Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
Resumen
El presente artículo cuyo título original es: "Ever-expanding jurisdiction: Clearview AI's appeal and extra-territorial application of the Privacy Act" (Jurisdicción en expansión constante: apelación de Clearview Inteligencia Artificial, AI y aplicación extraterritorial de la Ley de Privacidad") cuyos autores son: Gavin Smith , Valeska Bloch , Isabelle Guyot , Florence Tan, Elizabeth Brown, fue traducido del inglés por el suscrito con la ayuda de Google Translator.
Clearview AI es una empresa estadounidense especializada en reconocimiento facial. Proporciona un programa informático basado en una tecnología que desarrolla la búsqueda facial entre una base de datos de más de veinte mil millones de imágenes, obtenidas mediante web scraping[1] en Internet y, en particular, en las redes sociales.
La importancia de este artículo estriba en que Clearview AI violó la Ley de Privacidad australiana a pesar de no tener presencia física o suministrar productos o servicios en el país, enfatizando el alcance extraterritorial de las leyes de privacidad y las consecuencias para las empresas que recopilan información personal que es de dominio público. El asunto es paradójico y grave, pues al instar de las leyes extraterritoriales practicadas por el gobierno estadounidense en defensa de sus servicios, bienes, moneda, Australia a través de la Ley de Protección de Datos utiliza esta Ley como norma extraterritorial.
El fundamento jurídico de la extraterritorialidad de determinadas normas es más problemático cuando no está vinculado a la jurisdicción personal del Estado. Así, la extraterritorialidad sólo puede reconocerse de forma marginal y queda basada en la reciprocidad entre Estados para la que es necesaria. La extraterritorialidad puede referirse así a la gestión de un bien o servicio.
De manera general, las leyes con alcance extraterritorial se vuelven mucho más problemáticas, e incluso contrarias al derecho internacional cuando un Estado apunta por este medio a acciones extranjeras en el territorio de terceros Estados. Estamos advertidos.
El enlace al texto original en inglés es: https://www.allens.com.au/insights-news/insights/2023/05/ever-expanding-jurisdiction-clearview-AIs-appeal-and-extra-territorial-application-of-the-privacy-act/
A fin de acceder a normas similares y estándares europeos,
las empresas, organizaciones públicas y privados interesados en asesorías, consultorías,
capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar
al correo electrónico:cferreyros@hotmail.com
[1] Le web scraping, llamado también Web cosechadora es una técnica para extraer datos de sitios web mediante el uso de un script o un programa informático con el objetivo de transformarlos y reutilizarlos en otro contexto, como el enriquecimiento de bases de datos, el referenciamiento o la extracción de datos.
_______________________________________________________________ |
Jurisdicción en constante expansión: apelación de Clearview AI y aplicación extraterritorial de la Ley de Privacidad
Por Gavin Smith , Valeska Bloch , Isabelle Guyot , Florence Tan , Elizabeth Brown 29 mayo 2023
AAT confirma alcance ampliado para 'realizar negocios' en Australia10 minutos de lectura
Un fallo histórico en Australia confirma
que Clearview AI violó la Ley de Privacidad a pesar de no tener presencia física
o suministrar productos o servicios en el país, enfatizando el alcance extraterritorial
de las leyes de privacidad y las consecuencias para las empresas que recopilan información
personal que es de dominio público.
El 8 de mayo, el Tribunal Administrativo
de Apelaciones ( AAT ) dictó su decisión en la apelación 1 (Clearview
AI ) de la determinación de 2021 de la Oficina del Comisionado de Información
de Australia (OAIC). 2 El proceso de
la AAT había sido muy esperado dado que tenía la tarea de considerar el tema controvertido
e importante de la aplicación extraterritorial de la Ley de Privacidad de 1988
(Cth) (la Ley de Privacidad ).
La AAT sostuvo que la colecta repetida de información
personal de servidores australianos era, por sí sola, suficiente para establecer
que una corporación extranjera estaba realizando negocios en Australia a
los efectos de la prueba de aplicación extraterritorial actual en la Ley de Privacidad. La AAT concluyó que este era el caso, incluso cuando la corporación extranjera
no tenía presencia física en Australia y no obtenía ingresos de ninguna operación
comercial en Australia.
