Il Garante per la protezione dei dati personali della Privacy ha inflitto una sanzione di 20 milioni di euro alla società americana Clearview AI, per avere effettuato un’effettiva sorveglianza biometrica dei cittadini italiani mentre si trovano nel proprio Paese.
Clearview afferma di avere un database di oltre 10 miliardi di immagini di persone in tutto il mondo ed è la fonte del web publishing, web scraping (ad esempio, siti di informazioni, siti di social network e video online), utilizzando l’intelligenza artificiale, Clearview offre un servizio di ricerca altamente qualificato che consente la creazione di profili utilizzando informazioni biometriche e immagini, rivelando eventualmente altre informazioni come titolo, posizione e sito Web di pubblicazione della foto.
L’Ufficio del Garante, che opera anche alla luce delle pretese e delle segnalazioni, informa che Clearview AI, contrariamente a quanto affermato dalla società, acconsente al tracciamento di italiani e italiani residenti in Italia.
Lo studio ha rilevato che i dati della società, compresi i dati biometrici e di geolocalizzazione, sono stati trattati illegalmente, privi di basi giuridiche adeguate, il che chiaramente non era nel legittimo interesse dei cittadini italiani.
Tuttavia, la società ha violato il principio base del GDPR, in quanto non fornisce adeguate informazioni sul suo utilizzo, limita la finalità del trattamento, non avendo adeguatamente informato gli utenti, avendo utilizzato i dati degli utenti per scopi diversi rispetto a quelli per i quali erano stati pubblicati online esenza fissare e comunicare il tempo limite per la loro conservazione.
Tenuto conto delle deposizioni dei testimoni, il Garante ha irrogato a Clearview AI una sanzione amministrativa di 20 milioni di euro.
Ha inoltre ordinato alla società di cancellare i dati relativi alle persone residenti in Italia e ha vietato una ulteriore raccolta ed elaborazione dei dati attraverso il proprio sistema di riconoscimento facciale.
Di conseguenza, il Garante ha imposto a Clearview AI di designare un rappresentante nel territorio dell’Unione Europea che funga da interlocutore in aggiunta o in sostituzione del responsabile del trattamento dei dati con sede negli Stati Uniti, al fine dell’agevolazione l’esercizio dei diritti degli interessati.