Garante Privacy sanziona Clearview AI
In un comunicato stampa del 9 marzo il Garante Privacy rende noto di aver imposto una sanzione di 20 milioni di euro alla società americana Clearview AI, per aver realizzato attività di sorveglianza biometrica (riconoscimento facciale) anche di persone che si trovano nel territorio italiano.
La sanzione arriva dopo 1 anno di indagini, scaturite da diversi reclami e anche da due diverse segnalazioni fatte da Privacy Network, il 19 febbraio e il 7 settembre 2021. L’oggetto delle due segnalazioni riguardava la violazione della normativa privacy europea da parte di Clearview AI e un possibile utilizzo del loro software da parte della Polizia di Stato.
Con nota del 19 febbraio 2021, l’associazione, oltre a segnalare i precedenti delle Autorità svedese e tedesca, ha posto all’attenzione dell’Autorità rilevanti criticità riguardo alla base giuridica del trattamento posto in essere da Clearview, nonché relativamente alle procedure adottate dalla società in materia di diritto di accesso (fascicolo n. XX).
Il 7 settembre 2021 la stessa associazione ha inviato un’ulteriore segnalazione con cui ha chiesto all’Ufficio di accertare la fruizione dei servizi offerti da Clearview da parte della Polizia di Stato.
Clearview AI è un’azienda statunitense che ha sviluppato un software di riconoscimento facciale rivolto primariamente alle forze dell’ordine. Il modello di riconoscimento facciale è stato allenato grazie allo scraping (raccolta automatizzata di dati pubblici) di miliardi di fotografie dal web – compresi i principali social network.
Attraverso queste fotografie Clearview AI elabora i relativi dati biometrici, cioè modelli matematici che permettono di riconoscere il viso delle persone a partire da una loro immagine.
Questi dati sono sistematicamente usati dalle forze dell’ordine per identificare le persone nell’ambito di attività giudiziarie e processi decisionali che potrebbero avere anche gravi effetti giuridici.
Tutto questo, nella totale insaputa delle persone.
Fin da subito siamo stati convinti della violazione della normativa europea, e per questo non abbiamo esitato a segnalare il servizio al Garante Privacy. A marzo 2021 Matteo Navacci, co-founder di Privacy Network, si attivò per chiedere l’accesso al database di Clearview AI, scoprendo suo malgrado di esserci finito dentro.
Per mesi abbiamo monitorato le attività dell’azienda, anche grazie a precise inchieste giornalistiche d’oltreoceano. È per questo che a settembre abbiamo deciso di attivarci nuovamente, con una seconda segnalazione, quando abbiamo ricevuto notizia di un possibile uso del software Clearview da parte della Polizia di Stato.
La sanzione a Clearview AI è un grande risultato, e il suo valore va ben oltre quello monetario.
Come commentato su Italian Tech da Diego Dimalta, co-fondatore di Privacy Network, “si tratta di un provvedimento importante, perché decreta una volta per tutte l’illegittimità della pratica dello scraping”.
Per scraping si intende quell’attività di ricerca e acquisizione automatica di dati disponibili pubblicamente su internet, come le fotografie pubblicate sui social network (senza filtri privacy).
I dati in possesso da Clearview sono privi di qualsiasi base giuridica, e pertanto trattati illegalmente. Questo però non sembra preoccupare particolarmente l’azienda, che dichiara di voler arrivare a un database di 100 miliardi di immagini entro fine anno.
Terremo ancora monitorata la situazione, ma per ora festeggiamo questo piccolo grande risultato.