Nuovo stop in Italia al riconoscimento facciale: il Garante privacy ha sanzionato Cleview per 20 milioni di euro.

ClearView, il software della discordia

Prima di tutto le presentazioni: ClearView AI è una startup statunitense creata da Hoan Ton-That, un ingegnere autodidatta australiano. Esegue lo scraping delle immagini che gli utenti pubblicanosui social e in generale sul web per offrire a privati e forze dell'ordine un servizio di riconoscimento facciale. Con questa tecnica, la startup ha messo insieme un databse di oltre 10 miliardi di foto. Per fare qualche paragone, il database dell'FBI ha soltanto 411 milioni di foto. Il New York Times ha anche pubblicato una lunga inchiesta sul questo software, che può essere utilizzato anche con occhiali a realtà aumentata. In pratica un utente potrebbe identificare qualsiasi persona che osserva.

L'uso del software, la cui clientela è segreta (anche se qualche anno fa l'azienda ha subito un attacco informatico che ha portato al furto della lista dei clienti), desta molte critiche. Da un lato il problema dell'efficacia dell'algoritmo di riconoscimento facciale e dei falsi positivi, dall'altro il problema che ha fatto imbufalire le big tech. Clearview infatti "saccheggia" abbondantemente da social come Facebook, Twitter, Youtube ecc e tutte hanno minacciato o intentato azioni legali contro la startup. Infine il tema legale: è legittimo scandagliare fonti pubbliche nel web per raccogliere quelli che sono a tutti gli effetti i dati biometrici, sensibili e personali?

In Italia il sistema non è in uso e la legge attuale formalmente lo vieterebbe.

Per saperne di più > Riconoscimento facciale: l’Italia tra i primi paesi a vietarlo

L'istruttoria del Garante Privacy

L'istruttoria del Garante origina da più segnalazioni e reclami contro questo software. Alla richiesta di chiarimenti e informazioni, la società avrebbe risposto al Garante sostenendo:

• la non appliciabilità del GDPR e quindi la carenza di giurisdizione del Garante italiano. L'azienda ha sede negli Stati Uniti e non ha filiali europee;
• di non offrire servizi in Italia, avendo adottato misure come il blocco alla piattaforma di indirizzi IP italiani;
• di non effettuare monitoraggio dei dati, dato che la startup non esegue una osservazione continuativa degli stessi. Il software, secondo l'azienda, si limita a ricercare immagini e fornire risultati di ricerca collegati a siti web di terze parti;
• di non effettuare alcun tracciamento delle persone, dato che offre una "semplice instantanea dei risultati di ricerca al momento del compimento della stessa";
• di non detenere alcun elenco di clienti italiani;
• che non spetta alla società la valutazione della base giuridica per l'uso del software. Questa ricadrebbe su clienti o potenziali clienti.

Gli esiti dell'istruttoria

Il Garante, per ricostruire l'esatto funzionamento del software e del suo algoritmo di riconoscimento facciale ha addirittura spulciato nella richiesta di brevetto dell'algoritmo stesso presentata dalla startup. E' emerso come:

"Clearview, dunque, non raccoglie solamente immagini per renderle accessibili ai propri clienti, ma tratta le immagini raccolte mediante web scraping, attraverso un algoritmo proprietario di matching facciale, al fine di fornire un servizio di ricerca biometrica altamente qualificata. […] Clearview elabora tali immagini con tecniche biometriche, le sottopone ad hashing e le associa ai metadati eventualmente disponibili.".

Non solo: nel corso dell'istruttoria è emerso come l'uso di ClearView permette il tracciamento anche di cittadini italiani o di persone comunque in Italia (nonostante la società affermasse il contrario).

Per saperne di più > Ho scoperto che la più discussa società di riconoscimento facciale al mondo ha le mie foto

Senza mezzi termini il Garante scrive che:

"Le risultanze hanno rivelato che i dati personali detenuti dalla società, inclusi quelli biometrici e di geolocalizzazione, sono trattati illecitamente, senza un’adeguata base giuridica, che non può sicuramente essere il legittimo interesse della società americana. La società ha, inoltre, violato altri principi base del GDPR, come quelli relativi agli obblighi di trasparenza, non avendo adeguatamente informato gli utenti, di limitazione delle finalità del trattamento, avendo utilizzato i dati degli utenti per scopi diversi rispetto a quelli per i quali erano stati pubblicati online e di limitazione della conservazione, non avendo stabilito tempi di conservazione dei dati".

Conclude quindi:

"L’attività di Clearview AI, pertanto, si pone in violazione delle libertà degli interessati, tra cui la tutela della riservatezza e il diritto a non essere discriminati".

Le sanzioni del Garante

Alla luce delle violazioni riscontrate il Garante ha quindi impsoto alla startup:

• una sanzione di 20 milioni di euro;
• l'imposizine di cancellare tutti i dati relativi a persone che si trovino in Italia;
• il divieto di ulteriore raccolta e trattamento dei dati relativo a persone che si trovano in Italia;
• l'obbligo di nominare un rappresentate nel territorio dell'Unione Europea che funga da interlocutore in aggiunta o in sostituzione del titolare del trattamento dati con sede negli USA, affinchè ciò agevoli l'esercizio dei diritti degli interessati.

Qui è disponibile il provvedimento completo