Tras el inicio de la Ley de Enmienda de la Legislación de Privacidad (Cumplimiento y Otras Medidas) de 2022 (las Enmiendas de 2022), la 'prueba de llevar a cabo un negocio en Australia' es el único requisito que debe establecerse para que una corporación extranjera tenga un vínculo australiano y para que sus prácticas globales de manejo de datos estén sujetas a la Ley de Privacidad.
Conclusiones claves
- La prueba aplicada
por la AAT para determinar si una corporación está realizando un negocio en
Australia a los efectos de la Ley de Privacidad es sí esa corporación participó
en actos repetitivos en Australia que equivalgan a, o sean auxiliares de, transacciones
que conforman y respaldan sus negocios. Dichos actos no necesitan ser comerciales
en sí mismos y no se requiere ninguna intervención humana.
- Como tal, la
recopilación repetida de información de los servidores australianos puede,
por sí sola, ser suficienten para establecer que una corporación extranjera
está realizando negocios en Australia, incluso si esa organización no tiene
presencia física en Australia y no obtiene ingresos de las operaciones comerciales
en Australia.
- La decisión
confirmó que el efecto de las Enmiendas de 2022 fue aumentar sustancialmente
el alcance de la aplicación extraterritorial de la Ley de Privacidad. Una vez
que se ha establecido un enlace australiano, los actos y prácticas en relación
con toda la información personal que maneja una corporación extranjera
en cualquier parte del mundo están regulados por la Ley de Privacidad. Esto
incluye información personal que se relaciona completamente con actividades
comerciales en otras jurisdicciones sin conexión con Australia.
- Las organizaciones
con sede en el extranjero relacionadas con la Ley de Privacidad deberán esperar
el resultado de la revisión en curso del Fiscal General de la Ley de Privacidad
para que esta posición cambie.
- Organizaciones
con sede en el extranjero, incluidas:
- organizaciones
que interactúan con organizaciones o personas con sede en Australia;
- organizaciones
que no restringen la oferta de sus servicios a los australianos; y
- empresas relacionadas
de organizaciones australianas que brindan servicios o tienen alguna interacción
tecnológica con las entidades de sus grupos australianos,
deben reconsiderar sí sus actividades pueden colocarlos dentro de la jurisdicción de la Ley de Privacidad
y, en consecuencia, considerar qué pasos pueden ser necesarios para cumplir con
la Ley de Privacidad o, alternativamente, las medidas que podrían implementarse
(por ejemplo, restricciones de geolocalización) para impedir el acceso a los servidores
australianos.
Fondo
En 2021, la OAIC determinó
que Clearview AI había infringido la Ley de privacidad en relación con su recopilación
de imágenes de servidores australianos para usar en su tecnología de reconocimiento
facial. 3 Al
determinar que Clearview AI infringió la Ley de privacidad, la OAIC consideró que
Clearview AI, en todo momento como resultado de sus actividades y prácticas, realizaba
negocios en Australia y, por lo tanto, estaba obligada a cumplir con la Ley
de privacidad (y las actividades que había estado realizando no cumplía con la Ley
de Privacidad). 4 Se
pueden encontrar más detalles sobre la determinación original de la OAIC de 2021
en nuestro Informe de
2021 .
Clearview
AI sometió esta decisión a la revisión de la AAT, que la AAT dictó el 8 de mayo
de 2023.
Si bien la AAT falló a favor de la OAIC, la AAT hizo algunas observaciones más amplias e interesantes sobre el alcance de la aplicación extraterritorial de la Ley de Privacidad, que resumimos a continuación.
Decisión de la AAT
La pregunta relevante
que debía considerar la AAT era, dado que Clearview AI no tiene instalaciones comerciales
en Australia, si sus actividades satisfacen suficientemente la prueba de enlace
australiana en virtud de la sección 5B de la Ley de privacidad. 5
Esta
pregunta se complicó aún más por el hecho de que, luego de la determinación original
de la OAIC, la s5B fue enmendada por las Enmiendas de 2022. 6 La
AAT consideró la aplicación de s5B a las actividades comerciales de Clearview AI
antes y después de las Enmiendas de 2022.
La prueba del 'enlace australiano'
Anteriormente, para
que se considere que una corporación extranjera tiene un 'vínculo australiano' debe
tener:
1.
llevó a cabo un negocio en Australia; e
2.
información personal recopilada o retenida en Australia.
