Clearview AI, la empresa emergente de EE. UU. que atrajo notoriedad en los últimos años por una violación masiva de la privacidad después de que eliminó selfies de Internet y usó datos de personas para crear una herramienta de reconocimiento facial que presentó a las fuerzas del orden y otros, recibió otra multa en Francia. por falta de cooperación con el regulador de protección de datos.
El regulador francés, la CNIL, emitió el pago de la multa atrasada de 5,2 millones de euros, además de una sanción de 20 millones de euros que impuso a la empresa el año pasado por violar las normas regionales de privacidad.
El Reglamento General de Protección de Datos (GDPR) de la Unión Europea establece las condiciones para el procesamiento de datos personales de manera legal. Se ha descubierto que Clearview ha incumplido una serie de requisitos establecidos en la ley, por parte de la CNIL de Francia y varias otras autoridades regionales de protección de datos, incluidas las autoridades del Reino Unido, Italia y Grecia, obteniendo varias decenas de millones en multas totales hasta la fecha.
Si Clearview alguna vez pagará alguna de estas multas sigue siendo una pregunta abierta, ya que la empresa con sede en EE. UU. no ha estado cooperando con los reguladores de la UE.
En un comunicado de prensa de hoy, la CNIL dijo que Clearview no cumplió con la orden que emitió en octubre pasado, cuando impuso la sanción máxima posible (20 millones de euros) por tres tipos de infracciones del RGPD.
Esa orden de 2022 siguió a un hallazgo anterior, en diciembre de 2021, cuando, después de investigar las quejas, la CNIL decidió que Clearview había violado el RGPD al procesar ilegalmente varias decenas de millones de datos de ciudadanos; y no proporcionar a los locales derechos de acceso a los datos.
Fue el hecho de que Clearview no cumpliera con la orden de la CNIL de diciembre de 2021 lo que llevó, en octubre de 2022, a que el organismo de control francés agregara una tercera infracción a su cuenta (falta de cooperación con el regulador) y emitiera la multa más alta posible según el RGPD. . (La regulación permite multas de hasta el 4% de la facturación anual global o 20 millones de euros, lo que sea mayor).
La orden de la CNIL también instruyó a Clearview a no recopilar ni procesar datos sobre personas ubicadas en Francia sin una base legal adecuada; y eliminar datos de personas cuya información haya procesado ilegalmente, después de cumplir con las solicitudes de acceso a datos pendientes.
En ese momento, el comité de la CNIL responsable de emitir sanciones le dio a Clearview un plazo de dos meses para cumplir con la orden, con la amenaza de multas adicionales si no lo hacía (a un costo de 100 000 € por día de retraso).
Es seguro decir que la empresa estadounidense demostrablemente poco cooperativa ha fallado en jugar a la pelota una vez más, de ahí la última multa de la CNIL, que parece estar facturando a Clearview por 52 días de incumplimiento.
“Clearview AI tenía dos meses para cumplir con la orden y justificar el cumplimiento ante la CNIL. Sin embargo, la empresa no envió ninguna prueba de cumplimiento dentro de este plazo”, escribe el regulador. «El 13 de abril de 2023, el comité restringido consideró que la empresa no había cumplido con la orden y, en consecuencia, impuso una multa coercitiva de 5.200.000 € a Clearview AI».
Nos comunicamos con la CNIL con preguntas. Un portavoz del regulador nos confirmó que Clearview no ha pagado ninguna de las multas emitidas por la CNIL y le dijo a TechCrunch: «Todavía están [non-]conforme, es por eso que imponemos una multa coercitiva atrasada de 5.200.000 €”.
“Con respecto a la medida cautelar, la CNIL continúa trabajando con su contraparte estadounidense, la Comisión Federal de Comercio (FTC), para discutir cómo podemos garantizar que se cumpla la medida cautelar emitida contra la empresa”, agregaron cuando se les preguntó qué poderes tienen. tiene que hacer cumplir la orden en la empresa con sede en EE.UU. “Con respecto a la multa coercitiva, el Ministerio de Economía y Finanzas se está acercando a la FTC para considerar los medios existentes y posibles de cobrar la multa y la multa coercitiva”.
La CNIL también se ofreció voluntariamente a que no buscará bloquear el sitio web de Clearview en Francia, diciendo que tal paso no sería relevante para el problema clave de la legalidad del procesamiento. “La CNIL está cuestionando la forma en que la empresa recopila los datos personales, es decir, sin ninguna base legal, absorbiendo fotografías de acceso público en Internet para alimentar su herramienta”, agregó el portavoz.
Clearview también fue contactado para obtener una respuesta.
Su agencia de relaciones públicas, LAKPR Group, respondió con su (ahora) negación habitual de que la ley de la UE se aplique a su negocio:
Clearview AI no tiene un lugar de negocios en Francia o la UE, no tiene ningún cliente en Francia o la UE, y no realiza ninguna actividad que de otro modo significaría que está sujeto al RGPD.
(Nota: el RGPD se aplica a los datos personales de los ciudadanos de la UE, por lo que Clearview nunca debería haber borrado las selfies de los locales de Internet para que la ley de protección de datos del bloque no se aplique y, en particular, su declaración no dice que nunca ha procesado a los europeos ‘ datos.)
La declaración de Clearview re: lo que expresa como «la mala interpretación de algunos en Francia, donde no hacemos negocios, de la tecnología de Clearview AI para la sociedad» se atribuye a su director ejecutivo, Hoan Ton-That. En él continúa repitiendo las afirmaciones de que solo creó la tecnología de reconocimiento facial con “el propósito de ayudar a hacer que las comunidades sean más seguras y ayudar a las fuerzas del orden público a resolver crímenes atroces contra niños, personas mayores y otras víctimas de actos sin escrúpulos”; agregando: «Solo recopilamos datos públicos de Internet abierto y cumplimos con todos los estándares de privacidad y ley».
Si bien la CNIL de Francia puede tener que silbar por los millones adeudados por Clearview, los anuncios de multas tienen el efecto de evitar esencialmente que la compañía de inteligencia artificial se instale en Francia, es decir, a menos que esté dispuesta a pagar cuando los cobradores de deudas de la CNIL llamen.
Agregue a eso, y quizás lo más importante, todas estas sanciones de GDPR actúan como un elemento disuasorio para que otras entidades en la región usen los servicios de Clearview, ya que corren el riesgo de ser multadas, como sucedió en 2021 con una autoridad policial sueca sorprendida usando Clearview ilegalmente, Por ejemplo.
Entonces, si bien los datos de las personas de la UE aún no están protegidos contra el procesamiento abusivo por parte de compañías de IA hostiles a la privacidad como Clearview, el RGPD al menos puede estar ayudando a limitar el daño al hacer que sea imposible de facto hacer negocios en la región. Aunque no hay duda de que la saga subraya el desafío de hacer cumplir un libro de reglas regional sobre entidades extranjeras que no cooperan en una era de grandes flujos de datos transfronterizos.
También está llegando más regulación de la UE para la IA, con los legisladores del bloque muy ocupados resolviendo los detalles finales de la Ley de IA: una regulación sobre el uso de la inteligencia artificial que fue propuesta por la Comisión en 2021. La versión preliminar de esta ley basada en el riesgo El marco incluye una prohibición sobre el uso de biometría remota en lugares públicos, que Clearview puede haber ayudado a inspirar.
Este informe se actualizó con las respuestas de la CNIL