Nessuna azione contro PimEyes: causa noyb contro la DPA di Amburgo
National Administrative Procedures and DPA inactivity
[strong]Oggi, noyb ha intentato una causa contro l'autorità per la protezione dei dati (DPA) di Amburgo. Pur ritenendo illegali le pratiche del motore di ricerca per il riconoscimento facciale PimEyes, l'autorità si rifiuta di prendere provvedimenti efficaci perché la società sembra avere sede a Dubai. PimEyes estrae sistematicamente i dati biometrici dalle immagini presenti su Internet e li utilizza per costruire un database. Gli utenti possono caricare foto di persone su questo sito web per trovare altre immagini della stessa persona attraverso il riconoscimento facciale. Il ricorrente aveva originariamente presentato una denuncia contro PimEyes alla DPA di Amburgo nel luglio 2020.[/strong]
Informazioni su PimEyes. PimEyes scansiona continuamente Internet per raccogliere i volti in un database. L'azienda ha già raccolto miliardi di immaginiche vengono utilizzate per il suo motore di ricerca per il riconoscimento facciale. Sul suo sito web, chiunque può identificare altre persone caricando una loro foto. Vengono poi mostrate altre immagini della stessa persona, con tanto di link alle fonti. A pagamento, è possibile accedere a ulteriori dettagli, come la probabilità che si tratti della stessa persona. La tecnologia alla base si basa sul riconoscimento facciale e quindi sull'analisi dei dati biometrici. Da questo punto di vista, PimEyes opera in modo simile all'azienda statunitense Clearview AI, che ha già ha già subito multe milionarie a causa delle sue violazioni del GDPR.
Max Schrems, presidente di noyb: "La diffusione incontrollata di strumenti di riconoscimento facciale come PimEyes è disastrosa per la privacy: lo stalking e la sorveglianza di massa di milioni di persone possono essere effettuati in pochi secondi. PimEyes ha accumulato miliardi di dati biometrici di persone innocenti a loro insaputa e li ha resi disponibili a tutti. Questa sorveglianza di massa di individui privati è chiaramente illegale - e anche l'autorità di Amburgo la vede così"
Anni di attesa per una "lettera informativa". Una persona interessata aveva quindi già presentato un reclamo contro PimEyes nel luglio 2020. L'autorità per la protezione dei dati di Amburgo, responsabile del caso, ha impiegato più di cinque anni per prendere una decisione. Tuttavia, pur ritenendo che PimEyes abbia agito illegalmente e che avrebbe dovuto rispondere alla richiesta di accesso e cancellazione del denunciante, l'autorità non ha intrapreso alcuna azione: il DPA sostiene che, a parte l'invio di una "lettera informativa" all'azienda, non ha bisogno di adottare alcuna misura concreta per prevenire una continua violazione della legge. Il motivo: PimEyes ha sede a Dubai e non risponde alle richieste di informazioni.
Durante i cinque anni del procedimento, PimEyes ha dichiarato di avere sede in Polonia, Seychelles e Belize - eppure le autorità di Amburgo non hanno mai verificato se i cambiamenti di sede sul sito web fossero effettivamente accurati. Ora, però, vengono usate come giustificazione per non prendere provvedimenti.
Jonas Breyer, avvocato del ricorrente: "È preoccupante che l'autorità non stia nemmeno tentando di adottare misure efficaci per far rispettare il GDPR - e che PimEyes sia quindi in grado di continuare le sue pratiche chiaramente illegali senza alcun ostacolo". L'autorità di vigilanza di Amburgo sta segnalando ancora una volta che, anche di fronte a gravi violazioni del GDPR, se ne sta con le mani in mano e invita a violazioni calcolate della legge"
Azione legale contro l'autorità. Il ricorrente ritiene che l'autorità di protezione dei dati di Amburgo debba intraprendere un'azione efficace contro PimEyes, che è possibile anche nel caso di responsabili del trattamento dei dati di Paesi terzi. Ciò potrebbe comportare il congelamento dei fondi in Europa, la richiesta ai fornitori di servizi di PimEyes di cancellare i dati o l'imposizione di misure direttamente contro l'amministratore delegato georgiano. Se l'azione legale dovesse avere successo, l'autorità dovrebbe riconsiderare il reclamo originale e probabilmente dovrebbe adottare misure che forniscano un sollievo effettivo.
Felix Mikolasch, avvocato specializzato in protezione dei dati personali di noyb: "Invece di affidarsi ai dettagli di contatto sul sito web di PimEyes per smettere di lavorare sul caso, l'autorità di vigilanza di Amburgo dovrebbe intraprendere un'azione efficace contro la società. Non può semplicemente terminare il suo lavoro perché ipotizza che le misure possano essere infruttuose. Questa possibilità non può mai essere completamente esclusa. Anche altre autorità hanno imposto multe all'analoga società statunitense Clearview AI"
Il ricorrente è rappresentato da Jonas Breyer di Breyer Legal. noyb ha rappresentato il ricorrente nel procedimento davanti all'Autorità per la protezione dei dati personali di Amburgo e sostiene il ricorso. Questo caso è sostenuto anche dal Chaos Computer Club.