L’Autorità Garante Olandese, all’esito di un’indagine scaturita da alcune segnalazioni da parte dei soggetti interessati, in data 16 maggio 2024 ha ingiunto alla Società statunitense Clearview AI Inc. (“Clearview” o “Società”) il pagamento della somma di euro 30.500.000,00, per aver agito in spregio a quanto disposto dal Regolamento UE 2016/679.
Tale provvedimento è stato preceduto da diverse ordinanze dei garanti europei che hanno riscontrato la violazione del Regolamento da parte della Società (tra cui il provvedimento dell’Autorità di Controllo italiana del 10 febbraio 2022, n. 9751362).
Clearview è una Società statunitense, con sede a New York, che offre servizi aventi ad oggetto il riconoscimento facciale principalmente a forze dell’ordine.
La Società utilizza un algoritmo in grado di analizzare il volto all’interno di un’immagine, attribuendogli un codice univoco (c.d. “vettore”) generato secondo parametri specifici basati sulle caratteristiche fisiche del soggetto. Tale operazione consente il riconoscimento del medesimo volto e, dunque, del medesimo individuo, presente in differenti immagini, in ragione della corrispondenza (o affinità) dei vettori rilevati.
Ciò premesso, Clearview ha creato un database composto da 30 miliardi di foto, provenienti da fonti accessibili al pubblico (tra cui social media e siti professionali), senza aver impostato alcun limite in termini di posizione geografica o nazionalità. All’interno del database, oltre all’immagine che raffigura il volto, vengono salvate la URL della pagina web della foto e i metadati della stessa (tra cui, ad esempio, data e ora dello scatto).
Il servizio offerto da Clearview ai propri clienti (tra cui autorità governative e investigative) consente agli stessi di caricare una immagine digitale dell’individuo oggetto di ricerca, al fine di verificare la presenza, all’interno del database di Clearview, di ulteriori immagini del medesimo soggetto. Ove il sistema progettato dalla Società americana rilevi una corrispondenza tra il volto ricercato e le immagini presenti nel proprio database, queste ultime sono trasmesse all’utente del servizio, unitamente all’indicazione dell’URL ove l’immagine è stata individuata e raccolta.
Applicabilità della normativa europea
In primo luogo, l’Autorità Garante olandese ha rilevato che i trattamenti di dati personali posti in essere da Clearview rientrano nell’ambito di applicazione del GDPR per i seguenti motivi:
- Le foto, i metadati ad esse relativi e la fonte delle foto (gli URL) rientrano nella categoria di “dati personali” ai sensi dell’articolo 4, par. 1, n. 1 del GDPR.
- I vettori creati dall’algoritmo rientrano nella categoria di “dati biometrici” ai sensi dell’art. 4, par. 1, n. 14, in quanto consentono un’identificazione univoca partendo dall’analisi di caratteristiche fisiche del soggetto interessato.
- Il servizio offerto da Clearview consiste nella raccolta, archiviazione, aggiornamento di dati personali e nella loro fornitura a soggetti terzi, pertanto, la Società pone in essere un “trattamento” ai sensi dell’art. 4, par. 1, n. 2 del GDPR.
- I dati personali trattati riguardano soggetti interessati che si trovano all’interno dell’Unione Europea trovando applicazione la disciplina in materia di protezione dei dati personali. Come ricostruito dall’Autorità, il GDPR si applica a Clearview anche se la stessa ha sede negli Stati Uniti, poiché quest’ultima ha attuato un’attività che comporta il monitoraggio di soggetti interessati all’interno dell’Unione Europea. Il monitoraggio dal fatto che i dati in possesso di Clearview sono costantemente aggiornati e consentono, in fase di consultazione, di rilevare il comportamento degli interessati (in relazione ad esempio allo stato di relazione dell’individuo, allo stato genitoriale, al luogo di residenza, all’uso dei social media, alle abitudini, etc. …), al fine di consentire, agli utenti del servizio (autorità governative e investigative) di analizzare il comportamento rilevato e prendere delle decisioni conseguenti.
- La Società, pur offrendo i propri servizi a difensori pubblici e forze dell’ordine, è da considerarsi un soggetto privato, non trovando applicazione l’eccezione di cui all’art. 2, par. 2, let. d) del GDPR.
Evidenziata l’applicabilità del GDPR alle attività di trattamento di dati personali realizzate dalla Società statunitense, l’Autorità Garante olandese, ad esito della propria istruttoria, ha riscontrato una serie di gravi violazioni in tema di: liceità del trattamento; violazione del principio di trasparenza; mancato riscontro a richieste degli interessati e mancata nomina di un rappresentante all’interno dell’Unione Europea.
