El Garante per la Protezione dei Dati Personali (GPDP), autoridad de control italiana en materia de protección de datos, impone una sanción de 20 millones de euros a la empresa estadounidense Clearview AI.
Se trata de una empresa de reconocimiento facial que enriquece su base de datos biométricos a partir del uso de tecnologías de web scraping, llegando a contar, según la propia empresa sancionada, con más de 10 billones de imágenes.
No es la primera vez que Clearview AI es sancionada por una autoridad de protección de datos: ya existe una sanción por parte de la Information Commisioner’s Office (ICO) de Reino Unido que llevó a cabo una investigación en colaboración con la Office of the Australian Information Commisioner, autoridad de protección de datos australiana.
En el caso de la GPDP, se han observado las siguientes infracciones a la normativa de protección de datos:
- No contar con una base de legitimación adecuada para el tratamiento de los datos.
- No cumplir con la obligación de informar a los interesados sobre el tratamiento de sus datos.
- Infracción del principio de limitación de las finalidades del tratamiento, habiendo utilizado datos personales con finalidades distintas de aquellas para las que se publicaron (redes sociales, noticias…).
- No contar con plazos determinados para la conservación de los datos, infringiendo por ello el principio de limitación del plazo de conservación de los datos.
Como resultado de todo ello, además de la millonaria sanción, la autoridad italiana ordena a Clearview AI a la supresión de todos los datos de personas que se encuentran en Italia y le prohíbe su recopilación y tratamiento futuro.