Riconoscimento facciale: cosa ci insegna la maxi-sanzione a Clearview

06 Giugno 2022

Indice

I trattamenti contestati

La linea difensiva della Società americana

La posizione del Garante Privacy

Venti milioni di euro. È questo l’ammontare della sanzione amministrativa che il Garante per la protezione dei dati ha comminato alla società americana Clearview AI Inc., per aver posto in essere vero e proprio monitoraggio biometrico ai danni di un numero indefinito di interessati europei, tra cui anche italiani. La società sarà obbligata altresì a interrompere la raccolta di immagini facciali delle persone, che risiedono nel territorio italiano, provvedendo alla cancellazione dei dati. Ma, vediamo di capire cosa è realmente successo.

I trattamenti contestati

ClearviewAI Inc. è una società americana che ha realizzato per il mercato statunitense un motore di ricerca per il riconoscimento facciale.

La piattaforma, all’interno del proprio database, raccoglie oltre 10 miliardi di immagini di volti umani di tutto il mondo, estratti, mediante la tecnica del “web scraping” da social network (es. Twitter o Facebook), da video disponibili online (es. Youtube) e da siti pubblicamente accessibili.

Le foto, così collezionate, sono elaborate con strumenti automatizzati al fine di creare delle “rappresentazioni vettoriali” che ricalcano schematicamente i lineamenti del viso. I vettori facciali sono infine sottoposti ad una funzione di “hashing” per agevolare l’indicizzazione del dato e la successiva ricerca. Ogni immagine può essere accompagnata da metadati (es. titolo, link della fonte, dati di geolocalizzazione), con la conseguenza che, quando il cliente carica una foto sulla piattaforma, quest’ultima restituisce le immagini corrispondenti unitamente ai metadati di corredo e ai link associati.

Nel corso dell’anno 2021, all’ufficio del Garante italiano giungevano quattro reclami, con i quali i segnalanti lamentavano che il trattamento dei loro dati era avvenuto da parte di Clearview Ai senza il loro consenso e riferivano della richiesta della società americana di inviare copia di un documento di identità per dare seguito alle loro istanze di accesso. A ciò si aggiungevano le segnalazioni di due associazioni impegnate nella difesa della privacy, che riscontravano delle criticità con riferimento alla base giuridica del trattamento dei dati effettuato da Clearview AI e al rispetto dei principi generali in materia di protezione dei dati.

La linea difensiva della società americana

Clearview Ai ha improntato la sua strategia difensiva sulla carenza di giurisdizione dell’Autorità Garante italiana e sulla inapplicabilità del Regolamento (UE) 2016/679 (RGPD) sostenendo:

a) di non avere alcuna filiale in Europa e di aver sede negli Stati Uniti;

b) di non offrire prodotti e servizi in Italia, né di operare in alcun Stato membro dell’Unione Europea;

c) di non effettuare alcun monitoraggio del comportamento degli italiani.

La società, infatti, pur ammettendo di aver attivato alcuni account di prova nel territorio europeo (attualmente chiusi), aveva adottato delle misure tecniche atte ad inibire l’accesso alla piattaforma da parte di indirizzi IP italiani.

Quanto al criterio del monitoraggio, Clearview Ai, richiamando il Considerando 24 del Regolamento, ha negato di svolgere qualsivoglia attività di profilazione. L’intento della società difatti non era quello di osservare e valutare, mediante un tracciamento costante su internet, le abitudini comportamentali o le preferenze dei clienti, bensì di offrire all’utente un servizio di ricerca facciale in grado di produrre risultati istantanei. Quindi, nessuna profilazione da parte di Clearview Ai, anche in considerazione del fatto che i “vettori facciali” da essa creati non venivano impiegati per ricavare informazioni sulla persona fisica, in quanto non erano collegati al nome, alla posizione o ad altri identificatori.

La posizione del Garante Privacy

L’Autorità Garante italiana ha rigettato l’impianto difensivo della società americana all’esito di una approfondita analisi dell’articolo 3 del Regolamento, rubricato “Ambito di applicazione territoriale”.

Come noto, quando il titolare o il responsabile del trattamento non è stabilito nell’Unione, ai fini dell’applicazione del GDPR, occorre accertare la sussistenza del criterio dell’indirizzamento (cd. targeting), consistente nell’offerta di beni e servizi agli interessati collocati nel territorio dell’Unione Europea ovvero nello svolgimento di attività di monitoraggio del comportamento nei confronti degli stessi (articolo 3, par. 2, del Regolamento).

Il Considerando 23 del GDPR, a proposito dell’offerta di beni e servizi, chiarisce che: “per determinare se tale titolare o responsabile del trattamento stia offrendo beni o servizi agli interessati che si trovano nell’Unione, è opportuno verificare se risulta che il titolare o il responsabile del trattamento intenda fornire servizi agli interessati in uno o più Stati membri dell’Unione.

L’intenzione di Clearview AI di rivolgersi al mercato europeo – ha sostenuto il Garante italiano – è confermata dalla decisione della società di chiudere gli account di prova europei e da una precedente versione della sua privacy policy.

Non solo, l’Autorità Garante ha ritenuto integrato altresì il secondo criterio mediante una lettura combinata di alcune fonti.

Con riguardo al concetto di monitoraggio, il Considerando 24 del RGPD stabilisce che un’attività di trattamento è assimilabile al controllo del comportamento quando “le persone sono tracciate su internet, compreso [il caso di] un eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica...”.

L’articolo 4, par1 n.4 del Regolamento definisce il concetto di profilazione, come “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di [...] dati personali per valutare determinati aspetti personali relativi ad una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali[...].

