la società ribadiva la carenza di giurisdizione dell’Autorità, in quanto non è applicabile la disciplina dell’art. 3, par. 2 lett. b) del GDPR e in quanto la società non offre beni e non presta servizi nel territorio europeo.

Nel merito, la società riteneva che le contestazioni mosse del Garante non erano idonee a dimostrare alcuna sua responsabilità, in quanto la società affermava di non porre in essere attività di trattamento finalizzate all’analisi del comportamento degli interessati e, perciò, di non creare profili riconducibili ad una persona fisica. Infatti, la società asseriva che “i vettori facciali non possono essere utilizzati per dedurre o ricavare matematicamente informazioni su una persona, perché non sono collegati al nome e/o alla posizione e/o ad altri identificatori”.

Dunque, la società ribadiva che la sua policy era conforme agli standard statunitensi e non operava in alcun Stato membro dell’UE.

Tuttavia, la stessa si dichiarava disponibile a porre rimedio alle doglianze di quei soggetti che avevano denunciato al Garante una violazione dei dati personali.

3. L’esito dell’istruttoria del Garante

Il Garante, all’esito della propria attività istruttoria, ha offerto uno screening dettagliato dell’attività svolta dalla società, la quale avendo creato un motore di ricerca per il riconoscimento facciale, provvede a raccogliere immagini da social network e, più in generale, da siti web, al fine di rielaborarle con tecniche biometriche ed estrarre caratteristiche identificative di ognuna di esse e trasformare, poi, in rappresentazioni vettoriali.

Come comunicato dalla stessa società, il database comprende 10 miliardi di immagini facciali estratte da siti e social network e la stessa immagine viene conservata anche se la foto originaria sia rimossa o la pagina web sia successivamente resa privata.

Dunque, la tecnologia di cui Clearview si avvale, oltre ad essere stata oggetto di richiesta di brevetto, offre sicuramente caratteri peculiari che la differenziano da altri comuni motori di ricerca. Questo perché la società crea un database di istantanee di immagini che vengono dallo stesso memorizzate all’atto della raccolta e, successivamente, non aggiornate.

Il Garante ha osserva che Clearview AI “non raccoglie solamente immagini per renderle accessibili ai propri clienti, ma tratta le immagini raccolte mediante web scraping attraverso un algoritmo proprietario di matching facciale, al fine di fornire un servizio di ricerca biometrica altamente qualificata”.

Il servizio gratuito, inoltre, si legge nel provvedimento “è destinato a determinate categorie di clienti”, come le forze dell’ordine, e le fotografie vengono elaborate con tecniche biometriche per estrarre i caratteri identificativi e associare 512 vettori che ricalcano le fattezze del volto, sottoposte a hashing per indicizzarle e arricchite con metadati (come geolocalizzazione, link della fonte, genere, nazionalità o lingua della persona rappresentata).

4. Le valutazioni del Garante

L’esito dell’attività istruttoria svolta ha indotto il Garante a ritenere che il servizio offerto dalla società Clearview AI non è sovrapponibile a quello offerto da altri motori di ricerca, quali Google Chrome, che si avvale di tecnologie e sistemi di database e rielaborazioni dati ben diversi da quelli appena descritti.

Secondo il Garante, infatti, la società pone in essere attività di monitoraggio o, comunque, attività di profilazione, nonostante non vengano creati profili relativi agli utenti e nonostante non venga eseguita alcuna analisi sulle loro abitudini comportamentali.

Per quanto riguarda, invece, la giurisdizione del Garante che, secondo la società sarebbe carente, l’Autorità

innanzitutto ha osservato che sussiste la giurisdizione euro unitaria, in quanto la società effettua un trattamento di dati di soggetti che si trovano nel territorio dell’UE: ciò è facilmente deducibile sia dai riscontri offerti dalla stessa ai reclamanti sia dalle evidenze emerse nell’ambito dei procedimenti avviati dalle Autorità di controllo europee. Dunque, è possibile affermare la sussistenza dei criteri di cui all’art., par. 2 lett b) del GDPR.

