Clearview AI: Δεκτή η προσφυγή κατά το προστίμου που επέβαλε ο ICO

Στις 23 Μαΐου 2022, η βρετανική αρχή προστασίας δεδομένων ICO ανακοίνωσε την έκδοση δύο αποφάσεων σε βάρος της Clearview AI, της αμερικανικής εταιρείας που συλλέγει, επεξεργάζεται βιομετρικά και παρέχει σε πελάτες της φωτογραφίες πολιτών από το διαδίκτυο.

Με τις αποφάσεις αυτές (Enforcement Notice και Monetary Penalty Notice) ο ICO αφενός έδωσε εντολή στην Clearview ΑΙ όπως διακόψει τη συλλογή, επεξεργασία και χρήση προσωπικών δεδομένων των προσώπων που διαμένουν στο Ηνωμένο Βασίλειο και όπως διαγράψει όλες τις σχετικές πληροφορίες από τα αρχεία της, αφετέρου της επέβαλε πρόστιμο £7,552,800 (8,7 εκατομμύρια ευρώ) για την παραβίαση των άρθρων 5 παρ.1α, 5 παρ.1ε, 6, 9 παρ.1, 14, 15, 16, 17, 21, 22 και 35 του Γενικού Κανονισμού Προστασίας Δεδομένων, καθώς και των αντίστοιχων διατάξεων της βρετανικής εκδοχής του ΓΚΠΔ (UK GDPR) που τυγχάνει εφαρμογής μετά την έξοδο του Ηνωμένου Βασιλείου από την Ευρωπαϊκή Ένωση.

H Clearview AI δεν δέχθηκε την υπαγωγή της στο πεδίο εφαρμογής της ενωσιακής και βρετανικής νομοθεσίας για την προστασία των προσωπικών δεδομένων και προσέβαλε τις δύο αποφάσεις ενώπιον του αρμοδίου δικαιοδοτικού οργάνου, σύμφωνα με τη διαδικασία του άρθρου 162 του Data Protection Act 2018, που αποτελεί την εθνική νομοθεσία εξειδίκευσης των διατάξεων του ΓΚΠΔ.

Αρμόδιο δικαιοδοτικό όργανο, εν προκειμένω, ήταν το First-tier Tribunal, Τμήμα Πληροφοριακών Δικαιωμάτων, το οποίο εξέδωσε χτες την απόφασή του, δικαιώνοντας την προσφεύγουσα εταιρεία.

Σύμφωνα με την απόφαση του Tribunal, ο ICO ήταν αναρμόδιος στην έκδοση των δύο αποφάσεων, καθώς μολονότι οι πράξεις επεξεργασίας που διενεργούνται από την Clearview AI σχετίζονται με την παρακολούθηση της συμπεριφοράς υποκειμένων στο Ηνωμένο Βασίλειο, η επεξεργασία καθεαυτή βρίσκεται εκτός ουσιαστικού πεδίου εφαρμογής του ΓΚΠΔ, αφού πρόκειται για δραστηριότητα που δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης, κατά το άρθρο 2 παρ.1α’ ΓΚΠΔ.

Όπως ειδικότερα κρίθηκε από το Tribunal, οι πράξεις επεξεργασίας που πραγματοποιούνται από την Clearview AI πρέπει να διακριθούν σε δύο κατηγορίες. Στην πρώτη κατηγορία (Activity 1) περιλαμβάνονται όλες οι επιμέρους πράξεις επεξεργασίας που σχετίζονται με τη συλλογή, επεξεργασία και αποθήκευση των δεδομένων και την εξαγωγή των βιομετρικών υποδειγμάτων, ενώ στη δεύτερη κατηγορία (Activity 2) εντάσσονται οι πράξεις επεξεργασίας που σχετίζονται με τη χρήση της εφαρμογής από τους πελάτες της: το uploading της φωτογραφίας του προσώπου που αναζητείται, η βιομετρική επεξεργασία αυτής και η αντιστοίχιση με ένα από τα βιομετρικά υποδείγματα, η παρουσίαση των αποτελεσμάτων, είναι οι χαρακτηριστικότερες των πράξεων αυτών.

Η διάκριση αυτή είναι κρίσιμη, καθώς το Tribunal αποδίδει διαφορετικό ρόλο στην Clearview ΑΙ σε κάθε κατηγορία, ενώ συνδέει σαφώς την παρακολούθηση της συμπεριφοράς των υποκειμένων με τη δεύτερη κατηγορία, καταλήγοντας έτσι στην εξαίρεση της Clearview AI από το δίκαιο της Ένωσης.

