Uso illecito di dati biometrici: Clearview AI sanzionata dal Garante Privacy
Il Garante della Privacy (GPDP) ha sanzionato la società “Clearview AI” con 20 milioni di euro per l’uso illecito di dati biometrici ordinando, altresì, la cancellazione dei dati relativi a persone presenti nel territorio italiano, elaborati dalla medesima attraverso il suo sistema di riconoscimento facciale.
Nel dettaglio,”Clearview AI“, società fondata nel 2017 a New York, ha creato un motore di ricerca per il riconoscimento facciale (facial recognition search engine) e che, per sua espressa dichiarazione, risulta in possesso di una banca dati contenente più di 20 miliardi di immagini di volti di persone. La Società, infatti, raccoglie, attraverso tecniche di web scraping (anche detto harvesting o web data extraction, è una tecnica informatica di estrazione di dati e informazioni dalla rete), immagini da social network (es. Twitter o Facebook), blog e, in genere, da siti web in cui sono presenti foto pubblicamente accessibili, ma anche dai video disponibili online (es. su Youtube). Le immagini così raccolte vengono elaborate con tecniche biometriche al fine di estrarre le caratteristiche identificative di ognuna di esse. Nel dettaglio, si legge dal provvedimento del GPDP: “ogni immagine può essere arricchita con i metadati associati (ad esempio, il titolo dell’immagine o della pagina web, il link della fonte, la geolocalizzazione, il genere, la data di nascita, la nazionalità, la lingua) cosicché quando il software identifica una corrispondenza, estrae dal database tutte le relative immagini e le presenta al cliente del servizio come risultato della ricerca unitamente ai metadati e ai link associati, permettendo così di risalire ad ogni singola pagina sorgente. Un’immagine così raccolta rimane nel database anche nell’ipotesi in cui la foto originaria o la pagina web di riferimento sia successivamente rimossa o resa privata”.
Ora, sebbene, nelle sue difese la Società abbia dichiarato che tale piattaforma è stata creata al fine di generare degli investigation lead di alta qualità e benché sia innegabile che l’intelligenza artificiale rappresenta una straordinaria opportunità per migliorare le condizioni di vita delle persone, non può tacersi sulla dirompente capacità di tale sviluppo tecnologico ad incidere, negativamente, sui diritti umani delle persone. Nel caso di specie sul diritto, di ogni essere umano al rispetto della propria privacy che, invece, risulta gravemente lesa dal servizio offerto dalla “Clearview AI” e che, potenzialmente, risulta idonea a generare conseguenze sulla parità degli esseri e sulla loro dignità.
Da tale ultimo presupposto muove il provvedimento del GPDP che, rappresenta, non un caso isolato ma una sanzione che si affianca ai provvedimenti analoghi emanati dagli enti di tutela della privacy austriaci e francesi e che, da ultimo, è stato emanato anche dalle autorità della Gran Bretagna.
Venendo alle contestazioni mosse, il GPDP nazionale ha ritenuto che l’attività posta in essere dalla ingiunta società rappresenta un monitoraggio biometrico realizzato in aperta violazione della normativa europea sulla privacy. La Società convenuta ha, sostanzialmente, limitato e sue difese a mere questioni preliminari contestando la competenza territoriale dell’autorità italiana. Ha dichiarato, infatti, la convenuta, di non offrire servizi in Europa e di non avere clienti europei che utilizzino il sistema di riconoscimento facciale prodotto dalla medesima. Cionondimeno, tale considerazione non risulta conforme a quanto accertato relativamente all’avvenuto utilizzo del sistema di riconoscimento facciale offerto da Clearview da parte di soggetti appartenenti alle forze dell’ordine nazionali, circostanza quest’ultima che presuppone, ab origine, un impiego del relativo servizio in capo ad utenti europei. Da altro punto di vista, con nota del 22 giugno (prot. n. 33759/2021), nel corso del 2020 la Società ha deciso di chiudere gli account europei e di non offrire più il suo prodotto nel contesto dell’Unione europea, inibendo l’accesso agli IP europei. Pertanto, per stessa ammissione di Clearview, sino ad una certa data la Società indirizzava – e aveva l’intenzione di farlo – i propri servizio anche in Europa circostanza, questa, che ha prodotto la lesione dei diritti sopra richiamati nello spazio europeo.
Non appare, questa, la sede per svolgere approfondite questioni processuali volendosi, al contrario, soffermarsi sull’aspetto relativo ai diritti fondamentali coinvolti nell’utilizzo improprio dei dati biometrici.
La natura dell’attività di trattamento, si legge nel provvedimento del Garante, può essere considerata monitoraggio del comportamento nei termini del Considerando 24 del Regolamento, il quale prevede che “per stabilire se un’attività di trattamento sia assimilabile al controllo del comportamento dell’interessato, è opportuno verificare se le persone fisiche sono tracciate su internet, compreso l’eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali”.
