LA SANZIONE

Privacy, 20 milioni di multa a Clearview: violate le norme sui dati biometrici

L’istruttoria del Garante ha consentito di accertare il trattamento illecito delle informazioni personali. Nel mirino anche la compliance al Gdpr: mancata conformità degli obblighi di trasparenza e conservazione

09 Mar 2022

A. S.

riconoscimento facciale

Venti milioni di euro di multa a Clearview Ai per aver messo in atto “un vero e proprio monitoraggio biometrico anche di persone che si trovano nel territorio italiano”. E’ la decisione del Garante per la protezione dei dati personali nei confronti della società statunitense in possesso di un database di oltre 10 miliardi di immagini di volti di persone di tutto il mondo, estratte da fonti web pubbliche – come siti di informazione, social media e video online – tramite la tecnologia del web scraping. “L’attività di Clearview AI – sottolinea l’authority – si pone in violazione delle libertà degli interessati, tra cui la tutela della riservatezza e il diritto a non essere discriminati”.

L’azienda – spiega il Garante Privacy in una nota –  offre un servizio di ricerca altamente qualificata che, grazie a sistemi di intelligenza artificiale, consente la creazione di profili basati sui dati biometrici estratti dalle immagini, eventualmente arricchiti da altre informazioni ad esse correlate, come titolo e geolocalizzazione della foto, pagina web di pubblicazione.

“Clearview AI, diversamente da quanto affermato dalla società – spiega l’authority – consente il tracciamento anche di cittadini italiani e di persone collocate in Italia. Le risultanze hanno rivelato che i dati personali detenuti dalla società, inclusi quelli biometrici e di geolocalizzazione, sono trattati illecitamente, senza un’adeguata base giuridica, che non può sicuramente essere il legittimo interesse della società americana”.

Ma a motivare la sanzione c’è anche la violazione di altri principi del Gdpr, il regolamento europeo sulla protezione dei dati personali, a partire dagli obblighi di trasparenza, “non avendo adeguatamente informato gli utenti, di limitazione delle finalità del trattamento, avendo utilizzato i dati degli utenti per scopi diversi rispetto a quelli per i quali erano stati pubblicati online”, e di limitazione della conservazione, “non avendo stabilito tempi di conservazione dei dati”.

Oltre alla sanzione da 20 milioni di euro, il Garante Privacy ha anche ordinato alla società di cancellare i dati relativi a persone che si trovano in Italia e ne ha vietato l’ulteriore raccolta e trattamento attraverso il suo sistema di riconoscimento facciale. E ha infine imposto a Clearview Ai di designare un rappresentante nel territorio dell’Unione europea “che funga da interlocutore, in aggiunta o in sostituzione del titolare del trattamento dei dati con sede negli Stati Uniti, al fine di agevolare l’esercizio dei diritti degli interessati”.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3