Policía sueca multada por uso ilegal de aplicación de reconocimiento facial

La autoridad de protección de datos de Suecia, IMY, ha multado a la autoridad de policía sueca con 250.000 euros por utilizar ilegalmente la controvertida empresa de tecnología de reconocimiento facial Clearview AI para identificar a personas que infrinjan la Ley de datos penales del país.

Tras los informes de los medios locales, una investigación del IMY descubrió que entre el otoño de 2019 y el 3 de marzo de 2020, la policía sueca había utilizado la aplicación Clearview AI en varias ocasiones, y que varios empleados habían utilizado la herramienta de reconocimiento facial sin autorización previa.

“La policía no ha cumplido con sus obligaciones como controlador de datos en varias cuentas con respecto al uso de Clearview AI. La policía no ha implementado suficientes medidas organizativas para garantizar y poder demostrar que el procesamiento de datos personales en este caso se ha llevado a cabo de conformidad con la Ley de Datos Penales ”, escribió IMY en declaración.

“Al usar Clearview AI, la policía procesó ilegalmente datos biométricos para el reconocimiento facial, además de no realizar una evaluación de impacto de protección de datos [DPIA] que este caso de procesamiento requeriría «.

Como parte de la acción de ejecución, se ha ordenado a la Autoridad de Policía que capacite y eduque más a sus empleados para evitar futuras infracciones de las normas de protección de datos al procesar datos personales.

El IMY también ha ordenado informar a las personas cuya privacidad ha sido violada cuando las reglas de confidencialidad lo permitan.

“Hay reglas y regulaciones claramente definidas sobre cómo la Autoridad de Policía puede procesar datos personales, especialmente para propósitos de aplicación de la ley. Es responsabilidad de la policía asegurarse de que los empleados conozcan esas reglas ”, dijo Elena Mazzotti Pallard, asesora legal de IMY.

La autoridad de protección de datos declaró además que no ha podido determinar qué ha sucedido con los datos personales de aquellos con quienes la policía compartió imágenes con Clearview AI, y si la compañía aún conserva la información. Por lo tanto, el IMY ha ordenado a la policía que se asegure de que Clearview AI elimine los datos que tiene sobre ellos antes del 15 de septiembre de 2021.

El IMY ha emitido previamente un Multa relacionada con la biometría a una escuela secundaria en octubre de 2019 en virtud del Reglamento General de Protección de Datos (GDPR), cuando se reveló que la escuela tampoco había llevado a cabo una DPIA suficiente antes de implementar la tecnología de reconocimiento facial en una prueba de tiempo limitado para identificar a los estudiantes que asistían a clases.

En julio de 2020, la Oficina del Comisionado de Información (ICO) del Reino Unido y la Oficina del Comisionado de Información de Australia (OAIC) ​​anunciaron el agencias estarían investigando conjuntamente Clearview AI por su presunto uso de datos extraídos y biometría de individuos recopilados de Internet sin su permiso.

Toni Vitale, socio y jefe de protección de datos de JMW Solicitors, dijo a Computer Weekly en ese momento: “La tecnología que permite a las empresas extraer datos de Internet y combinarlos con información sobre los usuarios existe desde hace muchos años, pero lo que parece ser Clearview ha hecho es combinar datos personales con fotos de personas obtenidas de Internet.

«Si los datos se utilizan estrictamente con fines de aplicación de la ley, no se requiere el consentimiento de las personas según las leyes del Reino Unido ni de Australia, pero surge la pregunta de cuán transparente ha sido Clearview sobre sus prácticas y qué hace con los datos de sujetos de datos inigualables «.

La policía del Reino Unido también lucha con las DPIA

Las fuerzas policiales en el Reino Unido también han tenido problemas para crear suficientes DPIA antes bajo la Ley de Protección de Datos de 2018 (DPA 18), que al igual que la Ley de Datos Criminales de Suecia también fue transpuesta de la Directiva de Aplicación de la Ley de la Unión Europea (UE) y por lo tanto tiene requisitos de diligencia debida similares .

Por ejemplo, la Policía de Gales del Sur atrajo críticas en un caso de apelación por su uso de reconocimiento facial automatizado, en el que el tribunal falló: “La DPIA no evaluó adecuadamente los riesgos para los derechos y libertades de los interesados ​​y no abordó las medidas previstas para abordar los riesgos derivados de las deficiencias hemos encontrado.»

Tras una investigación sobre libertad de información (FoI), Computer Weekly reveló en diciembre de 2020 que las fuerzas policiales del Reino Unido estaban Procesar ilegalmente más de un millón de datos personales de personas en el servicio de nube pública de hiperescala Microsoft 365 (M365) después de no poder realizar comprobaciones de protección de datos antes de su implementación.

Aunque la implementación de M365 ha estado en marcha desde septiembre de 2017, las solicitudes de FoI de Computer Weekly muestran que todas las fuerzas involucradas en ese momento, con la excepción de Kent, aún no habían llevado a cabo las DPIA legalmente requeridas antes de cualquier implementación de nueva tecnología.

Computer Weekly también descubrió que las fuerzas policiales no habían cumplido con los requisitos contractuales y de procesamiento clave del DPA 2018, como las restricciones impuestas a las transferencias internacionales, así como ciertos requisitos de registro de actividades y consultas.

Durante la investigación, el Programa Nacional de Habilitación (NEP), que encabeza la entrega de nuevas formas de trabajo habilitadas en la nube para la policía del Reino Unido, dijo a Computer Weekly que la ICO recibió una copia completa de su DPIA M365 y que el regulador de protección de datos había «proporcionado comentarios detallados y retroalimentación sobre el documento».

Bajo el DPA 18, es obligatorio enviar un DPIA al ICO cuando el procesamiento de datos personales presenta un alto riesgo que no se puede mitigar.

Sin embargo, cuando Computer Weekly le preguntó si efectivamente había sido consultado en la DPIA nacional, la ICO inicialmente se negó a confirmar de cualquier manera.

Cuando se le informó sobre la afirmación de la NEP, un portavoz de la ICO respondió contradecir directamente las afirmaciones de la NEP, diciendo: “Brindamos asesoramiento informal sobre protección de datos sobre el Programa Nacional de Habilitación, pero no se presentó formalmente una evaluación de impacto de protección de datos para consulta con el comisionado. «

Source link

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *