IA, protección de datos y el impacto externo del RGPD del Reino Unido: Clyde & Co

El 15 de enero de 2024, la Oficina del Comisionado de Información del Reino Unido («ICO») lanzó una serie de consultas sobre inteligencia artificial y protección de datos, que finalizarán el 1 de marzo de 2024.

La primera parte de este proceso de consulta y convocatoria de pruebas cubre la base legal para entrenar modelos de IA generativa sobre datos integrados.

Asesoramiento – Base Legal

El aviso de la ICO para desarrolladores que utilizan datos basados ​​en la web para implementar modelos productivos de IA destaca la importancia que estos modelos requieren:

  1. Identificar y demostrar un interés legítimo válido y claro en el procesamiento de los datos personales recopilados;
  2. Considere si es necesario humedecer el tejido para lograr el beneficio identificado en la prueba objetivo; y
  3. Evaluar el impacto en los individuos aplicando una prueba de equilibrio: ¿los intereses, derechos y libertades de esos individuos superan a los monitoreados por el controlador o por terceros?

El tratamiento de datos personales relacionados con la integración web es un foco particular del ICO, que el año pasado en Clearview AI Inc contra el Comisionado de Información (2023) UKFTT 819 (GRC).

Caso de IA Clearview

A finales de 2023, el ICO anunció que solicitaba autorización para recurrir la decisión del Tribunal de Primera Instancia (“Tribunal”) en Clearview AI Inc (“Vista clara”) y estamos esperando confirmación si este permiso se otorgará o no.

El tribunal dictaminó que la ICO no tenía el derecho legal de emitir un Aviso de cumplimiento y un Aviso de sanción financiera a Clearview porque, aunque el proceso iniciado por Clearview implicó monitorear el movimiento de los interesados ​​en el Reino Unido, el proceso está fuera del alcance de la RGPD. La decisión proporciona una guía útil sobre el alcance de la jurisdicción de la ICO sobre una empresa no establecida en el Reino Unido o la UE.

Declaración de implementación original de la ICO

Clearview es una empresa estadounidense de software de reconocimiento facial que recopila y utiliza imágenes de personas tomadas de Internet para crear una base de datos en línea. Esta base de datos puede ser utilizada por agencias gubernamentales y policiales, así como por otras organizaciones.

El Aviso de ejecución de mayo de 2022 de la ICO, que fue objeto de la apelación, multó a Clearview con £7,5 millones (USD 9,4 millones) por violar las leyes de protección de datos y ordenó a la compañía que eliminara imágenes de ciudadanos del Reino Unido de su base de datos. La ICO determinó que Clearview era un controlador según el RGPD del Reino Unido y que su procesamiento de datos personales de residentes del Reino Unido estaba dentro del alcance del RGPD (en relación con el procesamiento que tuvo lugar antes de las 11 p.m. del 31 de diciembre de 2020); y el RGPD del Reino Unido (en relación con el procesamiento posterior), de conformidad con el artículo 3(2)(b) del RGPD y el artículo 3(2)(b) del RGPD del Reino Unido.

Si bien Clearview ya no ofrecía servicios a los clientes del Reino Unido en el momento en que se emitió el Aviso de Ejecución, la ICO señaló que su base de datos todavía contenía imágenes de residentes del Reino Unido, que eran vistas por clientes corporativos extranjeros, y porque esto monitoreaba efectivamente el movimiento. Residentes del Reino Unido dentro del artículo 3(2)(b) del RGPD y del RGPD del Reino Unido.

Solicitar vista clara

El Aviso de Implementación de Clearview brinda sus servicios sobre la base de que es una empresa extranjera.clientes extranjeros, utilizando direcciones IP extranjeras y para respaldar las actividades de interés público de gobiernos y agencias gubernamentales extranjeros, particularmente en relación con sus funciones de seguridad nacional y aplicación de la ley.«. Clearview argumentó que las funciones objetivo estaban dentro de su jurisdicción y fuera del Reino Unido y, por lo tanto, fuera del alcance del Artículo 3 del GDPR y/o del GDPR del Reino Unido.

