Uso de tecnologías de reconocimiento facial de Clearview: de su prohibición en Italia a su despliegue en el conflicto ucraniano

21 marzo, 2022

Uso de tecnologías de reconocimiento facial de Clearview: de su prohibición en Italia a su despliegue en el conflicto ucraniano

Tribuna de Elena Peña, abogada de ECIJA, para The Law Clinic.

La controvertida startup estadounidense Clearview acumula sanciones en materia de privacidad en numerosos países mientras defiende su modelo de negocio y ofrece su uso de manera gratuita al gobierno de Zelenski. A continuación, analizamos su tecnología e implicaciones

Los usuarios estamos cada vez más acostumbrados al uso de tecnologías de reconocimiento facial en nuestro día a día, desde para desbloquear el teléfono hasta en el marco del proceso de control de pasaportes en los aeropuertos. Ello, unido a la creciente exposición en Internet de nuestra información, supone que surjan empresas que traten nuestros datos personales más allá de nuestras expectativas.

Un ejemplo claro es el de Clearview AI, una startup estadounidense de reconocimiento facial, que desde su creación en 2017 ha ido acumulando sanciones en materia de protección de datos en distintos países, desde Australia, a Canadá y, recientemente, Italia.

Desde su creación Clearview ha utilizado técnicas de web scraping para obtener imágenes faciales disponibles en Internet, gracias a lo cual ha llegado a construir una base de datos que ellos mismos cifran en alrededor de 10.000 millones de imágenes faciales. Estas imágenes las obtienen de perfiles abiertos en redes sociales como Facebook, Twitter, LinkedIn o Instagram, medios de comunicación, webs públicas e incluso de plataformas de vídeo como YouTube.

A partir de esta base de datos, Clearview ofrece a sus clientes un motor de búsqueda por reconocimiento facial. De esta forma, una empresa usuaria de su plataforma puede subir una foto de un individuo, que será tratada por la Clearview para obtener el patrón biométrico del individuo, y posteriormente comparar este con la base de imágenes obtenidas de Internet mediante un proceso de verificación 1 a N (uno a muchos). La empresa usuaria recibe como respuesta un listado de las coincidencias detectadas, acompañado de enlaces para acceder a la página donde las imágenes se encuentran publicadas, así como metadatos asociados que hubiera disponibles. Por ejemplo: el título de la imagen o página web, la geolocalización, el sexo o la fecha de nacimiento).

Aunque la compañía inicialmente comercializaba sus servicios a organismos policiales de todo el mundo (se calcula que alrededor de 1.800, entre los que destaca, por ejemplo, el FBI), ha ampliado su mercado y en la actualidad entidades privadas, tales como Walmart o Macy’s, se listan entre sus clientes.

A diferencia de otras herramientas de búsqueda a las que argumentan que se asimilan, como puede ser Google, el cotejo realizado por Clearview no es respecto a imágenes disponibles en Internet en el momento de la consulta, sino que se realiza respecto a su propia base de datos que alimenta progresivamente. De esta forma, Clearview conserva las imágenes faciales extraídas y las URL correspondientes incluso después de que la URL original de la imagen en línea o de la página web correspondiente haya sido eliminada. Esto supone, por ejemplo, que en el caso de un individuo que hubiera publicado una foto en su perfil público de Instagram, y que posteriormente borrara la foto o hiciera su perfil privado, la misma se mantendría almacenada en las bases de Clearview.

El modelo de negocio de Clearview ha sido analizado por numerosas autoridades de control en materia de protección de datos, tales como la francesa (CNIL), la británica (ICO, actualmente con un procedimiento sancionador abierto con una sanción potencial de 17 millones de libras), la australiana (OAIC), la sueca o la autoridad competente de Hamburgo. Encontrándose deficiencias en relación con el cumplimiento de sus respectivas normativas de aplicación en protección de los datos personales y la privacidad de sus ciudadanos.

Por ser la más reciente, y por la cuantía fijada como sanción, reviste especial relevancia el análisis realizado por la autoridad italiana, el Garante per la Protezione dei Dati Personali (en adelante, el “Garante”) en su Resolución contra Clearview AI de 10 de febrero de 2022.

Antes de profundizar en el detalle de los incumplimientos detectados, es interesante comentar la interpretación realizada por el Garante de la aplicabilidad del RGPD a Clearview, y su consiguiente competencia para sancionar a la entidad. Así, conforme Clearview alegó, la empresa no cuenta con establecimientos en la Unión Europea, y desde que en 2020 despertara las suspicacias de los reguladores y se le impusieran las primeras sanciones, Clearview no oferta sus servicios a clientes europeos, habiendo incluso adoptado medidas técnicas para evitar el acceso a su plataforma desde IPs europeas.

