El organismo de control de protección de datos del Reino Unido ordenó a la controvertida empresa de reconocimiento facial Clearview AI que elimine todos los datos que tiene sobre los residentes del Reino Unido después de que se descubriera que la empresa había cometido múltiples infracciones de la ley de protección de datos del Reino Unido.
La Oficina del Comisionado de Información (ICO, por sus siglas en inglés) multó a la empresa, que utiliza tecnología de raspado para recopilar fotografías de personas a partir de imágenes y videos publicados en sitios de noticias, redes sociales y sitios web, con más de 7,5 millones de libras esterlinas.
La multa es la última de una serie de acciones regulatorias tomadas contra Clearview AI, que se ha enfrentado a órdenes de aplicación similares de los reguladores de privacidad en Australia, Francia e Italia.
La compañía resolvió un reclamo legal con la Unión Estadounidense de Libertades Civiles (ACLU) en mayo de 2022 en el que acordó detener sus ventas de tecnología de reconocimiento facial a empresas privadas e individuos en los EE. UU.
La firma con sede en EE. UU. vende acceso a lo que afirma es la “base de datos más grande conocida” de 20 mil millones de imágenes de rostros a las agencias de aplicación de la ley, que pueden usar sus algoritmos para identificar a las personas a partir de fotografías y videos.
La empresa extrae imágenes de personas de todo el mundo, de sitios web y redes sociales, y proporciona “metadatos” adicionales que pueden incluir detalles sobre dónde y cuándo se tomó la fotografía, el sexo del sujeto, su nacionalidad y los idiomas que hablan. hablar.
El comisionado de información, John Edwards, dijo que Clearview no solo permitió que las personas en su base de datos fueran identificadas a partir de fotografías, sino que efectivamente permitió que su comportamiento fuera monitoreado de una manera que era “inaceptable”.
“La gente espera que se respete su información personal, independientemente del lugar del mundo en el que se utilicen”, dijo. “Es por eso que las empresas globales necesitan una aplicación internacional”.
Multa ‘incorrecta como cuestión de derecho’
La ICO dijo en un comunicado que, aunque Clearview AI había dejado de ofrecer servicios en el Reino Unido, la empresa seguía utilizando los datos personales de los residentes del Reino Unido para prestar servicios a otros países.
Dada la gran cantidad de usuarios de Internet y redes sociales en el Reino Unido, es probable que la base de datos de Clearview incluya una cantidad sustancial de datos de residentes del Reino Unido que se habían recopilado sin su conocimiento, dijo.
El abogado de Clearview, Lee Wolosky, socio de Jenner and Block, dijo que la decisión de imponer cualquier multa era “incorrecta como cuestión de derecho”.
“Clearview AI no está sujeto a la jurisdicción de la ICO, y Clearview AI no hace negocios en el Reino Unido en este momento”, agregó.
Clearview afirma que su tecnología ha “ayudado a las fuerzas del orden público a localizar a cientos de delincuentes prófugos, incluidos pedófilos, terroristas y traficantes sexuales”.
La compañía también dice que su tecnología se ha utilizado para “identificar a las víctimas de delitos que incluyen abuso sexual infantil y fraude financiero” y para exonerar a los inocentes.
Múltiples violaciones de la protección de datos
El ICO advirtió en una decisión preliminar en noviembre que Clearview AI podría enfrentar una multa de más de £ 17 millones luego de una investigación conjunta del ICO y la Oficina del Comisionado de Información de Australia (OAIC).
El ICO redujo la multa propuesta después de considerar las representaciones de Clearview.
Esta semana descubrió que Clearview AI no tenía una base legal para recopilar información sobre ciudadanos del Reino Unido y había cometido muchas otras infracciones de protección de datos:
- Clearview no usó los datos del Reino Unido sobre ciudadanos del Reino Unido de manera justa y transparente.
- Recopiló y procesó datos sobre ciudadanos del Reino Unido sin su conocimiento.
- No cumplió con los estándares más altos de protección de datos requeridos para procesar datos biométricos requeridos por el Reglamento General de Protección de Datos (GDPR).
- La empresa no implementó un proceso para evitar que los datos se recopilaran y almacenaran indefinidamente.
- Clearview AI también dificultó a las personas que deseaban objetar que la empresa recopilara sus datos al solicitar a los solicitantes información adicional, como fotografías personales.
Acción regulatoria
La multa de la ICO es la última de una serie de acciones regulatorias y demandas que han afectado a Clearview AI en los últimos dos años.
Privacy International y otras organizaciones de derechos humanos presentaron denuncias legales coordinadas en el Reino Unido, Francia, Austria, Italia y Grecia en mayo de 2021.
En diciembre de 2021, el organismo de control de protección de datos francés CNIL ordenó a Clearview AI que detuviera su recopilación de información biométrica fotográfica sobre personas en territorio francés y que eliminara los datos que ya había recopilado.
CNIL descubrió que el software de Clearview hizo posible que sus clientes recopilaran información personal detallada sobre las personas dirigiéndolas a las cuentas de redes sociales y publicaciones de blog de las personas identificadas.
La capacidad de los clientes de Clearview para realizar búsquedas repetidas a lo largo del tiempo del perfil de un individuo significaba que era posible monitorear el comportamiento de los individuos objetivo a lo largo del tiempo, concluyó la CNIL.
Los intentos de las personas de acceder a su información personal desde Clearview, según lo exige la ley de protección de datos, han resultado difíciles.
En el caso de un denunciante francés, Clearview respondió cuatro meses después de recibir siete cartas.
La empresa solicitó una copia del documento de identidad de la denunciante que ya había proporcionado y le pidió que enviara una fotografía, en lo que CNIL dijo que era una falta de autorización para que la denunciante ejerciera sus derechos.
