L’azienda di riconoscimento facciale Clearview AI si trova ad affrontare crescenti battaglie legali in Europa. In Austria, il gruppo privacy noyb ha presentato una denuncia penale il 27 ottobre, un passo che potrebbe mettere i dirigenti dell’azienda a rischio di finire in prigione.
Tale azione arriva subito dopo un’importante sentenza del tribunale nel Regno Unito. Il 7 ottobre, un tribunale superiore ha deciso che il web scraping dei residenti nel Regno Unito da parte di Clearview è soggetto alla legge britannica.
La sua sentenza apre la strada al garante dei dati del Regno Unito per imporre una multa di 7,5 milioni di sterline. Tali sconfitte legali a Vienna e Londra rappresentano una nuova sfida seria per un’azienda che ha spesso ignorato le autorità di regolamentazione europee.
Il tribunale del Regno Unito stabilisce che Clearview rientra nella legge britannica
Al di là della Manica, una battaglia separata ma altrettanto importante raggiunse la sua conclusione. L’Upper Tribunal britannico ha emesso una sentenza storica il 7 ottobre, si schierando decisamente con l’autorità di regolamentazione dei dati del paese, l’Information Commissioner’s Office (ICO).
Ha ribaltato una precedente decisione del Tribunale di primo livello (FTT), che si era schierato con Clearview sostenendo che l’ICO non aveva giurisdizione. La sua nuova sentenza afferma che la massiccia operazione di data scraping di Clearview è soggetta alla legge sulla protezione dei dati del Regno Unito.
Il percorso legale di Clearview è iniziato nel maggio 2022, quando l’ICO ha multato per la prima volta l’azienda. Dopo un appello, la TTF ha inizialmente accettato che i suoi servizi, venduti a forze dell’ordine non britanniche, non rientravano nell’ambito di applicazione della legge britannica.
Tuttavia, i giudici dell’Upper Tribunal ha riscontrato che la TTF aveva”errato di diritto”, concludendo che le attività di Clearview sono direttamente correlate al monitoraggio del comportamento delle persone nel Regno Unito.
Tale interpretazione è cruciale, poiché stabilisce che l’atto di raccogliere e analizzare i dati dei residenti nel Regno Unito a fini di identificazione porta un’azienda sotto la portata del GDPR del Regno Unito, indipendentemente da dove si trovino i suoi clienti.
È La sentenza ripristina la multa originale di 7,5 milioni di sterline e l’avviso di esecuzione. John Edwards, il commissario per l’informazione del Regno Unito, ha celebrato la decisione.
“La decisione dell’UT ha confermato la nostra capacità di proteggere i residenti del Regno Unito dal fatto che i loro dati, comprese le immagini, vengano illegalmente raschiati e quindi utilizzati in un database online globale a loro insaputa.”
Ha aggiunto:”è essenziale che le organizzazioni straniere siano ritenute responsabili quando le loro tecnologie influiscono sui diritti di informazione e sulle libertà degli individui nel Regno Unito.”
Il modello di business di Clearview si basa sulla raccolta di miliardi di immagini dall’Internet pubblica per creare un vasto database di riconoscimento facciale, che sostiene contenga oltre 60 miliardi di foto.
Una parte fondamentale della decisione del tribunale stabilisce che questa attività costituisce monitoraggio comportamentale e rientra esattamente nell’ambito del GDPR del Regno Unito.
La sua sentenza fornisce un forte contrasto con il più ampio panorama normativo del Regno Unito, che i critici hanno definito un”selvaggio west”per il riconoscimento facciale.
Come ha affermato in precedenza Charlie Whelton di Liberty,”il Regno Unito è enormemente indietro nella regolamentazione dei volti tecnologia di riconoscimento, soprattutto rispetto all’Europa e agli Stati Uniti, dove sono già stati stabiliti dei limiti.”
L’Austria intensifica la battaglia con denunce penali
In una significativa escalation legale per la controversa azienda tecnologica, Il gruppo austriaco di difesa della privacy noyb ha presentato una denuncia penale contro Clearview AI.
La denuncia va oltre le sanzioni amministrative, sfruttando la Sezione 63 di Legge austriaca sulla protezione dei dati.
Tale disposizione prevede sanzioni penali per l’uso commerciale di dati senza consenso, un percorso che potrebbe rivelarsi molto più severo del tipico GDPR sanzioni.
Un approccio così innovativo potrebbe esporre i dirigenti di Clearview a responsabilità personali, inclusi potenziali divieti di viaggio o addirittura il carcere, una minaccia distinta dalle multe aziendali che possono essere ignorate dall’estero.
Max Schrems, il fondatore di noyb, ha sottolineato la gravità della situazione.”Conduciamo anche procedimenti penali transfrontalieri per biciclette rubate, quindi speriamo che anche il pubblico ministero intervenga quando vengono rubati i dati personali di miliardi di persone.”
La denuncia di Noyb sostiene che la raccolta e il trattamento non autorizzati di dati biometrici a scopo di lucro da parte di Clearview non è solo una violazione normativa ma un atto criminale ai sensi della legge austriaca.
Presentare una denuncia penale segna un cambiamento strategico per i difensori della privacy. Evita il processo, spesso lento e difficile, di applicazione delle sanzioni amministrative previste dal GDPR oltre i confini internazionali, una delle principali lacune sfruttate da Clearview.
Coinvolge invece i pubblici ministeri e l’intero peso del sistema di giustizia penale.
Un modello di sfida incontra nuovi ostacoli
Per anni, Clearview AI ha operato con apparente impunità in Europa. Clearview ha accumulato circa 100 milioni di euro di multe da parte delle autorità di regolamentazione in Francia, Grecia e Italia, che sono state tutte ampiamente ignorate.
Un simile modello di sfida ha frustrato sia le autorità europee che i difensori della privacy. Come ha affermato Max Schrems di noyb,”Clearview AI sembra semplicemente ignorare i diritti fondamentali dell’UE e sputa in faccia alle autorità dell’UE.”
Una storia di coinvolgimenti legali non è nuova per l’azienda, che ha dovuto affrontare numerose cause legali e accordi sulle sue pratiche.
La precedente strategia legale di Clearview prevedeva spesso la messa in discussione della giurisdizione delle autorità di regolamentazione dell’UE. Il consulente legale generale di Clearview una volta descrisse l’appello dell’ICO nel Regno Unito come”privo di merito”, secondo i rapporti di settore.
Tuttavia, il La sentenza definitiva del Regno Unito e la nuova minaccia criminale in Austria rappresentano una sfida molto più seria a questo approccio. La sua sentenza nel Regno Unito chiude un’importante lacuna giurisdizionale, mentre il caso austriaco introduce il rischio di responsabilità personale e penale per i leader aziendali.
Sebbene il Regno Unito sia stato criticato per la lentezza con cui ha adottato una nuova legislazione rispetto alla legge globale sull’AI dell’UE, le leggi esistenti sulla protezione dei dati hanno ancora efficacia, come dimostra la sentenza dell’Upper Tribunal.
Combinando una multa finanziariamente significativa ed esecutiva nel Regno Unito e il rischio legale personale per i dirigenti in Austria potrebbe finalmente imporre un cambiamento nel comportamento di Clearview, creando un potente precedente per l’intero settore del riconoscimento facciale.
