La autoridad de protección de datos de Suecia, el IMY, ha multado a la autoridad policial local con € 250,000 ($ 300,000 +) por el uso ilegal del controvertido software de reconocimiento facial Clearview AI, en violación de la Ley de Datos Criminales del país.
Como parte de la aplicación, la policía debe llevar a cabo más capacitación y educación del personal para evitar cualquier procesamiento futuro de datos personales que infrinja las reglas y regulaciones de protección de datos.
La autoridad también recibió la orden de informar a las personas cuyos datos personales se enviaron a Clearview, cuando las reglas de confidencialidad lo permitan, según el IMY.
Su investigación encontró que la policía había utilizado la herramienta de reconocimiento facial en varias ocasiones y que varios empleados la habían utilizado sin autorización previa.
A principios de este mes, las autoridades canadienses de privacidad descubrieron que Clearview había violado las leyes locales cuando recopiló fotos de personas para conectarlas a su base de datos de reconocimiento facial sin su conocimiento o permiso.
“IMY concluye que la Policía no ha cumplido con sus obligaciones como controlador de datos en varias cuentas con respecto al uso de Clearview AI. La Policía no ha implementado suficientes medidas organizativas para asegurar y poder demostrar que el procesamiento de datos personales en este caso se ha llevado a cabo de conformidad con la Ley de Datos Penales. Al utilizar Clearview AI, la policía ha procesado ilegalmente datos biométricos para el reconocimiento facial, además de no haber realizado una evaluación de impacto de protección de datos que este caso de procesamiento requeriría ”, escribe la autoridad sueca de protección de datos en un presione soltar.
La decisión completa del IMY se puede encontrar aquí (en sueco).
“Hay reglas y regulaciones claramente definidas sobre cómo la Autoridad de Policía puede procesar datos personales, especialmente para propósitos de aplicación de la ley. Es responsabilidad de la Policía asegurarse de que los empleados conozcan esas reglas ”, agregó Elena Mazzotti Pallard, asesora legal de IMY, en un comunicado.
La multa (2,5 millones de coronas suecas en moneda local) se decidió sobre la base de una evaluación general, según el IMY, aunque está muy por debajo del máximo posible según la ley sueca por las violaciones en cuestión, que según señala el organismo de control 10 millones de coronas suecas. (La decisión de la autoridad señala que no conocer las reglas o tener procedimientos inadecuados no son una razón para reducir una multa, por lo que no está del todo claro por qué la policía evitó una multa mayor).
La autoridad de datos dijo que no era posible determinar qué había sucedido con los datos de las personas cuyas fotos la autoridad policial había enviado a Clearview, por ejemplo, si la empresa aún almacenaba la información. Por lo tanto, también ordenó a la policía que tome medidas para garantizar que Clearview elimine los datos.
El IMY dijo que investigó el uso de la polémica tecnología por parte de la policía tras los informes de los medios locales.
Hace poco más de un año, Clearview AI, con sede en EE. UU., Fue revelada por The New York Times haber acumulado una base de datos de miles de millones de fotos de rostros de personas, incluso raspando publicaciones en redes sociales públicas y recolectando datos biométricos sensibles de las personas sin el conocimiento o consentimiento de las personas.
La ley de protección de datos de la Unión Europea impone un alto nivel al procesamiento de datos de categorías especiales, como la biometría.
El uso ad hoc por parte de la policía de una base de datos comercial de reconocimiento facial, aparentemente sin prestar atención a la ley local de protección de datos, evidentemente no cumple con ese requisito.
El mes pasado se supo que la autoridad de protección de datos de Hamburgo había procedimientos instigados contra Clearview a raíz de una queja de un residente alemán sobre el procesamiento sin consentimiento de sus datos biométricos.
La autoridad de Hamburgo citó el Artículo 9 (1) del GDPR, que prohíbe el procesamiento de datos biométricos con el propósito de identificar de manera única a una persona física, a menos que la persona haya dado su consentimiento explícito (o para una serie de otras excepciones limitadas que, según dijo, tenían no se ha cumplido), por lo que se encuentra que el procesamiento de Clearview es ilegal.
Sin embargo, la autoridad alemana solo hizo una orden restringida para la eliminación de los valores hash matemáticos del demandante individual (que representan el perfil biométrico).
No ordenó la eliminación de las fotos en sí. Tampoco emitió una orden paneuropea que prohíbe la recopilación de fotos de cualquier residente europeo como podría haberlo hecho y como grupo de campaña de privacidad europeo, noyb, había estado presionando.
De hecho, noyb anima a todos los residentes de la UE a utilizar formularios en el sitio web de Clearview AI solicitar a la empresa una copia de sus datos y pedirle que elimine cualquier dato que tenga sobre ellos, así como oponerse a su inclusión en su base de datos. También recomienda que las personas que encuentren que Clearview retiene sus datos presenten una queja contra la empresa con su DPA local.
Los legisladores de la Unión Europea están elaborando un marco basado en el riesgo para regular las aplicaciones de la inteligencia artificial, y se espera que este año se presente un proyecto de ley, aunque la Comisión tiene la intención de trabajar en conjunto con las protecciones de datos ya incorporadas en la UE. Reglamento general de protección de datos (RGPD).
A principios de este mes, la controvertida empresa de reconocimiento facial fue declarada ilegal por las autoridades de privacidad canadienses, quienes advirtieron que “emprenderán otras acciones” si la empresa no sigue las recomendaciones que incluyen detener la recopilación de datos de los canadienses y eliminar todas las imágenes recopiladas anteriormente.
Clearview dijo que dejó de proporcionar su tecnología a los clientes canadienses el verano pasado.
También se enfrenta a una demanda colectiva en los EE. UU. Que cita las leyes de protección biométrica de Illinois.
El verano pasado Los organismos de control de protección de datos del Reino Unido y Australia anunciaron una investigación conjunta sobre las prácticas de manejo de datos personales de Clearview. Esa investigación está en curso.
Source link