Clearview AI, la controvertida empresa estadounidense de reconocimiento facial que creó una base de datos de 30.000 millones de imágenes en la que se podían realizar búsquedas, obteniendo selfies de personas sin su consentimiento, ha sido sancionada con la mayor multa por violación de la privacidad hasta la fecha en Europa.
La autoridad de protección de datos de los Países Bajos, Autoriteit Persoonsgegevens (AP), comunicó hoy martes que ha impuesto una sanción de 30,5 millones de euros, unos 33,7 millones de dólares al cambio actual, a Clearview AI por una serie de infracciones del Reglamento General de Protección de Datos (RGPD) de la Unión Europea, tras confirmar que la base de datos contiene imágenes de ciudadanos holandeses.
Esta multa supera las sanciones impuestas por las autoridades de protección de datos de Francia, Italia, Grecia y el Reino Unido en 2022.
En un comunicado de prensa, la AP advirtió de que ha ordenado una sanción adicional de hasta 5,1 millones de euros por incumplimiento continuado, afirmando que Clearview no detuvo las infracciones del RGPD una vez concluida la investigación, razón por la cual ha dictado la orden adicional. La multa total podría ascender a 35,6 millones de euros si Clearview AI sigue ignorando al regulador neerlandés.
La autoridad neerlandesa de protección de datos comenzó a investigar a Clearview AI en marzo de 2023 tras recibir quejas de tres particulares relacionadas con el incumplimiento por parte de la empresa de las solicitudes de acceso a los datos. El RGPD otorga a los residentes en la UE una serie de derechos relacionados con sus datos personales, entre los que se incluye el derecho a solicitar una copia de sus datos o a que estos se supriman. Clearview AI no ha atendido estas solicitudes.
Otras infracciones del RGPD por las que la AP sanciona a Clearview AI son la creación de una base de datos mediante la recopilación de datos biométricos de personas sin una base jurídica válida. También se le sanciona por falta de transparencia en relación con el RGPD.
«Clearview nunca debería haber creado la base de datos con las fotos, los códigos biométricos únicos y otra información vinculada a ellos», escribió AP. «Esto se aplica especialmente a los códigos biométricos únicos derivados de la cara. Al igual que las huellas dactilares, se trata de datos biométricos. Recogerlos y utilizarlos está prohibido. Existen algunas excepciones legales a esta prohibición, pero Clearview no puede ampararse en ellas».
La empresa tampoco informó a las personas cuyos datos personales extrajo y añadió a su base de datos, según la decisión.
Al pedirle que hiciera comentarios, la representante de Clearview, Lisa Linden, de la empresa de relaciones públicas Resilere Partners, con sede en Washington D.C., no respondió a las preguntas, pero envió por correo electrónico una declaración atribuida al director jurídico de Clearview, Jack Mulcaire.
«Clearview AI no tiene un lugar de negocios en los Países Bajos o la UE, no tiene clientes en los Países Bajos o la UE, y no lleva a cabo ninguna actividad que de otro modo significaría que está sujeta al GDPR», escribió Mulcaire, y agregó: «Esta decisión es ilegal, carece del debido proceso y es inaplicable».
Según el regulador neerlandés, la empresa no puede recurrir la sanción porque no se opuso a la decisión.
También cabe señalar que el RGPD tiene un ámbito de aplicación extraterritorial, lo que significa que se aplica al tratamiento de datos personales de personas de la UE dondequiera que tenga lugar dicho tratamiento.
Clearview, con sede en Estados Unidos, utiliza los datos de las personas para vender un servicio de comparación de identidades a clientes que pueden incluir agencias gubernamentales, fuerzas de seguridad y otros servicios de seguridad. Sin embargo, es cada vez más improbable que sus clientes procedan de la UE, donde el uso de esta tecnología que vulnera la legislación en materia de privacidad se expone a sanciones reglamentarias, como le ocurrió a una autoridad policial sueca en 2021.
La AP advirtió que sancionará rigurosamente a cualquier entidad neerlandesa que pretenda utilizar la IA de Clearview. «Clearview infringe la ley, y esto hace que utilizar los servicios de Clearview sea ilegal. Por tanto, las organizaciones neerlandesas que utilicen Clearview pueden esperar fuertes multas de la DPA neerlandesa», escribió el presidente de la DPA neerlandesa, Aleid Wolfsen.
Puede accederse a una versión en inglés de la decisión de la AP a través de este enlace.
¿Responsabilidad personal?
Clearview AI se ha enfrentado a una serie de sanciones relacionadas con el RGPD en los últimos años (sobre el papel, ha acumulado un total de unos 100 millones de euros en multas de privacidad de la UE), pero las autoridades regionales de protección de datos aparentemente no han tenido mucho éxito en el cobro de ninguna de estas multas. La empresa estadounidense sigue sin cooperar y no ha nombrado a ningún representante legal en la UE.
Y lo que es más importante, Clearview AI no ha cambiado su conducta violadora del RGPD: ha seguido incumpliendo la legislación europea sobre privacidad con aparente impunidad operativa por tener su sede en otro país.
La AP neerlandesa está preocupada por esta situación y ha declarado que está estudiando la forma de garantizar que Clearview deje de incumplir la ley. El regulador está estudiando si los directivos de la empresa pueden ser considerados personalmente responsables de las infracciones.
«Una empresa así no puede seguir violando los derechos de los europeos y salir impune. Desde luego, no de esta manera tan grave y a esta escala tan masiva. Ahora vamos a investigar si podemos responsabilizar personalmente a los directivos de la empresa y multarlos por dirigir esas violaciones», escribió Wolfsen. «Esa responsabilidad ya existe si los directores saben que se está violando el GDPR, tienen la autoridad para detener eso, pero omiten hacerlo, y de esta manera aceptan conscientemente esas violaciones».
Dado que acabamos de ver cómo el fundador de la aplicación de mensajería Telegram, Pavel Durov, ha sido detenido en suelo francés por presuntos contenidos ilegales difundidos en su plataforma, es interesante plantearse si sancionar a las personas que gestionan Clearview podría tener más posibilidades de impulsar el cumplimiento; después de todo, es posible que deseen viajar libremente a la UE y por ella.