21 marzo, 2022

Uso de tecnologías de reconocimiento facial de Clearview: de su prohibición en Italia a su despliegue en el conflicto ucraniano

Tribuna de Elena Peña, abogada de ECIJA, para The Law Clinic.

La controvertida startup estadounidense Clearview acumula sanciones en materia de privacidad en numerosos países mientras defiende su modelo de negocio y ofrece su uso de manera gratuita al gobierno de Zelenski. A continuación, analizamos su tecnología e implicaciones

Los usuarios estamos cada vez más acostumbrados al uso de tecnologías de reconocimiento facial en nuestro día a día, desde para desbloquear el teléfono hasta en el marco del proceso de control de pasaportes en los aeropuertos. Ello, unido a la creciente exposición en Internet de nuestra información, supone que surjan empresas que traten nuestros datos personales más allá de nuestras expectativas.

Un ejemplo claro es el de Clearview AI, una startup estadounidense de reconocimiento facial, que desde su creación en 2017 ha ido acumulando sanciones en materia de protección de datos en distintos países, desde Australia, a Canadá y, recientemente, Italia.

Desde su creación Clearview ha utilizado técnicas de web scraping para obtener imágenes faciales disponibles en Internet, gracias a lo cual ha llegado a construir una base de datos que ellos mismos cifran en alrededor de 10.000 millones de imágenes faciales. Estas imágenes las obtienen de perfiles abiertos en redes sociales como Facebook, Twitter, LinkedIn o Instagram, medios de comunicación, webs públicas e incluso de plataformas de vídeo como YouTube.

A partir de esta base de datos, Clearview ofrece a sus clientes un motor de búsqueda por reconocimiento facial. De esta forma, una empresa usuaria de su plataforma puede subir una foto de un individuo, que será tratada por la Clearview para obtener el patrón biométrico del individuo, y posteriormente comparar este con la base de imágenes obtenidas de Internet mediante un proceso de verificación 1 a N (uno a muchos). La empresa usuaria recibe como respuesta un listado de las coincidencias detectadas, acompañado de enlaces para acceder a la página donde las imágenes se encuentran publicadas, así como metadatos asociados que hubiera disponibles. Por ejemplo: el título de la imagen o página web, la geolocalización, el sexo o la fecha de nacimiento).

Aunque la compañía inicialmente comercializaba sus servicios a organismos policiales de todo el mundo (se calcula que alrededor de 1.800, entre los que destaca, por ejemplo, el FBI), ha ampliado su mercado y en la actualidad entidades privadas, tales como Walmart o Macy’s, se listan entre sus clientes.

A diferencia de otras herramientas de búsqueda a las que argumentan que se asimilan, como puede ser Google, el cotejo realizado por Clearview no es respecto a imágenes disponibles en Internet en el momento de la consulta, sino que se realiza respecto a su propia base de datos que alimenta progresivamente. De esta forma, Clearview conserva las imágenes faciales extraídas y las URL correspondientes incluso después de que la URL original de la imagen en línea o de la página web correspondiente haya sido eliminada. Esto supone, por ejemplo, que en el caso de un individuo que hubiera publicado una foto en su perfil público de Instagram, y que posteriormente borrara la foto o hiciera su perfil privado, la misma se mantendría almacenada en las bases de Clearview.

El modelo de negocio de Clearview ha sido analizado por numerosas autoridades de control en materia de protección de datos, tales como la francesa (CNIL), la británica (ICO, actualmente con un procedimiento sancionador abierto con una sanción potencial de 17 millones de libras), la australiana (OAIC), la sueca o la autoridad competente de Hamburgo. Encontrándose deficiencias en relación con el cumplimiento de sus respectivas normativas de aplicación en protección de los datos personales y la privacidad de sus ciudadanos.

Por ser la más reciente, y por la cuantía fijada como sanción, reviste especial relevancia el análisis realizado por la autoridad italiana, el Garante per la Protezione dei Dati Personali (en adelante, el “Garante”) en su Resolución contra Clearview AI de 10 de febrero de 2022.

Antes de profundizar en el detalle de los incumplimientos detectados, es interesante comentar la interpretación realizada por el Garante de la aplicabilidad del RGPD a Clearview, y su consiguiente competencia para sancionar a la entidad. Así, conforme Clearview alegó, la empresa no cuenta con establecimientos en la Unión Europea, y desde que en 2020 despertara las suspicacias de los reguladores y se le impusieran las primeras sanciones, Clearview no oferta sus servicios a clientes europeos, habiendo incluso adoptado medidas técnicas para evitar el acceso a su plataforma desde IPs europeas.

