Clearview AI: la multa GDPR più pesante mai ricevuta
La controversa compagnia americana di riconoscimento facciale Clearview AI, nota per aver fatto scalpore su Internet raccogliendo senza autorizzazione selfie per creare un vasto database ricercabile di 30 miliardi di immagini, ha recentemente ricevuto la più grande ammenda GDPR a cui è stata finora sottoposta.
L’autorità olandese per la protezione dei dati, Autoriteit Persoonsgegevens (AP), ha inflitto a Clearview AI un’ammenda di 30,5 milioni di euro, equivalente a 33,7 milioni di dollari, per diverse violazioni del GDPR. Questa sanzione supera le precedenti multe inflitte da Francia, Italia, Grecia e Regno Unito nel 2022.
L’AP ha iniziato a indagare su Clearview AI nel marzo 2023 dopo aver ricevuto lamentele da tre individui riguardo a problemi di accesso ai dati. L’agenzia ha scoperto che il database di Clearview conteneva immagini di cittadini olandesi, spingendo il regolatore ad agire contro l’azienda per la sua mancata conformità al GDPR.
Un’ammenda record per violazioni GDPR
Oltre all’ammenda iniziale, Clearview AI ha ricevuto anche una multa aggiuntiva di 5,1 milioni di euro per la persistente non conformità al GDPR. Ciò fa salire l’importo totale delle sanzioni a 35,6 milioni di euro, rendendolo la più alta penalità che Clearview abbia subito in Europa fino ad ora.
Una delle principali ragioni per le sanzioni è la raccolta non autorizzata di dati biometrici da parte di Clearview AI per costruire il suo database, così come problemi di trasparenza in relazione ai requisiti del GDPR.
Lisa Linden, rappresentante dell’azienda PR di Clearview AI, Resilere Partners, non ha risposto alle richieste di commento ma ha inoltrato una dichiarazione del direttore legale dell’azienda, Jack Mulcaire. Nella dichiarazione, Mulcaire sostiene che Clearview AI non ha una presenza fisica o clienti nei Paesi Bassi o nell’UE e pertanto ritiene le multe ingiuste e inapplicabili.
Problemi di conformità al GDPR
Tuttavia, il regolatore olandese afferma che Clearview AI è soggetta al GDPR a causa del suo trattamento di dati personali dei cittadini dell’UE, indipendentemente dalla sua ubicazione fisica. Il regolatore ha anche dichiarato che l’assenza di opposizione da parte di Clearview significa che l’azienda non può appellare le sanzioni.
Clearview AI, che fornisce servizi di corrispondenza d’identità a enti governativi e agenzie di law enforcement utilizzando dati raschiati, ha subito numerose violazioni del GDPR in passato. Nonostante abbia accumulato un’ammenda stimata di 100 milioni di euro da vari paesi dell’UE, Clearview non ha collaborato con le autorità e non ha una rappresentanza legale nell’UE.
Questa mancanza di conformità ha spinto l’AP olandese a considerare la possibilità di ritenere personalmente responsabili i dirigenti corporativi di Clearview AI per le infrazioni al GDPR. L’agenzia sta esplorando la possibilità di imporre sanzioni ai direttori che consapevolmente permettono che violazioni del GDPR avvengano all’interno della loro organizzazione.
La responsabilità personale per le violazioni del GDPR
Secondo il presidente dell’AP, Aleid Wolfsen, i direttori possono essere ritenuti personalmente responsabili se sono a conoscenza di violazioni del GDPR, hanno l’autorità per prevenirle, ma scelgono di non farlo. Questa possibile mossa mira a garantire che aziende come Clearview AI siano ritenute responsabili delle loro azioni e non possano violare le leggi sulla privacy europee con impunità.
La decisione dell’AP di considerare la responsabilità personale per le infrazioni al GDPR arriva alla luce di casi di alto profilo come l’arresto del fondatore di Telegram, Pavel Durov, per la diffusione di contenuti illegali in Francia. L’idea è che l’imposizione di sanzioni sui dirigenti aziendali possa servire come deterrente e incentivare la conformità ai regolamenti sulla privacy, specialmente per le aziende che operano al di fuori dell’UE.
Conclusione
In conclusione, l’azione del regolatore olandese contro Clearview AI rappresenta un passo significativo nel far rispettare le aziende tecnologiche per violazioni della privacy e nell’applicare i regolamenti GDPR. Considerando la responsabilità personale per i dirigenti, l’AP manda un messaggio forte: le aziende devono rispettare le leggi sulla privacy europee o affrontare gravi conseguenze.
