A Clearview AI, a controversa startup de reconhecimento facial sediada nos EUA que construiu um banco de dados pesquisável de 30 bilhões de imagens populado por scraping da internet para selfies de pessoas sem o consentimento delas, foi multada com sua maior multa de privacidade até agora na Europa.
A Autoridade de Proteção de Dados dos Países Baixos, Autoriteit Persoonsgegevens (AP), disse na terça-feira que impôs uma penalidade de €30,5 milhões - cerca de $ 33,7 milhões nas taxas de câmbio atuais - à Clearview AI por uma série de violações do Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, após confirmar que o banco de dados contém imagens de cidadãos holandeses.
Esta multa é maior do que as sanções separadas do GDPR impostas pelas autoridades de proteção de dados na França, Itália, Grécia e Reino Unido em 2022.
Em um comunicado à imprensa, o AP advertiu que ordenou uma multa adicional de até €5,1 milhões que será aplicada por falta de cumprimento contínuo, afirmando que a Clearview não conseguiu parar as violações do GDPR após a conclusão da investigação, motivo pelo qual fez a ordem adicional. A multa total pode chegar a €35,6 milhões se a Clearview AI continuar ignorando o regulador holandês.
A autoridade holandesa de proteção de dados iniciou a investigação da Clearview AI em março de 2023, após receber reclamações de três indivíduos relacionadas ao fracasso da empresa em cumprir solicitações de acesso a dados. O GDPR dá aos residentes da UE um conjunto de direitos relacionados aos seus dados pessoais, que incluem o direito de solicitar uma cópia de seus dados ou tê-los excluídos. A Clearview AI não tem cumprido tais solicitações.
Outras violações do GDPR pelas quais a AP está multando a Clearview AI incluem a construção de um banco de dados coletando dados biométricos das pessoas sem uma base legal válida. Também está sendo sancionado por falhas de transparência do GDPR.
“A Clearview nunca deveria ter construído o banco de dados com fotos, os códigos biométricos únicos e outras informações ligadas a eles”, escreveu o AP. “Isso se aplica especialmente aos códigos biométricos únicos derivados do rosto. Como impressões digitais, esses são dados biométricos. Coletar e usá-los é proibido. Existem algumas exceções legais a essa proibição, mas a Clearview não pode contar com elas.”
A empresa também deixou de informar aos indivíduos cujos dados pessoais foram coletados e adicionados ao seu banco de dados, de acordo com a decisão.
Procurada para comentar, a representante da Clearview, Lisa Linden, da empresa de relações públicas baseada em Washington, D.C., Resilere Partners, não respondeu às perguntas, mas enviou por e-mail para o TechCrunch uma declaração atribuída ao diretor jurídico da Clearview, Jack Mulcaire.
“A Clearview AI não tem uma sede nos Países Baixos ou na UE, não tem clientes nos Países Baixos ou na UE e não realiza quaisquer atividades que a tornem sujeita ao GDPR”, escreveu Mulcaire, acrescentando: “Essa decisão é ilegal, carente de devido processo e é inaplicável.”
De acordo com o regulador holandês, a empresa não pode recorrer da multa, pois não contestou a decisão.
Também vale ressaltar que o GDPR tem alcance extraterritorial, o que significa que se aplica ao processamento de dados pessoais das pessoas da UE onde quer que esse processamento ocorra.
A Clearview AI com sede nos EUA usa os dados coletados das pessoas para vender um serviço de correspondência de identidade para clientes que podem incluir agências governamentais, forças policiais e outros serviços de segurança. No entanto, seus clientes são cada vez menos propensos a serem da UE, onde o uso dessa tecnologia violadora de privacidade está sujeito à sanção regulatória - algo que aconteceu com uma autoridade policial sueca em 2021.
O AP alertou que irá sancionar rigorosamente quaisquer entidades holandesas que busquem usar a Clearview AI. “A Clearview viola a lei, e isso torna ilegal o uso dos serviços da Clearview. As organizações holandesas que usam a Clearview podem, portanto, esperar multas pesadas da Autoridade de Proteção de Dados dos Países Baixos”, escreveu o presidente da DPA holandesa, Aleid Wolfsen.
Uma versão em inglês da decisão da AP pode ser acessada por meio deste link.
Responsabilidade pessoal?
A Clearview AI enfrentou uma série de multas do GDPR ao longo dos últimos anos (no papel, acumulou um total de cerca de €100 milhões em multas de privacidade da UE), mas as autoridades regionais de proteção de dados aparentemente não foram muito bem-sucedidas em arrecadar essas multas. A empresa sediada nos EUA permanece intransigente e não nomeou um representante legal na UE.
Mais importante ainda, a Clearview AI não mudou seu comportamento de violação do GDPR - ela continuou a desrespeitar as leis de privacidade europeias com aparente impunidade operacional por estar sediada em outro lugar.
O AP holandês está preocupado com isso, dizendo que está explorando maneiras de garantir que a Clearview pare de violar a lei. O regulador está investigando se os diretores da empresa podem ser responsabilizados pessoalmente pelas violações.
“Uma empresa assim não pode continuar a violar os direitos dos europeus e sair impune. Certamente não dessa forma séria e em escala tão grande. Vamos agora investigar se podemos responsabilizar pessoalmente a gestão da empresa e multá-la por direcionar essas violações”, escreveu Wolfsen. “Essa responsabilidade já existe se os diretores souberem que o GDPR está sendo violado, tiverem autoridade para interromper isso, mas omitirem fazê-lo, e dessa forma conscientemente aceitarem essas violações.”
Como acabamos de ver o fundador do aplicativo de mensagens Telegram, Pavel Durov, ser preso em solo francês por alegações de conteúdo ilegal sendo espalhado em sua plataforma, é interessante considerar se sanções às pessoas que gerenciam a Clearview podem ter uma maior chance de garantir a conformidade - afinal, elas podem desejar viajar livremente para e ao redor da UE. As 10 maiores multas do GDPR para as Big Tech
