Riconoscimento facciale, anche la Francia mette al bando Clearview Ai

I servizi della controversa azienda statunitense specializzata nel riconoscimento facciale Clearview Ai sono stati nuovamente dichiarati illegali, questa volta da parte del Garante della privacy francese. A partire dal 2017, la società ha creato un database di oltre 10 miliardi di immagini personali, raccogliendo senza consenso foto online per poter vendere un servizio di identificazione biometrico alle forze dell’ordine. Nell’ultimo anno, l’utilizzo di Clearview è stato dichiarato illegale dalle autorità del Canada, dell’Australia, del Regno unito ed è sotto indagine anche in Italia, grazie al lavoro di Privacy Network, organizzazione italiana per la difesa della privacy nel mondo digitale.

Ho scoperto che la più discussa società di riconoscimento facciale al mondo ha le mie foto

Leggi l’articolo

Come già raccontato in un’inchiesta di Wired, nonostante la società abbia affermato che la loro tecnologia non fosse disponibile in Unione europea, Clearview Ai ha in realtà stoccato nei suoi database miliardi di volti di cittadine e cittadini europei, tra cui quello del coordinatore del sito di Wired Italia, Luca Zorloni (apparentemente rimossi dopo la richiesta di intervento). Inoltre, BuzzFeed ha confermato l’utilizzo del software da parte delle forze dell’ordine in Italia, Danimarca, Finlandia, Lettonia, Svezia, Olanda, Spagna, Portogallo, Slovenia, Irlanda, Malta e, appunto, anche in Francia.

Il 16 dicembre il Garante per la privacy francese ha stabilito come il servizio di Clearview Ai abbia commesso due distinte violazioni del Regolamento generale sulla protezione dei dati europeo (Gdpr). La prima riguarda l’articolo 6 del Gdpr sulla liceità del trattamento dei dati, per aver raccolto e utilizzato dati biometrici senza una base giuridica. La seconda invece è per non aver rispettato il diritto delle persone di accedere ai dati in maniera efficace e soddisfacente, violando gli articoli 12, 15 e 17 del regolamento.

In particolare la violazione dell’articolo 6, ha spiegato il Garante, è dovuta alle enormi dimensioni e alla natura “particolarmente intrusiva” della raccolta e del trattamento dei dati da parte di Clearview Ai. Inoltre la società non ha mai chiesto il consenso delle persone per poter utilizzare i loro dati biometrici e non ha alcuna base legale per motivare la loro raccolta e il loro utilizzo per “legittimo interesse”. “Queste persone, le cui fotografie o video sono accessibili su vari siti web e social network – si legge sulla sentenza del Garante – non si aspettano, in maniera ragionevole, di vedere le loro immagini elaborate da Clearview Ai per fornire un sistema di riconoscimento facciale che può essere usato dagli stati per scopi di controllo e polizia”.

La più controversa startup di riconoscimento facciale è stata multata nel Regno Unito

Sanzione di 22,6 milioni di dollari contro Clearview Ai per presunte violazioni nel trattamento dei dati degli utenti. Alla società, che potrà comunque fare ricorso, è stato chiesto di cancellare tutte le informazioni su persone inglesi

Leggi l’articolo

Rispetto alla violazione degli altri tre articoli, invece, il Garante ha verificato come la società abbia concesso alle persone di accedere ai dati individuali solo per due volte all’anno “senza giustificazione”, abbia limitato l’accesso ai soli dati raccolti nell’ultimo anno o abbia risposto alle persone “solo dopo un numero eccessivo di richieste” presentate dagli interessati.

Per queste violazioni, il Garante francese ha imposto all’azienda di cessare tutte le operazioni di raccolta e l’utilizzo dei dati di persone provenienti dalla Francia, facilitare l’esercizio dei diritti di accesso ai dati individuali e soddisfare tutte le richieste di cancellazione. Clearview Ai ha ora due mesi per conformarsi alla sentenza del Garante e dimostrare di aver recepito le indicazioni, altrimenti potrà essere soggetta a elevate sanzioni amministrative.

L’autorità francese ha agito in collaborazione con i suoi omologhi europei, ma l’azienda può essere colpita solamente dalle autorità nazionali, perché non ha una sede in Unione europea. Così, l’ordine del Garante avrà effetto solo per i dati delle persone provenienti dalla Francia, che si stima siano alcune decine di milioni, ma altre autorità potranno emettere presto ordini simili in tutti i paesi in cui si applica il Gdpr.