Trattamento di dati biometrici e “web scraping”: il Garante privacy olandese sanziona la società stanuitense Clearv...
Il Garante Privacy olandese (l’Autoriteit Persoonsgevevens “AP” o “Garante olandese”) ha sanzionato Clearview AI, una società statunitense, per trattamento illecito di dati personali biometrici raccolti tramite “web scraping”.
Clearview AI è una società statunitense che si occupa di offrire servizi di riconoscimento telemetrico per società di intelligence e di consulenza investigativa. La società avrebbe dichiarato il possesso di un database che, secondo lo stesso CEO, raggiunge oltre 30 miliardi di foto, ottenute attraverso la pratica del “web scraping”, cioè quella modalità di estrazione di dati biometrici univoci da social media, siti web e altre fonti pubbliche, mediante l’utilizzo di software appositi.
Per quanto riguarda il caso specifico, la sanzione del Garante olandese nasce da diverse segnalazioni di cittadini olandesi, i quali hanno lamentato che Clearview non ha fatto seguito alla loro richiesta di esercizio del diritto di accesso ai dati personali trattati, esplicitamente previsto dal GDPR.
Preventivamente, il Garante olandese ha chiarito che, sebbene Clearview non abbia sedi legali all’interno del territorio comunitario, la sua condotta rientra nel campo applicativo del GDPR, in applicazione del principio del suddetto regolamento, per il quale un trattamento di dati personali è soggetto all’applicazione del GDPR anche quando il titolare non è stabilito nell’Unione se gli interessati del trattamento si trovano nel territorio dell’Unione Europea e se il trattamento ha ad oggetto il monitoraggio dei loro comportamenti.
Il Garante olandese, in secondo luogo, ha rilevato che tale trattamento dei dati è stato posto in essere senza il consenso dei soggetti interessati, ed in ogni caso senza che sussistesse nessun’altra base giuridica che lo rendesse legittimo. In particolar modo, le indagini dell’AP si sono concentrate sulla verifica della sussistenza del legittimo interesse. Tramite una richiesta di informazioni, ha infatti chiesto a Clearview di chiarire se potesse dimostrare un legittimo interesse quale base giuridica dei trattamenti effettuati, ma, non ritenendosi vincolata dal GDPR, Clearview non ha fatto seguito a tale richiesta.
Le ulteriori violazioni del GDPR che il Garante olandese ha rilevato sono relative agli obblighi di trasparenza, non avendo Clearview adeguatamente informato gli utenti, di limitazione delle finalità del trattamento, avendo utilizzato i dati degli utenti per scopi diversi rispetto a quelli per i quali erano stati pubblicati online e di limitazione della conservazione, non avendo stabilito tempi certi di conservazione dei dati.
Ala luce di tali diverse condotte illecite, il Garante olandese ha deciso di intervenire con la sanzione: 30,5 milioni di euro, alla quale verranno aggiunti altri 5,1 milioni di euro se Clearview non interromperà la raccolta delle immagini.
La sanzione comminata dall’AP non è stata l’unica alla quale Clearview dovrà far fronte: infatti, altri Garanti della privacy in Europa hanno multato la società sostanzialmente per le stesse attività. Il Garante italiano, per esempio, ha sanzionato Clearview per 20 milioni di euro per aver trattato illecitamente i dati biometrici di numerosi cittadini italiani, ordinando inoltre alla società di cancellare i dati relativi a persone che si trovano in Italia e vietandone l’ulteriore raccolta e trattamento attraverso il suo sistema di riconoscimento facciale.
Inoltre, molti delle sanzioni prodotte dai Garanti di diversi Stati Membri sono state accompagnate dall’obbligo, per Clearview AI, di designare un rappresentante nel territorio dell’Unione Europea che funga da interlocutore.
La società ha ritenuto di non riconoscere nessuno di questi interventi, e ovviamente anche le annesse sanzioni, adducendo di non essere soggetta all’applicazione del GDPR. Proprio per questo motivo, Clearview ha deciso di non fare neanche ricorso, e ovviamente, di non pagare le sanzioni comminategli.