Las preguntas ante el tribunal fueron:

  1. Como cuestión de derecho, si el artículo 3(2)(b) puede aplicarse cuando el seguimiento del comportamiento lo lleva a cabo un tercero y no el responsable del tratamiento;
  2. De hecho, si el procesamiento de datos de Clearview implicaba vigilancia por parte de la propia Clearview o de sus clientes;
  3. si un procesamiento realizado por Clearview estuvo más allá del alcance material del GDPR por operación del Artículo 2(2)(a) GDPR y/o no es un procesamiento relevante a los efectos del alcance territorial del Artículo 3 UK GDPR.

Como la ICO declaró que la conducta de Clearview estaba muy retrasada cuando el RGPD se aplicó al Reino Unido, así como después del final del período de implementación del Brexit el 31 de diciembre de 2020, el Tribunal analizó tanto el RGPD como el RGPD del Reino Unido.

Corte de Justicia

Como prueba, el Tribunal concluyó que la base de datos de Clearview que contenía imágenes faciales en fotografías había sido copiada o eliminada de la Internet pública mediante web scraping. Para octubre de 2022, se estima que la base de datos contendrá 20 mil millones de imágenes, con un crecimiento estimado de 75 millones de imágenes por día. Si bien el Tribunal concluyó que algunas imágenes de residentes del Reino Unido deberían incluirse en la base de datos debido a su tamaño, Clearview no utilizó ningún rastreador web de sitios web con un enlace específico al Reino Unido.

Además, si bien Clearview ofreció su servicio a modo de prueba a agencias gubernamentales y policiales en el Reino Unido entre junio de 2019 y marzo de 2020 (es decir, antes del final del período de transición del Brexit al RGPD del Reino Unido), el servicio no ha presentado de clientes establecidos en el Reino Unido desde entonces.

Para que el procesamiento entre dentro del alcance del Artículo 3(2)(b) GDPR, el Tribunal examinó cuatro elementos que deben cumplirse: (1) que exista procesamiento de datos personales; (2) los datos personales procesados ​​pertenecían a interesados ​​en el Reino Unido; (3) el procesamiento debe ser realizado por un controlador o procesador no establecido en el Reino Unido y (4) el procesamiento debe «Dependencia“El seguimiento del comportamiento de los interesados ​​en el Reino Unido se limita a su movimiento dentro del Reino Unido.

Los primeros tres elementos se recopilaron sin mucha discusión y se encontró que Clearview es un controlador para crear, desarrollar, mantener e indexar la base de datos de imágenes, y trabajar con sus clientes para combinar imágenes con los resultados de búsqueda utilizados por los clientes es un controlador conjunto. Respecto al cuarto elemento, la Corte comentó que el lenguaje «supervisión«Significa que se requiere un elemento de orientación e intención, e indica que un controlador tiene un propósito específico para recopilar y reutilizar datos relevantes sobre el comportamiento de un individuo. cuando «demostración” no está definido, el Tribunal consideró que la palabra “demostración“representa algo más allá de la simplicidad de la supervivencia y va más allá de una identidad o términos descriptivos, incluido dónde están, qué están haciendo, con quién están asociados, qué sostienen o llevan y qué visten.

Tras un análisis del servicio de Clearview, el Tribunal concluyó que los clientes de Clearview “monitoreo de comportamiento”que aparecen en las imágenes, porque buscan datos sobre las personas que aparecen en las imágenes. El tribunal acordó que el proceso de Clearview «Dependencia«Seguimiento realizado por sus clientes, ya que el seguimiento de clientes no podría ocurrir sin el procesamiento de Clearview, y el servicio mismo realizó un monitoreo del comportamiento realizado por los clientes de Clearview.

