Venti milioni di euro, è questa la sanzione comminata dal Garante della Privacy a Clearview AI, a seguito di segnalazione da parte di Privacy Network, per aver trattato illegittimamente i dati di un numero indefinito di europei e anche specificatamente italiani (a quanto risulta dall’indagine dello stesso Garante). Del resto, il database della società statunitense vanta circa 10 miliardi di immagini riferibili ad un numero poco meno elevato di individui di cui molti sono europei.
C’è da gioire, anche se come vedremo ormai il danno è stato in gran parte fatto.
Immagini che venivano dalla società statunitense utilizzate per allenare un algoritmo di intelligenza artificiale con il fine di riuscire a creare un sistema in grado di riconoscere qualsiasi persona sulla faccia della Terra in pochi secondi. Questo sistema sarebbe è già in uso da parte di numerosi governi per corpi di polizia e per azioni militari, trasformando tutti i cittadini in potenziali sospettati da controllare costantemente.
Clearview AI, perché è una sanzione importante
Ma perché si tratta di una sanzione importante? In breve si può dire: perché il Garante italiano sta contribuendo – come già quello inglese e quello francese intervenuti nel 2021 su Clearview AI – a supportare l’idea che c’è un limite all’abuso tecnologico; alle derive pericolose dell’intelligenza artificiale. “Non tutto quello che è tecnicamente possibile è giuridicamente ed eticamente lecito”, come detto da Guido Scorza, del collegio del Garante, ad Agendadigitale.eu (vedi video sopra).
In primo luogo, occorre evidenziare come, con il provvedimento in questione, il Garante sia stato messo nella posizione di ripercorrere (e spiegare a Clearview) alcuni dei principi fondamentali del nostro ordinamento. Sì, perché la società statunitense, quasi come se fosse una startup di piccole dimensioni, di fatto ha dimostrato di ignorare la gran parte dei principi del Regolamento Europeo sulla Protezione dei Dati. Leggendo il provvedimento è evidente che non si tratta nemmeno di un goffo tentativo di difesa quanto più che altro di una carente conoscenza del diritto europeo.
Giurisdizione
In primo luogo, Clearview ritiene di non aver violato il diritto europeo, anzi, ritiene che lo stesso non sia in alcun modo applicabile alla sua attività imprenditoriale. Il motivo alla base di tale convinzione è da ricercare nel fatto che non avendo alcun cliente europeo, secondo la società sanzionata, non si applicherebbe il GDPR. Questa è una grave ed ingiustificabile lacuna a parere di chi scrive ed è figlia dell’approccio americano alla privacy. Negli Stati Uniti, come sappiamo, il diritto alla riservatezza è considerato come un corollario del diritto dei consumatori, vale a dire dei clienti. Quindi, secondo Clearview, niente clienti europei equivale a niente applicazione del GDPR. Tuttavia, come evidenzia correttamente il Garante, la norma europea non fa perno sul concetto di cliente ma sul concetto di interessato. L’interessato non è colui che compra un servizio ma è colui i cui dati vengono utilizzati per un trattamento, a prescindere dal rapporto commerciale tra azienda e interessato.
Si tratta di una distinzione nemmeno troppo sottile che, tuttavia, viene ignorata del tutto dalla difesa di Clearview, circostanza questa che ha portato a ritenere applicabile il diritto Europeo in quanto, pur non avendo clienti un UE, Clearview ha raccolto e trattato (peraltro con procedure biometriche e con intelligenza artificiale) i dati di numerosissimi cittadini UE, rendendo quindi applicabile il GDPR a questa fattispecie.
Scraping
Sotto questo aspetto la decisione del Garante mostra tutta la sua capacità innovativa. Lo scraping è una attività che consiste nella raccolta “ a strascico” di immagini pubblicate e liberamente visibili sul web. Questa pratica non è mai stata definita espressamente come legale restando per molto tempo in una zona grigia. Da oggi invece è sancito un precedente importante in cui si afferma chiaramente che lo scraping è illegittimo. Il motivo di tale illegittimità è anch’esso da rinvenire nei principi fondamentali del GDPR ove si prevede che per ogni trattamento un soggetto deve essere munito di base giuridica. Questo significa che il solo fatto che un dato sia pubblico non deve portare a pensa che si sia autorizzati a prenderlo ed utilizzarlo per scopi diversi. Anche qui il disguido nasce dal fatto che negli stati uniti, un dato pubblico è utilizzabile da chiunque ma, ancora una volta, è da evidenziare come ciò non valga quale scusante in quanto non stiamo parlando di una piccola startup ma di un colosso nascente capace di reclamare il proprio posto nell’Olimpo dei big (Google e co.), non è quindi tollerabile una simile mancanza di conoscenza del diritto UE, specie se, come dicevamo, l’attività di scraping si è concentrata anche sui cittadini europei.
