Il Garante sanziona ClearView per l’uso illecito di dati biometrici

Getting your Trinity Audio player ready...

Dell’azienda americana Clearview IA, con sede legale a New York, che ha creato un’enorme database di circa dieci miliardi di immagini del volto di ignari cittadini, liberamente disponibili su Internet ed utilizzate per realizzare l’impronta biometrica del viso degli interessati, si parla da diversi mesi, da quando, cioè, a seguito delle segnalazioni pervenute al Garante italiano, quest’ultimo ha avviato un’istruttoria per la potenziale violazione dei diritti delle libertà degli interessati ed ha tenuto un fitto scambio di comunicazioni con i diretti interessati, le altre autorità europee e con la società titolare del trattamento.

Dopo circa un anno, il 10 febbraio 2022, è stato emesso il provvedimento con il quale è stata irrogata la sanzione di 20.000.000 di euro alla società statunitense, con contestuale affermazione del principio secondo cui è vietato il trattamento, mediante tecniche di web scraping, di immagini e relativi metadati che appartengono o che riguardano persone che si trovano nel territorio italiano.

Con il medesimo provvedimento è stato impartito alla società il divieto di ulteriore raccolta e trattamento, con le modalità già indicate, con riferimento ai cittadini italiani (ma il principio è valido per tutta l’UE), unitamente all’intimazione di cancellare i dati comuni e biometrici elaborati dalla Società attraverso il suo sistema di riconoscimento facciale. All’azienda è stato inoltre prescritto di designare, entro trenta giorni, un rappresentante nel territorio dell’Unione europea che funga da interlocutore con gli interessati, al fine di agevolarne l’esercizio dei diritti previsti dal GDPR 679/2016.

La grande società tecnologica, tuttavia, non sembra intenzionata ad ottemperare al provvedimento del Garante e non risulta, ad oggi, aver adempiuto alle prescrizioni, né aver cancellato il database realizzato all’insaputa degli interessati.

Del resto, non lasciano molti dubbi, sull’intenzione di non adeguarsi al provvedimento, le due frasi, rinvenibili nelle memorie difensive, con le quali l’azienda ha contestato fin dall’inizio la giurisdizione del Garante italiano e la sua interpretazione delle norme di riferimento: “…non esiste alcuna base giuridica che giustifichi procedimenti amministrativi nei confronti di società non stabilite in Italia e che non fanno affari in Italia; un procedimento di tal genere violerebbe l’ordine pubblico degli USA… …in un mondo globalizzato è impossibile tenere in considerazione tutte le leggi esistenti quando si progetta un prodotto; Clearview rispetta la legislazione statunitense e, poiché il Regolamento non si applica ai suoi servizi, non è necessario esaminarlo ulteriormente”.

La modalità con la quale Clearview porta avanti la propria attività è relativamente semplice e consiste in un software che esegue ciclicamente la scansione del web per trovare le immagini dei volti ed elaborarle, al fine di estrarne le caratteristiche biometriche dei soggetti ritratti per creare un grande database, dal quale chiunque, semplicemente pagando, può ottenere un profilo completo del singolo interessato, accedendo alle altre informazioni rinvenibili sul web o tramite i vari social network, collegando con precisione il volto prescelto ai profili e alle altre informazioni identificabili tramite l’impronta biometrica del viso.

Notizie di cronaca riferiscono che i principali operatori del mercato dei social network avrebbero diffidato l’azienda dall’utilizzare in tal modo i dati dei loro utenti ma la questione è abbastanza controversa, anche alla luce della diversa disciplina sulla riservatezza degli Stati Uniti d’America.

E se, in Europa, anche altre autorità garanti degli stati membri si stanno attivando per verificare che i loro cittadini non siano coinvolti nel trattamento, la mancanza di una ferma presa di posizione delle istituzioni, associata alle recenti dichiarazioni del Presidente Biden e della Presidente Von Der Leyen, sull’accordo di massima per lo scambio di dati personali volto a sanare le situazioni lasciate in sospeso dalla sentenza Schrems II, non sembrano porre un freno ed anzi appaiono quasi giustificare l’operato della società che, nel frattempo, per cercare di schivare le sanzioni, ha dichiarato di non utilizzare dati dei cittadini europei fin dal 2020, senza tuttavia fornire (ad oggi) quei riscontri che il Garante italiano aveva richiesto con il provvedimento del 10 febbraio 2022.

lo scambio di corrispondenza tra le parti ha avuto inizio nel febbraio 2021, quando la società, in risposta ad una richiesta di chiarimenti del Garante italiano, affermava la carenza di giurisdizione dello stesso, poiché il trattamento non interessava cittadini europei e, conseguentemente, non vi era neanche l’obbligo di nominare un rappresentante nel territorio dell’UE.

Nel corso di un successivo scambio di informazioni, supportato dalle segnalazioni di cittadini europei che dimostravano il contrario, era invece emerso che la società aveva effettivamente trattato tali dati e si era giustificata sostenendo che si trattava di dati rilevati come liberamente disponibili in rete, raccolti al solo fine di perfezionare il funzionamento del software. Sempre secondo la società statunitense, tali dati erano stati successivamente cancellati, in quanto non più necessari allo scopo. Contestualmente, l’azienda ribadiva il concetto che, trattandosi di immagini liberamente disponibili su Internet, senza alcuna riserva rispetto all’utilizzo da parte di terzi, erano state in ogni caso acquisite in modo lecito. Affermazione quantomeno discutibile per un’azienda che fa parte di una federazione di stati che ha basato la propria fortuna economica anche su una rigida disciplina dei diritti su opere dell’ingegno, marchi e brevetti.