7
Las
Enmiendas de 2022 eliminaron la segunda parte de esa prueba. 8
'Llevar a cabo un negocio en Australia'
Cuando una corporación
extranjera no tiene instalaciones comerciales en Australia, la prueba aplicada por
la AAT para determinar si esa corporación está realizando un negocio en Australia
es si esa corporación se involucra en actos repetitivos en Australia que equivalgan
a, o sean accesorios a, transacciones que componer y apoyar su negocio . 9 Dichos
actos no necesitan ser comerciales en sí mismos y no se requiere ninguna
intervención humana . 10
La
AAT estuvo de acuerdo con la OAIC en que la adquisición de imágenes de servidores
ubicados en Australia significaba que Clearview AI estaba realizando (y continúa
realizando) "realizando un negocio en Australia" por las siguientes razones:
- La recolección
de imágenes por parte del webcrawler de Clearview AI para incluirlas en su
biblioteca de imágenes es una parte esencial del negocio de Clearview AI. 11
- Como tal, cada
instancia de recopilación de una imagen a nivel mundial, incluso desde servidores
en Australia, constituye una transacción que constituye o respalda el negocio
de Clearview AI. 12
- Si bien la
recopilación de datos 'en sí misma no es suficiente para llevar a cabo un negocio
en Australia' 13 , era irrelevante
si la recopilación de imágenes de los servidores australianos era específicamente
'esencial' para el negocio de Clearview AI. 14
- Más bien, mientras
Clearview AI continúe adquiriendo información de los servidores en Australia,
se involucra en actos repetitivos en Australia que equivalen a, o son auxiliares,
transacciones que constituyen y respaldan su negocio y, por lo tanto, satisfacen
el 'llevar a cabo un negocio en Prueba de Australia. 15
Sin
embargo, la AAT no consideró que las siguientes transacciones presentadas por la
OAIC equivalieran a 'realizar un negocio en Australia':
- Adquirir imágenes publicadas por australianos en una red social global que se encuentran en servidores fuera de Australia desde esa red social global. 16
- Esto se debe
a que, en el momento en que un servidor extraterritorial adquiere la imagen
de otro servidor extraterritorial, es imposible saber si existe alguna conexión
geográfica con Australia dado que la persona subyacente ya no está involucrada
en la transacción que se lleva a cabo entre los dos servidores extraterritoriales.
servidores. Esto significa que la prueba de 'realizar un negocio en Australia'
tiene un componente temporal vinculado a la transacción específica en cuestión.
Las transacciones que se realizaron previamente (es decir, un australiano
que carga una imagen en un servidor extranjero) para que ese servidor extranjero
adquiera la imagen es irrelevante.
- Recopilación
de información de sitios web con nombres de dominio australianos, pero que
están alojados en servidores ubicados fuera de Australia. 17
- De manera
similar, este tipo de transacción implica una transferencia de información
de un servidor extraterritorial a otro y, por lo tanto, no es una transacción
con una conexión física a Australia.
Este
análisis cambiaría si la transferencia de información involucrara a un ser humano
ubicado en Australia que transfiere datos a una empresa extranjera. 18
Estas
dos aclaraciones enfatizan la importancia de la ubicación física para la prueba
de 'realizar un negocio en Australia'. Es importante destacar que, a los efectos
de esa prueba, esas transacciones deben tener lugar físicamente en Australia o involucrar
a un participante que esté físicamente ubicado en Australia. 19
'Recopilación de información personal en Australia'
Antes de las enmiendas de 2022, también era necesario establecer que Clearview AI recopilaba o conservaba información personal en Australia para que tuviera un "vínculo australiano". La decisión de la AAT deja en claro que el envío de información por parte de servidores australianos a un servidor en el extranjero es una recopilación de información personal en Australia. El rastreador web de Clearview AI participó en tales actividades.
¿Se
retomará la prueba de extraterritorialidad?
