Trattamento illecito di dati biometrici: Garante sanziona Clearview

Con ordinanza-ingiunzione n. 50 del 10 febbraio 2022 (rel. Scorza), il Garante per la protezione dei dati personali ha imposto una sanzione di 20 milioni di euro alla società americana Clearview AI, per avere illecitamente trattato i dati biometrici di un indeterminato numero di soggetti, anche minori, che si trovano nel territorio italiano. Nello specifico, l’Autorità ha rilevato la responsabilità della compagnia statunitense, accertando la violazione degli artt. 5, par. 1, lett. a), b) ed e), 6, 9, 12, 13, 14, 15 e 27 del Regolamento europeo sulla protezione dei dati personali.

La decisione italiana si unisce agli analoghi provvedimenti emessi, nello scorso anno, ad opera dei Garanti inglese e francese[1]. La società di oltreoceano, infatti, era già finita nel mirino delle altre autorità europee, subendo sanzioni per 22,6 milioni di dollari da parte del solo Information Commissioner’s Office[2].

In via preliminare, onde poter meglio comprendere la portata della vicenda che ci occupa, è opportuno conoscere la natura delle attività svolte dalla Clearview AI Inc. La società opera nel settore IT e fornisce un servizio di riconoscimento facciale principalmente offerto alle forze dell’ordine. Il funzionamento del software si fonda su un meccanismo pressoché semplice, basato sul cd. web scraping (dal verbo to scrape, ossia raschiare). In prima battuta, si procede alla raccolta di tutte le immagini presenti nei siti internet, specialmente nei social network, che siano direttamente accessibili a chiunque e visualizzabili senza la necessità di doversi registrare o accedere ad un account; le immagini non vengono estratte solo dalle fotografie, ma anche da tutti i video caricati online. Con questa procedura, l’azienda ha nel tempo raccolto oltre 10 miliardi di immagini in tutto il mondo e creato un database. Successivamente, viene costruito un modello biometrico, ossia una rappresentazione digitale delle caratteristiche fisiche della persona. Il prodotto finito è quindi commercializzato e adoperato dall’utenza che, consultando il database per mezzo di un motore di ricerca (facial recognition search engine), è in grado di cercare una persona a partire da una singola fotografia. Il software opera una comparazione one to many, paragonando il campione oggetto della ricerca con l’enorme mole di contenuti presenti nel database.  L’image hash (una sorta di impronta digitale facciale) agevola, così, l’indicizzazione e la successiva ricerca. Inoltre, la procedura può essere ulteriormente agevolata grazie all’utilizzo di metadati associati, come il link della pagina web da cui è stata estratta l’immagine oppure data di nascita, genere e nazionalità del soggetto ritratto. Last, but not least, le immagini così raccolte restano nel database anche qualora la foto originaria venga rimossa o resa privata.

Sebbene il software sia anche utilizzato dalle forze dell’ordine per individuare gli autori e le vittime di reati, occorre – in questa sede – evidenziare che la maggioranza delle persone, le cui immagini dei volti sono archiviate nel database, vivono nella più totale oscurità del fenomeno, ignorando che una società di New York stia trattando, a loro insaputa, i loro dati biometrici.

Indice:

1. Brevi cenni sui dati biometrici
2. La decisione del Garante
3. Le violazioni accertate
4. La condanna

1. Brevi cenni sui dati biometrici

I dati biometrici, unitamente ai dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, i dati genetici, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale di una persona, sono annoverati nelle cd. categorie particolari di dati. Il legislatore europeo, in considerazione della loro peculiare essenza, ha ritenuto opportuno prevedere una disciplina ad hoc per questa grande famiglia di dati personali all’interno dell’art. 9 del Regolamento, affermando, al par. 1 della norma, un loro generale divieto di trattamento. È una categoria di dati che – richiamando il Considerando 51 – «per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali». Fulcro della tutela accordata a questa norma è la dignità della persona, che nella privacy evolve e custodisce i valori più preziosi[3].