Το Tribunal χαρακτήρισε την Clearview ΑΙ ως υπεύθυνο επεξεργασίας για την πρώτη δραστηριότητα και ως joint controller για τη δεύτερη, από κοινού με τον κάθε πελάτη της. Παρατήρησε μάλιστα πως ακόμη και αν σφάλλει ως προς τον καθορισμό της από κοινού ευθύνης, οι πελάτες, ως ανεξάρτητοι υπεύθυνοι επεξεργασίας δεν εμποδίζονται από τον νόμο να πραγματοποιήσουν την παρακολούθηση της συμπεριφοράς των υποκειμένων.

Το στοιχείο αυτό, ήτοι το σε τι συνίσταται η παρακολούθηση της συμπεριφοράς και ποιος την πραγματοποιεί είναι το δεύτερο κρίσιμο στοιχείο, στο οποίο στηρίχθηκε η απόφαση του Tribunal. Σύμφωνα με την απόφαση, οι δραστηριότητες της Clearview ΑΙ «σχετίζονται» (κατά το άρθρο 3 παρ.2 ΓΚΠΔ) με την παρακολούθηση της συμπεριφοράς υποκειμένων που βρίσκονται στο Ηνωμένο Βασίλειο, η οποία όμως παρακολούθηση δεν πραγματοποιείται από την ίδια, αλλά από τους πελάτες της.

Ειδικότερα, η παρακολούθηση εν προκειμένω συνίσταται όχι μόνο στην προσπάθεια των πελατών – χρηστών της υπηρεσίας να αναγνωρίσουν ένα πρόσωπο, αλλά και στο να λάβουν αποφάσεις για το πρόσωπο αυτό, προβλέποντας ή αναλύοντας τη συμπεριφορά του, με σκοπό να το συλλάβουν ή να συλλέξουν στοιχεία για κάτι που έκανε ή σκοπεύει να κάνει. Σύμφωνα με το Tribunal, οι πελάτες της Clearview AI μπορούν να χρησιμοποιήσουν κάθε πληροφορία που συλλέγουν στο πλαίσιο της άσκησης των καθηκόντων τους και να τη συνδυάσουν-συσχετίσουν με τις πληροφορίες που αντλούν από την υπηρεσία που τους παρέχεται, προκειμένου να εντοπίσουν το πού βρισκόταν ένα πρόσωπο σε μια δεδομένη χρονική στιγμή.

Υπό την έννοια αυτή, οι πελάτες της Clearview AI «παρακολουθούν τη συμπεριφορά» των προσώπων που απεικονίζονται στις φωτογραφίες που ανεβάζουν στο λογισμικό της εταιρείας, καθώς επιχειρούν να εντοπίσουν πληροφορίες για τα πρόσωπα αυτά, με βάση τις πληροφορίες που ήδη διαθέτουν. Η απλή αναγνώριση ενός προσώπου δεν είναι αρκετή για να θεωρηθεί ως παρακολούθηση συμπεριφοράς, αφού κρίσιμο στοιχείο είναι η συσχέτιση των αποτελεσμάτων με ήδη υπάρχουσες πληροφορίες στο πλαίσιο της αστυνομικής έρευνας.

Το Tribunal δέχεται πως υπάρχει άμεσος σύνδεσμος μεταξύ της δημιουργίας και λειτουργίας της βάσης δεδομένων της εταιρείας και της παρακολούθησης συμπεριφοράς που πραγματοποιείται από τους πελάτες της, ως εκ τούτου οι πράξεις επεξεργασίας που αυτή πραγματοποιεί «σχετίζονται με» την παρακολούθηση της συμπεριφοράς υποκειμένων.

Κατά συνέπεια, οι δραστηριότητες της Clearview ΑΙ εντάσσονται στο εδαφικό πεδίο εφαρμογής του άρθρου 3 ΓΚΠΔ. Η εξαίρεση, ωστόσο, προκύπτει από το ουσιαστικό πεδίο εφαρμογής του άρθρου 2.