En este punto el Garante se acoge al denominado criterio de selección de destinatarios (art. 3.2 RGPD) para concluir que la actividad de Clearview se encuentra dentro del ámbito territorial del Reglamento General de Protección de Datos (RGPD). En primer lugar, considera que Clearview sí que ofrece sus servicios a interesados en la UE (art. 3.2.a) RGPD), ya que hasta 2020 existieron cuentas de prueba de agencias gubernamentales europeas, y en su propia política de privacidad hasta el inicio del procedimiento sancionador Clearview incluía información dirigida a ciudadanos europeos (información sobre transferencias de datos fuera del Espacio Económico Europeo, o sobre la posibilidad de interponer reclamaciones ante las autoridades europeas de protección de datos). En segundo lugar, conforme a la interpretación del Garante, Clearview realiza un control del comportamiento de personas en la UE (art. 3.2.b) RGPD), teniendo en cuenta que las imágenes faciales que almacena se enriquecen a lo largo del tiempo, reflejando los cambios físicos de una misma persona, y sobre todo considerando que la finalidad del tratamiento de datos realizado por Clearview es la de comparar, evaluando aspectos personales relativos a una persona física.

En consecuencia, el Garante concluye que Clearview lleva a cabo un tratamiento sometido al RGPD, lo que supone que esta autoridad tiene competencia para sancionar a la compañía.

Una vez solventada la problemática de la jurisdicción, el Garante aclara que, al contrario de lo defendido por Clearview y de conformidad por lo ya alegado por el Supervisor Europeo de Protección de Datos[1], la compañía actúa en todo caso como responsable del tratamiento, y no como encargado de tratamiento, ya que decide de forma autónoma sobre los fines y los medios del tratamiento.

Tras analizar el modelo de Clearview, el Garante detecta los siguientes incumplimientos de la normativa de protección de datos europea:

Principio de lealtad y transparencia (art. 5.1.a) RGPD): las personas no son conscientes ni esperan que sus imágenes sean tratadas en el contexto del servicio provisto por Clearview, ni están informadas de sus actividades.
Principio de limitación de la finalidad (art. 5.1.b) RGPD): el posible carácter público (accesible) de las imágenes faciales no es suficiente para considerar que las personas puedan esperar razonablemente que se utilicen con fines de reconocimiento facial, además por parte de una plataforma privada, no establecida en la UE y de cuya existencia y actividad la mayoría de los interesados no son conscientes.
Principio de limitación del plazo de conservación (art. 5.1.e) RGPD): Clearview conserva la información en su base de datos de manera indefinida, procediendo a su borrado únicamente a petición expresa del interesado.
Principio de licitud (arts. 6 y 9 RGPD): la compañía no cuenta con ninguna base de legitimación en la que amparar el tratamiento. Adicionalmente, son objeto de tratamiento datos biométricos que identifican de manera unívoca a una persona, y, por lo tanto, datos de categoría especial, sin que aplique ninguna de las circunstancias previstas en el art. 9 RGPD que permiten su tratamiento.
Asimismo, se identifican deficiencias en la gestión de ejercicios de derechos, y se sanciona la falta de representante de Clearview en la Unión Europea, al no contar con establecimiento en el territorio.

Lo anterior resultó en la imposición por parte del Garante de una multa pecuniaria de 20 millones de euros, y la prohibición del tratamiento de datos de interesados en territorio italiano por parte de Clearview. Ello implica tanto que no se sigan tratando los datos existentes en la base de datos de Clearview, como la no recogida de imágenes y metadatos conexos relativos a personas que se encuentren en el territorio italiano.

A pesar de que el uso de esta polémica tecnología de reconocimiento facial está siendo perseguida en los países con normativas más robustas en materia de protección de datos, habiéndose detectado importantes riesgos para la privacidad y protección de datos, la realidad es que la entidad sigue creciendo, atrayendo numerosos y potentes inversores, y su uso se generaliza por los organismos policiales de algunos territorios.

Recientemente, en el contexto de la guerra en Ucrania, Clearview ha ofrecido el uso de su plataforma de manera gratuita al gobierno ucraniano. Las finalidades para las cuales el gobierno de Zelenski usará esta tecnología no son conocidas todavía, pero pueden abarcar desde fines menos peligrosos, como la identificación de fallecidos o reunir a familias de refugiados, a fines más controvertidos como la identificación de ciudadanos rusos. Contando Clearview con 2.000 millones de imágenes faciales obtenidas de la red social rusa VKontakte.

Tecnologías como la de Clearview pueden crearse con las mejores intenciones, pero teniendo en cuenta los riesgos para la privacidad y protección de datos que plantean, requieren de un marco legal definido y eficaz a nivel global del que en la actualidad se carece. Mientras tanto, los ciudadanos europeos podemos beneficiarnos del marco regulatorio más protector del derecho fundamental a la protección de datos, el cual gracias a sus mecanismos de aplicación extraterritorial puede mitigar los riesgos como los planteados por tecnologías como la de Clearview en el marco de la Unión.

