11 March, 2022

Milioni di italiani schedati a loro insaputa tramite il riconoscimento facciale

Clearview AI è una società con sede legale negli Stati Uniti, operante nel settore IT che fornisce software di riconoscimento facciale, il quale - stando a quanto sostiene l'azienda stessa - viene commercializzato principalmente per le forze dell'ordine.

Vantandosi di possedere un database di oltre 10 miliardi di immagini di volti di persone di tutto il mondo, Clearview AI ha messo in atto un vero e proprio monitoraggio posto in essere attraverso tecnologie di intelligenza artificiale basate sul riconoscimento facciale, e per questo di recente la società statunitense era finito nel mirino delle autorità per la privacy di Francia e Regno Unito. Ma ora è il Garante per la protezione dei dati personali ad intervenire in modo risoluto a tutela degli utenti che si trovano sul territorio italiano con una maxi sanzione da 20 milioni di euro.

La raccolta massiva e indiscriminata delle immagini dei volti degli utenti spiati a loro insaputa, è stata realizzata da Clearview estraendo tonnellate di dati da fonti web pubbliche tramite una vera e propria pesca a strascico (web scraping) attingendo a profili social, siti di informazioni e video pubblicati online.

Con il servizio principalmente destinato a forze di polizia e agenzie governative di diverse nazioni, gli algoritmi di Cleraview consentono inoltre alla società di creare profili basati sui dati biometrici estratti dalle immagini, eventualmente arricchiti da altre informazioni ad esse correlate, come titolo e geolocalizzazione della foto, pagina web di pubblicazione, creando così i presupposti per una schedatura di massa degli utenti.

Dall’istruttoria del Garante per la Privacy, attivata anche a seguito di reclami e segnalazioni, è emerso che Clearview AI, diversamente da quanto aveva affermato, consente il tracciamento anche di cittadini italiani e di persone collocate in Italia.

Come sottolinea l’Autorità nel proprio provvedimento sanzionatorio, “le risultanze hanno rivelato che i dati personali detenuti dalla società, inclusi quelli biometrici e di geolocalizzazione, sono trattati illecitamente, senza un’adeguata base giuridica, che non può sicuramente essere il legittimo interesse della società americana”.

La società Clearview AI ha inoltre, violato altri principi base del Gdpr, come quelli relativi agli obblighi di trasparenza, non avendo adeguatamente informato gli utenti, di limitazione delle finalità del trattamento, avendo utilizzato i dati degli utenti per scopi diversi rispetto a quelli per i quali erano stati pubblicati online e di limitazione della conservazione, e non avendo stabilito tempi di conservazione dei dati.

Poiché l’attività illecita di Clearview AI si pone pertanto in violazione delle libertà degli interessati, tra cui la tutela della riservatezza e il diritto a non essere discriminati, il Garante ha quindi inflitto una sanzione amministrativa di 20 milioni di euro a Clearview AI, ordinando inoltre alla società di cancellare i dati relativi a persone che si trovano in Italia e vietandone l’ulteriore raccolta e trattamento attraverso il suo sistema di riconoscimento facciale, imponendo anche alla società con sede negli Usa di designare un rappresentante nel territorio dell’Unione europea che funga da interlocutore per agevolare l’esercizio dei diritti degli interessati.

L’Avv. Guido Scorza, componente dell’Autorità per la protezione dei dati personali ha commentato così il provvedimento adottato contro Clearview AI: “Abbiamo messo nero su bianco una volta di più che non si può cedere al principio secondo il quale il fine giustificherebbe i mezzi, e ciò che è tecnologicamente possibile debba considerarsi anche giuridicamente legittimo e democraticamente sostenibile. Non si può travolgere il diritto alla privacy di miliardi di persone in tutto il mondo in nome di una di una semplice ambizione (lontana peraltro dal potersi considerarsi scientificamente provata) di assicurare alla giustizia un criminale in più”.

Mentre si attende il regolamento sull’Intelligenza Artificiale che dovrebbe essere introdotto nell’UE, ora resta da vedere come procederanno le altre autorità di controllo europee nei confronti di Clearview AI, in particolar modo quella inglese (ICO) che di recente ha minacciato una sanzione da 17 milioni di sterline, e quella francese (CNIL) che il 16 dicembre 2021 aveva dato l’ultimatum alla società americana, concedendole due mesi di tempo per cessare la raccolta delle immagini e cancellare tutti i dati dei cittadini francesi. Anche perché il tempo è ormai scaduto, e i guai per Clearview potrebbero essere tutt’altro che finiti.

News ripresa da Federprivacy