Ads
Clearview AI, la famosa empresa estadounidense de reconocimiento facial que escaneó internet en busca de selfies sin autorización para crear una base de datos de 30 mil millones de imágenes que se pueden buscar, recibió sus mayores multas de privacidad europea.
Tras confirmar que la base de datos contiene imágenes de ciudadanos holandeses, la Autoriteit Persoonsgegevens (AP), la autoridad de protección de datos de los Países Bajos, multó a Clearview AI con 30.5 millones de euros, o 33.7 millones de dólares a los tipos de cambio actuales, por una serie de violaciones del GDPR el martes.
Esta sanción supera las multas del GDPR de 2022 de Francia, Italia, Grecia y el Reino Unido.
La AP advirtió en un comunicado de prensa que Clearview no logró detener las infracciones del GDPR después de la investigación, por lo que emitió una penalización adicional de 5.1 millones de euros por falta de cumplimiento continuo. Clearview AI podría ser multado con 35.6 millones de euros por desacato al regulador holandés.
El regulador de protección de datos holandés comenzó a investigar a Clearview AI en marzo de 2023 después de que tres personas se quejaron de las violaciones de acceso a datos de la empresa. Los ciudadanos de la UE tienen derecho a obtener una copia o borrar sus datos personales según el GDPR. Clearview AI ha ignorado las solicitudes.
Clearview AI también está siendo sancionada por la AP por recopilar ilegalmente datos biométricos para construir una base de datos. También se multa por problemas de transparencia del GDPR.
AP: “Clearview nunca debería haber construido la base de datos con fotos, códigos biométricos únicos y otra información vinculada a ellos. Esto es particularmente cierto para los códigos biométricos únicos derivados de la cara. Estos son biometrías como las huellas dactilares. Recolectarlos y utilizarlos es ilegal. Clearview no puede usar las excepciones legislativas a esta restricción.
La corporación también omitió notificar a las personas cuyos datos personales recopiló y colocó en su base de datos, dijo la sentencia.
Lisa Linden de Resilere Partners, la empresa de relaciones públicas de Clearview, no respondió a las preguntas pero envió a TechCrunch una declaración atribuida al jefe de asuntos legales de Clearview, Jack Mulcaire.
“Clearview AI no tiene un lugar de negocios en los Países Bajos o la UE, no tiene clientes en los Países Bajos o la UE, y no realiza ninguna actividad que de otro modo signifique que está sujeta al GDPR”, escribió Mulcaire. “Esta decisión es ilegal, carente de debido proceso y no se puede hacer cumplir”.
El regulador holandés dice que la empresa no puede apelar la multa ya que no se opuso.
El GDPR se extiende al procesamiento de datos personales de los ciudadanos de la UE en todo el mundo.
Clearview, una empresa estadounidense, vende servicios de coincidencia de identidad a organizaciones gubernamentales, fuerzas del orden y otros servicios de seguridad utilizando datos recopilados. Es menos probable que su clientela sea de la UE, donde el uso de software que viola la ley de privacidad conlleva sanciones regulatorias, como le sucedió a un órgano policial sueco en 2021.
La AP dijo que las empresas holandesas que utilizan Clearview AI enfrentarían duras sanciones. Clearview viola la ley, lo que hace que sus servicios sean ilegales. Las organizaciones holandesas que utilizan Clearview pueden enfrentar fuertes sanciones de la DPA, escribió el presidente Aleid Wolfsen.
Esta página proporciona la decisión de la AP en inglés.
¿Qué pasa con la responsabilidad personal?
Clearview AI ha sufrido una serie de multas del GDPR en los últimos años (una estimación de 100 millones de euros en multas de privacidad de la UE), pero las autoridades regionales de protección de datos no han sido efectivas en su recaudación. La empresa estadounidense se niega a cooperar y no tiene representación legal en la UE.
Es importante destacar que Clearview AI ha continuado violando el GDPR y las normas europeas de privacidad con aparente impunidad operativa debido a su ubicación en el extranjero.
Esto preocupa a la AP holandesa, que está investigando medidas para evitar que Clearview siga infringiendo la ley. La agencia está investigando si los directores de empresas son personalmente responsables de las infracciones.
Una empresa no puede seguir abusando de los derechos de los europeos sin consecuencias. Lejos de ser tan graves y generalizadas. Ahora exploraremos si podemos hacer que la dirección de la empresa sea directamente responsable y penalizarlos por ordenar dichas infracciones, escribió Wolfsen. Los directores son responsables si saben que se está infringiendo el GDPR, tienen el derecho de detenerlo, pero no lo hacen, aceptando deliberadamente la infracción.
Después de que Pavel Durov, el fundador de la aplicación de mensajería Telegram, fuera arrestado en suelo francés por difundir contenido ilegal, resulta interesante considerar si sancionar a los directivos de Clearview podría impulsar el cumplimiento, ya que pueden querer viajar libremente a la UE y por ella.