La finalità perseguita da Clearview risulta essere stata promossa a seguito del crescente impegno del Governo americano nel contrasto alla pornografia infantile su Internet e l’attività svolta sulle immagini di cittadini europei, necessaria per affinare le funzionalità del software, era stata ritenuta necessaria a seguito della richiesta di alcune non meglio specificate agenzie governative europee, interessate all’utilizzo del programma per finalità analoghe.

Con riferimento al precedente provvedimento adottato dall’Autorità per la protezione dei dati svedese, la società ha evidenziato che i relativi account erano stati attivati per rispondere ad una specifica richiesta delle Forze dell’Ordine della stessa Svezia, ammettendo, implicitamente, che non solo le immagini degli utenti europei non erano state raccolte solo per sperimentare e migliorare le funzionalità del software ma che, addirittura, erano state inserite in un database che le Forze dell’Ordine consultavano (seppure con account di prova) al fine di contrastare fenomeni di pornografia infantile, uno dei reati più odiosi previsti dal Codice Penale. Anche in questo caso, l’atteggiamento poco trasparente della società nei confronti dell’Autorità italiana appare del tutto fuori luogo.

Nel descrivere il funzionamento del software, al fine di contestare il concetto di “monitoraggio sistematico”, nell’interpretazione del Garante italiano rispetto al trattamento operato dall’azienda, la stessa evidenza che “…l’unica finalità di Clearview è quella di offrire un motore di ricerca per consentire la ricerca di immagini in Internet da parte dei suoi clienti.  I vettori facciali che la Società utilizza per cercare le immagini non possono essere utilizzati per dedurre o ricavare matematicamente informazioni su una persona, perché non sono collegati al nome e/o alla posizione e/o ad altri identificatori. Anche se si ottiene un vettore facciale, non lo si potrebbe analizzare per rivelare informazioni intelligibili sulle caratteristiche facciali di una persona”.

Sul concetto di profilazione, invece, sostiene che “…La Società non classifica in alcun modo le persone fisiche. Inoltre, il software non è in grado di valutare, giudicare, o prevedere un comportamento; i dati forniti al cliente sono semplicemente costituiti da immagini, metadati (se presenti) e la loro fonte (URL) su Internet al momento della ricerca; per quanto concerne i dati di geolocalizzazione…  …si intendono solo i metadati di localizzazione incorporati nella foto, i quali indicano dove la stessa è stata scattata. Clearview non fornisce tali metadati di localizzazione ai clienti, ma se una foto online ha metadati di posizione incorporati, il cliente può vederli della foto quando utilizza il link URL della stessa, come chiunque altro visualizzi la foto su Internet”.

Orbene, appare evidente come le giustificazioni dell’azienda americana siano oltremodo contraddittorie e come, al contrario, l’unica eccezione che potrebbe cogliere nel segno sia quella della carenza di giurisdizione delle Autorità Europee, per contrasto con la normativa statunitense. Il principio di ubiquità sul quale si basano molte norme del vecchio continente, infatti, non è pacificamente accolto dall’ordinamento d’oltreoceano, poiché ammetterebbe un’ingerenza negli affari interni degli Stati Uniti che, ovviamente, non è gradita, soprattutto quando si tratta di sorveglianza globale. Del resto, il contrasto sulla disciplina dei dati personali determinato dalla Sentenza Schrems II della Corte Europea di Giustizia non semplifica il rapporto, posto che la stessa Europa chiede alle agenzie governative statunitensi di non trattare dati di cittadini europei per finalità di sorveglianza e prevenzione.

In concreto, la Società non si limita a raccogliere immagini da Internet ma esegue ulteriori operazioni di trattamento – rilevamento biometrico e indicizzazione tramite hashing – che semplificano il lavoro di chi intende effettuare una ricerca mirata utilizzando altri database o la stessa disponibilità di risorse di Internet. Qualsiasi successiva operazione di interconnessione dei vettori biometrici e dei metadati raccolti, conservati e associati alle immagini del viso, consente di accedere a risorse che possono consentire di profilare analiticamente l’interessato ed anche rivelare dati particolari che lo riguardano, come l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, ecc., poiché il confronto tra le impronte biometriche potrebbe consentire di associare con certezza un soggetto a siti web di associazioni di fedeli ad un determinato culto o di membri di un sindacato o partito politico, ecc.

Resta da comprendere se possa essere accolta la giustificazione della società secondo la quale la tecnologia (considerando l’applicazione uno strumento e non un processo) non comporta necessariamente un trattamento illecito, potendosi equiparare l’indicizzazione dei volti a quella dei siti web che opera, ad esempio, Google. In tal senso, a dover essere disciplinato ed eventualmente sanzionato, dovrebbe essere l’utilizzo illecito di quella tecnologia e non la tecnologia stessa. Un interessante punto di vista che non mancherà di sollevare opinioni a favore e contrarie.

Gianluca Pomante