Ciò considerato, è proprio tale ultima attività ad integrare il trattamento posto in essere da Clearview che, fattualmente si traduce in un’autentica profilazione delle persone, ovvero, quel tipo di attività che l’art. 4, par. 1, n. 4, del Regolamento descrive come “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di (…) dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”.
Nel caso di specie pertanto, rilevano almeno due profili: il primo di essi riguarda il consenso degli interessati a tale tipo di profilazione e questo, potrà dirsi integrato, lì dove sarà prestato “mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica e informata di accettare il trattamento dei dati personali che lo riguardano” sempre che si tratti di trattamento lecito (per un approfondimento, anche alla luce delle considerazioni della Corte di Cassazione, sentenza 25 maggio 2021, n. 14381 sulla validità del consenso, si rimanda a “La dignità della persona nell’era dell’intelligenza artificiale“). Orbene, sotto tale punto di vista, basti qui dire che l’interesse della società, costituito da un fine di lucro che si sostanzia in una raccolta di dati fotografici, associati ad ulteriori link che sono idonei a rilevare diversi aspetti della vita privata degli individui e che tali dati vengono sottoposti ad elaborazione biometrica, l’attività della convenuta non può assurgersi a fine legittimo stante la modalità di trattamento capace di sostanziarsi in un’autentica aggressione alla sfera privata degli individui. Ovvia conseguenza, dell’illiceità del trattamento, sta nel potere di travolgere anche il consenso degli interessati che, anche lì dove correttamente prestato, sarà travolto dallo scopo indebito perseguito dalla Società con tali modalità. Meglio dire, stante l’indisponibilità di taluni diritti che a seguito della profilazione risultano compromessi, il consenso, seppur prestato secondo caratteri formali corretti, non può in alcun modo legittimare la lesione di diritti fondamentali dell’uomo quali la sua dignità e il diritto non-discriminazione insiti in un trattamento di dati personali come quello effettuato dalla Società.
A valle degli accertamenti svolti e sulle argomentazioni sopra svolte, il GDPD ha condannato, a titolo di sanzione amministrativa pecuniaria, la società Clearview AI, al pagamento della somma di euro venti milioni, per le violazioni accertate. Il medesimo Garante ha, infatti, dichiarato illecito il trattamento dei dati svolto dalla Società ingiunta, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, disponendone, conformemente alla lettera della disposizione di cui all’art. 58, par. 2, lett. f), del Regolamento, “il divieto di prosecuzione del trattamento e di ulteriore raccolta, mediante tecniche di web scraping, di immagini e relativi metadati concernenti persone che si trovino nel territorio italiano ed il divieto di ogni ulteriore operazione di trattamento dei dati, comuni e biometrici, elaborati dalla Società attraverso il proprio sistema di riconoscimento facciale, relativamente a persone che si trovino nel territorio italiano” e ordinandone, ex art. 58, par. 2, lett. g), del medesimo Regolamento, “la cancellazione dei dati, comuni e biometrici, elaborati dalla Società attraverso il suo sistema di riconoscimento facciale relativi a persone che si trovano nel territorio italiano […]”
Le considerazioni appena mosse e avvallate dal provvedimento del Garante trovano piena conferma nell’ormai noto livello di iniquità dei processi automatizzati. Tali sistemi diventano particolarmente critici, e perché no pericolosi, lì dove utilizzati in processi di identificazione a servizio dei corpi di polizia o della giustizia penale come, peraltro, avviene già in diversi Paesi (per una panoramica esaustiva e per un’ampia trattazione sulle discriminazioni algoritmiche si guardi: G. Giorgini Pignatiello, Il contrasto alle discriminazioni algoritmiche: dall’anarchia giuridica alle Digital Authorities?, in Federalismi, 16/2021). Inoltre, uno studio condotto dall’associazione Algorithmic Justice League ha rivelato che la maggior parte di siffatti sistemi applicano livelli di accuratezza differenti, nel trattamento dei dati, in ordine al colore della pelle dei soggetti profilati. Allo stesso modo, l’associazione Big Brother Watch, attiva nella difesa dei diritti umani nel Regno Unito, ha evidenziato che gli applicativi utilizzati nel modo sopra visto sovente difettano di sorveglianza e adeguata verifica creando, a grave lesione dei diritti fondamentali, alti tassi di errore ed evidenti pregiudizi.
Del resto, e giungo a conclusione, vi è sempre da ricordare che le fasi di sviluppo dei sistemi per l’acquisizione, estrazione ed elaborazione dei dati è affidata a menti umane e che esse, sovente, sono veicolo di pregiudizio per le macchine così create che, inevitabilmente, finiranno con il manifestare comportamenti discriminatori alimentando e rinforzando stereotipi e pregiudizi motivi questi che impongono una regolamentazione capace di prevenire e/o combattere prassi di tal tipo.