Infatti, la disposizione sopra richiamata riconduce l’applicazione del regolamento europeo alle attività di trattamento correlate al monitoraggio del comportamento di interessati nell’Unione Europea che avvenga all’interno del territorio dell’Unione.

Ancora, ritenuto che il trattamento della società è un trattamento transfrontaliero di dati personali (ex art. 4, par.1 n. 23 del GDRP), e ritenuto che sulla base della previsione dell’art. 55 “ogni Autorità di controllo è competente ad eseguire i compiti assegnati e a esercitare i poteri ad essa conferiti a norma del (…) Regolamento nel territorio del rispettivo Stato membro”, il Garante ha confermato la propria competenza in ordine alla valutazione, con riguardo al proprio territorio (nel caso di specie, l’Italia), della conformità alle disposizioni del GDPR del trattamento di dati personali compiuto dalla società ed è, inoltre, legittimato ad esercitare i poteri di cui all’art. 58 GDPR.

5. Le violazioni accertate

Nell’ambito dell’attività svolta, quindi, il garante ha accertato, che i dati personali detenuti dalla società erano trattati illecitamente e, dunque, non conformemente alle disposizioni dettate in materia a livello europeo.

In particolare, secondo il Garante la società ha posto in essere un trattamento illecito dei dati personali in violazione:

• Dell’art. 5, par. 1, lett. a), b) ed e) del GDPR, in base al quale sono stati violati i principi di liceità, correttezza e trasparenza nel trattamento dei dati nei confronti dell’interessati;
• Dell’art. 6 del GDPR, in base al quale il trattamento è lecito qualora ricorrano una delle condizioni nello stesso indicato, compreso il consenso dell’interessato che, nel caso in questione, non è stato acquisito. Il garante osserva, dunque, che la società non detiene base giuridica idonea su cui fondare la liceità del trattamento;
• Dell’art. 9 del GDPR, in base al quale, dato che il trattamento operato dalla società rende le immagini raccolte “dati biometrici”, è previsto il divieto di trattamento di particolari categorie di dati, c.d. sensibili (tra i quali rientrano i “dati biometrici”);
• Degli artt. 12, 13, 14, e 15 del GDPR in ordine alle modalità di esercizio dei diritti dell’interessato, poiché il titolare del trattamento è obbligato a fornire comunicazioni idonee ai trattamenti gestiti dalla propria organizzazione in forma trasparente e facilmente accessibile ed è tenuto ad agevolare l’esercizio di tali diritti da parte dell’interessato;
• Dell’art. 27 del GDPR il quale prevede che, laddove si applichi l’art. 3, par. 2, il titolare o il responsabile del trattamento sono obbligati a nominare un rappresentante nel territorio dell’Unione, che sarà interlocutore per tutte le questioni riguardanti il trattamento;
• Dell’art. 22 del GDPR che riconosce all’interessato il diritto a non essere sottoposto ad una decisione basata unicamente su un trattamento automatizzato (tra cui la c.d. profilazione) dei dati che produca effetti giuridici che lo riguardano o che comunque incida significativamente sulla sua persona.

6. La decisione del Garante

Considerato tutto quanto sopra esposto e accertate le violazioni poste in essere dalla società nel trattamento dei dati degli interessati, il Garante ha ritenuto applicabile la sanzione amministrativa pecuniaria, ai sensi dell’art. 83 GDPR.

In particolare, tenuto conto di una serie di elementi tra cui la cooperazione con le autorità di controllo, il numero di soggetti interessati dalla violazione, la natura dei dati trattati, l’Autorità ha irrogato nei confronti della società una sanzione pecuniaria di €. 20 milioni.

Inoltre, il Garante ha ritenuto opportuno esercitare uno dei poteri correttivi riconosciutogli dall’art. 58, par. 2 del GDPR in virtù del quale ha imposto un divieto del trattamento, consistente in particolare: in un divieto di ulteriore raccolta di immagini di soggetti che si trovano nel territorio italiano; in un divieto di ulteriori operazioni di trattamento dei dati elaborati dalla società attraverso il sistema di riconoscimento facciale relativo a persone che si trovano nel territorio italiano.