La autoridad de protección de datos holandesa (DPA) impone una multa de 30,5 millones de euros y ordena a Clearview AI que pague una multa de hasta 5 millones de euros por incumplimiento. Clearview es una empresa estadounidense que ofrece servicios de reconocimiento facial. Entre otras cosas, Clearview ha creado una base de datos ilegal con miles de millones de fotos de rostros, incluidos los de ciudadanos holandeses. La DPA holandesa advierte de que también está prohibido utilizar los servicios de Clearview.
Clearview es una empresa comercial que ofrece servicios de reconocimiento facial a servicios de inteligencia e investigación. Los clientes de Clearview pueden proporcionar imágenes de cámaras para averiguar la identidad de las personas que aparecen en las imágenes. Para ello, Clearview tiene una base de datos con más de 30 mil millones de fotos de personas. Clearview extrae estas fotos automáticamente de Internet y luego las convierte en un código biométrico único por rostro, sin que estas personas lo sepan y sin que hayan dado su consentimiento para ello.
Nunca más anónimo
“El reconocimiento facial es una tecnología muy intrusiva que no se puede utilizar con cualquiera en el mundo”, afirma el presidente de la DPA holandesa, Aleid Wolfsen. “Si hay una foto tuya en Internet –y ¿no se aplica eso a todos nosotros?–, puedes acabar en la base de datos de Clearview y ser rastreado. No se trata de un escenario catastrófico de una película de terror, ni es algo que sólo se pueda hacer en China”.
Clearview afirma que sólo presta servicios a servicios de inteligencia e investigación fuera de la Unión Europea (UE). “Eso ya es bastante malo”, afirma Wolfsen. “Esto no debería ir más allá. Tenemos que poner un límite muy claro al uso incorrecto de este tipo de tecnología”.
Wolfsen reconoce la importancia de la seguridad y de la detección de delincuentes por parte de las autoridades oficiales. También reconoce que técnicas como el reconocimiento facial pueden contribuir a ello. “Pero ciertamente no por parte de una empresa comercial. Y por parte de las autoridades competentes sólo en casos muy excepcionales. La policía, por ejemplo, tiene que gestionar el software y la base de datos por sí misma, en condiciones estrictas y bajo la atenta mirada de la autoridad de protección de datos holandesa y otras autoridades supervisoras.
Los servicios de Clearview son ilegales
Wolfsen advierte: no utilice Clearview. «Clearview infringe la ley, por lo que el uso de los servicios de Clearview es ilegal. Por lo tanto, las organizaciones holandesas que utilicen Clearview pueden esperar fuertes multas por parte de la autoridad de protección de datos holandesa».
Infracciones de Clearview
Clearview ha infringido gravemente la ley de privacidad Reglamento General de Protección de Datos (RGPD) en varios puntos: la empresa nunca debería haber creado la base de datos y no es lo suficientemente transparente.
Base de datos ilegal
Clearview nunca debería haber creado la base de datos con fotos, códigos biométricos únicos y otra información vinculada a ellas. Esto se aplica especialmente a los códigos. Al igual que las huellas dactilares, se trata de datos biométricos. Su recopilación y uso está prohibido. Hay algunas excepciones legales a esta prohibición, pero Clearview no puede confiar en ellas.
Falta de transparencia
Clearview no informa suficientemente a las personas que figuran en la base de datos sobre el uso que la empresa hace de sus datos biométricos y fotográficos. Las personas que figuran en la base de datos también tienen derecho a acceder a sus datos. Esto significa que Clearview tiene que mostrar a las personas qué datos tiene la empresa sobre ellas si lo solicitan. Sin embargo, Clearview no coopera en las solicitudes de acceso.
Sanciones adicionales
Clearview no ha detenido las infracciones tras la investigación de la autoridad de protección de datos holandesa. Por ello, la autoridad de protección de datos holandesa ha ordenado a Clearview que ponga fin a las infracciones. Si Clearview no lo hace, la empresa tendrá que pagar sanciones por incumplimiento por un importe máximo total de 5,1 millones de euros además de la multa.
Empresa estadounidense
Clearview es una empresa estadounidense sin establecimiento en Europa. Otras autoridades de protección de datos ya han multado a Clearview en varias ocasiones anteriores, pero la empresa no parece adaptar su conducta. Por ello, la autoridad de protección de datos holandesa está buscando formas de asegurarse de que Clearview ponga fin a las infracciones. Entre otras cosas, investigando si los directivos de la empresa pueden ser considerados personalmente responsables de las infracciones.
Wolfsen: “Esta empresa no puede seguir violando los derechos de los europeos y salirse con la suya. Ciertamente no de esta manera tan grave y a esta escala masiva. Ahora vamos a investigar si podemos responsabilizar personalmente a la dirección de la empresa y multarla por dirigir esas infracciones. Esa responsabilidad ya existe si los directivos saben que se está infringiendo el RGPD, tienen la autoridad para impedirlo, pero no lo hacen y, de este modo, aceptan conscientemente esas infracciones”.
Clearview no ha presentado objeciones a esta decisión y, por lo tanto, no puede apelar contra la multa.