En cuanto a si el procesamiento era parte de una actividad fuera del alcance de la legislación de la UE, el Tribunal estuvo de acuerdo con las pruebas proporcionadas por Clearview de que el servicio solo se proporcionaba a agencias de seguridad nacionales o de legislación no perteneciente a la UE. y sus contratistas. El Tribunal señaló que el alcance geográfico del artículo 3 del RGPD está estructurado de tal manera que si se cumplen los criterios (como determinó el Tribunal), se aplicará el RGPD y se aplicarán el resto de las disposiciones para el procesamiento de los datos relevantes. Por el contrario, el alcance sustantivo del artículo 2, apartado 2, del RGPD especifica los tipos de procesamiento a los que no se aplica el RGPD (en particular, actividades que están fuera del alcance de la legislación de la UE), procesamiento que de otro modo estaría sujeto al marco territorial de la UE, lo tengo. RGPD.

En consecuencia, el Tribunal concluyó que el proceso previo al Brexit de Clearview incluía una actividad que incluía local Marco del RGPD de la UE basado en el artículo 3(2)(b), pero aún fuera de lugar la casa el alcance del RGPD de la UE porque las actividades de las leyes no pertenecientes a la UE/UE o de las agencias de seguridad nacionales y sus contratistas están fuera del alcance material.

Con respecto al procesamiento posterior al Brexit, el Tribunal señaló que el Artículo 3(2A) del RGPD del Reino Unido establece que la regulación se aplicará al procesamiento en el curso de una actividad que estaba fuera del alcance de la ley inmediatamente antes del final del Brexit. fecha de transición. , no pase. Derecho de la UE. Porque el Tribunal determinó que el procesamiento previo al Brexit está fuera del alcance material del RGPD de la UE y, por lo tanto, no «proceso relacionado«Dentro del alcance del territorio del RGPD del Reino Unido, el procesamiento posterior al Brexit no estará dentro del alcance del RGPD del Reino Unido ya que la disposición de alcance material no se aplica.

Autorización ICO para Recurrir

La ICO acogió con agrado la decisión del Tribunal y señaló que incluso si una empresa no está establecida en el Reino Unido, está sujeta a la ley de protección de datos del Reino Unido que se relaciona con la vigilancia de las personas que viven en el Reino Unido.

Sin embargo, la ICO cree que el Tribunal malinterpretó la ley cuando determinó que el procesamiento de Clearview quedaba fuera de las leyes de protección de datos del Reino Unido sobre la base de que ofrecía sus servicios a agencias policiales extranjeras. La opinión de la ICO es que Clearview en sí no operaba con fines de legislación extranjera, sino que era una empresa comercial que ofrecía acceso y análisis de imágenes digitales de personas del Reino Unido. En consecuencia, la ICO sostiene que Clearview no debería quedar exento del ámbito de aplicación de la legislación del Reino Unido por ese motivo.

Comidas para llevar

Es importante señalar que la decisión del Tribunal fue muy justa para Clearview como organización; una organización similar que procese datos de manera similar puede encontrarse dentro del alcance del RGPD del Reino Unido, ya que está cubierta por las disposiciones de la jurisdicción.

El RGPD del Reino Unido todavía tiene un marco extraterritorial para imponer sanciones a organizaciones fuera del Reino Unido; sin embargo, existen excepciones específicas que pueden aplicarse o no dependiendo de las actividades de procesamiento que se lleven a cabo, por ejemplo, el procesamiento con fines de cumplimiento de la ley. Las organizaciones que operan fuera del Reino Unido deben mantener una evaluación continua de qué actividades de procesamiento llevan a cabo tanto ellas mismas como los clientes que utilizan sus datos.

Título del caso: Clearview AI Inc contra el Comisionado de Información (2023) UKFTT 819 (GRC)

Puede interesarte

Dos graduados de LaGrange College comparten un vínculo de por vida – LaGrange Daily News

Dos graduados de LaGrange College comparten un vínculo de por vida Publicado a las 9:30 …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *