La controvertida empresa de reconocimiento facial, Clearview AI, que ha acumulado una base de datos de unos 10.000 millones de imágenes extrayendo selfies de Internet para poder vender un servicio de coincidencia de identidad a las fuerzas del orden, ha recibido otra orden para eliminar los datos de las personas.
El organismo de control de la privacidad de Francia dijo hoy que Clearview ha violado el Reglamento General de Protección de Datos (GDPR) de Europa.
en un anuncio del hallazgo de incumplimiento, la CNIL también notifica formalmente a Clearview para detener su “procesamiento ilegal” y dice que debe eliminar los datos del usuario dentro de dos meses.
El organismo de control actúa sobre las quejas contra Clearview recibidas desde mayo de 2020.
La empresa estadounidense no tiene una base establecida en la UE, lo que significa que su negocio está abierto a acciones regulatorias en toda la UE, por parte de cualquiera de los supervisores de protección de datos del bloque. Entonces, si bien la orden de la CNIL solo se aplica a los datos que tiene sobre personas de los territorios franceses, que la CNIL estima que cubre “varias” decenas de millones de usuarios de Internet, es probable que haya más órdenes de este tipo de otras agencias de la UE.
La CNIL señala que ha tratado de trabajar con otras autoridades compartiendo los resultados de sus investigaciones, lo que sugiere que es probable que Clearview enfrente más órdenes para detener el procesamiento de datos de las autoridades en los otros Estados miembros de la UE y países del EEE que han transpuesto el RGPD en nacional. (unos 30 países en total).
Este año, el servicio de Clearview ya ha sido declarado en incumplimiento de las reglas de privacidad en Canadá, Australia y el Reino Unido (que, después del Brexit, se encuentra fuera de la UE pero conserva el RGPD en la legislación nacional por ahora), donde se enfrenta a una posible multa y fue También ordenó eliminar los datos del usuario el mes pasado.
Dos incumplimientos del RGPD
La CNIL de Francia descubrió que Clearview cometió dos infracciones del RGPD: violar el artículo 6 (la legalidad del procesamiento) al recopilar y utilizar datos biométricos sin una base legal; y violando una variedad de derechos de acceso a datos establecidos en los Artículos 12, 15 y 17.
La infracción del Artículo 6 se debe a que Clearview no obtiene el consentimiento de las personas para usar sus datos biométricos faciales, ni tampoco puede confiar en una base legal de interés legítimo para recopilar y usar estos datos, dado lo que la CNIL describe como la escala masiva y “particularmente intrusiva”. naturaleza del tratamiento que está realizando.
“Estas personas, cuyas fotografías o videos son accesibles en varios sitios web y redes sociales, no esperarían razonablemente que sus imágenes sean procesadas por [Clearview AI] para alimentar un sistema de reconocimiento facial que pueda ser utilizado por los estados [such as for] fines policiales”, escribe la CNIL (traducido del francés).
También recibió quejas de personas sobre una serie de “dificultades” encontradas al tratar de obtener sus derechos de acceso a los datos de GDPR.
Aquí, la CNIL encontró que Clearview está infringiendo la regulación de varias maneras, como al limitar los derechos de acceso a los datos de las personas a dos veces al año “sin justificación”; o limitándolo a los datos recopilados durante los 12 meses anteriores; o solo respondiendo a determinadas solicitudes tras “un número excesivo de solicitudes de la misma persona”.
Se ha ordenado a Clearview que se asegure de facilitar adecuadamente los derechos de los interesados, incluido el cumplimiento de las solicitudes para eliminar los datos de las personas.
Si la empresa no cumple con la orden francesa, la CNIL advierte que podría enfrentar más acciones regulatorias, que incluirían la posibilidad de una multa.
Según el RGPD, las APD pueden imponer multas de hasta 20 millones de euros o hasta el 4 % de los ingresos globales anuales de una empresa, lo que sea mayor. Sin embargo, imponer multas a las empresas sin una base en la UE presenta un desafío regulatorio.
Clearview ha sido contactado para comentar sobre la orden de la CNIL.
Actualizar: En una declaración atribuida al CEO y fundador Hoan Ton-That, Clearview trató de sugerir que la empresa no está sujeta al RGPD, aunque la regulación tiene un alcance extraterritorial, lo que significa que es aplicable y (al menos en teoría) exigible fuera de las fronteras de la UE. en los casos en que los datos de personas de la UE se hayan procesado en violación de las reglas.
Aquí está la declaración de Clearview:
“Clearview AI no tiene un lugar de negocios en Francia o la UE, no tiene clientes en Francia o la UE, y no realiza ninguna actividad que de otro modo significaría que está sujeto al RGPD.
“Crecí en Australia y durante mucho tiempo he visto a Francia como una capital mundial de belleza y excelencia. Tengo un profundo respeto por el país y su gente. Creé la tecnología de reconocimiento facial consecuente conocida en todo el mundo con el propósito de ayudar a hacer que las comunidades sean más seguras y ayudar a las fuerzas del orden público a resolver crímenes atroces contra niños, adultos mayores y otras víctimas de actos sin escrúpulos. Solo recopilamos datos públicos del Internet abierto y cumplimos con todos los estándares de privacidad y la ley. Estoy desconsolado por la mala interpretación de algunos en Francia, donde no hacemos negocios, de la tecnología de Clearview AI para la sociedad. Mis intenciones y las de mi empresa siempre han sido ayudar a las comunidades y a su gente a vivir una vida mejor y más segura”.
Source link