Las autoridades francesas sancionaron a una empresa que recopilaba millones de fotografías publicadas en internet para crear una base de datos identificando a las personas mediante reconocimiento facial y metadatos
La Comisión Nacional de Tecnología de la Información y Libertades de Francia sancionó a la empresa CLEARVIEW AI con una multa por 20 millones de euros, ordenando que deje de recopilar y procesar datos personales en territorio francés a través de su software de reconocimiento facial y proceda a eliminar los datos personales de los afectados (en especial el damandante). Asimismo, impuso una multa diaria de 100 mil euros por día de retraso después de 2 meses desde la notificación de la resolución.
La empresa estadounidense creadora de un software de reconocimiento facial que nutre una base de datos por la “aspiración” de imágenes de acceso público en internet (como redes sociales y videos de YouTube) para identificar personas a partir de fotografías y metadatos de esas imágenes (como geolocalización) y comercializar un motor de búsqueda basado en ese reconocimiento facial, algo que ya había recibido multas de igual valor en Italia y Grecia y una de menor cantidad en Reino Unido, fue denunciada esta vez en Francia, tras las quejas de varias personas que tuvieron dificultades para ejercer su derecho de acceso y borrado con la compañía.
Así la Comisión francesa inició un expediente, que recopiló documental desde 2020 e informes de sus homólogos europeos y tras notificar formalmente a la empresa, al final de su investigación, se concluyó que existían infracciones a las disposiciones del RGPD, al no tener una base legal para los tratamientos de datos personales implementados.
La Comisión Nacional de Tecnología de la Información y Libertades de Francia sancionó a la empresa CLEARVIEW AI con una multa por 20 millones de euros, ordenando que deje de recopilar y procesar datos personales en territorio francés a través de su software de reconocimiento facial y proceda a eliminar los datos personales de los afectados
De esta forma se violaba el artículo 6 del reglamento al considerarse el procesamiento ilegal por realizarse sin consentimiento de las personas abarcadas ni cumplir las demás condiciones de la norma, algo que no fue defendido por la empresa que “no hizo ninguna observación de defensa”.
Entendieron que en el caso se involucraba a muchas personas y que “el procesamiento tiene un carácter intrusivo particularmente fuerte: la compañía recopila una gran cantidad de datos fotográficos de una persona determinada, con el que están asociados otros datos personales que pueden revelar diversos aspectos de la privacidad. A partir de estos datos, se constituye una plantilla biométrica, es decir, datos biométricos que permiten, si es confiable, identificar a la persona de manera única a partir de una fotografía de la persona: la posesión de dichos datos por un tercero constituye una grave invasión de la privacidad”
La compañía recopila una gran cantidad de datos fotográficos de una persona determinada, con el que están asociados otros datos personales que pueden revelar diversos aspectos de la privacidad
Por otro lado, se violentaba el artículo 15 (derecho al acceso) ya que el demandante intentó múltiples veces ver la información que se recopilaba de su persona, sin obtener resultados.
También se incumplió el derecho a borrado (art. 17) tras abstenerse de responder la solicitud de borrado de sus datos que realizó el denunciante.
La empresa tampoco cooperó con los servicios de CNIL, ni realizó observaciones de defensa para ninguna de las acusaciones por lo que también incumplió el artículo 31 (falta de cooperación).
Por todo esto, al considerar faltas graves, se optó por sancionar de forma disuasiva y proporcional, ya que el tratamiento se realizaba sobre más de 20 mil millones de imágenes de millones de personas en todo el mundo, en ellas de Francia, abarcando datos sensibles como son los datos biométricos, la que a su vez se actualizaba constantemente.