CLEARVIEW AI deberá eliminar una serie de fotografías obtenidas de internet por tratamiento ilegítimo de las mismas, tras investigación de la CNIL.

CLEARVIEW AI y su software de reconocimiento facial fueron llevados ante la CNIL por primera vez en mayo de 2020, lo que condujo a una investigación que destapó dos infracciones del RGPD: el tratamiento ilegítimo de datos personales y la falta de consideración sobre los derechos de los interesados, en especial en relación al derecho de acceso. Como resultado, la CNIL ordenó a CLEARVIEW AI facilitar el ejercicio del derecho de acceso y cesar la recogida y utilización de datos de personas en el territorio de Francia si no se cuenta con una base legítima para ello. Además, se le requirió a CLEARVIEW AI cumplir con todas las solicitudes de eliminación de datos. Para todo ello, la CNIL ha otorgado a la compañía un plazo de dos meses.

CLEARVIEW AI había desarrollado un sistema de reconocimiento facial que empleaba fotografías obtenidas de internet sin contar con consentimiento ni ninguna otra base legítima para el tratamiento.

CLEARVIEW AI había desarrollado un software de reconocimiento facial cuya base de datos se compone de fotografías y vídeos extraídos de internet. La empresa no contaba con el consentimiento de los sujetos que aparecían en dicho contenido y tampoco existía ninguna base legítima para el tratamiento conforme al artículo 6 del RGPD, y por tanto se trata de un incumplimiento directo del mismo. La recopilación de datos de decenas de millones de interesados en el territorio de Francia sin contar con interés legítimo se considera como particularmente intrusivo.

Cristina Contero Almagro, Socia de Aphaia, señala que “debe tenerse en cuenta que el hecho de que los datos sean públicos no significa que puedan utilizarse libremente. El RGPD se aplica también a los datos personales disponibles de manera pública, y por tanto se precisa una de las bases del artículo 6 del RGPD para poder tratarlos de forma legítima. Si dicha base es el interés legítimo, tendrá que llevarse a cabo una Evaluación de Interés Legítimo”.

La CNIL también concluyó que CLEARVIEW AI habría infringido los artículos 12, 15 y 17 del RGPD, pues resultaba difícil para los interesados ejercer sus derechos frente a la compañía.

Las numerosas quejas recibidas por la CNIL señalaban que CLEARVIEW AI infringía los derechos de los interesados, en concreto el derecho de acceso y el derecho de supresión. La CNIL concluyó que la empresa había estado limitando el derecho de acceso a datos recogidos durante los 12 meses anteriores a la solicitud. Además, los interesados sólo podían ejercer este derecho frente a CLEARVIEW AI dos veces al año, sin ninguna justificación. La empresa únicamente respondía a algunas solicitudes tras recibir una gran cantidad de ellas enviadas por la misma persona y, cuando éstas versaban sobre el derecho de supresión, bien no había ninguna respuesta o ésta era incompleta. La CNIL ha requerido a CLEARVIEW AI que adapte sus prácticas a la normativa aplicable, que cese el tratamiento ilegítimo de datos y que elimine todos los datos tratados sin base legal, todo ello en un plazo de dos meses.

¿Conoces las bases que legitiman el tratamiento de datos? ¿Has implementado un proceso para lidiar con los derechos de los interesados? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de Datos, Evaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Infórmate aquí.