Reino Unido multa a Clearview por poco menos de 10 millones de dólares por violaciones de privacidad

Selfie raspando Clearview AI golpeado con otra orden de prohibición de € 20M en Europa

Clearview AI ha recibido otra sanción por violar las normas de privacidad europeas.

La autoridad helénica de protección de datos con sede en Atenas multó a la controvertida empresa de reconocimiento facial con 20 millones de euros y le prohibió recopilar y procesar datos personales de personas que viven en Grecia. También le ha ordenado que elimine cualquier dato sobre ciudadanos griegos que ya haya recopilado.

Desde fines del año pasado, las DPA nacionales en el Reino Unido, Italia y Francia también han emitido decisiones similares que sancionan a Clearview, congelando efectivamente su capacidad para vender sus servicios en sus mercados, ya que cualquier cliente local correría el riesgo de ser multado.

La empresa con sede en EE. UU. ganó notoriedad por extraer selfies de Internet para crear un servicio comercial algorítmico de coincidencia de identidades dirigido a las fuerzas del orden y otros, incluidas las entidades del sector privado.

El año pasado, los reguladores de privacidad en Canadá y Australia también concluyeron que las actividades de Clearview incumplen las leyes locales, en golpes anteriores a su capacidad de escalar internacionalmente.

Más recientemente, en mayo, Clearview acordó importantes restricciones a sus servicios a nivel nacional, dentro de los EE. uso de los datos biométricos de las personas sin consentimiento.

El marco de protección de datos de la Unión Europea, el Reglamento General de Protección de Datos (GDPR), establece un estándar igualmente alto para el uso legal de datos biométricos para identificar a las personas, un estándar que se extiende a todo el bloque, así como a algunos estados no miembros (incluidos el Reino Unido); así que alrededor de 30 países en total.

Según el RGPD, un propósito tan sensible para los datos personales (es decir, el reconocimiento facial para un servicio de coincidencia de ID) requeriría, como mínimo, el consentimiento explícito de los interesados ​​para procesar sus datos biométricos.

Sin embargo, está claro que Clearview no obtuvo el consentimiento de los miles de millones de personas (y probablemente millones de europeos) cuyas selfies tomó subrepticiamente de las plataformas de redes sociales y otras fuentes en línea para entrenar a las IA de reconocimiento facial, reutilizando los datos de las personas para un propósito hostil a la privacidad. Por lo tanto, la creciente serie de sanciones de GDPR que se acumulan en su contra en Europa no es sorprendente. Y más sanciones pueden seguir.

En sus 23 páginas decisión, la DPA helénica dijo que Clearview había infringido los principios de legalidad y transparencia del RGPD al encontrar violaciones de los artículos 5 (1)a, 6 y 9; así como los incumplimientos de las obligaciones previstas en los artículos 12, 14, 15 y 27.

La decisión de la DPA griega sigue a una queja de mayo de 2021 presentada por el grupo local de defensa de los derechos humanos, homo digitalque anunció la victoria en un comunicado de prensa, diciendo que la sanción de 20 millones de euros envía una “fuerte señal contra los modelos comerciales intrusivos de las empresas que buscan ganar dinero a través del procesamiento ilegal de datos personales”.

La organización de defensa también sugirió que la multa envía “un mensaje claro a las autoridades encargadas de hacer cumplir la ley que trabajan con empresas de este tipo de que tales prácticas son ilegales y violan gravemente los derechos de los interesados”. (En un mensaje aún más claro el año pasado, la DPA de Suecia multó a la autoridad policial local con 250.000 euros por el uso ilegal de Clearview que, según dijo, infringió la Ley de datos criminales del país).

Se contactó a Clearview para comentar sobre la sanción de la DPA helénica.

Actualizar: En un comunicado atribuido a su fundador y CEO, Hoan Ton-That, Clearview dijo:

“Clearview AI no tiene un lugar de negocios en Grecia o la UE, no tiene clientes en Grecia o la UE, y no lleva a cabo ninguna actividad que de otro modo significaría que está sujeto al RGPD”.

Según el recuento actual, la empresa ha sido multada, en papel, con cerca de 50 millones de euros por parte de los reguladores en Europa. Aunque no está tan claro si ya pagó alguna de las multas, dadas las posibles apelaciones y el desafío general para los reguladores internacionales de hacer cumplir las leyes locales contra una entidad con sede en EE. UU. si decide no cooperar.

La DPA del Reino Unido nos dijo que Clearview está apelando su sanción en ese mercado.

“Hemos recibido una notificación de que Clearview AI ha apelado. Clearview AI no está obligada a cumplir con el Aviso de ejecución o pagar el Aviso de multa hasta que se determine la apelación. No haremos más comentarios sobre este caso mientras el proceso legal esté en curso”, dijo el portavoz de la ICO.

Las respuestas de Clearview a sanciones anteriores del RGPD han sugerido que actualmente no está haciendo negocios en los mercados afectados. Pero queda por ver si las fuerzas del orden funcionarán para excluirlo permanentemente de la región, o si podría tratar de eludir las sanciones adaptando su producto de alguna manera.

En los EE. UU., hizo girar su acuerdo con la ACLU como una “gran victoria” para su negocio, alegando que no se vería afectado porque aún podría vender su algoritmo (en lugar de acceder a su base de datos) a empresas privadas en el A NOSOTROS

El acuerdo de la demanda de los EE. UU. también incluyó una excepción para los contratistas del gobierno, lo que sugiere que Clearview puede continuar trabajando con las agencias del gobierno federal en los EE. UU., como Seguridad Nacional y el FBI — mientras aplica una prohibición de cinco años para que proporcione su software a cualquier contratista del gobierno o entidades gubernamentales estatales o locales en Illinois.

Sin duda, es notable que las DPA europeas no hayan ordenado, hasta ahora, la destrucción del algoritmo de Clearview, a pesar de que varios reguladores concluyeron que fue entrenado en datos personales obtenidos ilegalmente.

Como informamos anteriormente, los expertos legales han sugerido que existe un área gris sobre si el RGPD faculta a los organismos de supervisión para poder ordenar la eliminación de modelos de IA entrenados en datos obtenidos incorrectamente, no solo para ordenar la eliminación de los datos en sí, como parece. haber sucedido hasta ahora en esta saga de Clearview.

Pero la legislación de IA entrante de la UE podría establecerse para empoderar a los reguladores para ir más allá: la Ley de Inteligencia Artificial (todavía borrador) contiene poderes para que las autoridades de vigilancia del mercado “tomen todas las medidas correctivas apropiadas” para que un sistema de IA cumpla, incluida la retirada de la mercado (lo que equivale esencialmente a la destrucción comercial), dependiendo de la naturaleza del riesgo que plantee.

Si la Ley de IA que finalmente adoptaron los colegisladores de la UE conserva esta disposición, sugiere que cualquier margen de maniobra para que las entidades comerciales operen modelos de IA entrenados ilegalmente dentro del bloque podría estar encaminado hacia una claridad legal muy estricta pronto.

Mientras tanto, si Clearview obedece todas estas órdenes internacionales de eliminar y dejar de procesar los datos de los ciudadanos, no podrá mantener sus modelos de IA actualizados con datos biométricos nuevos sobre personas de países donde está prohibido procesar datos biométricos de personas, lo que implica que la utilidad de su producto se degradará gradualmente con cada orden de prohibición totalmente aplicada.


Source link