Da ultimo, il Garante ha richiamato “Le linee guida sul processo decisionale relativo alle persone fisiche e sulla profilazione” che indicano tre elementi caratteristici dell’attività di profilazione, la quale deve:

a) riguardare dati personali,

b) essere una forma di trattamento automatizzato,

c) essere finalizzata a valutare aspetti personali relativi a una persona fisica.

Il Garante ha evidenziato come sia possibile riscontrare tutti gli aspetti sopra menzionati nel trattamento posto in essere da Clearview Ai.

La società, infatti, non si limitava a collezionare immagini facciali prelevate da fonti web, ma le sottoponeva ad una successiva rielaborazione tecnica trasformandole in veri e propri dati biometrici (“le rappresentazioni vettoriali”), ai quali erano associate informazioni certamente idonee ad identificare la persona ritratta.

Il momento valutativo dell’attività di profilazione – ha riscontrato l’Autorità Garante – è da individuare nella fase della comparazione tra i dati biometrici archiviati nel database e le immagini caricate dall’utente al momento della ricerca.

Il Garante italiano ha, pertanto, classificato la sopra citata attività di trattamento posta in essere da ClearviewAI quale monitoraggio di dati biometrici, che in quanto tale necessita senz’altro di una adeguata base giuridica ai sensi dell’articolo 9 del Regolamento.

Con riferimento alla tecnica del “web scraping” la raccolta a “strascico” di dati fotografici pubblicati liberamente su siti web, essa costituisce un ulteriore trattamento di dati personali. L’Autorità Garante, a tale proposito, ha ribadito che: “la pubblicazione in internet di dati personali da parte del soggetto cui si riferiscono, ad esempio nell’ambito dei social media network, non comporta di per sé, una condizione sufficiente per legittimare il libero riutilizzo da parte di soggetti terzi”.

Dunque, il web scraping è vietato a meno che non trovi una legittimazione in una delle basi giuridiche di cui all’articolo 6 del Regolamento. Fermo restando che non era stato acquisito il consenso degli interessati, il Garante italiano ha comunque escluso con fermezza la sussistenza del legittimo interesse del titolare.

La società si è resa infine responsabile di ulteriori significative violazioni del Regolamento europeo (obbligo di trasparenza, principio di limitatezza delle finalità e conservazione dei dati) con la conseguenza che sarà tenuta a pagare la maxi-sanzione, a cancellare i dati fotografici degli italiani e, da ultimo, a designare per iscritto un rappresentante che fungerà da interlocutore con le Autorità di controllo e con gli interessati europei.

Con questa ingente sanzione, il Garante italiano ha posto i confini all’“assolutismo tecnologico”, anche se giustificato dalla nobile finalità (come nel caso di Clearview Ai) di coadiuvare le forze dell’ordine nella identificazione dei criminali. Da oggi, si sancisce un principio importante: la tecnica del web scraping, vale a dire l’attività consistente nella "pesca a strascico" di dati personali pubblicati liberamente su Internet, è da ritenersi illegittima, a meno che non sussista una valida base giuridica.

La natura pubblica del dato non autorizza chiunque ad utilizzarlo per scopi diversi, eludendo così il controllo dell’interessato. Il dato personale appartiene all’interessato e deve rimanere nella sfera di dominio di quest’ ultimo.

Il Garante Privacy, nella persona dell’avv. Guido Scorza, ha così commentato la vicenda: “Credo che abbiamo messo nero su bianco una volta di più che non si può cedere al principio secondo il quale il fine giustifica i mezzi e ciò che è tecnologicamente possibile non è da considerarsi giuridicamente legittimo e democraticamente sostenibile. Non si può travolgere, come è avvenuto nella vicenda di Clearview AI, il diritto alla privacy di miliardi di persone in tutto il mondo in nome di una semplice ambizione”.

È evidente che l’innovazione tecnologica non può essere sovrana assoluta, ma è destinata ad incontrare dei limiti, specialmente quando in gioco ci sono i diritti fondamentali degli individui, come quello alla privacy.

Il fenomeno Clearview Ai è stato oggetto dell’attenzione anche dei Garanti di Canada, Australia, Francia e da ultimo dell’Autorità garante britannica (che ha inflitto alla società americana una multa di oltre 7,5 milioni di sterline, l’equivalente di circa 9 milioni di euro), a dimostrazione del fatto che il diritto alla privacy è da intendersi un bene intrinseco della persona, che non può essere soffocato dal progresso tecnologico, né tantomeno dagli interessi economici.

Riconoscimento facciale: cosa ci insegna la maxi-sanzione a Clearview

I trattamenti contestati

La linea difensiva della società americana

La posizione del Garante Privacy

Attacco hacker ai sistemi informatici della regione Lazio: arrivano le sanzioni del Garante Privacy

Videosorveglianza e servitù: legittima anche senza il permesso di chi ha la servitù di passaggio

Carcere e sessualità: illegittimo il divieto dell' inderogabilità del controllo a vista

Incroci e interrelazioni tra 231 e privacy

Le indagini aziendali, il diritto di accesso difensivo ed il rispetto della privacy

Dal principiante al professionista: padroneggiare gli strumenti di editing di CapCut per immagini straordinarie

Le nuove competenze tecnologiche richieste oggi ai grafologi forensi

Shopping low cost: quali sono i veri rischi

Dati neurali: il Cile sancisce la loro tutela e li equipara ai dati sensibili

Nuovi codici di condotta: migliorare la dignità online tramite l’educazione digitale

I trattamenti contestati

La linea difensiva della società americana

La posizione del Garante Privacy

Articoli più letti su questo argomento