par. 3.3. delle “Guidelines on the Lead Supervisory Authority” adottate dal Gruppo di Lavoro Articolo 29 il 13 dicembre 2016, revisionate il 5 aprile 2017 e fatte proprie dal Comitato per la protezione dei dati personali in data 25 maggio 2018). Nel caso in esame Clearview è una società con sede negli Stati Uniti d’America che non ha stabilimenti nel territorio dell’Unione europea e, pertanto, sulla base di quanto previsto dall’art. 55, par. 1, del Regolamento, “ogni Autorità di controllo è compente ad eseguire i compiti assegnati e a esercitare i poteri ad essa conferiti a norma del (…) regolamento nel territorio del rispettivo Stato membro”. Tale disposizione è dunque idonea a fondare la competenza dell’Autorità di protezione dati italiana in ordine alla valutazione, con riguardo al proprio territorio, della conformità al Regolamento europeo del trattamento di dati personali posto in essere da Clearview e ad esercitare i poteri ad essa riconosciuti dall’art. 58 (cfr. analoga conclusione contenuta nel par. IV della decisione della Commission nationale de l'informatique et des liberté - CNIL, Decision n° MED 2021-134 of 1st November 2021 issuing an order to comply to the company CLEARVIEW AI). 3.4 SUSSISTENZA DI UN TRATTAMENTO DI DATI PERSONALI E CONSIDERAZIONI GENERALI SULLA LICEITÀ DELLO STESSO Si osserva innanzitutto che un’immagine fotografica costituisce, ai sensi dell’art. 4, par. 1, n. 1), del Regolamento, “dato personale” nella misura in cui consenta l’identificazione di una persona fisica (interessato). La stessa disposizione precisa che si considera identificabile “la persona che può essere identificata, direttamente o indirettamente, con particolare riferimento a […] uno o più elementi caratteristici della sua identità fisica”. In materia di immagini fotografiche è intervenuta specificamente la Corte di Giustizia dell'Unione Europea sancendo che “l’immagine di una persona registrata da una telecamera costituisce un dato personale ai sensi della disposizione menzionata nel punto precedente [Art. 2.a della Direttiva 95/46, n.d.r.] se e in quanto essa consente di identificare la persona interessata” (cfr. sentenza 11 dicembre 2014, causa C-212/13, par. 22). I dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale, sono definiti “dati biometrici”, ai sensi dell’art. 4, par. 1, n. 14), del Regolamento e, come tali, sottoposti al regime di maggior tutela previsto dall’art. 9 del Regolamento. La differenza tra le due tipologie di dati è ben delineata dal considerando 51 del Regolamento, secondo cui “il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l'identificazione univoca o l'autenticazione di una persona fisica”. Per quanto concerne il concetto di “trattamento”, si rileva che esso è definito dall’art. 4, par. 1, n. 2), del Regolamento “qualsiasi operazione o insieme di operazioni […] applicate a dati personali i insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione,
Italian