Clearview, il riconoscimento facciale viola il trattamento dei dati personali

Clearview ha elaborato un software per la ricerca e la raccolta di immagini estratte da fonti web pubbliche tramite web scraping (come siti di informazione, social media e video online) che, grazie a sistemi di intelligenza artificiale, consente la creazione di profili basati sui dati biometrici estratti dalle immagini, eventualmente arricchiti da altre informazioni, come titolo e geolocalizzazione della foto, pagina web di pubblicazione. Tale servizio è finalizzato a migliorare la sicurezza pubblica, riducendo i tempi delle indagini e adiuvando le forze dell'ordine nell’identificazione dei criminali.

La Società – nel corso del procedimento - ha lamentato l’inapplicabilità del Reg. (UE) 2016/679 (di seguito, “GDPR”) e la carenza di giurisdizione dell’Autorità Garante poiché Clearview ha sede negli U.S.A. e non ha filiali in Italia o nell’Unione Europea e, per tale ragione, non ha nominato un rappresentante ai sensi dell’art. 27 del GDPR. Inoltre, Clearview ha adottato misure volte a bloccare accessi da parte di indirizzi IP (europei).

 

Preliminarmente, si rileva che, poiché il software consente il tracciamento anche di cittadini italiani e di persone collocate in Italia, il trattamento rientra nel campo di applicazione del GDPR. Ai sensi dell’art. 3, par. 2, GDPR (“Ambito di applicazione territoriale”) e delle Linee Guida 3/2018 dell’EDPB, la Società svolge un’attività di monitoraggio del comportamento di interessati che si trovano nell’Unione Europea (cd. targeting). 

Pertanto, poiché Clearview tratta dati personali di interessati che si trovano nell'Unione Europea e presta servizi ad utenti europei, monitorandone il comportamento, la Società avrebbe dovuto nominare un rappresentante nell’Unione Europea (art. 27 GDPR). La competenza è, quindi, dell’Autorità Garante.

La Società non ha ritenuto di qualificarsi quale titolare del trattamento ai sensi del GDPR in quanto si limita a fornire un tool di ricerca, le cui finalità d’uso, connesse all’identificazione di persone mediante riconoscimento facciale, sono a vantaggio esclusivo dei clienti quali unici titolari. 

Tuttavia, la Società utilizza mezzi propri per realizzare la raccolta di immagini e la trasformazione di esse in dati biometrici, dispone di un database proprio in cui le informazioni sono conservate ed estratte e, quindi, persegue proprie finalità.

Inoltre, è stata riscontrata la carenza delle informative per i dati raccolti direttamente presso l'interessato (art. 13 del GDPR) oppure presso terzi e poi rielaborati dalla Società (art. 14 del GDPR), nonché la violazione in ordine all’esercizio dei diritti, quali: (i) la cancellazione, regolata ai sensi del California Consumer Privacy Act (CCPA) e del codice civile della California del 1798 e, dunque, in termini diversi dal GDPR con possibilità di non soddisfare la richiesta ricorrendo ad una delle condizioni del CCPA, non esplicitate; (ii) la limitazione del diritto di accesso con riferimento al numero di richieste che l’interessato può presentare nell’arco di dodici mesi (stabilite nel numero di due) e la subordinazione alla trasmissione di un documento di identità.

I reclamanti hanno lamentato, altresì, il ritardo o l’inidoneità del riscontro da parte della Società alle richieste di esercizio dei diritti in violazione dell’art. 12 GDPR. L’Autorità Garante non ha ritenuto, invece,  sussistenti gli estremi per ritenere integrata la violazione dell’art. 22  relativa ad un trattamento automatizzato. 

La Società ha, infine, violato i principi generali di cui all’art. 5 GDPR, in particolare relativi alla trasparenza nelle informazioni agli utenti, alla limitazione delle finalità del trattamento, avendo utilizzato i dati per scopi diversi rispetto a quelli per i quali erano stati pubblicati, e alla limitazione della conservazione, non avendo stabilito i tempi di conservazione dei dati personali. 

Sotto il profilo della base giuridica di cui all’art. 6 GDPR, in assenza di consenso e non essendo applicabili le circostanze di cui all’art. 6, par. 1, lett. b), c), d), ed e), Clearview ha fatto ricorso al legittimo interesse. Tuttavia, considerata la particolare intrusività del trattamento e l’elaborazione biometrica dei dati fotografici raccolti, nonché l’elevato numero di interessati, il legittimo interesse non può costituire un’idonea base giuridica. Con riferimento all’art. 9 GDPR, risulta, invece, violato il divieto generale di trattamento di dati biometrici.

Oltre sanzione pecuniaria, l’Autorità Garante ha disposto: (i) il divieto di ulteriore raccolta di immagini e metadati concernenti persone che si trovano nel territorio italiano; ii) il divieto di ogni ulteriore operazione di trattamento dei dati personali di interessati che si trovano nel territorio italiano attraverso il suo sistema di riconoscimento facciale; (iii) di cancellare i dati personali relativi a interessati che si trovano in Italia.

Il trattamento di dati biometrici attraverso sistemi di intelligenza artificiale richiede l’applicazione di una valida base giuridica ai sensi dell’art. 6 del GDPR e l’applicabilità di una delle condizioni di cui all’art. 9, par. 2, GDPR per derogare al divieto generale di cui all’art. 9, par. 1, GDPR di trattamento di tale tipologia di dati. Le più significative tra le condizioni individuate, per un titolare privato, sono il consenso dell’interessato, l’assolvimento degli obblighi e l’esercizio dei diritti del titolare o dell’interessato in materia di diritto del lavoro e i motivi di interesse pubblico rilevante. 

Nel caso in esame, la Società aveva scelto il legittimo interesse che l’Autorità Garante ha escluso esplicitamente da tempo come base giuridica per il trattamento di biometrici. La disciplina italiana, peraltro, ai sensi dell’art. 2-septies del Codice Privacy novellato, integra le previsioni del GDPR, richiedendo anche la conformità del trattamento alle Misure di garanzia disposte dal Garante. 

Inoltre, rileva l’applicabilità dell’art. 3 del GDPR che non è limitato al mero caso di una società italiana (o europea) con sede in Italia (o in Europa) o al luogo del trattamento in Italia (o in Europa).