ClearviewAI – chiediamo al Garante Privacy di intervenire
19.02.2021 – Chiediamo al Garante per la Protezione dei Dati di intervenire nei confronti di Clearview AI.
Aggiornamento: il Garante per la Protezione dei Dati ci ha comunicato di aver avviato un’istruttoria su Clearview AI.
Clearview AI è un’azienda statunitense che ha sviluppato un software di riconoscimento facciale rivolto primariamente alle forze dell’ordine.
Il modello di riconoscimento facciale è stato allenato grazie allo scraping (raccolta automatizzata di dati pubblici) di miliardi di fotografie dal web – compresi i principali social network.
Attraverso queste fotografie Clearview AI elabora i relativi dati biometrici, utili a riconoscere le persone a partire da una loro immagine.
Questi dati sono sistematicamente usati dalle forze dell’ordine per identificare le persone nell’ambito di attività giudiziarie e processi decisionali che potrebbero avere anche gravi effetti giuridici.
Tutto questo, nella totale insaputa delle persone.
Siamo convinti che l’attività di Clearview AI sia in totale violazione dei principi fondamentali europei e del Regolamento sulla Protezione dei Dati (GDPR).
Per questo motivo abbiamo deciso di chiedere al Garante per la Protezione dei Dati di intervenire preventivamente e prendere posizione nei confronti di Clearview AI, a tutela dei cittadini italiani.
Il testo integrale della nostra segnalazione al Garante
Illustre Presidente del Garante per la Protezione dei Dati Personali,
scriviamo la presente nella speranza di portare all’attenzione dell’Autorità l’attività di Clearview AI, azienda statunitense famosa per aver sviluppato un innovativo sistema di riconoscimento facciale, rivolto in particolare alle forze dell’ordine.
Siamo fermamente convinti che Clearview AI rappresenti un pericolo per i diritti e libertà dei cittadini europei e italiani, e per questo motivo chiediamoall’Autorità, come meglio specificato in seguito, un’azione preventiva di indagine, che speriamo possa portare ad una chiara presa di posizionenei confronti di Clearview AI.
Nel ringraziarla per l’attenzione, riportiamo di seguito un nostro approfondimento sul tema, in spirito di collaborazione e nella consapevolezza di voler contribuire proattivamente alla difesa dei diritti fondamentali e libertà delle persone.
Il software di riconoscimento facciale
Clearview AI è un innovativo software di riconoscimento facciale sviluppato dall’omonima azienda statunitense.
Il modello di riconoscimento facciale è stato sviluppato grazie all’acquisizione di immagini fotografiche disponibili pubblicamente sul web (c.d. attività di “scraping”).
Come riportato da numerose fonti, il dataset a disposizione di Clearview AI sembrerebbe essere costituito da più di 3 miliardi di fotografie (fonti: 1, 2, 3).
Una volta acquisite le immagini fotografiche il software sviluppato da ClearviewAI provvede ad analizzarle per poi derivare, attraverso modelli matematici, i relativi dati biometrici (hash value).
Il software è primariamente rivolto alle forze dell’ordine, che possono ottenere accesso al software di riconoscimento facciale per identificare le persone attraverso il confronto dei dati biometrici creati a partire dalle loro fotografie.
Il trattamento di dati realizzato da Clearview AI
Crediamo che le modalità di acquisizione di dati di Clearview AI siano una forma di sorveglianza elettronica massiva ed invasiva, in violazione dei principi fondamentali dei cittadini europei e della normativa europea per la protezione dei dati (GDPR)
La software house ha raccolto, e continua a raccogliere, fotografie dal web all’insaputa delle persone raffigurate, per poi elaborare dati biometrici con l’esplicito scopo di renderli accessibili alle forze dell’ordine.
Questi dati sono acquisiti, elaborati e conservati in assenza di adeguate condizioni di liceità, come previsto dagli articoli 6 e 9 del GDPR, ed in assenza di qualsiasi trasparenza in merito al trattamento effettuato
In particolare, è evidente che:
- I dati biometrici elaborati attraverso le immagini acquisite da Clearview AI sono trattati in assenza di consenso del soggetto interessato, e quindi in violazione dell’articolo 9 GDPR, non potendo ragionevolmente sussistere nessun altra condizione di liceità tra quelle previste dallo stesso.
- Il trattamento massivo di dati fatto da Clearview AI è sconosciuto alla maggior parte dei soggetti interessati, che non avendo alcuna informazione in merito al trattamento dei loro dati (biometrici e non) ne perdono completamente il controllo.
- Le poche informazioni fornite da Clearview AI sono incomplete e fuorvianti (4). Sul sito si afferma infatti che “Clearview does not maintain any sort of information other than publicly available photos”. L’affermazione tende a minimizzare ampiamente il trattamento di dati, perché non fa menzione dei dati biometrici, così come dei metadati (descrizioni, tag, ecc.) che accompagnano il dataset (5).
- Nell’ambito di una istanza di accesso ai dati che abbiamo effettuato, è stato richiesto al soggetto interessato, obbligatoriamente, un documento d’identità. Questa prassi dovrebbe essere giustificata da specifiche e comprovate esigenze, e non certo adottata a livello generale, soprattutto considerando la natura del trattamento. Non è chiaro il motivo per cui l’azienda richieda un documento d’identità, posto che in questo caso il documento non influisce sulle capacità di riconoscimento del soggetto interessato.
Cosa è stato già fatto
Diverse Autorità, sia nell’Unione Europea che al di fuori, hanno già contestato a Clearview AI diverse violazioni della normativa e dei diritti fondamentali delle persone.
