La autoridad de control amonesta a la Dirección General de la Policía Nacional de Finlandia por tratamiento ilegítimo de datos en un ensayo con tecnología de reconocimiento facial.
La policía de Finlandia ha sido amonestada por tratamiento ilegítimo de categorías especiales de datos en un ensayo con tecnología de reconocimiento facial. La unidad del Departamento Nacional de Investigación especializada en la prevención de abuso sexual a menores experimentó en 2020 con tecnología de reconocimiento facial para la identificación de potenciales víctimas. Así, empleó con este fin el servicio de Clearview AI, empresa con sede en Estados Unidos. Sin embargo, tal y como comunica la autoridad de control finlandesa, la Policía Nacional no había sido informada de este ensayo, y la decisión de probar el software la tomó el Departamento Nacional de Investigación de manera independiente.
El responsable de los datos, la Dirección General de la Policía Nacional, fue declarada responsable por la brecha de seguridad y su falta de capacidad para supervisar esta operación, pues el encargado de tratamiento no había sido lo suficientemente informado del protocolo para tratar categorías especiales de datos.
La Dirección General de la Policía Nacional, en su capacidad como responsable de los datos tratados por la policía en Finlandia, informó de esta brecha de seguridad a la autoridad de control nacional en abril de 2021. Dicha unidad del Departamento Nacional de Investigación tomó la decisión de utilizar Clearview AI de manera independiente, y en consecuencia la Dirección General de la Policía Nacional no fue informada y no se llevó a cabo el pertinente procedimiento de aprobación y supervisión del ensayo con tecnología de reconocimiento facial. Estos hechos tuvieron lugar a principios de 2020 y la unidad correspondiente concluyó que tal tecnología no era apropiada para las autoridades finlandesas. Sin embargo, la Dirección General de Policía Nacional no tuvo constancia de tal ensayo hasta abril de 2021, cuando lo descubrió a través de Buzzfeed News. Fue entonces cuando la brecha fue comunicada a la autoridad de control.
La Dirección General de la Policía Nacional no había instruido a la unidad del Departamento Nacional de Investigación implicada sobre la forma en que debían tratarse las categorías especiales de datos personales, ni sobre el proceso que debía seguirse a tales efectos, y por ello fue declarada responsable de la brecha. La Ley sobre el Tratamiento de Datos Personales en Materia Penal y en relación con el Mantenimiento de la Seguridad Nacional sitúa en el responsable de los datos el deber de asegurar un tratamiento legítimo de los datos personales. Además, bajo el RGPD, los encargados de tratamiento no tienen las mismas obligaciones de cumplimiento que los responsables. Conforme al Artículo 24 del RGPD, el responsable de los datos debe demostrar de manera activa cumplimiento absoluto con todos los principios de protección de datos. Por este motivo, la autoridad de control declaró a la Dirección General de la Policía Nacional responsable de este incidente.
La Dirección General de la Policía Nacional fue amonestada y se le solicitó que tomase acciones correctivas.
La Dirección General de la Policía Nacional de Finlandia fue declarada responsable de la brecha y amonestada en consecuencia. La autoridad de control también ha solicitado a la Dirección General que notifique a todos los sujetos afectados por la brecha. Además, la Dirección General deberá requerir a Clearview AI que elimine de su base de datos toda la información tratada en virtud del ensayo.
¿Utilizas IA en tu empresa y necesitas ayuda para cumplir con la normativa aplicable? Podemos ayudarte. Realizamos Evaluaciones de Impacto de Protección de Datos, Evaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI y ofrecemos subcontratación del Delegado de Protección de Datos, entre otros servicios. Podemos ayudarte. Infórmate aquí.