Whitebridge AI, con sede in Lituania, vende "rapporti sulla reputazione" su chiunque abbia una presenza online. Questi rapporti raccolgono grandi quantità di informazioni personali su persone ignare, che vengono poi vendute a chiunque sia disposto a pagare. Alcuni dati non sono reali, ma generati dall'intelligenza artificiale e includono argomenti di conversazione suggeriti, un elenco di presunti tratti della personalità e un controllo dei precedenti per vedere se avete condiviso contenuti per adulti, politici o religiosi. Nonostante il diritto legale di accedere liberamente ai propri dati, Whitebridge.ai vende solo "rapporti" alle persone interessate. Sembra che il modello di business si basi in gran parte su utenti spaventati che vogliono rivedere i propri dati che sono stati precedentemente compilati illegalmente. noyb ha presentato un reclamo alla DPA lituana.
Rapporti sulla reputazione online basati sull'intelligenza artificiale. Sul suo sito web, Whitebridge AI pubblicizza i suoi servizi come uno strumento di intelligenza artificiale che "troverà tutto su di voi online"e suggerisce che è possibile "cercare voi stessi, il vostro partner o i vostri potenziali clienti". Le informazioni sulle persone includono dati sui social media, menzioni in notizie, foto, "profili nascosti" e "stampa negativa". Lo strumento esegue anche una sorta di "controllo del background" per determinare se sono disponibili online contenuti per adulti, legati al crimine, tossici, politici o religiosi sulle persone. I risultati sono in gran parte di bassa qualità e sembrano essere testi AI generati in modo piuttosto casuale, basati su dati online raccolti illegalmente. Whitebridge propone addirittura di monitorare la presenza online di una persona. Infine, ma non meno importante, il rapporto include anche le cosiddette "linee guida per l'interazione" con le regole da seguire per le potenziali conversazioni, un elenco di tratti della personalità, preferenze e una serie di foto tratte dai social media e da altre fonti online.
Si rivolge proprio alle persone colpite? La pubblicità online di Whitebridge sembra sorprendentemente rivolta principalmente alle stesse persone colpite, con slogan come "questo fa un po' paura" e "controllate i vostri dati". L'idea di Whitebridge AI sembra essere quella di generare dati personali spaventosi sulle persone, causando loro ansia, e poi far pagare per accedervi. Tuttavia, l'articolo 15 del GDPR dà alle persone il diritto di ottenere una copia gratuita dei propri dati.
Lisa Steinfeld, avvocato specializzato in protezione dei dati presso noyb: "Whitebridge AI ha solo un modello di business molto losco che mira a spaventare le persone e a farle pagare per i loro dati raccolti illegalmente. Secondo il diritto dell'UE, le persone hanno il diritto di accedere gratuitamente ai propri dati"
la "libertà di condurre un'attività commerciale" come argomento per violare il GDPR? Nella sua nota sulla privacy, Whitebridge sostiene semplicemente che il trattamento dei dati personali è legale e in linea con la sua "libertà di impresa". Così facendo, Whitebridge ignora che qualsiasi attività commerciale deve essere esercitata nel rispetto della legge, compreso il GDPR. Ma non è tutto: Whitebridge AI non ha nemmeno una base giuridica per trattare tutti questi dati personali. Al contrario, l'azienda sostiene di trattare solo dati provenienti da "fonti pubblicamente disponibili". In realtà, la maggior parte di questi dati proviene da pagine di social network che non sono indicizzate o trovate nei motori di ricerca. Ciò è già stato chiarito dalla giurisprudenza della CGUE, che ha confermato nella causa C-252/21 che inserire informazioni in un'applicazione di social network non significa renderle "manifestamente pubbliche", che è la soglia prevista dall'articolo 9 del GDPR.
Lisa Steinfeld, avvocato specializzato in protezione dei dati presso noyb: "Un semplice riferimento alla presunta 'libertà d'impresa' di un'azienda non le consente ovviamente di ignorare la legge. Nel frattempo, Whitebridge raccoglie ogni informazione personale che riesce a trovare sui social network e non si preoccupa nemmeno di considerare se ha una base legale valida per il trattamento"
Presunte "nudità sessuali" o "contenuti politici pericolosi". Per scoprire se anche loro sono stati colpiti, i denuncianti hanno cercato i loro nomi sul sito web di Whitebridge. Si sono subito resi conto che chiunque poteva acquistare un servizio con i loro dati senza che ne venissero informati. Entrambi i denuncianti hanno quindi presentato una richiesta di accesso ai sensi dell'articolo 15 del GDPR, ma non hanno ricevuto alcuna informazione. Poco dopo, noyb ha acquistato i rapporti sui denuncianti. Essi contenevano falsi avvertimenti per "nudità sessuale" e "contenuti politici pericolosi", che sono considerati dati sensibili particolarmente protetti ai sensi dell'articolo 9 del GDPR. Poco dopo, i denuncianti hanno quindi richiesto la rettifica ai sensi dell'articolo 16 del GDPR. Invece di ottemperare, Whitebridge AI ha sostenuto che i denuncianti hanno bisogno di una "firma elettronica qualificata" per esercitare i loro diritti ai sensi del diritto dell'UE, perché "le moderne tecnologie AI rendono sempre più facile generare documenti falsi altamente convincenti". Il diritto dell'UE non impone a nessuno di avere una firma elettronica di questo tipo.
Aitana Pallas, sempre di noyb: "La quantità di dati personali che Whitebridge AI tratta è davvero spaventosa", come afferma la stessa Whitebridge nella pubblicità del servizio. Ciò è reso ancora più grave dal fatto che Whitebridge AI ignora completamente le persone interessate quando cercano di esercitare i loro diritti"
Denuncia presentata in Lituania. noyb ha quindi presentato un reclamo all'autorità di protezione dei dati della Lituania. Nel complesso, Whitebridge AI ha violato diverse disposizioni del GDPR, tra cui gli articoli 5, 9, 12 e 16 del GDPR. Chiediamo a Whitebridge AI di soddisfare le richieste di accesso dei denuncianti e di rettificare i dati falsi contenuti nei rapporti che li riguardano. Chiediamo inoltre alla società di adempiere ai suoi obblighi di informazione, di interrompere ogni trattamento illegale e di notificare ai ricorrenti l'esito di un processo di rettifica. Infine, suggeriamo che l'autorità imponga una multa per evitare violazioni simili in futuro.