Liceità del trattamento
In secondo luogo, l’Autorità ha rilevato la mancanza di un’idonea base giuridica del trattamento. La Società statunitense ha fondato il trattamento dei dati personali sulla sussistenza di un legittimo interesse, tuttavia, l’Autorità ha osservato che:
- Il trattamento di dati personali costituisce l’oggetto del servizio fornito da Clearview, l’interesse della Società è quello volto allo svolgimento delle operazioni commerciali oggetto del proprio core business e non può essere identificato con un interesse legittimo ai sensi dell’art. 6, par. 1, let. f) del GDPR. La libertà di perseguire un interesse commerciale non può comprendere attività che comportano la violazione di diritti fondamentali altrui.
- Considerata l’assenza di limiti alla raccolta delle immagini dal web, il trattamento dei dati non può considerarsi limitato a quanto strettamente necessario. A ciò si aggiunga la mancata di individuazione di un periodo di cancellazione di tali dati che sono conservati a tempo indeterminato.
- Il perseguimento di un legittimo interesse non può che fondarsi su un’adeguata valutazione e bilanciamento degli interessi coinvolti. In particolare, nella fattispecie in esame, gli interessi, i diritti e le libertà fondamentali degli interessati prevalgono sugli interessi commerciali di Clearview. Tale conclusione, alla quale è giunta l’Autorità, deriva dalle seguenti considerazioni:
- la gravità della violazione dei diritti e delle libertà fondamentali degli interessati realizzata da Clearview, tenuta in considerazione la natura dei dati personali trattati (tra cui rientrano dati particolari), le modalità di trattamento e le modalità di accesso ai dati;
- gli interessati le cui immagini sono state oggetto di raccolta da parte della Società statunitense non potevano in alcun modo attendersi un simile trattamento dei propri dati, in mancanza di un rapporto di qualsivoglia natura con Clearview;
- Clearview non ha attuato adeguate misure di protezione volte a ridurre l’impatto sugli interessati derivante dal trattamento dei loro dati personali.
Anche in relazione alle categorie particolari di dati personali trattati da Clearview (i dati biometrici), l’Autorità ha rilevato la mancanza di un’idonea base giuridica. Come noto, il trattamento di tali categorie di dati è generalmente vietato. Tali dati possono dunque essere trattati esclusivamente al ricorrere di specifiche condizioni di cui all’art. 9, par. 2, del GDPR.
Nel caso in esame, l’Autorità ha evidenziato che solo due delle eccezioni di cui al summenzionato articolo avrebbero potuto trovare applicazione, ossia: (i) il caso in cui l’interessato abbia esplicitamente manifestato il proprio consenso al trattamento o, (ii) il caso in cui il trattamento riguardi dati resi manifestamente pubblici dall’interessato.
Ciò premesso, con riguardo al primo punto, l’Autorità non ha rilevato la registrazione di alcun consenso da parte degli interessati i cui dati sono stati oggetto di trattamento; con riguardo al secondo punto, l’Autorità ha ritenuto che la sola circostanza che i dati personali trattati fossero reperibili online, non potesse significare che gli interessati avessero l’intenzione di rendere tutti quei dati accessibili al pubblico in generale.
Violazione del principio di trasparenza
In terzo luogo, l’Autorità ha rilevato la violazione del principio di trasparenza, in forza del quale la Società avrebbe dovuto fornire agli interessati le informazioni di cui all’art. 14 del GDPR e, in particolare:
- La base giuridica del trattamento;
- Il periodo di conservazione;
- Le categorie di destinatari dei dati personali;
- Il trasferimento dei dati personali a destinatari in paesi al di fuori dell’Unione Europea e il riferimento alle garanzie adeguate;
- I diritti degli interessati;
- Il diritto di proporre un reclamo all’autorità di controllo;
- La fonte da cui hanno origine i dati personali.
Mancato riscontro a richieste degli interessati
Nel corso della propria istruttoria l’Autorità ha, inoltre, rilevato che due richieste di esercizio di diritti da parte degli interessati sono rimaste inevase. La Società si è, dunque, resa responsabile della violazione dell’art. 12, par. 2, del GDPR, secondo il quale “il titolare del trattamento agevola l’esercizio dei diritti dell’interessato ai sensi degli articoli da 15 a 22”.
In particolare è stata rilevato il mancato riscontro a due esercizi di diritto di accesso, avanzate ai sensi dell’art. 15 del GDPR, in forza del quale gli interessati hanno diritto di ottenere dal titolare del trattamento la conferma che sia o meno incorso un trattamento di dati personali che li riguardano e, in tal caso, di ottenere accesso a una serie di informazioni.
Mancata nomina di un rappresentante all’interno dell’Unione Europea
Da ultimo, l’Autorità ha rilevato la mancata designazione di un rappresentante all’interno dell’Unione Europea ai sensi dell’art. 27 del GDPR. Secondo il Garante Clearview avrebbe dovuto nominare un rappresentante in considerazione della natura dell’attività svolta, che consiste nel monitoraggio del comportamento di interessati che si trovano all’interno dell’Unione.
*** *** ***
Alla luce di quanto sin qui esposto, il Garante olandese ha ingiunto a Clearview il pagamento di una sanzione amministrativa di euro 30.500.000,00.