L’art. 9, par. 2, pur elencando una serie di eccezioni alla regola generale[4], non pregiudica in alcun modo il granitico divieto di trattamento, traducendo le deroghe ivi previste in cause di esclusione dell’antigiuridicità di un comportamento in astratto vietato, perché connotato da un’intrinseca carica lesiva[5].

Ponendo l’accento sui dati biometrici, alla luce della definizione offerta dall’art. 4, par. 1, n. 14), GDPR, sono tali i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica, che ne consentono o confermano l’identificazione univoca; a titolo meramente esemplificativo, sono dati biometrici: le impronte digitali, la forma del volto, la struttura della retina, il timbro e la tonalità della voce. In riferimento al caso che ci occupa, avendo riguardo alle fotografie, è – ancora una volta – il Considerando 51 a fornire validi chiarimenti, precisando che «il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando siano trattate attraverso un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione di una persona fisica».

La categoria riveste un ruolo preminente nell’odierno panorama della tutela dei dati personali, specialmente alla luce della costante innovazione tecnologica, che – quotidianamente – pone sfide sempre nuove nel rapporto dialettico fra privacy e, giustappunto, tecnologia. In questo senso, può facilmente constatarsi come lo stesso Garante sia sempre più impegnato nel fronteggiare reclami inerenti alla affascinante categoria dei dati biometrici. Fra le numerose pronunce, si segnala una delle più rilevanti, in tema di rilevazione delle presenze dei lavoratori attraverso l’acquisizione di impronte digitali (provvedimento n. 16 del 14 gennaio 2021[6]).

Consigliamo il volume:

2. La decisione del Garante

La vicenda oggetto del provvedimento in esame trae origine da ben quattro reclami ricevuti dal Garante italiano nei confronti di Clearview AI da parte di soggetti italiani e, dunque – come evidenziato dall’Autorità nazionale – ai fini della determinazione della giurisdizione eurounitaria, ben trova applicazione il cd. criterio di targeting di cui all’art. 3, par. 2, lett. a) e b), GDPR. In primo luogo, in quanto «l’intenzione del titolare del trattamento di rivolgersi al mercato europeo, oltre che confermata dalla decisione adottata dall’Autorità svedese di protezione dati […], emerge in modo evidente anche dai termini in cui è stata formulata la privacy policy» contenente «una serie di indicatori dai quali era possibile desumere la volontà del titolare del trattamento di rivolgere l’offerta del proprio servizio anche ad utenti dell’Unione europea». In secondo luogo, si consideri che «Clearview non offre come risultato della ricerca una semplice corrispondenza, ma anche un archivio di risorse che si snoda attraverso il tempo. La valutazione di tale circostanza […] è idonea ad integrare, come richiesto nel Considerando 24[7], un’attività assimilabile al controllo del comportamento dell’interessato in quanto posta in essere tramite il tracciamento in internet e la successiva profilazione»; pertanto, l’immensa quantità di contenuti trattati dalla società americana è oggetto di un vero e proprio monitoraggio

Conseguentemente, è altresì sussistente la competenza del Garante italiano dacché il trattamento operato da Clearview è qualificabile come trattamento transfrontaliero di dati personali ex art. 4, par. 1, n. 23, del Regolamento, siccome «idoneo ad incidere su interessati in più di uno Stato membro».

Ebbene, nel dettaglio, i reclamanti segnalavano che il trattamento dei loro dati fosse avvenuto senza consenso e, all’uopo, riferivano che – a fronte delle istanze di accesso presentate – la società americana aveva richiesto l’invio di copia di un loro documento di identità.

Dalla documentazione allegata ai reclami (costituita dai report forniti dalla compagnia in risposta alle istanze di accesso), l’Ufficio rilevava che la Clearview disponeva, nei propri database, di numerose immagini ritraenti i medesimi reclamanti.

3. Le violazioni accertate

All’esito dell’istruttoria condotta, il Garante ha accertato la violazione degli artt. 5, par. 1, lett. a), b) ed e), 6, 9, 12, 13, 14, 15 e 27 GDPR.

