Como ya han hecho anteriormente otras autoridades de protección de datos (Alemania, Australia, Reino Unido, Italia y Grecia), esta vez ha sido el turno de la Commission Nationale de l’Informatique et des Libertés (CNIL), su homóloga francesa la que ha impuesto una sanción a Clearview AI.
La empresa, dedicada al reconocimiento facial que cuenta con una base de datos con millones de fotos recabadas de internet para la creación de un motor de búsqueda de caras, tendrá que pagar una multa de 20 millones de euros.
Las infracciones detectadas por la CNIL, que justifican la imposición de esta sanción son las siguientes:
- Tratamiento ilícito de datos personales (infracción del artículo 6 RGPD): se recopila y hace uso de los datos biométricos de los interesados sin una base de legitimación adecuada, ya que la empresa no obtiene el consentimiento previo de los interesados para dicho tratamiento. Tampoco es posible aplicar otra base de legitimación, como el interés legítimo, ya que se trata de un tratamiento que excede las expectativas razonables de los usuarios en cuanto al uso que se va a dar de sus datos, ni existe ninguna justificación legal para ello.
- Infracción de los derechos de protección de datos, tanto de acceso como de supresión (artículos 12, 15 y 17 del RGPD), cuyas solicitudes no han sido atendidas de forma efectiva.
- Falta de cooperación con la autoridad de protección de datos (infracción del artículo 31 del RGPD). Esta infracción se observa a partir de la falta de respuesta por parte de la sancionada a las comunicaciones y formulario de investigación que se mandó por parte de la CNIL, así como a los avisos formales emitidos por la misma.