Clearview AI è una società con sede legale negli Stati Uniti operante nel settore IT, nota per aver creato un vasto database di immagini raccolte da piattaforme social, usato per la creazione di software di riconoscimento facciale a fini di ordine pubblico.
La società è stata recentemente accusata dalla Dutch Data Protection Authority (Dutch DPA) per aver creato un archivio illegale contenente “codici biometrici univoci” associati alle foto di soggetti acquisite tramite social. In particolare, l’autorità contesta da un lato, che il trattamento dei dati personali da parte della società avvenga in assenza di una base giuridica valida ex art. 6.1 GDPR, e dall’altro che lo stesso trattamento sia privo del consenso degli interessati ex ante e quindi illecito, essendo quest’ultima una condizione essenziale ai fini della liceità dello stesso ex art. 7 GDPR.
Non solo, secondo la Dutch DPA, Clearview avrebbe violato anche l’art. 9 GDPR, in merito al trattamento di categorie particolari di dati personali di soggetti situati nei Paesi Bassi, in quanto l’attività principale della società avrebbe ad oggetto proprio il trattamento di dati biometrici “intesi a identificare in modo univoco una persona fisica” (art. 9.1 GDPR).
In più, Clearview né informerebbe sufficientemente gli interessati dell’utilizzo da parte della società delle loro foto e dei loro dati biometrici, operando dunque in contrasto con l’art. 12.1 GDPR in merito ai diritti degli interessati, né collaborerebbe alle richieste di accesso degli stessi, in totale contrasto con l’art 15 GDPR.
Nonostante ciò, la società avrebbe persistito nella sua attività illecita anche dopo l’avvio dell’istruttoria da parte delle Autorità olandesi, rischiando un’ulteriore sanzione fino a 5,1 milioni di euro. Per questo, il garante olandese ha comunicato di essere alla ricerca di modalità per garantire che Clearview interrompa le violazioni, considerando che l’azienda non ha modificato il proprio comportamento dopo le precedenti sanzioni anche da parte di altri Stati membri.