In primis, è stata contestata la violazione dell’art. 5, par. 1, lett. a), del Regolamento, che impone il rispetto dei principi di liceità, correttezza e trasparenza nel trattamento dei dati nei confronti dell’interessato. Nondimeno, come innanzi illustrato, nel caso di specie gli interessati non hanno alcuna conoscenza delle attività svolte sui loro dati, né hanno la possibilità di riceverne la minima informazione, neppure mediante il sito web della società e ciò in contrasto con il Considerando 39 del Regolamento, secondo cui – avendo riguardo al principio di trasparenza – «le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro».

In secondo luogo, l’Ufficio ha pure rilevato la violazione dell’art. 5, par. 1, lett. b) ed e), giacché il trattamento de quo: non assicura il principio di limitazione della finalità, dal momento che la natura pubblica delle immagini non basta a «ritenere che gli interessati possano ragionevolmente attendersi un utilizzo per finalità di riconoscimento facciale, per giunta da parte di una piattaforma privata, non stabilita nell’Unione e della cui esistenza ed attività la maggior parte degli interessati è ignaro»; né garantisce il principio di conservazione, non potendo evincersi l’indicazione di alcun periodo di conservazione delle immagini raccolte. Anzi, vi è di più: secondo la Clearview, le immagini sarebbero raccolte e conservate in un database «stratificato ed alimentato in modo progressivo e costante», potendo – dunque – legittimamente ritenere che i dati siano conservati a tempo indeterminato.

Ulteriori violazioni involvono il tenore degli artt. 6 e 9 del Regolamento, non sussistendo alcuna base giuridica idonea ad integrarne la liceità ed essendo stato violato il generale divieto di trattamento di categorie particolari di dati. Il Garante, infatti, ha registrato l’inesistenza di qualsivoglia forma di consenso degli interessati, nonché l’assenza delle circostanze previste dalle lettere b), c), d) ed e) della norma. L’unico margine potrebbe astrattamente essere costituito dalla ipotesi del legittimo interesse del titolare del trattamento, che – però – è presto esclusa dall’Autorità nazionale, che afferma: «il legittimo interesse della società è costituito da un fine di lucro a fronte di un trattamento che presenta una particolare intrusività nella sfera privata degli individui» e, quindi, l’interesse legittimo della Clearview alla libera iniziativa economica non può che flettere «rispetto ai diritti e alle libertà degli interessati, in particolare alla grave messa in pericolo del diritto alla riservatezza, al divieto di essere sottoposti a trattamenti automatizzati e al principio di non-discriminazione». Di conseguenza, non solo è violato il dispositivo dell’art. 6 del Regolamento, ma anche il divieto di cui all’art. 9, trattandosi – nel caso di specie e per le ragioni precedentemente esposte[8] – di dati biometrici.

Ancora, la condotta della società americana è altresì in contrasto con le modalità che il titolare deve osservare per le comunicazioni conseguenti all’esercizio dei diritti previsti dagli artt. 15-22 GDPR da parte dell’interessato. In alcuni dei casi esaminati dall’Autorità di controllo, in palese violazione dell’art. 12 in ordine a informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti, gli interessati hanno dovuto reiterare le istanze di accesso prima di ottenere riscontri, dovendo pure attendere tempi aggiuntivi rispetto ai termini previsti dal Regolamento. Sul punto, l’azienda ha anche omesso, in qualità di titolare del trattamento, di fornire alcune informazioni generali sul trattamento effettuato, che – a mente degli artt. 13 e 14 – devono essere complete e aggiornate al fine di tenere conto di tutte le variazioni che intervengono nel tempo.

Infine, a concludere il nutrito novero di infrazioni, troviamo un’importante omissione che integra gli estremi della violazione dell’art. 27 GDPR. La previsione obbliga il titolare, laddove si applichi l’art. 3, par. 2, a designare un rappresentante nell’Unione europea, stabilito in uno degli Stati membri in cui si trovano gli interessati i cui dati sono trattati nell’ambito dell’offerta di beni e servizi o il cui comportamento è monitorato, che funga da interlocutore per ogni questione relativa al trattamento. Nel caso di specie, la Clearview, pur trattando dati personali di interessati che si trovano nell’Unione, controllandone i comportamenti e prestando servizi ad utenti europei, non designava alcun rappresentante, disattendendo gli obblighi del Regolamento, anche in termini di cooperazione con le Autorità di controllo.

