Ολλανδία: Πρόστιμο 30,5 εκατ. ευρώ σε εταιρεία ΑΙ για κατάχρηση δεδομένων αναγνώρισης προσώπου

Η Clearview απάντησε στο πρόστιμο δηλώνοντας ότι η απόφαση είναι «παράνομη, στερείται δέουσας διαδικασίας και δεν μπορεί να εφαρμοστεί», καθώς η Clearview «δεν έχει έδρα» ή πελάτες στην Ολλανδία ή την ΕΕ. [Ascannio/Shutterstock]

Η ολλανδική Αρχή Προστασίας Δεδομένων (DPA) επέβαλε πρόστιμο ύψους 30,5 εκατομμυρίων ευρώ στην Clearview AI την Τρίτη (3 Σεπτεμβρίου), για την παράνομη δημιουργία βάσης δεδομένων με περισσότερες από 30 δισεκατομμύρια φωτογραφίες.

Σύμφωνα με την ολλανδική DPA, η Clearview AI, μια αμερικανική εταιρεία που παρέχει υπηρεσίες αναγνώρισης προσώπου σε υπηρεσίες πληροφοριών και επιβολής του νόμου, δημιούργησε μια παράνομη βάση δεδομένων με φωτογραφίες προσώπων περισσότερων από 30 δισεκατομμυρίων ανθρώπων, χωρίς τη συγκατάθεσή τους, παραβιάζοντας τον Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR).

«Η ολλανδική DPA δείχνει τα δόντια της και αποδεικνύει τη δύναμη του ΓΚΠΔ όταν εφαρμόζεται σωστά», δήλωσε η Ella Jakubowska, επικεφαλής πολιτικής στην EDRi, την ομάδα υπεράσπισης των ευρωπαϊκών ψηφιακών δικαιωμάτων.

Η αρχή προειδοποίησε κατά της χρήσης των υπηρεσιών της εταιρείας, η οποία, όπως είπε, απαγορεύεται.

Σύμφωνα με τον παρατηρητή δεδομένων, η Clearview δεν σταμάτησε τις παραβιάσεις της ακόμη και μετά την έναρξη των ερευνών. Εάν η εταιρεία τεχνητής νοημοσύνης συνεχίσει, θα βρεθεί αντιμέτωπη με πρόσθετες κυρώσεις ύψους έως και 5,1 εκατ. ευρώ.

Η Clearview απάντησε στο πρόστιμο δηλώνοντας ότι η απόφαση είναι «παράνομη, στερείται δέουσας διαδικασίας και δεν μπορεί να εφαρμοστεί», καθώς η Clearview «δεν έχει έδρα» ή πελάτες στην Ολλανδία ή την ΕΕ, ούτε αναλαμβάνει άλλες δραστηριότητες που θα την καθιστούσαν υπόχρεη στον ΓΚΠΔ, δήλωσε ο επικεφαλής νομικός σύμβουλος της εταιρείας, Jack Mulcaire, στο Euractiv μέσω email την Τρίτη.

Η αρχή «διερευνά επίσης εάν οι διευθυντές της εταιρείας μπορούν να θεωρηθούν προσωπικά υπεύθυνοι για τις παραβιάσεις», δεδομένου ότι η εταιρεία δεν έχει αλλάξει τις πρακτικές της παρά τα προηγούμενα πρόστιμα από άλλες αρχές.

Η DPA ανέφερε επίσης ότι η εταιρεία ισχυρίζεται πως προσφέρει τις υπηρεσίες της αποκλειστικά σε υπηρεσίες πληροφοριών και ερευνών εκτός της ΕΕ.

Τον Μάρτιο όμως, το υπουργείο Άμυνας της Ουκρανίας άρχισε να χρησιμοποιεί την τεχνολογία αναγνώρισης προσώπου της Clearview AI, αφού η εταιρεία προσφέρθηκε να αποκαλύψει Ρώσους επιτιθέμενους, να καταπολεμήσει την παραπληροφόρηση και να ταυτοποιήσει τους νεκρούς.

Βιομετρικά δεδομένα

Η DPA δήλωσε ότι οι φωτογραφίες της βάσης δεδομένων συλλέγονται αυτόματα από το διαδίκτυο και μετατρέπονται σε μοναδικούς βιομετρικούς κωδικούς για κάθε πρόσωπο, χωρίς τη γνώση ή τη συγκατάθεση των εμπλεκόμενων ατόμων.

«Εάν υπάρχει μια φωτογραφία σας στο Διαδίκτυο – και αυτό δεν ισχύει για όλους μας; – τότε μπορεί να καταλήξετε στη βάση δεδομένων της Clearview και να σας εντοπίσουν. Αυτό δεν είναι ένα σενάριο καταστροφής από μια ταινία τρόμου. Ούτε είναι κάτι που θα μπορούσε να γίνει μόνο στην Κίνα», δήλωσε ο Ολλανδός πρόεδρος της DPA Aleid Wolfsen.

Η DPA ανησυχεί ιδιαίτερα για τους μοναδικούς βιομετρικούς κωδικούς για τα πρόσωπα των ατόμων, οι οποίοι, όπως είπε, λειτουργούν ως δακτυλικά αποτυπώματα. Η συλλογή και η χρήση τέτοιων βιομετρικών δεδομένων απαγορεύεται, αν και υπάρχουν ορισμένες εξαιρέσεις που η Clearview δεν πληροί τις προϋποθέσεις, δήλωσε η αρχή.

Η Clearview δεν συμμορφώνεται επίσης με τα αιτήματα των ατόμων για πρόσβαση στα δεδομένα τους, όπως απαιτείται από τον ΓΚΠΔ, δήλωσε ο ολλανδικός παρατηρητής δεδομένων.

Παρά την έρευνα και τα προηγούμενα πρόστιμα από άλλες αρχές, η Clearview, η αμερικανική εταιρεία χωρίς ευρωπαϊκό γραφείο, συνέχισε να παραβιάζει τους κανόνες προστασίας δεδομένων.

Η χρήση βιομετρικών δεδομένων, στην ΕΕ, από τις υπηρεσίες επιβολής του νόμου έχει προκαλέσει αντιδράσεις. Ο νόμος για την Τεχνητή Νοημοσύνη απαγορεύει και περιορίζει ορισμένες χρήσεις βιομετρικής ταυτοποίησης, συμπεριλαμβανομένης της χρήσης της τεχνολογίας αυτής σε πραγματικό χρόνο σε δημόσιους χώρους από τις αρχές επιβολής του νόμου.

Τον Ιανουάριο, το Ευρωπαϊκό Δικαστήριο αποφάσισε ότι οι αρχές επιβολής του νόμου δεν μπορούν να διατηρούν επ’ αόριστον τα βιομετρικά και γενετικά δεδομένα καταδικασθέντων ατόμων. Τον Νοέμβριο, αποκαλύφθηκε ότι η γαλλική αστυνομία χρησιμοποιούσε παράνομα το ισραηλινό λογισμικό αναγνώρισης προσώπου Briefcam από το 2015.