Il caso Clearview sotto analisi

Clearview

Il Garante per la tutela dei dati personali ha irrogato una sanzione di 20 milioni di euro nei confronti della società statunitense per il trattamento, mediante tecniche di web scraping, di immagini e metadati che interessano i cittadini italiani.

Dell’azienda americana con se­de legale a New York, Clearview IA - che ha creato un’enorme database di circa dieci miliardi di immagini del volto di ignari cittadini, liberamente disponi­bili su Internet e utilizzate per realizzare l’im­pronta biometrica del viso degli interessati - si parla da quando, a seguito delle segnalazioni pervenute, l’autorità Garante per la tutela dei dati personali ha avviato un’istruttoria per la potenziale violazione delle libertà delle persone coinvolte, dando avvio a un fitto scambio di co­municazioni con le parti in causa, le altre auto­rità europee e la società titolare del trattamento.

Il provvedimento del Garante

Lo scorso 10 febbraio il Garante ha irrogato una sanzione di 20 milioni di euro alla società statunitense, con contestuale affermazione del principio secondo cui è vietato il trattamento, mediante tecniche di web scraping, di immagini e metadati appartenenti o relativi a persone che si trovano nel territorio italiano.

Con il medesimo provvedimento, sono stati im­partiti alla società il divieto di ulteriore raccolta e trattamento di immagini, secondo le modalità già indicate, in riferimento ai cittadini italiani (ma il principio è valido per tutta l’Unione Eu­ropea) e l’intimazione a cancellare i dati comuni e biometrici elaborati dalla società attraverso il suo sistema di riconoscimento facciale. All’azien­da è stato inoltre prescritto di designare, entro trenta giorni, un rappresentante nel territorio europeo che funga da interlocutore con gli inte­ressati, al fine di agevolare l’esercizio dei diritti previsti dal GDPR 679/2016.

La grande società tecnologica, tuttavia, non sembra intenzionata a ottemperare al provve­dimento del Garante e non risulta, a oggi, aver adempiuto alle prescrizioni, né aver cancellato il proprio database. Al contrario, Clearview AI ha contestato fin dall’inizio la giurisdizione del Garante italiano e la sua interpretazione delle norme di riferimento, come riportato nella nota dell’11 novembre 2021: “[…] non esiste alcuna base giuridica che giustifichi procedimenti am­ministrativi nei confronti di società non stabi­lite in Italia e che non fanno affari in Italia; un procedimento di tal genere violerebbe l’ordine pubblico degli USA […]. In un mondo globaliz­zato è impossibile tenere in considerazione tutte le leggi esistenti quando si progetta un prodotto; Clearview rispetta la legislazione statunitense e, poiché il regolamento non si applica ai suoi ser­vizi, non è necessario esaminarlo ulteriormente”.

La tesi difensiva di Clearview

Nel descrivere il funzionamento del software, al fine di contestare il concetto di monitoraggio sistematico sostenuto dall’interpretazione del Garante italiano, l’azienda ha evidenziato che “l’unica finalità di Clearview è quella di offrire un motore di ricerca per consentire la ricerca di immagini in Internet da parte dei suoi clienti. I vettori facciali che la società utilizza per cercare le immagini non possono essere utilizzati per dedurre o ricavare matematicamente informazioni su una persona, perché non sono collegati al nome e/o alla posizione e/o ad altri identificatori. Anche se si ottiene un vettore facciale, non lo si potrebbe analizzare per rivelare informazioni intelligibili sulle caratteristiche facciali di una persona”.

Sul concetto di profilazione, invece, è stato sostenuto, nella memoria difensiva del 22 giugno 2021, che “la società non classifica in alcun modo le persone fisiche. Inoltre, il software non è in grado di valutare, giudicare, o prevedere un comportamento; i dati forniti al cliente sono semplicemente costituiti da immagini, metadati (se presenti) e dalla loro fonte (URL) su Internet al momento della ricerca; per quanto concerne i dati di geolocalizzazione […] si intendono solo i metadati di localizzazione incorporati nella foto, i quali indicano dove la stessa è stata scattata. Clearview non fornisce tali metadati di localizzazione ai clienti, ma se una foto online ha metadati di posizione incorporati, il cliente può vederli quando utilizza il link URL della foto, come chiunque altro visualizzi la foto su Internet”.

