Tempi difficili per Clearview AI: dopo la sanzione da 20 milioni di euro comminata dal Garante per la privacy italiano, anche l’Information Commissioner’s Office (ICO), authority inglese, ha multato la società che produce software per il riconoscimento facciale per 7.552.800 sterline, per aver utilizzato immagini di persone nel Regno Unito e altrove, raccolte dal web e dai social media, per creare un database online globale che potrebbe essere utilizzato per il riconoscimento facciale.
L’ICO ha anche emesso un avviso di esecuzione ordinando alla società di smettere di ottenere e utilizzare i dati personali dei residenti nel Regno Unito che sono pubblicamente disponibili su Internet e di eliminare i dati dei residenti nel Regno Unito dai suoi sistemi.
L’azione di applicazione dell’ICO arriva dopo un’indagine congiunta con l’Office of the Australian Information Commissioner (OAIC), che si è concentrata sull’uso da parte di Clearview AI Inc delle immagini delle persone, sullo scraping dei dati da Internet e sull’uso dei dati biometrici per il riconoscimento facciale.
Cosa ha fatto Clearview AI?
Secondo l’ICO, Clearview AI ha raccolto oltre 20 miliardi di immagini dei volti e dei dati delle persone da informazioni pubblicamente disponibili su Internet e piattaforme di social media in tutto il mondo per creare un database online. Le persone non sono state informate che le loro immagini venivano raccolte o utilizzate in questo modo.
Come è noto, l’azienda fornisce un servizio che consente ai clienti, compresa la polizia, di caricare un’immagine di una persona sull’app dell’azienda, che viene quindi controllata per una corrispondenza con tutte le immagini nel database.
L’app fornisce quindi un elenco di immagini che hanno caratteristiche simili con la foto fornita dal cliente, con un link ai siti Web da cui provengono tali immagini.
Dato l’elevato numero di utenti di Internet e social media nel Regno Unito, è probabile che il database di Clearview AI Inc includa una notevole quantità di dati dei residenti nel Regno Unito, che sono stati raccolti a loro insaputa.
Sebbene Clearview AI Inc non offra più i suoi servizi alle organizzazioni del Regno Unito, la società ha clienti in altri paesi, quindi la società sta ancora utilizzando i dati personali dei residenti nel Regno Unito.
John Edwards, Commissario per l’informazione del Regno Unito, ha dichiarato: “Clearview AI Inc ha raccolto più immagini di persone in tutto il mondo, incluso il Regno Unito, da una varietà di siti Web e piattaforme di social media, creando un database con oltre 20 miliardi di immagini. L’azienda non solo consente l’identificazione di tali persone, ma monitora efficacemente il loro comportamento e lo offre come servizio commerciale. È inaccettabile. Questo è il motivo per cui abbiamo agito per proteggere le persone nel Regno Unito sia multando la società che emettendo un avviso di esecuzione. Le persone si aspettano che le loro informazioni personali siano rispettate, indipendentemente da dove nel mondo vengono utilizzati i loro dati. Questo è il motivo per cui le aziende globali hanno bisogno di un’applicazione internazionale. Lavorare con colleghi di tutto il mondo ci ha aiutato a intraprendere questa azione e a proteggere le persone da tali attività intrusive. Questa cooperazione internazionale è essenziale per proteggere i diritti alla privacy delle persone nel 2022. Ciò significa lavorare con le autorità di regolamentazione di altri paesi, come abbiamo fatto in questo caso con i nostri colleghi australiani. E significa lavorare con le autorità di regolamentazione in Europa, in modo da poter collaborare per affrontare i danni alla privacy globale”.
I dettagli delle infrazioni rilevate dall’ICO
L’ICO ha rilevato che Clearview AI Inc ha violato le leggi sulla protezione dei dati del Regno Unito per:
- non avere utilizzato le informazioni delle persone nel Regno Unito in modo equo e trasparente, dato che le persone non sono informate o non si aspetterebbero ragionevolmente che i loro dati personali vengano utilizzati in questo modo;
- non avere un motivo legittimo per raccogliere informazioni sulle persone;
- non avere un processo in atto per interrompere la conservazione dei dati a tempo indeterminato;
- mancato rispetto degli standard di protezione dei dati più elevati richiesti per i dati biometrici (classificati come “dati di categoria speciale” ai sensi del GDPR e del GDPR del Regno Unito);
- chiedere ulteriori informazioni personali, comprese le foto, quando richiesto da membri del pubblico se si trovano nel loro database. Ciò potrebbe aver agito come un disincentivo per le persone che desiderano opporsi alla raccolta e all’utilizzo dei propri dati.
L’indagine congiunta è stata condotta in conformità con l’Australian Privacy Act e il Data Protection Act 2018 del Regno Unito. È stato anche condotto nell’ambito del Global Cross Border Enforcement Cooperation Arrangement della Global Privacy Assembly e del MOU tra l’ICO e l’OAIC.
