Durissima la risposta dell’Autorità Italiana nei confronti della società statunitense Clearview AI Inc. che, con Ordinanza del 10.02.2022, si è vista infliggere una sanzione di 20 milioni di Euro per aver violato gli articoli 5, 6, 9, 12, 13, 14, 15 e 27 del Regolamento UE in materia di protezione dei dati personali (GDPR).
Il procedimento è nato da una complessa istruttoria condotta con l’assistenza di altre autorità europee e avviata d’ufficio a carico di Clearview AI Inc. In particolare, Clearview è una società statunitense che ha sviluppato un software di riconoscimento facciale e di ricerca biometrica altamente qualificata, prevalentemente destinata a specifiche categorie di clienti come le forze dell’ordine o le autorità governative.
In sintesi, il programma di Clearview raccoglie in modo automatizzato, mediante web scraping, le immagini pubblicamente accessibili in rete (inclusi social network, siti, blog e video) e le salva su un proprio database, dove rimangono anche se le immagini originarie vengono successivamente rimosse o rese private.
Le immagini vengono poi elaborate al fine di estrarre le caratteristiche identificative di ognuna di esse e, successivamente, trasformate in rappresentazioni vettoriali che ricalcano le diverse linee uniche di un volto umano, per poi essere sottoposte ad hashing con finalità di indicizzazione del database.
Ogni immagine viene poi arricchita da ulteriori metadati, come il link della fonte da cui è stata estratta, la geolocalizzazione, il genere, la data di nascita o la nazionalità del soggetto rappresentato nell’immagine. Detto altrimenti, Clearview crea dei modelli biometrici associati ad una sorta di impronta digitale facciale (image hash) che agevola l’attività di indicizzazione e comparazione con i campioni di riferimento oggetto di ricerca.
Così, quando un cliente di Clearview interroga la piattaforma sottoponendogli un’immagine da ricercare, questa viene confrontata con le immagini salvate nel database e, se il software identifica una corrispondenza, estrae tutte le relative immagini e le presenta al cliente insieme a tutti i metadati e ai link associati.
Dall’istruttoria condotta dal Garante, è stata accertata la creazione di un database con oltre 10 miliardi di immagini facciali messe a disposizione dei clienti di Clearview. Il tutto all’insaputa degli utenti, anche italiani.
Nel corso del procedimento, Clearview si è difesa sostenendo, tra l’altro, che il programma svolgesse un’attività di mera classificazione delle immagini reperite pubblicamente, negando di essere soggetta alla giurisdizione del Garante italiano, dal momento che non ha né clienti né sedi in Italia e negando di essere titolare del trattamento, perché tale ruolo sarebbe stato da ricondurre solo ai clienti utilizzatori della piattaforma, ossia forze dell’ordine e soggetti pubblici.
Il Garante ha ritenuto che le argomentazioni della società americana fossero prive di fondamento.
In primo luogo, ha ricordato come la pubblica disponibilità di dati in rete non implica, di per sé, la legittimità della loro raccolta e del loro riutilizzo da parte di terzi, perché la pubblicazione è vincolata al mero scopo per cui l’interessato ha inteso diffonderli (ad esempio, la visibilità nell’ambito di un particolare social network).
Inoltre, “l’eventuale natura pubblica delle immagini non è sufficiente a far ritenere che gli interessati possano ragionevolmente attendersi un utilizzo per finalità di riconoscimento facciale, per giunta da parte di una piattaforma privata, non stabilita nell’Unione e della cui esistenza ed attività la maggior parte degli interessati è ignaro”.
Ad avviso del Garante, l’attività di web scraping posta in essere da Clearview integra un’operazione di raccolta di dati personali sui quali vengono effettuate ulteriori operazioni di trattamento, cioè l’interconnessione dei dati immagine, comuni e biometrici, con i metadati raccolti, conservati e associati alle immagini facciali. Tale attività fa sorgere in capo a Clearview la qualità di titolare del trattamento e pertanto avrebbe dovuto conformarsi rigorosamente a quanto previsto dal Regolamento UE in materia di dati personali.
Al riguardo, il Garante ha accertato l’illiceità dei trattamenti posti in essere da Clearview e la violazione di molteplici prescrizioni del Regolamento. In particolare, le condotte di Clearview sono risultate contrarie ai principi di liceità, correttezza e trasparenza nel trattamento dei dati, dal momento che gli interessati non hanno avuto alcun contatto con la società, non sono stati informati dell’attività svolta dalla stessa, né sono stati destinatari di alcuna informazione o richiesta di consenso.
Infine, è stato documentato l’invio di numerosi reclami e richieste di informazioni da parte degli interessati, anche italiani, ai quali però Clearview non aveva dato un riscontro esaustivo. Anche tale condotta è stata ritenuta illecita, poiché ha determinato la sostanziale impossibilità per gli interessati di conoscere le informazioni che li riguardavano o di ottenerne la cancellazione.
Ed è stata anche questa circostanza a fondare la giurisdizione del Garante Italiano: il Garante ha potuto affermare la propria competenza a giudicare e sanzionare le condotte di Clearview proprio perché è stata dimostrata la raccolta di dati di soggetti che si trovano nell’Unione Europea e, in particolare, in Italia.
Ilaria Feriti