En este punto el Garante se acoge al denominado criterio de selección de destinatarios (art. 3.2 RGPD) para concluir que la actividad de Clearview se encuentra dentro del ámbito territorial del Reglamento General de Protección de Datos (RGPD). En primer lugar, considera que Clearview sí que ofrece sus servicios a interesados en la UE (art. 3.2.a) RGPD), ya que hasta 2020 existieron cuentas de prueba de agencias gubernamentales europeas, y en su propia política de privacidad hasta el inicio del procedimiento sancionador Clearview incluía información dirigida a ciudadanos europeos (información sobre transferencias de datos fuera del Espacio Económico Europeo, o sobre la posibilidad de interponer reclamaciones ante las autoridades europeas de protección de datos). En segundo lugar, conforme a la interpretación del Garante, Clearview realiza un control del comportamiento de personas en la UE (art. 3.2.b) RGPD), teniendo en cuenta que las imágenes faciales que almacena se enriquecen a lo largo del tiempo, reflejando los cambios físicos de una misma persona, y sobre todo considerando que la finalidad del tratamiento de datos realizado por Clearview es la de comparar, evaluando aspectos personales relativos a una persona física.

En consecuencia, el Garante concluye que Clearview lleva a cabo un tratamiento sometido al RGPD, lo que supone que esta autoridad tiene competencia para sancionar a la compañía.

Una vez solventada la problemática de la jurisdicción, el Garante aclara que, al contrario de lo defendido por Clearview y de conformidad por lo ya alegado por el Supervisor Europeo de Protección de Datos[1], la compañía actúa en todo caso como responsable del tratamiento, y no como encargado de tratamiento, ya que decide de forma autónoma sobre los fines y los medios del tratamiento.

Tras analizar el modelo de Clearview, el Garante detecta los siguientes incumplimientos de la normativa de protección de datos europea:

  • Principio de lealtad y transparencia (art. 5.1.a) RGPD): las personas no son conscientes ni esperan que sus imágenes sean tratadas en el contexto del servicio provisto por Clearview, ni están informadas de sus actividades.
  • Principio de limitación de la finalidad (art. 5.1.b) RGPD): el posible carácter público (accesible) de las imágenes faciales no es suficiente para considerar que las personas puedan esperar razonablemente que se utilicen con fines de reconocimiento facial, además por parte de una plataforma privada, no establecida en la UE y de cuya existencia y actividad la mayoría de los interesados no son conscientes.
  • Principio de limitación del plazo de conservación (art. 5.1.e) RGPD): Clearview conserva la información en su base de datos de manera indefinida, procediendo a su borrado únicamente a petición expresa del interesado.
  • Principio de licitud (arts. 6 y 9 RGPD): la compañía no cuenta con ninguna base de legitimación en la que amparar el tratamiento. Adicionalmente, son objeto de tratamiento datos biométricos que identifican de manera unívoca a una persona, y, por lo tanto, datos de categoría especial, sin que aplique ninguna de las circunstancias previstas en el art. 9 RGPD que permiten su tratamiento.
  • Asimismo, se identifican deficiencias en la gestión de ejercicios de derechos, y se sanciona la falta de representante de Clearview en la Unión Europea, al no contar con establecimiento en el territorio.

Lo anterior resultó en la imposición por parte del Garante de una multa pecuniaria de 20 millones de euros, y la prohibición del tratamiento de datos de interesados en territorio italiano por parte de Clearview. Ello implica tanto que no se sigan tratando los datos existentes en la base de datos de Clearview, como la no recogida de imágenes y metadatos conexos relativos a personas que se encuentren en el territorio italiano.

A pesar de que el uso de esta polémica tecnología de reconocimiento facial está siendo perseguida en los países con normativas más robustas en materia de protección de datos, habiéndose detectado importantes riesgos para la privacidad y protección de datos, la realidad es que la entidad sigue creciendo, atrayendo numerosos y potentes inversores, y su uso se generaliza por los organismos policiales de algunos territorios.

Recientemente, en el contexto de la guerra en Ucrania, Clearview ha ofrecido el uso de su plataforma de manera gratuita al gobierno ucraniano. Las finalidades para las cuales el gobierno de Zelenski usará esta tecnología no son conocidas todavía, pero pueden abarcar desde fines menos peligrosos, como la identificación de fallecidos o reunir a familias de refugiados, a fines más controvertidos como la identificación de ciudadanos rusos. Contando Clearview con 2.000 millones de imágenes faciales obtenidas de la red social rusa VKontakte.

Tecnologías como la de Clearview pueden crearse con las mejores intenciones, pero teniendo en cuenta los riesgos para la privacidad y protección de datos que plantean, requieren de un marco legal definido y eficaz a nivel global del que en la actualidad se carece. Mientras tanto, los ciudadanos europeos podemos beneficiarnos del marco regulatorio más protector del derecho fundamental a la protección de datos, el cual gracias a sus mecanismos de aplicación extraterritorial puede mitigar los riesgos como los planteados por tecnologías como la de Clearview en el marco de la Unión.

[1] https://edps.europa.eu/system/files/2022-01/21-03-29_edps_opinion_2020-0372.pdf