[1] https://edps.europa.eu/system/files/2022-01/21-03-29_edps_opinion_2020-0372.pdf

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Publicidad".
cookielawinfo-checkbox-analytics	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-necessary	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-performance	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
PHPSESSID		Esta cookie es nativa de las aplicaciones PHP. La cookie se utiliza para almacenar e identificar el ID de sesión único de un usuario con el propósito de administrar la sesión del usuario en el sitio web. La cookie es una cookie de sesión y se borra cuando todas las ventanas del navegador se cierran.
viewed_cookie_policy	11 months	La cookie es establecida por el plugin de Consentimiento de la Cookie de RGPD y es usada para almacenar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.

Cookie	Tipo	Duración	Descripción
__stid	0	1 year	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
__unam	0	8 months	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
_cb	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_cb_ls	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_cb_svref	0	30 minutes	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_chartbeat2	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_ga	0	2 years	Esta cookie es instalada por Google Analytics. La cookie se utiliza para calcular los datos de visitantes, sesiones, campañas y para hacer un seguimiento del uso del sitio para el informe analítico del mismo. Las cookies almacenan información de forma anónima y asignan un número generado al azar para identificar a los visitantes únicos.
_gat	0	1 minute	Estas cookies son instaladas por Google Universal Analytics para reducir la tasa de solicitudes y limitar la recolección de datos en sitios de alto tráfico.
_gid	0	1 day	Esta cookie es instalada por Google Analytics. La cookie se utiliza para almacenar información de cómo los visitantes utilizan un sitio web y ayuda en la creación de un informe analítico de cómo el sitio web está funcionando. Los datos recogidos incluyen el número de visitantes, la fuente de donde vienen y las páginas visitadas de forma anónima.
ad-id	1	6 months	Proporcionado por amazon-adsystem.com para el seguimiento de las acciones de los usuarios en otros sitios web para proporcionar contenido específico
AMCV_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	0	2 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
AMCVS_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	0
audience	0	11 months	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
demdex	0	5 months	Esta cookie se establece bajo el dominio demdex.net y es utilizada por Adobe Audience Manager para ayudar a identificar un visitante único a través de los dominios.
dextp	0	5 months	Cookie establecida por el gerente de audiencias de Adobe. Las cookies almacenan un nombre o ID de proveedor de datos y una marca de tiempo UTC de UNIX. El propósito de la cookie es registrar la última vez que hizo una llamada de sincronización de datos.
GPS	0	30 minutes	Esta cookie es establecida por Youtube y registra una identificación única para rastrear a los usuarios en base a su ubicación geográfica
idsync-qs	0		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-ts	0		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-uuid	0
lsdStats	0	3 months
pbw	0	1 year	Cookie para realizar mediciones analítica del tráfico por la página web
pdomid	0	1 year	Cookie para recoger información con fines publicitarios
pid	0	1 year	Ayuda a los usuarios a identificarles y les permite utilizar funciones relacionadas con Twitter de la página web que están visitando.
pxcelPage_c010	0	1 week	Cookie de ShareThis para compartir fácilmente en los sitios sociales.
s_cc	0		Esta cookie es establecida por Adobe Analytics. El propósito de la cookie es determinar si las cookies están habilitadas o no en un navegador.
s_fid	0	5 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_invisit	0	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv	0	3 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv_s	0	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_nr	0	4 weeks	Esta cookie es establecida por Adobe Analytics con el propósito de almacenar las fechas en que los usuarios visitan el sitio web y si el usuario es un visitante nuevo o recurrente.
s_vnum	0	4 weeks	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
test_cookie	0	11 months	Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookie	0		Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookieP	0	1 year	Cookie de Smart adserver para monitorizar y poder personalizar información de interés del usuario.
u	0	2 months
UIDR	0	1 year	Esta cookie se establece bu scorecardresearch.com. La cookie se utiliza para rastrear la actividad de los usuarios a través de Internet en el navegador, como la marca de tiempo de la visita, la dirección IP y las páginas web visitadas más recientemente. y puede que los datos se envíen a terceros para su análisis e informe, con el fin de ayudar a sus clientes a comprender mejor las preferencias de los usuarios.
YSC	1		Estas cookies son establecidas por Youtube y se usan para rastrear las vistas de los videos incrustados.
zc	0	9 years

Cookie	Duración	Descripción
__stid	1 year	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
__unam	8 months	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
_cb_svref	30 minutes	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_chartbeat2	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
AMCV_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	2 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
AMCVS_09DCC8AD54D410FF0A4C98A6%40AdobeOrg
audience	11 months	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-qs		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-ts		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
lsdStats	3 months
pbw	1 year	Cookie para realizar mediciones analítica del tráfico por la página web
pdomid	1 year	Cookie para recoger información con fines publicitarios
pxcelPage_c010	1 week	Cookie de ShareThis para compartir fácilmente en los sitios sociales.
s_fid	5 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_invisit	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv	3 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv_s	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_vnum	4 weeks	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
test_cookie	11 months	Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookieP	1 year	Cookie de Smart adserver para monitorizar y poder personalizar información de interés del usuario.
u	2 months
zc	9 years