La AAT indicó que el efecto de las Enmiendas de 2022 fue
aumentar sustancialmente el alcance de la aplicación extraterritorial de la Ley
de Privacidad para que, una vez que se haya establecido un vínculo australiano,
los actos y prácticas en relación con toda la información personal de un
extranjero maneja la corporación está regulada por la Ley de Privacidad. 20
Esto generalmente se reconoce como un efecto no deseado
de las Enmiendas de 2022. La intención del cambio era garantizar que las organizaciones
que realizan negocios en Australia, pero que no recopilan ni conservan directamente
información personal en Australia, estén sujetas a la Ley de privacidad. Un ejemplo
de esto podría ser cuando una entidad extraterritorial particular que tiene operaciones
comerciales en Australia solo maneja información personal en virtud de que recibe
esa información personal de otra entidad del grupo también ubicada fuera de Australia.
Sin embargo, la prueba ahora es mucho más amplia que eso:
captura todos los actos y prácticas de una organización regulada por la Ley
de Privacidad. En otras palabras, una organización global debe cumplir con la Ley
de privacidad con respecto a todas sus operaciones globales, incluso en relación
con personas ubicadas en otras jurisdicciones. Esto crea un alcance mucho más amplio
de aplicación extraterritorial que la legislación de otras jurisdicciones, incluido
el RGPD, la CCPA y la PIPL en China.
Una
posible enmienda puede proporcionar la claridad necesaria
Sin embargo, hay esperanza en el horizonte. A principios
de este año, el Departamento del Fiscal General publicó su Informe
de revisión de la Ley de privacidad ,
que incluía más de 100 recomendaciones para modificar la Ley de privacidad actual.
Una de estas recomendaciones fue modificar (nuevamente) la aplicación extraterritorial
de la Ley de Privacidad. 21
Una
propuesta presentada por el Gobierno es incluir lenguaje adicional que requiera
que los actos o prácticas de las organizaciones que realizan un negocio deben 'relacionarse
con información personal relacionada con Australia'. 22 Esto
alinearía más la Ley de Privacidad con las pruebas extraterritoriales equivalentes
establecidas en otra legislación, incluido el artículo 3 del RGPD.
Esta es, en nuestra opinión, una enmienda
de importancia crítica a la redacción actual y proporcionará la certeza que tanto
necesitan las organizaciones con operaciones comerciales globales.
____________________
Notas
Clearview AI Inc and Australian Information Commissioner [2023] AATA 1069 (Clearview AI v AIC)
Commissioner initiated investigation into Clearview AI, Inc (Privacy) [2021] AICmr 54 (14 October 2021) (2021 Determination)
2021 Determination, [167].
2021 Determination, [64].
Clearview AI v AIC, [13].
Clearview AI v AIC, [10].
Privacy Act, s5B(3) (prior to 13 December 2022 amendment).
Privacy Legislation Amendment (Enforcement and Other Measures) Act 2022, Schedule 1 item 10.
Clearview AI v AIC, [97].
Clearview AI v AIC, [97].
Clearview AI v AIC, [99].
Clearview AI v AIC, [99].
Clearview AI v AIC, [97].
Clearview AI v AIC, [104].
Clearview AI v AIC, [101] and [103].
Clearview AI v AIC, [93] and [94].
Clearview AI v AIC, [95].
Clearview AI v AIC, [102].
Clearview AI v AIC, [91].
Clearview AI v AIC, [151] – [153].
Privacy Act Review Report, page 234 – 236.
Privacy Act Review Report, page 236.
Clearview AI Inc and Australian Information Commissioner [2023] AATA 1069 (Clearview AI v AIC)
Commissioner initiated investigation into Clearview AI, Inc (Privacy) [2021] AICmr 54 (14 October 2021) (2021 Determination)
2021 Determination, [167].
2021 Determination, [64].
Clearview AI v AIC, [13].
Clearview AI v AIC, [10].
Privacy Act, s5B(3) (prior to 13 December 2022 amendment).
Privacy Legislation Amendment (Enforcement and Other Measures) Act 2022, Schedule 1 item 10.
Clearview AI v AIC, [97].
Clearview AI v AIC, [97].
Clearview AI v AIC, [99].
Clearview AI v AIC, [99].
Clearview AI v AIC, [97].
Clearview AI v AIC, [104].
Clearview AI v AIC, [101] and [103].
Clearview AI v AIC, [93] and [94].
Clearview AI v AIC, [95].
Clearview AI v AIC, [102].
Clearview AI v AIC, [91].
Clearview AI v AIC, [151] – [153].
Privacy Act Review Report, page 234 – 236.
Privacy Act Review Report, page 236.
No hay comentarios:
Publicar un comentario