Riconoscimento facciale Clearview AI: il Garante Privacy italiano multa l'azienda per 20 milioni di euro

• Privacy
• Diritto

Esistono società specializzate che hanno sviluppato algoritmi basati sull’utilizzo dell’intelligenza artificiale in grado di riconoscere qualunque soggetto sulla faccia della Terra a partire da una semplice foto o da una porzione del viso.

Anche Facebook era attivamente coinvolta nello sviluppo di soluzioni simili: disponendo di un database sconfinato di foto “taggate” con nomi e cognomi di persone l’azienda era (ed è probabilmente ancora oggi) nelle condizioni di sviluppare routine e dispositivi in grado di stabilire l’identità di una persona.
Prevedendo possibili problemi da parte degli enti regolatori, tuttavia, Facebook-Meta ha deciso di cancellare tutti i dati di riconoscimento facciale acquisiti fino a qualche tempo fa e relativi a 1 miliardo di individui.

Clearview AI, invece, ha confermato di aver utilizzato miliardi di foto pubblicate sul Web per associarle alle identità di persone in carne ed ossa. Con attività di scraping del Web ovvero la scansione automatizzata delle pagine pubblicate online, social network compresi, Clearview AI ha potuto costruire un database enorme.

L’azienda, che ha sede principale a New York, ha affermato di aver costruito una tecnologia capace di risalire rapidamente all’identità di qualunque persona rivendendo poi l’accesso e l’utilizzo a migliaia di clienti tra cui forze di polizia ed enti pubblici. Vengono citati, ad esempio, FBI, ufficio immigrazione USA e personale pubblico che svolge attività di sicurezza e protezione dei confini nazionali.

La ricerca dell’identità dei soggetti avviene partendo da una singola foto e poggia sull’analisi dei profili biometrici conservati a database. L’esito della ricerca viene eventualmente arricchito con una serie di informazioni accessorie come titolo e geolocalizzazione delle foto usate per il riconoscimento e pagina Web di pubblicazione.

Il Garante per la protezione dei dati personali ha appena concluso l’istruttoria che era stata avviata a carico di Clearview AI irrogando una sanzione pari a 20 milioni di euro.
Diversamente da quanto dichiarato dall’azienda, infatti, Clearview AI avrebbe raccolto e tracciato informazioni biometriche relative a soggetti residenti in Italia.

“Le risultanze hanno rivelato che i dati personali detenuti dalla società, inclusi quelli biometrici e di geolocalizzazione, sono trattati illecitamente, senza un’adeguata base giuridica, che non può sicuramente essere il legittimo interesse della società americana“, si legge nella nota odierna diramata dall’ufficio del Garante. “La società ha, inoltre, violato altri principi base del GDPR, come quelli relativi agli obblighi di trasparenza, non avendo adeguatamente informato gli utenti, di limitazione delle finalità del trattamento, avendo utilizzato i dati degli utenti per scopi diversi rispetto a quelli per i quali erano stati pubblicati online e di limitazione della conservazione, non avendo stabilito tempi di conservazione dei dati. L’attività di Clearview AI, pertanto, si pone in violazione delle libertà degli interessati, tra cui la tutela della riservatezza e il diritto a non essere discriminati“.

L’Autorità italiana, oltre a comminare la sanzione multimilionaria, ha inoltre ordinato a Clearview AI di cancellare i dati relativi alle persone che si trovano in Italia e ne ha vietato l’ulteriore raccolta e trattamento attraverso il suo sistema di riconoscimento facciale.
Infine, il Garante ha prescritto l’individuazione di un rappresentante nel territorio dell’Unione europea che funga da interlocutore con Clearview AI, in aggiunta o in sostituzione del titolare del trattamento dei dati con sede negli Stati Uniti, al fine di agevolare l’esercizio dei diritti degli interessati.

Il testo integrale del provvedimento contro Clearview AI è disponibile in questa pagina.