Il Garante Privacy italiano ha recentemente comminato una cospicua sanzione pari a 20 milioni di euro a Clearview Al. La società statunitense ha effettuato attività di monitoraggio avente ad oggetto dati biometrici di cittadini italiani. Dall’istruttoria condotta emergono plurimi risvolti in termini di violazioni di dati personali.

Il caso finito all’attenzione dell’Autorità Garante potrebbe definirsi un caso di scuola per apprendere tutto ciò che i Titolari dovrebbero evitare di compiere.

La condotta principale tenuta da Clearview Al ha ad oggetto attività di profilazione basata su dati biometrici, estratti da immagini presenti sul web, combinati ad altre informazioni sempre presenti nel mondo del digitale (ad esempio dati di geolocalizzazione). Il database creato dalla società ha accumulato oltre 10 miliardi di volti di persone di tutto il mondo.

Da un’analisi più approfondita della situazione si apprende che l’attività di profilazione è stata svolta in assenza:

• di idonea base giuridica ex art. 6 del GDPR;
• di idonea informativa in violazione del principio di trasparenza. Tra l’altro, i dati sono stati trattati per scopi diversi da quelli per i quali erano stati pubblicati online dagli utenti;
• di idonea data retention: non è stato stabilito un periodo di conservazione dei dati raccolti.

La profilazione consiste in qualsiasi forma di trattamento automatizzato di dati personali finalizzato alla valutazione di aspetti personali. Detta finalità di trattamento, come ovvio, deve essere menzionata nell’informativa e, in aggiunta, il Titolare deve rendere nota la logica utilizzata alla base del processo di profilazione nonché le conseguenze derivante dal trattamento (art. 13 e 14 del GDPR).

Le violazioni commesse hanno portato il Garante Privacy all’irrogazione di una sanzione pari a 10 milioni di euro ed alle seguenti prescrizioni: cancellazione dei dati biometrici raccolti afferenti residenti italiani, divieto di ulteriore trattamento ed obbligo di nomina di un rappresentante nell’Unione Europea.