g-docweb-display Portlet

Riconoscimento facciale: il Garante privacy sanziona Clearview per 20 milioni di euro. Vietato l’uso dei dati biometrici e il monitoraggio degli italiani

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 


- English version

 

Riconoscimento facciale: il Garante privacy sanziona Clearview per 20 milioni di euro
Vietato l’uso dei dati biometrici e il monitoraggio degli italiani

Il Garante per la protezione dei dati personali ha imposto una sanzione di 20 milioni di euro alla società americana Clearview AI, per aver messo in atto un vero e proprio monitoraggio biometrico anche di persone che si trovano nel territorio italiano.

La Società - che dichiara di possedere un database di oltre 10 miliardi di immagini di volti di persone di tutto il mondo, estratte da fonti web pubbliche tramite web scraping (come siti di informazione, social media e video online) - offre un servizio di ricerca altamente qualificata che, grazie a sistemi di intelligenza artificiale, consente la creazione di profili basati sui dati biometrici estratti dalle immagini, eventualmente arricchiti da altre informazioni ad esse correlate, come titolo e geolocalizzazione della foto, pagina web di pubblicazione.

Dall’istruttoria del Garante, attivata anche a seguito di reclami e segnalazioni, è emerso che Clearview AI, diversamente da quanto affermato dalla società, consente il tracciamento anche di cittadini italiani e di persone collocate in Italia. Le risultanze hanno rivelato che i dati personali detenuti dalla società, inclusi quelli biometrici e di geolocalizzazione, sono trattati illecitamente, senza un’adeguata base giuridica, che non può sicuramente essere il legittimo interesse della società americana. La società ha, inoltre, violato altri principi base del GDPR, come quelli relativi agli obblighi di trasparenza, non avendo adeguatamente informato gli utenti, di limitazione delle finalità del trattamento, avendo utilizzato i dati degli utenti per scopi diversi rispetto a quelli per i quali erano stati pubblicati online e di limitazione della conservazione, non avendo stabilito tempi di conservazione dei dati. L’attività di Clearview AI, pertanto, si pone in violazione delle libertà degli interessati, tra cui la tutela della riservatezza e il diritto a non essere discriminati.

Alla luce delle violazioni riscontrate, il Garante ha comminato a Clearview AI una sanzione amministrativa di 20 milioni di euro. L’Autorità ha, inoltre, ordinato alla società di cancellare i dati relativi a persone che si trovano in Italia e ne ha vietato l’ulteriore raccolta e trattamento attraverso il suo sistema di riconoscimento facciale.

Il Garante ha infine imposto a Clearview AI di designare un rappresentante nel territorio dell’Unione europea che funga da interlocutore, in aggiunta o in sostituzione del titolare del trattamento dei dati con sede negli Stati Uniti, al fine di agevolare l’esercizio dei diritti degli interessati.

Roma, 9 marzo 2022

 

___________

Facial recognition: Italian SA fines Clearview AI eur 20 million
Bans use of biometric data and monitoring of Italian data subjects

The Italian SA (Garante per la protezione dei dati personali) fined the US-based company Clearview AI EUR 20 million after finding it applied what amounted to biometric monitoring techniques also to individuals in the Italian territory.

The company reportedly owns a database including over 10 billion facial images from all over the world, which are extracted from public web sources (media outlets, social media, online videos) via web scraping. It offers a sophisticated search service which allows, through AI systems, creating profiles on the basis of the biometric data extracted from the images. The profiles can be enriched by information linked to those images such as image tags and geolocation or the source web pages.

The Italian SA’s inquiries were started also following complaints and alerts and found that Clearview AI – contrary to what was alleged – allows tracking Italian nationals and persons located in Italy. The findings showed that the personal data held by the company, including biometric and geolocation information, were processed unlawfully without an appropriate legal basis – since the legitimate interest of the US-based company does not qualify as such. Additionally, the company infringed several fundamental principles of the GDPR including transparency – as it failed to adequately inform users -, purpose limitation – as it processed users’ data for purposes other than those for which they had been made available online -, and storage limitation – as it did not set out any data storage period. Thus, Clearview AI is violating data subjects’ freedoms including the protection of privacy and non-discrimination.

Based on the infringements found, the Italian SA fined Clearview AI EUR 20 million and ordered the company to erase the data relating to individuals in Italy; it banned any further collection and processing of the data through the company’s facial recognition system.

Clearview AI was finally ordered by the Italian SA to designate a representative in the EU to be addressed in addition to or instead of the US-based controller in order to facilitate exercise of data subject rights.

Rome, 9 March 2022