Clearview AI recibe sus mayores sanciones por GDPR mientras el regulador holandés considera hacer responsables personalmente a los ejecutivos
Clearview AI, la notoria empresa estadounidense de reconocimiento facial que escaneó internet en busca de selfies sin autorización para crear una base de datos de 30 mil millones de fotos, recibió sus mayores sanciones de privacidad europeas.
Después de confirmar que la base de datos contiene imágenes de ciudadanos holandeses, la autoridad de protección de datos de los Países Bajos, Autoriteit Persoonsgegevens (AP), multó a Clearview AI con 30,5 millones de euros, o $33,7 millones en los tipos de cambio actuales, por una serie de violaciones del GDPR el martes.
Esta sanción supera las sanciones por GDPR de 2022 de Francia, Italia, Grecia y el Reino Unido.
La AP advirtió en un comunicado de prensa que Clearview no logró poner fin a las infracciones del GDPR después de la investigación, por lo que emitió una multa adicional de 5,1 millones de euros por incumplimiento continuo. Clearview AI podría ser multada con 35,6 millones de euros por desacato al regulador de los Países Bajos.
El regulador de protección de datos holandés comenzó a investigar a Clearview AI en marzo de 2023 después de que tres personas se quejaron de las violaciones de acceso a datos de la compañía. Los ciudadanos de la UE tienen derecho a obtener una copia o borrar sus datos personales bajo el GDPR. Clearview AI ha ignorado las solicitudes.
Clearview AI también está siendo sancionado por la AP por recopilar ilegalmente datos biométricos para construir una base de datos. También se le multa por problemas de transparencia de GDPR.
AP: “Clearview nunca debería haber construido la base de datos con fotos, códigos biométricos únicos y otra información vinculada a ellos. Esto es especialmente cierto para los códigos biométricos únicos derivados de la cara. Estos son biometrías como huellas dactilares. Recolectar y utilizarlos es ilegal. Clearview no puede usar las excepciones legislativas a esta restricción.
La corporación también dejó de notificar a las personas cuyos datos personales recopiló y puso en su base de datos, dijo la sentencia.
Lisa Linden de Resilere Partners, la empresa de relaciones públicas de Clearview, no respondió a las consultas pero reenvió a TechCrunch una declaración atribuida al director legal de Clearview, Jack Mulcaire.
“Clearview AI no tiene un lugar de negocios en los Países Bajos o la UE, no tiene clientes en los Países Bajos o la UE, y no realiza ninguna actividad que de otro modo signifique que está sujeta al GDPR”, escribió Mulcaire. “Esta decisión es ilegal, carente de debido proceso y no exigible”.
El regulador holandés dice que la corporación no puede apelar la multa ya que no se opuso.
El GDPR se aplica al procesamiento de datos personales de ciudadanos de la UE en todo el mundo.
Clearview, una empresa estadounidense, vende servicios de coincidencia de identidad a organizaciones gubernamentales, fuerzas del orden y otros servicios de seguridad utilizando datos recolectados. Sus clientes son menos propensos a ser de la UE, donde el uso de software que viola la ley de privacidad conlleva censura regulatoria, como sucedió con un organismo policial sueco en 2021.
La AP dijo que las empresas holandesas que utilizan Clearview AI serían fuertemente sancionadas. Clearview viola la ley, por lo que sus servicios son ilegales. Las organizaciones holandesas que utilicen Clearview pueden enfrentar duras sanciones por parte de la DPA, escribió el presidente Aleid Wolfsen.
Esta página proporciona la sentencia de la AP en inglés.
¿Responsabilidad personal?
Clearview AI ha sufrido una serie de sanciones por GDPR en los últimos años (unas estimadas €100 millones en multas de privacidad de la UE), pero las autoridades regionales de protección de datos no han sido efectivas a la hora de cobrarlas. La empresa de EE. UU. se niega a cooperar y no cuenta con representación legal en la UE.
Es importante destacar que Clearview AI ha seguido violando el GDPR y las normas de privacidad europeas con aparente impunidad operativa debido a su ubicación en el extranjero.
Esto preocupa a la AP holandesa, que está investigando medidas para evitar que Clearview siga violando la ley. La agencia está investigando si los directores corporativos son personalmente responsables de las infracciones.
Una empresa no puede seguir abusando de los derechos de los europeos sin consecuencias. Nosotros, ni remotamente tan graves y generalizados. Ahora exploraremos si podemos hacer que la dirección corporativa sea directamente responsable y penalizarlos por ordenar tales infracciones, escribió Wolfsen. Los directores son responsables si saben que se está infringiendo el GDPR, tienen el derecho de detenerlo, pero no lo hacen, aceptando deliberadamente la infracción.
Después de que Pavel Durov, el fundador de la aplicación de mensajería Telegram, fue arrestado en suelo francés por difundir contenido ilegal, resulta interesante considerar si sancionar a los directivos de Clearview podría impulsar el cumplimiento, ya que pueden querer viajar libremente por la UE y alrededor de ella.
