Reconocimiento facial y web scraping: varapalo australiano a Clearview AI
La autoridad australiana de protección de datos (the Office of the Australian Information Commissioner, en adelante OAIC) ha concluido su investigación respecto a las prácticas realizadas por Clearview AI (compañía de reconocimiento facial que ha recopilado millones de fotos en internet para crear "un motor de búsqueda de caras"), resolviendo que la empresa estadounidense incumple con la normativa australiana de protección de datos, y ordenando a la misma el cese en la creación de plantillas biométricas de los ciudadanos australianos; así como la destrucción de todas las imágenes y plantillas existentes en su base de datos.
Nos encontramos ante un nuevo varapalo para la controvertida empresa con sede en Nueva York, tras ya haberse pronunciado en febrero de este año la autoridad canadiense (the Office of the Privacy Commissioner of Canada, en adelante OPC), concluyendo que las prácticas de la misma eran contrarias a las leyes de privacidad canadiense y ordenar el cese de tratamiento respecto a la imagen facial de sus conciudadanos.
Clearview AI funciona a través de una base de datos formada por más de tres mil millones de imágenes tomadas de plataformas de redes sociales y otros sitios web accesibles públicamente a través de la red. Su funcionamiento es sencillo: la herramienta permite a los usuarios cargar una foto del rostro de una persona y encontrar otras imágenes faciales de esa persona recopiladas de internet, realizándose así una labor de identificación biométrica a gran escala.
Conclusiones de la OAIC
En su comunicado, la OAIC señala que la plataforma de reconocimiento facial no cumple con la normativa australiana por:
- Recopilar información sensible de los ciudadanos australianos sin su consentimiento.
- Recopilar información personal por medios no transparentes.
- No llevar a cabo medidas razonables para informar a los interesados sobre la recopilación de su información personal.
- No llevar a cabo medidas razonables que asegurasen que la información personal tratada fuera exacta.
- No llevar a cabo medidas razonables para implementar prácticas, procedimientos y sistemas que aseguren el cumplimiento con los principios de privacidad australianos.
La decisión de la OAIC destaca la falta de transparencia con el usuario en el momento de recopilación de los datos, la monetización de los datos de acuerdo con finalidades que se encuentran fuera de las expectativas razonables del usuario, así como otros posibles efectos no deseados que puede suponer la inclusión del usuario en la propia base de datos.
La investigación ha sido realizada de manera conjunta con la autoridad británica (the Information Commission’s Office, en adelante ICO). No obstante, el ICO, a través de un comunicado oficial, ha manifestado estar considerando las siguientes acciones a realizar al respecto, de acuerdo con su legislación.
Escenario europeo
Actualmente, constan investigaciones abiertas sobre el tratamiento realizado por la organización en diferentes autoridades de control europeas.
Asimismo, podemos destacar dos resoluciones previas, que si bien no abordaron todas las implicaciones que podía conllevar el uso de la plataforma, nos permiten extraer algunas conclusiones:
- La autoridad de control de Hamburgo resolvió tomar acciones aisladas en base a una reclamación particular, ordenando a la compañía eliminar los valores hash matemáticos asociados al determinado perfil biométrico obtenido del reclamante. No obstante, la resolución se limitó al caso concreto y no se pronunció sobre la recopilación inicial de imágenes.
- Por otro lado, la autoridad de control sueca sancionó con 250.000 a la policía local por haberse demostrado el uso de la misma con sus ciudadanos. No obstante, la resolución se limita al tratamiento realizado por la policía en su condición de responsable, no resolviendo la conducta ilícita llevada a cabo por el propio proveedor.
Carlos Cuesta Hernández. Senior Privacy Counsel, Legal Army