CNIL también descubrió que la empresa limita los derechos de las personas para acceder a los datos recopilados en los últimos 12 meses, a pesar de conservar su información personal indefinidamente.
Más intrusivo que Google
En febrero de 2022, el regulador italiano de protección de datos multó a Clearview con 20 millones de euros y le ordenó eliminar todos los datos recopilados en territorio italiano, luego de recibir quejas de cuatro personas que objetaron que sus fotografías aparecieran en la base de datos de Clearview.
Clearview argumentó, sin éxito, que no estaba bajo la jurisdicción de Italia porque no ofrecía productos o servicios en el país y bloqueaba cualquier intento de acceder a su plataforma desde direcciones IP italianas.
El regulador italiano también rechazó las afirmaciones de Clearview de que su tecnología era análoga a la de Google y descubrió que el servicio de Clearview era más intrusivo que el motor de búsqueda.
Por ejemplo, la tecnología de Clearview mantuvo copias de los datos biométricos después de que las imágenes se eliminaron de la web y las asoció con metadatos incrustados en la fotografía.
Las coincidencias faciales proporcionadas por Clearview también podrían vincularse con información confidencial, incluido el origen racial, el origen étnico, las opiniones políticas, las creencias religiosas o la afiliación sindical.
El regulador descubrió que, a diferencia de Google, Clearview actualizó su base de datos y retuvo imágenes que ya no aparecían en la web, proporcionando un registro de información cambiante sobre las personas a lo largo del tiempo.
“La disponibilidad pública de datos en Internet no implica, por el mero hecho de su carácter público, la legitimidad de su recolección por parte de terceros”, dijo.
Liquidación de Clearview en EE. UU.
Más recientemente, Clearview llegó a un acuerdo legal en los EE. UU. con la ACLU el 9 de mayo de 2022, luego de un reclamo de que la empresa había violado repetidamente la Ley de privacidad de información biométrica en Illinois.
La ACLU presentó una denuncia en nombre de grupos vulnerables, incluidos sobrevivientes de violencia doméstica y agresión sexual, inmigrantes indocumentados y trabajadores sexuales que podrían verse perjudicados por la vigilancia de reconocimiento facial.
Según el acuerdo, Clearview acordó no vender sus servicios de reconocimiento facial a empresas y personas privadas en los EE. UU., limitándose a ofrecer servicios a agencias gubernamentales y de aplicación de la ley.
Tiene prohibido ofrecer sus servicios de reconocimiento facial en el estado de Illinois a las fuerzas del orden y empresas privadas durante cinco años.
Otras medidas incluyeron la adición de un formulario de solicitud de exclusión voluntaria en su sitio web para permitir que los residentes de Illinois eliminen sus detalles de los resultados de búsqueda, que Clearview debe anunciar por su propia cuenta.
Clearview ofreció ‘cuentas de prueba’ a la policía de Europa
Clearview se fundó en 2017 en los EE. UU. para ofrecer servicios de reconocimiento facial y presentó una patente para su tecnología de aprendizaje automático en febrero de 2021.
La empresa comenzó a ofrecer servicios a la policía y los organismos encargados de hacer cumplir la ley de EE. UU. en 2019 y, posteriormente, comenzó a expandirse en Europa.
Clearview AI llamó la atención del público por primera vez en enero de 2020 cuando la New York Times reveló que la empresa había estado ofreciendo servicios de reconocimiento facial a más de 600 organismos encargados de hacer cumplir la ley y al menos a un puñado de empresas con “fines de seguridad”.
Los usuarios de la empresa, de los cuales afirmó tener 2900, incluían departamentos de seguridad de universidades, fiscales generales y empresas privadas, incluidas organizaciones de eventos, operadores de casinos, firmas de fitness y empresas de criptomonedas, informó posteriormente Buzzfeed.
Clearview afirmó que tenía una pequeña cantidad de “cuentas de prueba” en Europa, pero las desactivó en marzo de 2020 tras las quejas de los reguladores europeos.
La firma también eliminó varias referencias a la ley europea de protección de datos de su sitio web, que según los reguladores había demostrado claramente su intención previa de ofrecer servicios de reconocimiento facial en Europa.
ICO debería haber emitido multa máxima
Lucie Audibert, abogada de Privacy International, dijo que la ICO debería haber mantenido su intención original de multar a Clearview AI con la cantidad máxima posible de 17 millones de libras esterlinas.
“Si bien no sabemos el número exacto, una cantidad considerable de residentes del Reino Unido, probablemente la gran mayoría, potencialmente ha tenido sus fotos raspadas y procesadas por Clearview; la intención original del ICO de imponer la multa máxima fue, por lo tanto, la única respuesta proporcional a el alcance del daño”, dijo a Computer Weekly.
“El raspado de datos de Clearview es, por definición, indiscriminado y ningún ajuste técnico puede permitirle filtrar rostros de personas en ciertos países. Incluso si intentaran filtrar en función de la ubicación de la dirección IP del sitio web o de la persona que cargó la imagen, terminarían con rostros de personas que residen en el Reino Unido”.
Audibert agregó: “No es un modelo de negocios sostenible: después del gran golpe que recibieron con el acuerdo con la ACLU en los EE. UU., están avanzando sobre hielo extremadamente delgado”.
Plazo de apelación
Clearview tiene 28 días para apelar la decisión de la ICO y seis meses para implementar la orden.
El ICO dijo que podría emitir más multas si Clearview AI no cumple.
“Nuestro equipo de investigación se mantendrá en contacto con Clearview para asegurarse de que se tomen las medidas adecuadas”, dijo un portavoz a Computer Weekly. “Si no cumplen con el aviso de cumplimiento, podemos emitir más avisos de multas monetarias con respecto al incumplimiento del aviso de cumplimiento”.