Otro organismo europeo de control de la privacidad ha sancionado a la controvertida empresa de reconocimiento facial, Clearview AI, que extrae selfies de Internet para acumular una base de datos de unos 10 000 millones de rostros para impulsar un servicio de comparación de identidades que vende a las fuerzas del orden.
La agencia de protección de datos de Italia anunció hoy una multa de 20 millones de euros por infracciones de la ley de la UE, además de ordenar a la controvertida empresa que elimine cualquier información sobre los italianos que tenga y prohibirle cualquier procesamiento posterior de la biometría facial de los ciudadanos.
Su investigación se inició a raíz de “quejas y informes“, dijo, y señaló que, además de las violaciones de la ley de privacidad, descubrió que la compañía había estado rastreando a ciudadanos italianos y personas ubicadas en Italia.
“Los hallazgos revelaron que los datos personales en poder de la empresa, incluidos los datos biométricos y de geolocalización, se procesan ilegalmente, sin una base legal adecuada, lo que ciertamente no puede ser el interés legítimo de la empresa estadounidense”, dijo Garante en un comunicado. presione soltar.
Otras infracciones del Reglamento General de Protección de Datos (GDPR) que identificó incluyeron obligaciones de transparencia (debido a que Clearview no había informado adecuadamente a los usuarios de lo que estaba haciendo con sus selfies); violaciones de la limitación del propósito y haber utilizado los datos del usuario para fines distintos a aquellos para los que fueron publicados en línea; y también incumplimientos de las normas de conservación de datos sin límite de almacenamiento.
“La actividad de Clearview AI, por lo tanto, viola las libertades de los interesados, incluida la protección de la confidencialidad y el derecho a no ser discriminado”, dijo también la autoridad.
Se contactó a Clearview para comentar sobre la última sanción de GDPR. Actualizar: En una declaración atribuida al CEO, Hoan Ton-That, Clearview dijo:
Clearview AI no tiene un lugar de negocios en Italia o la UE, no tiene ningún cliente en Italia o la UE, y no realiza ninguna actividad que de otro modo significaría que está sujeto al RGPD.
En comentarios adicionales, Ton-That afirmó:
Solo recopilamos datos públicos del Internet abierto y cumplimos con todos los estándares de privacidad y la ley. Estoy desconsolado por la mala interpretación de algunos en Italia, donde no hacemos negocios, de la tecnología de Clearview AI a la sociedad. Mis intenciones y las de mi empresa siempre han sido ayudar a las comunidades y a su gente a vivir vidas mejores y más seguras.
Es la aplicación más fuerte hasta ahora de un organismo europeo de control de la privacidad, con la advertencia de la ICO del Reino Unido en noviembre de una posible multa cuando también ordenó a Clearview que dejara de procesar datos.
En diciembre, la CNIL de Francia también ordenó a Clearview que dejara de procesar los datos de los ciudadanos y le dio dos meses para eliminar cualquier dato que tuviera, pero no mencionó una sanción financiera.
Sin embargo, si Italia podrá cobrar la multa de 20 millones de euros de Clearview, una entidad con sede en los EE. UU., es una pregunta bastante importante.
“La decisión fue notificada a la empresa ayer, y la empresa deberá informar a la Autoridad sobre los pasos que está tomando para cumplir con la decisión o impugnarla, incluida la aplicabilidad del RGPD y las medidas pertinentes”. nos dijo un portavoz de la DPA.
En un comunicado de prensa que anuncia la sanción, Garante también señaló que ordenó a Clearvew que designe un representante en la UE “para facilitar el ejercicio de los derechos de los interesados”, otro requisito legal según la legislación de la UE que descubrió que la empresa no había cumplido. Pero la falta de una entidad Clearview con sede en la UE hace que sea mucho más difícil para Italia cobrar una multa.
Si bien el RGPD de la UE, en papel, tiene alcance extraterritorial, lo que significa que se aplica fuera del bloque a cualquier persona que procese datos de personas de la UE, la aplicación contra entidades extranjeras que no tienen establecimientos o ejecutivos locales a los que aplicar sanciones puede generar límites prácticos estrictos en el alcance de la ley.
Dicho esto, las DPA siempre pueden perseguir a cualquier entidad local lo suficientemente tonta como para convertirse en cliente de la entidad sancionada, como hizo el organismo de control de Suecia el año pasado, multando a una fuerza policial local por lo que dijo que era un uso ilegal del software de reconocimiento facial de Clearview.
Por lo tanto, cada prohibición que Clearview acumula en un mercado de la UE reduce su base de clientes potenciales. Ciertamente, del lado del sector público, y la aplicación de la ley sigue siendo un objetivo principal para su tecnología de comparación de identidad. (Aunque un informe reciente en el el poste de washington sugiere que ha estado impulsando a los inversionistas en una expansión masiva de su negocio que podría incluir la venta de servicios de coincidencia de identidad al sector privado, como apuntar a servicios financieros o plataformas de economía de concierto).
A pesar de las conversaciones optimistas con sus propios inversores sobre la expansión internacional, la controvertida empresa de reconocimiento facial se ha visto afectada por sanciones de privacidad en todo el mundo, desde Canadá hasta Australia.
Por lo tanto, los límites en la capacidad de Clearview para escalar internacionalmente siguen ampliándose, incluso cuando (algunas) agencias de aplicación de la ley con sede en los EE. UU. continúan interviniendo. En otros lugares de los EE. enfrenta desafíos legales para escalar el uso de su tecnología anti-privacidad.
Este informe se actualizó con un comentario adicional
Source link