Loading

Blog details

Home

La CNIL impone la máxima multa bajo el RGPD

La compañía Clearview AI se enfrenta a la máxima multa bajo el RGPD impuesta por la CNIL, un total de 20 millones de euros después de no atender un apercibimiento enviado por la autoridad de control.  

 

Tras no atender un apercibimiento formal emitido por la CNIL en noviembre de 2021 donde se ofrecían dos meses para cumplir con varios aspectos del RGPD, Clearview AI se enfrenta a una multa de 20 millones de euros, cantidad máxima impuesta por la autoridad de control conforme al artículo 83 del RGPD. El apercibimiento solicitaba a la empresa que cesase la recogida y tratamiento de datos personales de interesados en Francia si no contaba con una base legítima para ello, que cumpliese con las solicitudes de supresión y que eliminase los datos ya recogidos en un período de dos meses. Se estableció también una multa de 100.000 € por día de demora. Sin embargo, este apercibimiento no se atendió y la CNIL ha decidido en consecuencia poner la máxima multa permitida

 

La investigación de la CNIL reveló que Clearview AI estaba tratando datos personales de interesados de manera ilegítima. 

 

El tratamiento de datos personales por parte de Clearview AI se consideró ilegítimo porque la empresa carecía de base conforme al artículo 6 del RGPD, lo cual es un requisito necesario para que el tratamiento pueda llevarse a cabo. En este caso Clearview AI no había solicitado el consentimiento de los usuarios y tampoco contaba con un interés legítimo. Además, el tratamiento efectuado era intrusivo dado que se extraían de internet imágenes de millones de usuarios en Francia. Mientras que el contenido utilizado estaba disponible en varias páginas webs incluidos perfiles de redes sociales, tratar dichos datos con el objetivo de proporcionar servicios de reconocimiento facial no es una expectativa razonable que los usuarios podrían tener en cuenta al compartir sus fotos y vídeos. 

 

CNIL también descubrió que Clearview AI obstaculizaba el ejercicio de los derechos de acceso y supresión. 

 

La investigación de la autoridad de control reveló que Clearview AI limitaba el ejercicio de los derechos de acceso y supresión de los interesados a únicamente los datos recogidos en los 12 meses anteriores a la solicitud. Además, la empresa restringía estos derechos de tal forma que sólo podían ejercerse dos veces al año, sin ninguna justificación. Asimismo sólo se ofrecía una respuesta después de que la misma persona enviase varias solicitudes. Además, las contestaciones no eran efectivas, en algunos casos inexistentes y en otros parciales. Todo esto infringía los artículos 12, 15 y 17 del RGPD. 

 

Clearview AI respondió parcialmente a la investigación iniciada por la CNIL pero no respondió al apercibimiento. 

 

Si bien Clearview AI respondió a la investigación inicial de la CNIL, no hubo respuesta ninguna al apercibimiento enviado en noviembre de 2021. La CNIL estableció así que Clearview no había cooperado durante el procedimiento. Esto se trata de un incumplimiento del 31 del RGPD, que señala que “el responsable y el encargado del tratamiento y, en su caso, sus representantes cooperarán con la autoridad de control que lo solicite en el desempeño de sus funciones”. Durante la investigación, Clearview AI colaboró con otras autoridades de control quienes tienen poderes para actuar en sus territorios, dado que la empresa no tiene sedes en Europa. Varias autoridades de control europeas ya han tomado acción contra la empresa y sus prácticas ilegítimas. 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

Prev post
Se firma la Orden Ejecutiva para el acuerdo de privacidad UE-E.U.
octubre 20, 2022
Next post
Email marketing: la ICO publica una guía sobre cumplimiento con la normativa ePrivacy
octubre 27, 2022

Leave a Comment