I retroscena

La modalità adottata da Clearview è relativa­mente semplice: un software dedicato scansiona ciclicamente il web per trovare le immagini dei volti ed elaborarle, al fine di estrarre le carat­teristiche biometriche dei soggetti ritratti. L’o­biettivo è creare un grande database tramite cui chiunque, semplicemente pagando, può ottenere un profilo completo dell’interessato, accedendo alle altre informazioni rinvenibili sul web o tra­mite i social network, così da collegare il volto prescelto ai profili e alle altre informazioni iden­tificabili tramite l’impronta biometrica del viso.

Notizie di cronaca riferiscono che i principali operatori del mercato dei social network avreb­bero diffidato l’azienda dall’utilizzare in tal modo i dati dei loro utenti, ma la questione è abbastanza controversa, anche alla luce della diversa disciplina sulla riservatezza in vigore negli Stati Uniti d’America. Non è stata infatti registrata, da parte delle istituzioni, una ferma presa di posizione sul tema, con particolare rife­rimento all’accordo di massima per lo scambio di dati personali volto a sanare le situazioni lasciate in sospeso dalla sentenza Schrems II.

Nel frattempo, la società, per cercare di schiva­re le sanzioni, ha dichiarato di non utilizzare dati di cittadini europei fin dal 2020; si tratta di un’affermazione smentita con il supporto delle segnalazioni delle persone interessate, di fronte a cui Clearview si è giustificata sostenendo che si trattava di dati liberamente disponibili in rete, raccolti al solo fine di perfezionare il funziona­mento del software e successivamente cancellati in quanto non più necessari allo scopo.

L’attività svolta sulle immagini di cittadini eu­ropei risulterebbe inoltre essere stata ritenuta necessaria a seguito della richiesta di alcune agenzie governative europee (non meglio speci­ficate), interessate all’utilizzo del software per finalità di contrasto alla pornografia infantile su Internet. Con riferimento a un provvedimento adottato dall’autorità per la protezione dei dati svedese, infatti, la società ha evidenziato che i relativi account sono stati attivati per rispondere a una richiesta delle forze dell’ordine locali, am­mettendo implicitamente che le immagini degli utenti europei non sono state raccolte solo per migliorare le funzionalità del software, ma sono state inserite in un database consultato (seppure con account di prova) dalle forze dell’ordine.

Caso Clearview, la questione è aperta

In concreto, la società non si limita a raccogliere immagini online ma esegue ulteriori trattamenti (rilevamento biometrico e indicizzazione tramite hashing) che facilitano chi intende effettuare una ricerca utilizzando altri database o le risorse disponibili su Internet. Qualsiasi successiva ope­razione di interconnessione dei vettori biometrici e dei metadati raccolti, conservati e associati alle immagini del viso permette di accedere a risor­se che possono consentire non solo di profilare analiticamente l’interessato, ma anche rivelarne dati particolari quali l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filo­sofiche, l’appartenenza sindacale ecc. Attraverso il confronto tra le impronte biometriche sarebbe infatti possibile associare un soggetto a siti web di associazioni di fedeli, a un determinato culto o a un sindacato o partito politico, ecc.

L’unica eccezione che potrebbe cogliere nel se­gno, tra gli argomenti forniti dall’azienda, è quella della carenza di giurisdizione delle autorità europee, per contrasto con la nor­mativa statunitense. Il principio di ubiquità alla base di molte norme europee, infatti, non viene pacificamente accolto oltreoceano, poiché am­metterebbe la possibilità di un’ingerenza negli affari interni degli Stati Uniti. Il contrasto sulla disciplina dei dati personali determinato dal­la sentenza Schrems II della Corte Europea di Giustizia a sua volta non semplifica il rapporto, posto che la stessa Europa chiede alle agenzie go­vernative statunitensi di non trattare dati di cit­tadini europei per finalità di sorveglianza e pre­venzione.

Resta da comprendere se possa essere accolta la giustificazione della società secondo la quale la tecnologia (considerando l’applicazione uno strumento e non un processo) non comporta necessariamente un trattamento illecito, poten­dosi equiparare l’indicizzazione dei volti a quella dei siti web che opera, per esempio, Google. In tal senso, a essere disciplinato ed eventualmente sanzionato, dovrebbe essere l’utilizzo illecito di quella tecnologia e non la tecnologia stessa.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome