Ads
Clearview AI recibe sus mayores multas de GDPR mientras el regulador holandés considera responsabilizar personalmente a los ejecutivos.
Clearview AI, la notoria empresa estadounidense de reconocimiento facial que rastreó internet en busca de selfies sin autorización para crear una base de datos de 30 mil millones de imágenes, recibió sus mayores multas de privacidad europeas.
Tras confirmar que la base de datos contiene imágenes de ciudadanos holandeses, la autoridad de protección de datos de los Países Bajos, Autoriteit Persoonsgegevens (AP), multó a Clearview AI con 30.5 millones de euros, o $33.7 millones a los tipos de cambio actuales, por una serie de violaciones del GDPR el martes.
Esta sanción supera las sanciones de GDPR de 2022 en Francia, Italia, Grecia y el Reino Unido.
La AP advirtió en un comunicado de prensa que Clearview no logró poner fin a las infracciones de GDPR después de la investigación, por lo que emitió una multa adicional de 5.1 millones de euros por falta de cumplimiento continuo. Clearview AI podría ser multada con 35.6 millones de euros por ignorar al regulador de los Países Bajos.
El regulador de protección de datos holandés comenzó a investigar a Clearview AI en marzo de 2023 después de que tres personas se quejaran de las violaciones de acceso a datos de la empresa. Los ciudadanos de la UE tienen derecho a obtener una copia o borrar sus datos personales según el GDPR. Clearview AI ha ignorado las solicitudes.
Clearview AI también está siendo sancionada por la AP por recopilar ilegalmente datos biométricos para construir una base de datos. También se le multa por problemas de transparencia de GDPR.
AP: “Clearview nunca debería haber construido la base de datos con fotos, códigos biométricos únicos y otra información vinculada a ellas. Esto es especialmente cierto para los códigos biométricos únicos derivados de la cara. Estos son biometrías como las huellas dactilares. Recopilar y utilizarlos es ilegal. Clearview no puede utilizar las excepciones legislativas a esta restricción.
La corporación también dejó de notificar a las personas cuyos datos personales recopiló y agregó a su base de datos, dijo la sentencia.
Lisa Linden de Resilere Partners, la compañía de relaciones públicas de Clearview, no respondió a las preguntas, pero envió a TechCrunch una declaración atribuida al director legal de Clearview, Jack Mulcaire.
“Clearview AI no tiene oficinas en los Países Bajos ni en la UE, no tiene clientes en los Países Bajos ni en la UE, y no realiza ninguna actividad que de otro modo lo ponga sujeto al GDPR”, escribió Mulcaire. “Esta decisión es ilegal, carece de debido proceso y es inaplicable”.
El regulador holandés dice que la corporación no puede apelar la multa ya que no se opuso.
El GDPR se aplica al procesamiento de datos personales de ciudadanos de la UE en todo el mundo.
Clearview, una empresa estadounidense, vende servicios de coincidencia de identidades a organizaciones gubernamentales, fuerzas del orden y otros servicios de seguridad utilizando datos rastreados. Es menos probable que su clientela sea de la UE, donde el uso de software que viola la privacidad conlleva sanciones regulatorias, como lo hiciera un organismo policial sueco en 2021.
La AP dijo que las empresas holandesas que utilizan Clearview AI serán fuertemente sancionadas. Clearview viola la ley, lo que hace que sus servicios sean ilegales. Las organizaciones holandesas que utilicen Clearview podrían enfrentar sanciones severas de la DPA, escribió el presidente Aleid Wolfsen.
Esta página proporciona la decisión de la AP en inglés.
¿Una responsabilidad personal?
Clearview AI ha sufrido una serie de multas de GDPR en los últimos años (unas estimadas 100 millones de euros en multas de privacidad de la UE), pero las autoridades regionales de protección de datos no han sido efectivas en cobrarlas. La empresa estadounidense se niega a cooperar y no tiene representación legal en la UE.
Importante, Clearview AI ha seguido violando el GDPR y las normas de privacidad europeas con aparente impunidad operativa debido a su ubicación en el extranjero.
Esto preocupa a la AP holandesa, que está investigando medidas para evitar que Clearview siga infringiendo la ley. La agencia está investigando si los directores de la empresa son personalmente responsables de las infracciones.
Una empresa no puede seguir abusando de los derechos de los europeos sin consecuencias. En ninguna parte tan grave y generalizada. Ahora exploraremos si podemos hacer directamente responsables y penalizar a los directivos de las empresas por ordenar tales infracciones, escribió Wolfsen. Los directores son responsables si saben que el GDPR está siendo infringido, tienen el derecho de detenerlo, pero no lo hacen, aceptando deliberadamente la infracción.
Después de que Pavel Durov, el fundador de la aplicación de mensajería Telegram, fuera arrestado en suelo francés por difundir contenido ilegal, es interesante considerar si sancionar a los directivos de Clearview podría impulsar el cumplimiento; podrían querer viajar libremente a la UE y por ella.