A enorme multa da Clearview AI por violações do RGPD — e o que isso significa

"Mova-se rapidamente e quebre coisas."

"É mais fácil pedir perdão do que obter permissão."

"Brinca e vais ver."

O que inspirou este conjunto algo circular de clichês a começar a ecoar na minha cabeça foi a notícia do início de setembro de que a Clearview AI, que fornece software e serviços de reconhecimento facial, foi multada em €30,5 milhões (aproximadamente $34 milhões) pela Autoridade Holandesa de Proteção de Dados (DPA) por violar o Regulamento Geral sobre a Proteção de Dados (RGPD) da UE.

Caso não esteja totalmente informado sobre o RGPD, ele é uma das regulamentações de proteção de dados mais rigorosas do mundo, promulgada pela primeira vez em 2018. O seu princípio básico é que, se recolher e armazenar quaisquer dados pessoais de qualquer residente da UE, deve ter a sua permissão e deve tratá-los com muito cuidado para garantir que estejam seguros.

O RGPD inclui um requisito de que os dados devem ser armazenados e processados apenas na UE — essa é uma das razões pelas quais a Barracuda agora possui consideravelmente mais infraestrutura de armazenamento de dados no exterior do que antes da promulgação do RGPD.

Milhares de milhões de rostos

A multa impressionante da Clearview AI foi imposta porque, segundo a DPA, a empresa construiu uma "base de dados ilegal com bilhões de fotos de rostos." Como afirma o próprio site da empresa, "A nossa plataforma, alimentada por tecnologia de reconhecimento facial, inclui a maior base de dados conhecida de mais de 50 bilhões de imagens faciais provenientes apenas de fontes públicas na web, incluindo meios de comunicação, sites de fotos de detidos, redes sociais públicas e outras fontes abertas."

Este é o modelo de negócio da Clearview AI: construir uma enorme base de dados de rostos com nomes associados, analisar as imagens para atribuir um código biométrico único a cada rosto e, em seguida, fornecer um serviço a organizações policiais, militares e de inteligência que lhes permite digitalizar novas imagens — por exemplo, filmagens de vigilância ou fotos de um protesto político — para identificar as pessoas nelas.

Claramente, isto pode ter utilizações positivas, como ajudar a resolver crimes. Da mesma forma, pode ser usado para fins mais sinistros, como ajudar um regime ditatorial a identificar e punir opositores políticos.

Desrespeitando a lei

O RGPD é muito claro neste ponto: Não pode recolher dados das pessoas, incluindo dados biométricos faciais, sem o seu consentimento ou conhecimento, e sem as informar completamente sobre o que os dados serão utilizados. Também tem de fornecer uma forma para que os indivíduos acedam aos seus dados mediante pedido.

Por sua vez, a Clearview AI afirma que não está sujeita aos regulamentos do RGPD porque não tem um local de negócios na UE — o que, na minha opinião não especializada, é um argumento completamente desonesto que não os absolve de nada.

De acordo com o presidente da Autoridade Holandesa de Proteção de Dados, Aleid Wolfsen, “Vamos agora investigar se podemos responsabilizar pessoalmente a gestão da empresa e multá-los por dirigir essas violações. Essa responsabilidade já existe se os diretores souberem que o RGPD está a ser violado, tiverem autoridade para o parar, mas omitirem fazê-lo, e desta forma aceitarem conscientemente essas violações.”

Se duvida que a gestão da Clearview AI sabia que estavam a violar o RGPD e adotaram isso como uma estratégia deliberada, por favor, contacte-me, tenho uma ponte para lhe vender.

Não. Claramente, este é um exemplo dos dois primeiros aforismos com que comecei este post. E se a empresa e seus diretores acabarem por ter de pagar multas pesadas, também exemplifica o terceiro.

Como a Uber movendo-se agressivamente para as cidades em violação óbvia das suas regras de despacho de táxis e limusinas, a Clearview AI provavelmente espera que, ao estabelecer-se como o único fornecedor da sua marca de serviço, e ao construir uma base de clientes de governos e suas agências, possa isolar-se da aplicação das leis de privacidade.

Wolfsen emitiu um aviso: “A Clearview viola a lei, e isso torna ilegal a utilização dos serviços da Clearview. As organizações neerlandesas que utilizem a Clearview podem, assim, esperar multas pesadas da DPA neerlandesa.” Mas, uma vez que as pessoas se habituaram à conveniência do transporte partilhado, os reguladores não tiveram outra escolha senão acomodá-las. Da mesma forma, é difícil imaginar que as agências policiais e de inteligência desistam voluntariamente do poder de associar um nome a qualquer rosto em qualquer fotografia.

Vamos ficar em conformidade

Seja como for, a multa de €30,5 milhões imposta à Clearview AI demonstra que os reguladores europeus estão extremamente sérios quanto à aplicação do RGPD. Assim, por uma questão de argumento, digamos que a sua organização prefere cumprir o RGPD e outras regras de privacidade de dados — e evitar o risco de ser sujeita a multas massivas.

Um passo importante é garantir que sabe exatamente onde os dados sensíveis e protegidos dos clientes estão armazenados e remediar quaisquer exposições potenciais. Barracuda Data Inspector analisa automaticamente os seus dados do SharePoint e OneDrive para identificar dados sensíveis que estão armazenados de forma inadequada e para encontrar e eliminar malware ou outros ficheiros maliciosos. É uma ótima maneira de aumentar a sua tranquilidade e confiança de que está a manter a conformidade e não corre o risco de pagar multas elevadas.