Clearview AI vanta una piattaforma di riconoscimento facciale, alimentata da automatismi intesi al sistematico rastrellamento di immagini da Internet, grazie a cui offre servizi di corrispondenza algoritmica delle identità – tramite facial recognition – alle forze dell’ordine e ad aziende private. Grazie ad avanzate tecniche di web scraping e all’elaborazione tramite sistemi di intelligenza artificiale, Clearview AI crea profili basati sui dati biometrici estratti da foto e video pubblicati in Rete, eventualmente arricchiti da altre informazioni ad esse correlate, come titolo e geolocalizzazione della foto, pagina web di pubblicazione. Un database, a detta della società stessa, da oltre 10 miliardi di immagini di volti di persone di tutto il mondo con un tasso di accuratezza di riconoscimento che oscilla tra il 98,6% e il 100%.
Trattasi, tuttavia, di un business che contrasta palesemente con le regole GDPR poste dalla UE a protezione dei dati personali dei propri cittadini.
A seguito di una denuncia presentata da Homo Digitalis nel maggio 2021, l’Autorità ellenica per la protezione dei dati (HDPA) ha emesso il 13 luglio scorso la decisione 35/2022 che impone una multa di 20 milioni di euro all’azienda statunitense. Si tratta della più alta multa per il GDPR mai comminata dalla DPA ellenica. Con la stessa decisione, l’autorità per la protezione dei dati vieta all’azienda di raccogliere e trattare i dati personali degli interessati situati in Grecia utilizzando metodi di riconoscimento facciale e le impone di cancellare immediatamente i dati già raccolti.
Non è la prima decisione di questo segno assunta nel vecchio continente e probabilmente non sarà l’ultima. A fine 2021, il CNIL francese ha emesso ordinanza di ingiunzione per la cancellazione di tutti i dati degli individui transalpini. Ad inizio 2022, l’ICO del Regno Unito (che nonostante la Brexit mantiene saldi i principi GDPR) ha irrogato una multa da 7.5 mln di sterline mentre il Garante Privacy italiano comminava una sanzione da 20 mln di Euro adducendo – similmente a quanto poi sostenuto dalla DPA ellenica – che “I dati personali detenuti dalla società, inclusi quelli biometrici e di geolocalizzazione, sono trattati illecitamente, senza un’adeguata base giuridica, che non può sicuramente essere il legittimo interesse della società americana. La società ha, inoltre, violato altri principi base del GDPR, come quelli relativi agli obblighi di trasparenza, non avendo adeguatamente informato gli utenti, di limitazione delle finalità del trattamento, avendo utilizzato i dati degli utenti per scopi diversi rispetto a quelli per i quali erano stati pubblicati online e di limitazione della conservazione, non avendo stabilito tempi di conservazione dei dati. L’attività di Clearview AI, pertanto, si pone in violazione delle libertà degli interessati, tra cui la tutela della riservatezza e il diritto a non essere discriminati”.
E’ prevedibile che altri Stati membri interverranno sulla falsa riga di queste decisioni. E nemmeno i clienti UE di Clearview AI potranno stare tranquilli. La DPA svedese ha multato nel 2021 l’autorità di polizia locale per 250.000 euro a causa dell’uso illegale del servizio in violazione della normativa di privacy.