In particolare:
Autorità di supervisione di Amburgo
Il 27 gennaio 2021, a seguito di un reclamo (6) di un cittadino tedesco, l’Autorità di Amburgo ha ordinato a Clearview AI la cancellazione di ogni dato a lui riferibile, per violazione dell’articolo 9(2)(a) del GDPR. Nel provvedimento, l’Autorità descrive l’attività realizzata come un monitoraggio sistematico dei soggetti interessati
“Clearview AI Inc. is aiming to record the behaviour of individuals and store it in the form of personal data. In particular, it is the purpose of the company to be able to identify individuals. Such identification is possible by storing publications/profiles/accounts of users linked to a photograph, such as in particular in social networks, forums or blogs, in a profile, or at least being able to create a profile of an individual at any time. This subsequent use of personal data processing techniques aimed at profiling is a decisive indicator.
Privacy Commissioner of Canada
Il 3 febbraio 2021 il Privacy Commissioner of Canada ha dichiarato (7) che lo scraping realizzato da Clearview AI rappresenta un’attività di sorveglianza di massa in violazione dei diritti dei cittadini Canadesi:
“Technology company Clearview AI’s scraping of billions of images of people from across the Internet represented mass surveillance and was a clear violation of the privacy rights of Canadians […]
Clearview AI’s technology allowed law enforcement and commercial organizations to match photographs of unknown people against the company’s databank of more than 3 billion images, including of Canadians and children, for investigation purposes. Commissioners found that this creates the risk of significant harm to individuals, the vast majority of whom have never been and will never be implicated in a crime.
The investigation found that Clearview had collected highly sensitive biometric information without the knowledge or consent of individuals. Furthermore, Clearview collected, used and disclosed Canadians’ personal information for inappropriate purposes, which cannot be rendered appropriate via consent.
Autorità di supervisione svedese
Il 10 febbraio 2021 l’Autorità di supervisione svedese ha contestato (8)una violazione del GDPR alla Swedish Police Authority (per l’uso di Clearview AI per l’identificazione di sospetti in più di un’occasione. Pur non avendo preso posizione nei confronti di Clearview AI, il provvedimento rende evidente che l’uso del software si è già diffuso anche tra le forze dell’ordine dell’Unione Europea.
“When using Clearview AI the Police has unlawfully processed biometric data for facial recognition as well as having failed to conduct a data protection impact assessment which this case of processing would require.”
Clearview AI è un pericolo reale per i diritti e libertà dei cittadini italiani ed europei
Clearview AI realizza di fatto un’attività di sorveglianza di massa e monitoraggio sistematico delle persone e dei loro dati biometrici, in violazione dei loro diritti fondamentali, e – per quanto riguarda l’UE – anche in violazione del Regolamento Generale per la protezione dei dati (GDPR).
Se questo non bastasse a rendere particolarmente preoccupante l’opera di Clearview AI, vale la pena ricordare che lo scopo primario dell’azienda è quello di fornire alle forze dell’ordine di tutto il mondo un database di dati biometrici per identificare le persone nel corso delle loro indagini.
Se quanto affermato dal Privacy Commissioner of Canada corrisponde al vero, centinaia di milioni di persone, tra cui anche bambini, sono alla mercè di questo software di riconoscimento facciale e soggette a processi decisionali a loro ignoti, che potrebbero portare anche a decisioni aventi conseguenze giuridiche, senza alcuna trasparenza, tutela o garanzia.
Come noto, l’assenza di tutele o garanzie per i cittadini europei verso le attività di sorveglianza di massa ha recentemente portato la Corte di Giustizia Europea a invalidare il Privacy Shield. Il caso Clearview AI non è molto diverso.
Recentemente, Clearview AI sembrerebbe aver inoltre depositato alcuni brevetti attraverso i quali vorrebbe espandere la propria tecnologia di riconoscimento facciale anche a usi civili, con l’esplicito scopo di implementare un sistema automatizzato di “background check” in tempo reale a partire dai dati biometrici della persona.
“Clearview AI presents a method for providing information about a subject (e.g., a person, an unknown person, a newly met person, a person with deficient memory, a criminal, an intoxicated person, a drug user, a homeless person (9)”.
È chiaro che la diffusione di un software di questo tipo, anche a livello civile, comporterebbe la nascita di gravi rischi sistemici di discriminazione verso le persone che loro malgrado sono finite nel database di Clearview AI, anche attraverso processi decisionali automatizzati che potrebbero avere conseguenze giuridiche o analoghe.
L’alone di mistero che circonda Clearview AI è inaccettabile. Così come è inaccettabile non conoscere l’elenco dei soggetti che ne fanno attivamente uso, anche e soprattutto entro i confini europei.
Cosa chiediamo
Per i motivi esposti chiediamo all’Autorità Garante per la Protezione dei Dati di:
– istruire un’indagine su Clearview AI che possa far luce sulla natura del trattamento e sulla sua estensione – anche al fine di considerare l’uso dei poteri correttivi di cui all’articolo 58(2) del GDPR.
– prendere pubblicamente posizione contro le attività di Clearview AI, similmente a quanto già fatto dal Privacy Commissioner Canadese, in virtù del fatto che tali attività sono assolutamente inconciliabili con i principi della Carta dei Diritti fondamentali dell’Unione Europea, ed in palese violazione del GDPR
– rendere pubblico e accessibile l’elenco dei soggetti che ad oggi hanno accesso a Clearview AI, perlomeno in Italia, anche allo scopo di conoscere le finalità per cui hanno accesso, come peraltro previsto dagli articoli 13, 14 e 15 del GDPR, che prevedono l’obbligo di comunicare ai soggetti interessati informazioni circa i destinatari dei dati.
Lettera inviata al Garante per la Protezione dei Dati il 19.02.2021
Leggi anche il nostro articolo su Wired, dove spieghiamo le ragioni di questa richiesta.