L’Autorità olandese per la protezione dei dati – Dutch Protection Agency – ha annunciato una pesante multa di 30,5 milioni di euro nei confronti di Clearview AI, una società americana nota per i suoi servizi di riconoscimento facciale. L’azienda è stata al centro delle critiche per aver creato un enorme database di immagini raccolte in modo non del tutto trasparente da piattaforme social.
La vicenda
Secondo la DPA, Clearview AI ha costruito un archivio illegale contenente codici biometrici univoci collegati alle immagini acquisite, violando le normative europee. L’autorità ha contestato all’azienda di non aver fornito adeguate informazioni alle persone i cui volti sono presenti nel database, che conta oltre 30 miliardi di foto, in merito all’uso dei loro dati biometrici. Questa mancanza di trasparenza ha portato a gravi preoccupazioni in merito alla privacy.
Nonostante l’avvio delle indagini da parte delle autorità olandesi, Clearview AI avrebbe continuato la sua attività senza modificare il proprio comportamento. Per questo motivo, la DPA ha avvertito la società del rischio di un’ulteriore sanzione aggiuntiva fino a 5,1 milioni di euro.
Il presidente dell’autorità, Aleid Wolfsen, ha inoltre dichiarato che i dirigenti della società potrebbero essere ritenuti personalmente responsabili se dovesse emergere che fossero consapevoli delle violazioni del GDPR e non abbiano intrapreso misure per contrastarle.
Secondo la DPA, Clearview AI non ha presentato ricorso formale contro la decisione, motivo per cui non è possibile appellarsi alla multa. Tuttavia, l’azienda ha rilasciato una dichiarazione attraverso il suo responsabile legale, Jack Mulcaire, affermando che la sanzione è priva di fondamento legale.
Mulcaire ha sostenuto che Clearview AI non ha una sede né clienti nei Paesi Bassi o in Europa, e che non svolge attività che la rendano soggetta al Regolamento generale sulla protezione dei dati. Pertanto, la società ritiene la decisione illegittima e non applicabile.
Tuttavia, Clearview AI non è nuova a problemi con le autorità di regolamentazione. In passato, l’azienda era già stata sanzionata in altri paesi, tra cui Regno Unito, Australia, Francia e Italia, e le è stato ordinato di cancellare i dati raccolti riguardanti i residenti di questi stati. Questo dimostra come le pratiche della società siano state ripetutamente considerate illegali in diverse giurisdizioni.
GDPR: violazioni commesse
Da questo caso si evincono numerose violazioni in materia di protezione dati.
Clearview AI è stata accusata di violare il GDPR, raccogliendo e conservando codici biometrici univoci senza il consenso degli individui coinvolti e senza informare adeguatamente le persone sull’uso delle loro immagini e dati biometrici. Questo rappresenta una violazione diretta del principio di trasparenza e consenso, che sono pilastri fondamentali del GDPR.
Un altro aspetto critico evidenziato riguarda la mancata comunicazione alle persone coinvolte, i cui volti sono presenti nel database. Il GDPR impone che le aziende informino chiaramente gli individui su come vengono trattati i loro dati personali, soprattutto in un contesto sensibile come quello dei dati biometrici. Clearview AI non ha rispettato questa disposizione, aggravando la sua posizione.
Pertanto, la multa di 30,5 milioni di euro inflitta a Clearview AI dimostra la severità delle penalità per il mancato rispetto del regolamento. Inoltre, il fatto che la DPA olandese menzioni la possibile responsabilità personale dei dirigenti evidenzia come il GDPR possa estendere la sua applicabilità anche a singoli responsabili all’interno delle aziende.
Nonostante le dichiarazioni di Clearview AI, la DPA ha ribadito la sua determinazione nel trovare soluzioni per fermare le violazioni commesse dall’azienda. L’autorità ha infatti sottolineato che Clearview non ha modificato il proprio comportamento nonostante le precedenti sanzioni ricevute. Pertanto l’Autorità olandese ha intenzione di proseguire con azioni che garantiscano il rispetto delle normative europee sulla privacy.