4. La condanna

Per tutte le ragioni finora esposte, con provvedimento n. 50 del 10 febbraio 2022 (rel. Scorza), il Garante per la protezione dei dati personali ha irrogato una sanzione amministrativa pecuniaria pari a 20 milioni di euro alla società americana Clearview AI, per avere illecitamente trattato i dati biometrici di un indeterminato numero di soggetti, anche minori, che si trovano nel territorio italiano. Inoltre, ai sensi dell’art. 58, par. 2, lett. f), l’Autorità nazionale ha disposto un divieto del trattamento, consistente nel «i) divieto di ulteriore raccolta, mediante tecniche di web scraping, di immagini e relativi metadati concernenti persone che si trovano nel territorio italiano; ii) divieto di ogni ulteriore operazione di trattamento dei dati, comuni e biometrici, elaborati dalla Società attraverso il suo sistema di riconoscimento facciale relativi a persone che si trovano nel territorio italiano», altresì obbligando la società americana alla cancellazione di tutti i dati citati, ex art. 58, par. 2, lett. g), ed alla nomina di un rappresentante nel territorio dell’Unione europea, ex art. 58, par. 2, lett. d).

Concludendo, la decisione del Garante può senz’altro considerarsi come risposta esemplare e intransigente verso la logica de “il fine giustifica i mezzi”. Come osservato dallo stesso Guido Scorza, «non si può travolgere, come avvenuto nella vicenda di Clearvie AI, il diritto alla privacy di miliardi di persone in tutto il mondo in nome di una semplice ambizione, lontana peraltro di potersi considerare scientificamente provata, di assicurare alla giustizia un criminale in più»[9].

Consigliamo il volume:

---

Note:

[1] CNIL, “Facial recognition: the CNIL orders CLEARVIEW AI to stop reusing photographs available on the Internet”, 16/12/2021, in https://www.cnil.fr/en/facial-recognition-cnil-orders-clearview-ai-stop-reusing-photographs-available-internet.

[2] ICO,“ICO issues provisional view to fine Clearview AI Inc over £17 million”, 29/11/2021, in https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2021/11/ico-issues-provisional-view-to-fine-clearview-ai-inc-over-17-million/.

[3] THIENE A., “Salute, riserbo e rimedio”, in Riv. italiana di medicina legale, 4, 2015, p. 1436.

[4] Art. 9, par. 2, GDPR: «Il paragrafo 1 non si applica se si verifica uno dei seguenti casi: a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1; b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato; c) il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso; d) il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato; e) il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato; f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali; g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato; h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3; i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale; j) il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’articolo 89, paragrafo 1, sulla base del diritto dell’Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato».

[5] così THIENE A., commento in Codice della privacy e data protection, 2021, Giuffrè, p. 243.

^[6] Ordinanza ingiunzione n. 16 del 14/01/2021, in https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9542071.

[7] Considerando 24: «È opportuno che anche il trattamento dei dati personali degli interessati che si trovano nell’Unione ad opera di un titolare del trattamento o di un responsabile del trattamento non stabilito nell’Unione sia soggetto al presente regolamento quando è riferito al monitoraggio del comportamento di detti interessati, nella misura in cui tale comportamento ha luogo all’interno dell’Unione. Per stabilire se un’attività di trattamento sia assimilabile al controllo del comportamento dell’interessato, è opportuno verificare se le persone fisiche sono tracciate su internet, compreso l’eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali», Reg. (UE) 2016/576.

[8] Cfr. infra par. 2.

[9] SCORZA G., “Caso Clearview AI: “Stop alla pesca a strascico dei dati dei cittadini”, 9/3/2022, in https://www.guidoscorza.it/maxi-multa-a-clearview-stop-alla-pesca-a-strascico-dei-dati-dei-cittadini/.