Ως προς το ουσιαστικό πεδίο εφαρμογής, κρίσιμο στοιχείο είναι η ταυτότητα των πελατών της Clearview ΑΙ, οι οποίοι, όπως η ίδια προέβαλε χωρίς να μπορεί ο ICO να την αμφισβητήσει, αποτελούνται αποκλειστικά από αρχές επιβολής του νόμου. Ο ICO υπενθύμισε πως στο παρελθόν η ίδια η εταιρεία είχε παραδεχθεί πως προωθούσε το λογισμικό της και σε ιδιώτες, ενώ επεσήμανε πως το ότι σήμερα η ίδια ισχυρίζεται πως πουλά μόνο σε αστυνομικές και διωκτικές αρχές δεν αποκλείει το ενδεχόμενο αύριο να απευθυνθεί και σε ιδιώτες πελάτες, από τη στιγμή που θα έχει στη διάθεσή της τα προσωπικά δεδομένα των κατοίκων του Ηνωμένου Βασιλείου.

Το Tribunal δέχθηκε τον προβληματισμό αυτό, απορρίπτοντας τον όμως ως υποθετικό. Όπως χαρακτηριστικά παρατήρησε, τίποτα δεν μπορεί να αποκλείσει τη μελλοντική παροχή της υπηρεσίας σε ιδιώτες πελάτες, ωστόσο δεν μπορεί κανείς να δεχθεί πως έχει εκδηλωθεί η οποιαδήποτε πρόθεση επ’ αυτού. Κατά συνέπεια, η αρμοδιότητα του ICO στην έκδοση των αποφάσεων θα πρέπει να κριθεί με βάση τα χαρακτηριστικά της υπηρεσίας κατά τον χρόνο έκδοσης αυτών.

Με βάση τις ανωτέρω παραδοχές, το Tribunal αρχικώς παρατηρεί πως η δραστηριότητα των διωκτικών αρχών δεν αποτελεί αντικείμενο του Γενικού Κανονισμού Προστασίας Δεδομένων, αλλά της αστυνομικής οδηγίας, η οποία όμως δεν εξετάστηκε από τον ICO. Περαιτέρω, κανείς δεν αμφισβητεί πως οι ενέργειες των διωκτικών αρχών, ως οργάνων τρίτης πολιτείας, δεν μπορούν να ελέγχονται υπό το πεδίο εφαρμογής του ΓΚΠΔ, καθώς δεν εμπίπτουν στο πεδίο εφαρμογής του δικαίου της Ένωσης. Όπως χαρακτηριστικά παρατηρείται, μια κυβέρνηση δεν έχει καμία δουλειά να επιχειρεί να ελέγξει τις δραστηριότητες τρίτου κράτους.

Συμπερασματικά, το Tribunal δέχθηκε πως η Clearview AI πραγματοποιεί επεξεργασία δεδομένων που σχετίζεται με την παρακολούθηση της συμπεριφοράς των πολιτών, ως εκ τούτου οι δραστηριότητές της εντάσσονται στο εδαφικό πεδίο εφαρμογής του ΓΚΠΔ. Οι δραστηριότητες όμως αυτές δεν την αφορούν άμεσα, καθώς η εταιρεία απλώς παρέχει τα μέσα στους πελάτες της προκειμένου οι ίδιοι να προχωρήσουν στην παρακολούθηση της συμπεριφοράς. Η παρακολούθηση της συμπεριφοράς, η οποία ανάγεται στην επίδικη ως προς την εφαρμογή του ΓΚΠΔ δραστηριότητα, δεν συνίσταται στη συλλογή, επεξεργασία και αρχειοθέτηση, των φωτογραφιών των προσώπων και των πληροφοριών που προκύπτουν από τις φωτογραφίες αυτές, μέσω των οποίων θα μπορούσε κανείς να διαμορφώσει μια εικόνα ως προς τη ζωή ενός ανθρώπου. Η παρακολούθηση της συμπεριφοράς υφίσταται όταν ο πελάτης της εταιρείας χρησιμοποιεί την υπηρεσία της και αξιοποιεί τα αποτελέσματα αναζήτησης που αυτή του εμφανίζει, προκειμένου να συσχετίσει αυτά με πληροφορίες που ήδη έχει στη διάθεσή του.

Κατά συνέπεια και με δεδομένο πως οι πελάτες αυτοί είναι αποκλειστικά διωκτικές αρχές εκτός ΕΕ και Ηνωμένου Βασιλείου, η επίδικη δραστηριότητα βρίσκεται εκτός ενωσιακού δικαίου.