Lo scraping quindi non è consentito in quanto manchevole di qualsiasi base giuridica. Non viene difatti richiesto alcunché agli interessati, né in fase di raccolta, né in fase di utilizzo per individuazione dei nodi e del tracciato biometrico delle foto, né per l’addestramento dell’intelligenza artificiale e così via. Ogni singolo passaggio è privo di base giuridica. Si consideri a tal riguardo che, seppur le foto costituiscano un dato personale “semplice”, nel momento in cui la foto viene sottoposta a un processo biometrico la stessa acquisisce il valore di dato particolarmente sensibile il cui trattamento, ai sensi dell’art. 9 GDPR è tendenzialmente vietato salvo ricorrere di consenso.
Sul punto è poi da evidenziare come il tanto discusso decreto Capienze sia stato utilizzato dal Garante al fine di supportare la propria tesi in merito all’illegittimità del trattamento. Ricorda difatti l’Autorità che il Parlamento europeo ha nei mesi scorsi chiesto alla Commissione che “la diffusione dei sistemi di riconoscimento facciale da parte delle autorità di contrasto venga limitata a finalità chiaramente giustificate nel pieno rispetto dei principi di proporzionalità e di necessità e della legge vigente”.
Proprio sulla scorta di tale raccomandazione, in Italia, è stata poi disposta, col d.l. 139/2021, convertito con modificazioni nella l. 205/2021 (cd. “decreto capienze”), una moratoria dei sistemi biometrici di riconoscimento facciale in luoghi pubblici o aperti al pubblico fino al 31 dicembre 2023, ad eccezione dei soli trattamenti effettuati dalle autorità competenti a fini di prevenzione e repressione dei reati o di esecuzione di sanzioni penali di cui al d.lgs. 51/2018.
Di conseguenza è evidente che tale trattamento effettuato da Clearview non solo è privo di base giuridica ma addirittura contro il divieto imposto dalla normativa, circostanza questa che non poteva essere ignorata dalla società sanzionata.
Informativa
L’ultimo importante aspetto toccato dalla sanzione riguarda l’assenza di qualsivoglia informativa. A dire il vero, come evidenziato anche da Guido Scorza in un’intervista, inizialmente Clearview aveva pubblicato un’informativa (in cui peraltro c’erano anche timidi accenni al GDPR) ma poi questa informativa è stata sostituita con una dedicata al solo territorio statunitense. Questo cambio in corsa può essere dettato dal fatto che, qualora l’informativa fosse stata diretta al pubblico europeo, l’intera difesa di Clearview non avrebbe avuto senso alcuno. SI tratta tuttavia di una strategia quantomeno infelice in quanto, in ogni caso, pubblicare un’informativa sul proprio sito non è adempimento sufficiente per considerare informati i miliardi di utenti coinvolti in questa attività di scraping. Circostanza questa che si è quindi aggiunta all’elenco di mancanze da parte della società americana.
Il danno irreversibile
Le conseguenze di questa decisione, salvo impugnazione (e vittoria), sono la cancellazione di tutto il database di informazioni trattate illegittimamente, circostanza questa che andrebbe a ridurre sensibilmente le dimensioni del database di Clearview ma che, comunque non restaurerebbe la situazione ante raccolta. Già, perché ormai l’algoritmo è stato allenato e non si torna indietro.
La privacy è violata e probabilmente questi sistemi verranno comunque venduti in Europa prima o poi, anche se sono stati resi possibili dal trattamento illecito di dati.
Maxi-multa a Clearview, Scorza: “Stop alla pesca a strascico dei dati dei cittadini” (video)
