Riconoscimento facciale: milioni di italiani spiati, sanzione per Clearview AI

Il Garante per la protezione dei dati personali ha inflitto una sanzione di 20 milioni di euro a Clearview AI: vantandosi di possedere un database di oltre 10 miliardi di immagini di volti di persone di tutto il mondo, Clearview AI aveva infatti messo in atto un autentico monitoraggio attraverso tecnologie di intelligenza artificiale basate sul riconoscimento facciale. Di recente, la società statunitense era finita nel mirino anche delle autorità per la privacy di Francia e Regno Unito.

Questa raccolta massiva e indiscriminata delle immagini dei volti degli utenti, monitorati a loro insaputa, è stata realizzata da Clearview estraendo un'infinità di dati da fonti web pubbliche tramite una vera e propria "pesca a strascico" (web scraping) attingendo a profili social, siti di informazioni e video pubblicati online.

Con il servizio principalmente destinato a forze di polizia e agenzie governative di diverse nazioni, gli algoritmi di Cleraview consentono inoltre alla società di creare profili basati sui dati biometrici estratti dalle immagini, eventualmente arricchiti da altre informazioni ad esse correlate, come titolo e geolocalizzazione della foto, pagina web di pubblicazione, creando così i presupposti per un monitoraggio di massa degli utenti.

Anche l'Italia oggetto di attenzione

L’istruttoria del Garante per la Privacy, attivata anche a seguito di reclami e segnalazioni, ha fatto emergere che Clearview AI, a differenza di quanto aveva affermato, consente il tracciamento anche di cittadini italiani e di persone collocate in Italia.

Come sottolinea l’Autorità nel proprio provvedimento sanzionatorio, “le risultanze hanno rivelato che i dati personali detenuti dalla società, inclusi quelli biometrici e di geolocalizzazione, sono trattati illecitamente, senza un’adeguata base giuridica, che non può sicuramente essere il legittimo interesse della società americana”.

La società ha inoltre violato altri principi base del Gdpr, come quelli relativi agli obblighi di trasparenza, non avendo adeguatamente informato gli utenti, di limitazione delle finalità del trattamento, avendo utilizzato i dati degli utenti per scopi diversi rispetto a quelli per i quali erano stati pubblicati online e di limitazione della conservazione, e non avendo stabilito tempi di conservazione dei dati.

L'attività illecita di Clearview AI viola le libertà degli interessati, tra cui la tutela della riservatezza e il diritto a non essere discriminati; il Garante ha quindi inflitto alla stessa una sanzione amministrativa di 20 milioni di euro, ordinando inoltre di cancellare i dati relativi a persone che si trovano in Italia e vietandone l’ulteriore raccolta e trattamento attraverso il suo sistema di riconoscimento facciale, imponendo anche alla società, che ha sede negli Usa, di designare un rappresentante nel territorio dell’Unione europea con il ruolo di interlocutore, per agevolare l’esercizio dei diritti degli interessati.

Il commento al provvedimento

L’Avv. Guido Scorza, componente dell’Autorità per la protezione dei dati personali ha commentato così il provvedimento adottato:

“Abbiamo messo nero su bianco una volta di più che non si può cedere al principio secondo il quale il fine giustificherebbe i mezzi, e ciò che è tecnologicamente possibile debba considerarsi anche giuridicamente legittimo e democraticamente sostenibile. Non si può travolgere il diritto alla privacy di miliardi di persone in tutto il mondo in nome di una di una semplice ambizione (lontana peraltro dal potersi considerarsi scientificamente provata) di assicurare alla giustizia un criminale in più”.

In attesa del regolamento sull’Intelligenza Artificiale, che dovrebbe essere introdotto nell’UE,  rimane da vedere come intendono procedere le altre autorità di controllo europee nei confronti di Clearview AI, in particolare quella inglese (ICO) che di recente ha minacciato una sanzione da 17 milioni di sterline, e quella francese (CNIL) che il 16 dicembre 2021 aveva dato l’ultimatum alla società americana, concedendole due mesi di tempo per cessare la raccolta delle immagini e cancellare tutti i dati dei cittadini francesi.