Non tutto quello che è tecnicamente possibile è giuridicamente ed eticamente lecito.” Sono queste le parole con cui Guido Scorza, componente del Garante Privacy, ha commentato la sanzione da 20 milioni di euro inflitta dal Garante Privacy lo scorso febbraio alla società statunitense Clearview AI Inc. con riferimento al servizio di riconoscimento facciale offerto da tale società.

(A QUESTO LINK è disponibile il testo della sanzione)

Il servizio oggetto di condanna si basava sul database aziendale creato grazie alla raccolta e alla successiva elaborazione in dati biometrici di miliardi di immagini facciali presenti sul web da fonti pubblicamente accessibili. All’interno di tale database erano incluse anche le immagini di soggetti che si trovavano nel territorio italiano, tra cui quelle che avevano fatto istanza per accedere ai propri dati personali alla società americana Clearview AI Inc..

La piattaforma di riconoscimento facciale

La piattaforma sviluppata da Clearview consiste in un motore di ricerca, incentrato su una tecnologia di machine learning oggetto di una richiesta di brevetto, che permette al cliente del servizio di trovare le immagini facciali relative al soggetto ricercato all’interno del database creato da tale società.

Nello specifico, tale piattaforma si basava su un database di oltre 10 miliardi di immagini facciali che, raccolte in Internet (es. social network, blog, siti web in generale, etc.) da fonti pubblicamente accessibili, mediante tecniche di web scraping, venivano sottoposte ad un processo di elaborazione biometrica con successivo hashing per finalità di indicizzazione e ricerca.

Tali immagini, poi elaborate in dati biometrici (venivano utilizzati 512 vettori per identificare le linee uniche di un volto), venivano abbinate a metadati che potevano contenere dati personali idonei a rivelare informazioni particolarmente sensibili, quali l’origine raziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o, ancora, l’appartenenza sindacale o, più semplicemente, il titolo della foto o della pagina web, il link della fonte, la geolocalizzazione, il genere, la data di nascita, la nazionalità e la lingua.

Sulla base della richiesta di un cliente volta ad ottenere le immagini di una determinata persona, poi, il sistema di intelligenza artificiale creato da tale società americana interrogava il proprio database, identificando una corrispondenza tra l’immagine oggetto della richiesta e i propri dati, estraendo tutte le corrispondenti immagini e presentandole al cliente del servizio come risultato della ricerca unitamente ai metadati e ai link associati.

Il servizio di ricerca biometrica così offerto da Clearview AI Inc. non era liberamente accessibile al pubblico, ma, come affermato dalla stessa società, era destinato a determinate categorie di clienti, tra cui forze di polizia e agenzie governative.

Le principali violazioni

Durante la fase istruttoria, la Società ha dichiarato che i servizi relativi alla piattaforma di ricerca biometrica non venivano offerti in Europa e, per tale ragione, non aveva provveduto ad adempiere agli obblighi previsti dalla normativa europea in materia di trattamenti dei dati personali (c.d. “GDPR”) e che, in ogni caso, non offriva tale servizio come titolare del trattamento.

Al contrario, il Garante Privacy ha ritenuto che il servizio in analisi rientrasse nell’ambito di applicazione del GDPR, in quanto:

  • le istanze privacy degli interessati italiani, seppur parzialmente, erano state comunque evase;
  • per stessa ammissione della Società, in passato, il servizio era esteso anche al territorio europeo;
  • altre autorità garanti dell’Unione Europea (Svezia) hanno confermato l’esistenza del trattamento sul territorio dell’Unione.

Inoltre, il Garante Privacy ha confermato che tale società operava quale titolare del trattamento, dal momento che definiva le modalità e le fonti della raccolta di dati, realizzava l’algoritmo da utilizzare per il riconoscimento facciale, determinando anche i parametri per l’indicizzazione delle proprie informazioni e il relativo arricchimento con metadati utili per una maggiore efficacia dei risultati delle proprie ricerche. Vi era altresì una finalità del tutto autonoma rispetto a quella dei clienti, consistente nel rendere disponibile, dietro corrispettivo, informazioni -quali immagini e metadati- utili ai clienti per il perseguimento di finalità diverse ed ulteriori.

