Motori di ricerca online e titolarità del trattamento: spunti di riflessione dal caso Clearview
Il recente provvedimento sanzionatorio dell’Autorità Garante per la Protezione dei dati personali (Provv. 10 Febbraio 2022 – registro dei provvedimenti n.50 – doc. web 9751362) emesso nei confronti della società statunitense Clearview AI offre diversi spunti di riflessione sull’applicazione del Regolamento (UE) 2016/679. Tra questi meritevole di attenzione è il tema della titolarità del trattamento di dati.
(Nella foto: l'Avv. Marco Soffientini, Data Protection Officer di Federprivacy)
L’offerta di Clearview (principalmente rivolta a forze di polizia) consiste in un servizio di ricerca immagini attraverso un motore di ricerca per il riconoscimento facciale (c.d. facial recognition search engine) di immagini in internet.
Le immagini vengono raccolte da Clearview attraverso tecniche di web scraping da diverse fonti internet (siti web, social network, ecc.). Successivamente, queste vengono elaborate con tecniche biometriche al fine di estrarne le caratteristiche identificative di ognuna di esse. Così facendo quando il cliente interroga il database, sottoponendo allo stesso un’immagine da ricercare, questa viene confrontata, con quelle raccolte dalla società.
Molti provider nell’offrire tool e motori di ricerca attraverso i quali svolgere vere e proprie operazioni di trattamento di dati personali, ne sottomettono l’utilizzo al rispetto da parte dell’utente delle normative vigenti. In altri termini, viene detto che è l’utilizzatore che decide di usare il motore di ricerca per la ricerca delle sue immagini, caricando una immagine per ottenere i risultati ad essa corrispondenti ed è sempre lo stesso che decide cosa fare con gli esiti della ricerca. Dunque, secondo questa impostazione è l’utente (cliente del servizio) che decide se lo strumento possa essere usato nell’ambito di una specifica cornice normativa e il provider viene pagato per lo strumento, non per i risultati della ricerca o per ciò che il cliente farà con i risultati della ricerca.
Questa impostazione trova la sua ragion d’essere nell’articolo 25 paragrafo 1 del Regolamento (UE) 2016/679 (RGPD o GDPR) nella parte in cui prevede che il titolare, al momento di determinare i mezzi del trattamento, deve assicurare che i parametri del Regolamento siano rispettati. Di conseguenza, sarebbe onere dell’utilizzatore del servizio stabilire se e come utilizzare il motore di ricerca o il tool e dunque assumere in relazione ad esso la veste di titolare del trattamento.
Ad un’attenta lettura, osserva il Garante nel provvedimento de quo, emerge come non si tenga conto che chi determina le finalità e i mezzi del trattamento può farlo “singolarmente o insieme ad altri”, come si evince dalla lettura della nozione di titolare del trattamento enunciata dall’articolo 4, par.1, n.7 RGPD.
Nel caso esaminato la società non solo raccoglie le immagini da internet ma, come si è visto, le rielabora con tecniche biometriche. In altri termini la società vende un servizio di riconoscimento facciale completamente ospitato e gestito sulla propria piattaforma, decidendo autonomamente le finalità e gli elementi essenziali dei mezzi dei servizi che offre.
La titolarità del provider non è esclusa nemmeno dalla circostanza che il cliente utilizzatore della piattaforma persegua una propria finalità. Come chiarito dal Comitato per la protezione dei dati personali, se un soggetto decide da solo le finalità e le modalità delle operazioni che precedono o sono successive nella catena del trattamento, tale soggetto deve considerarsi unico titolare dell'operazione precedente o successiva (cfr. Linee Guida del Comitato europeo per la protezione dei dati personali 07/2020 on the concepts of controller and processor in the GDPR, par. 57).
Pertanto, la circostanza che i clienti della piattaforma possano perseguire finalità ulteriori rispetto a quelle connesse all’attività del provider non infinge, né risulta incompatibile con il ruolo di titolare del trattamento di quest’ultimo soggetto.
