Francia multa a Clearview AI con el máximo posible por infracciones del RGPD

Francia multa a Clearview AI con el máximo posible por infracciones del RGPD

Clearview AI, la controvertida firma de reconocimiento facial que extrae selfies y otros datos personales de Internet sin consentimiento para alimentar un servicio de comparación de identidades impulsado por IA que vende a las fuerzas del orden y otros, recibió otra multa en Europa.

Este se produce después de que no respondió a una orden del año pasado de la CNIL, el organismo de control de la privacidad de Francia, para detener el procesamiento ilegal de la información de los ciudadanos franceses y eliminar sus datos.

Clearview respondió a esa orden, bueno, ocultando al regulador, agregando así una tercera violación de GDPR (falta de cooperación con el regulador) a su cuenta anterior.

Aquí está el resumen de la CNIL de las infracciones de Clearview:

Tratamiento ilícito de datos personales (incumplimiento del artículo 6 del RGPD) Derechos de las personas no respetados (artículos 12, 15 y 17 del RGPD) Falta de cooperación con la CNIL (artículo 31 del RGPD)

“Clearview AI tenía dos meses para cumplir con las medidas cautelares formuladas en la notificación formal y justificarlas ante la CNIL. Sin embargo, no proporcionar cualquier respuesta a este aviso formal”, escribió la CNIL en un presione soltar hoy anunciando la sanción [emphasis its].

“Por lo tanto, el presidente de la CNIL decidió remitir el asunto al comité restringido, que está a cargo de emitir sanciones. Sobre la base de la información puesta en su conocimiento, el comité restringido decidió imponer una sanción económica máxima de 20 millones de eurossegún el artículo 83 del RGPD [General Data Protection Regulation].”

El RGPD de la UE permite sanciones de hasta el 4 % de los ingresos anuales mundiales de una empresa por las infracciones más graves, o 20 millones de euros, lo que sea mayor. Pero el comunicado de prensa de la CNIL deja en claro que está imponiendo la cantidad máxima posible aquí.

Sin embargo, sigue siendo una pregunta abierta si Francia verá un centavo de este dinero de Clearview.

El eliminador de privacidad con sede en EE. UU. ha recibido una serie de sanciones por parte de otras agencias de protección de datos en toda Europa en los últimos meses, incluidas multas de 20 millones de euros de Italia y Grecia; y una sanción más pequeña en el Reino Unido. Pero no está claro si se entregó dinero a ninguna de estas autoridades, y tienen recursos limitados (y medios legales) para tratar de buscar Clearview para el pago fuera de sus propias fronteras.

Por lo tanto, las sanciones de GDPR parecen principalmente una advertencia para mantenerse alejado de Europa.

La agencia de relaciones públicas de Clearview, LakPR Group, nos envió esta declaración luego de la sanción de la CNIL, que atribuyó al director ejecutivo Hoan Ton-That:

No hay forma de determinar si una persona tiene ciudadanía francesa, simplemente a partir de una foto pública de Internet y, por lo tanto, es imposible eliminar los datos de los residentes franceses. Clearview AI solo recopila información disponible públicamente en Internet, al igual que cualquier otro motor de búsqueda como Google, Bing o DuckDuckGo.

La declaración continúa reiterando las afirmaciones anteriores de Clearview de que no tiene un lugar de negocios en Francia o en la UE, ni realiza ninguna actividad que “de otro modo significaría que está sujeto al RGPD”, como dice, y agrega: “La base de datos de Clearview AI de imágenes disponibles públicamente se recopila legalmente, al igual que cualquier otro motor de búsqueda como Google”.

(Nota: en papel, el RGPD tiene un alcance extraterritorial, por lo que sus argumentos anteriores no tienen sentido, mientras que su afirmación de que no está haciendo nada que lo haga sujeto al RGPD parece absurdo dado que ha acumulado una base de datos de más de 20 mil millones de imágenes en todo el mundo y Europa es, er , parte del Planeta Tierra… )

La declaración de Ton-That también repite una afirmación muy repetida en las declaraciones públicas de Clearview en respuesta al flujo de sanciones regulatorias que atrae su negocio de que creó su tecnología de reconocimiento facial con “el propósito de ayudar a hacer que las comunidades sean más seguras y ayudar a las fuerzas del orden público a resolver problemas atroces”. delitos contra niños, personas de la tercera edad y otras víctimas de actos sin escrúpulos” —no sacar provecho de la explotación ilícita de la privacidad de las personas— aunque, en cualquier caso, tener un motivo ‘puro’ supondría una diferencia en su requisito, según la legislación europea, de haber una base legal válida para procesar los datos de las personas en primer lugar.

“Solo recopilamos datos públicos del Internet abierto y cumplimos con todos los estándares de privacidad y la ley. Estoy desconsolado por la mala interpretación de algunos en Francia, donde no hacemos negocios, de la tecnología de Clearview AI para la sociedad. Mis intenciones y las de mi empresa siempre han sido ayudar a las comunidades ya su gente a vivir vidas mejores y más seguras”, concluye el PR de Clearview.

Cada vez que ha recibido una sanción de un regulador internacional, ha hecho lo mismo: negar que haya cometido una infracción y refutar que el organismo extranjero tiene jurisdicción sobre su negocio, por lo que su estrategia para lidiar con su propia ilicitud en el procesamiento de datos parece ser simple. falta de cooperación con los reguladores fuera de los EE. UU.

Obviamente, esto solo funciona si planea que sus ejecutivos/personal superior nunca pongan un pie en los territorios donde su negocio está bajo sanción y abandonen cualquier noción de vender el servicio sancionado a clientes en el extranjero. (El año pasado, el organismo de control de protección de datos de Suecia también multó a una autoridad policial local por el uso ilegal de Clearview, por lo que los reguladores europeos también pueden actuar para reprimir cualquier demanda local, si es necesario).

En casa, Clearview finalmente tuvo que enfrentarse a algunas líneas rojas legales recientemente.

A principios de este año, acordó resolver una demanda que lo acusaba de infringir una ley de Illinois que prohíbe el uso de datos biométricos de personas sin consentimiento. El acuerdo incluía que Clearview aceptara algunos límites en su capacidad para vender su software a la mayoría de las empresas de EE. UU., pero aun así anunció el resultado como una “gran victoria”, alegando que podría eludir el fallo vendiendo su algoritmo (en lugar de acceder a su base de datos), a empresas privadas en los EE. UU.

La necesidad de empoderar a los reguladores para que puedan ordenar la eliminación (o el retiro del mercado) de algoritmos entrenados en datos procesados ​​ilegalmente parece una actualización importante de sus cajas de herramientas si queremos evitar una distopía alimentada por IA.

Y da la casualidad de que la próxima Ley de IA de la UE puede contener tal poder, según el análisis legal del marco propuesto.

El bloque también presentó más recientemente un plan para una Directiva de responsabilidad de IA que quiere fomentar el cumplimiento de la Ley de IA más amplia, al vincular el cumplimiento con un riesgo reducido de que los fabricantes de modelos, implementadores, usuarios, etc. de IA puedan ser demandados con éxito si sus productos caso una variedad de daños, incluso a la privacidad de las personas.


Source link