L’errata convinzione da parte di Clearview circa l’inapplicabilità della normativa europea ha comportato in capo alla stessa la violazione di una serie di importanti principi e di obblighi previsti dal GDPR, tra cui:

  • il mancato rispetto dei principi di liceità, correttezza e trasparenza, in quanto i soggetti coinvolti non hanno avuto alcun contatto con la Società, non sono stati direttamente o indirettamente informati dell’attività svolta dalla stessa, né sono stati destinatari di alcuna informazione neanche consultando il sito di Clearview;
  • l’inosservanza del principio di limitazione della finalità, poiché, secondo il Garante Privacy, l’eventuale natura pubblica delle immagini presenti online non era sufficiente a far ritenere che gli interessati potessero ragionevolmente attendersi un utilizzo delle stesse per finalità di riconoscimento facciale, per giunta da parte di una piattaforma privata, non stabilita nell’Unione Europea e della cui esistenza la maggior parte degli interessati era ignaro;
  • l’illecito utilizzo del legittimo interesse quale base giuridica dei trattamenti posti in essere dalla Società dal momento che, secondo il Garante Privacy, tali attività implicavano una particolare intrusività nella sfera privata degli individui, tale per cui l’interesse legittimo invocato dalla stessa, e costituito da un mero fine di lucro, non poteva prevalere rispetto ai diritti e alle libertà degli interessati;
  • il mancato riferimento nell’informativa privacy al GDPR e alle principali informazioni richieste da tale normativa;
  • le informazioni rese agli interessati che hanno esercitato i loro diritti privacy nei confronti di tale società, non sono state fornite in maniera esaustiva ed entro i termini di legge;
  • la mancata designazione da parte del titolare del trattamento americano di un rappresentante nell’Unione Europea.

Alla luce delle violazioni riscontrate, il Garante Privacy ha comminato a Clearview una sanzione amministrativa di 20 milioni di euro. L’Autorità, inoltre, ha ordinato alla società di cancellare i dati relativi alle persone che si trovano in Italia e ne ha vietato l’ulteriore raccolta e trattamento attraverso il suo sistema di riconoscimento facciale.

La decisione del Garante Privacy non è isolata: l’autorità per la protezione dei dati Canadese (“OPC”) ha anch’essa condannato Clearview AI Inc. per non aver ottenuto il consenso al trattamento dei dati nell’ambito del medesimo servizio di riconoscimento facciale (le immagini presenti online, secondo l’OPC, non potevano infatti essere liberamente trattate sulla base dell’eccezione della pubblicità del dato); allo stesso modo, l’autorità Britannica e quella Australiana, nell’ambito di un’indagine congiunta, AI Inc., come la Svezia hanno considerato illegittimo tale trattamento.

Conclusioni

Nel condannare fermamente l’attività di riconoscimento facciale posta in essere in assenza delle opportune tutele previste per il trattamento dei dati personali, il provvedimento rappresenta altresì un importante precedente in tema di web scraping, avendo il Garante Privacy affermato chela raccolta di dati personali liberamente disponibili in Internet mediante tecniche di web scraping” “costituisce un trattamento di dati personali, che deve trovare legittimazione in una delle basi giuridiche previste dall’art. 6 del Regolamento.” per poi precisare che, nel caso della attività posta in essere Clearview AI Inc., il web scraping non poteva considerarsi lecito in quanto il legittimo interesse non poteva definirsi quale idonea base giuridica e, tra l’altro, mancava del detto la trasparenza nel rapporto con gli interessati.

La decisione del Garante Privacy sul servizio offerto da Clearview AI Inc. non comporta, tout court, il divieto di utilizzo di sistemi di riconoscimento facciale, che, in base alla normativa vigente, possono essere utilizzati entro certi limiti e a determinate condizioni. Il team Privacy di RP Legal & Tax è a disposizione dei clienti per approfondire tale tematica o analizzare la liceità del sistema aziendale in uso.