Moscú lanza un sistema de pago mediante reconocimiento facial

El sistema de pago mediante reconocimiento facial lanzado recientemente en Moscú es el primero en utilizarse a gran escala.

 

Los usuarios del metro de Moscú tienen ahora la opción de utilizar de forma voluntaria un nuevo método de pago denominado “Face Pay”, que les permite acceder mediante un escáner facial situado en los tornos de entrada. Antes de que esta función estuviese disponible, los pasajeros podían subir los detalles de su tarjeta junto a una foto identificativa. El departamento de transporte de Moscú ha afirmado que toda la información relacionada con el uso de Face Pay se encripta de manera segura. El uso de esta nueva tecnología es completamente voluntario y otras alternativas de pago siguen estando disponibles.

 

Moscú es la primera ciudad en utilizar un sistema de pago mediante reconocimiento facial a esta escala.

 

La ciudad de Moscú alberga uno de los mayores sistemas de videovigilancia del mundo, donde la tecnología de reconocimiento facial ha sido ya empleada para vigilar las cuarentenas impuestas con motivo del COVID-19, para realizar detenciones preventivas y con el objetivo de identificar delincuentes en búsqueda y captura durante la Copa Mundial de fútbol de 2018, entre otras aplicaciones. Sin embargo, esta es la primera vez que Moscú utiliza reconocimiento facial en un sistema de pago. Además, es la primera ciudad en emplear a gran escala la tecnología de reconocimiento facial para un sistema de pago. Según este artículo de Reuters, Maxim Liksutov, el responsable del departamento de transporte de la capital rusa, afirmó que “Moscú es la primera ciudad del mundo donde un sistema así está operando a esta escala”.

 

El sistema ha recibido críticas, especialmente en relación a la privacidad.

 

Este nuevo sistema de pago mediante reconocimiento facial ya ha recibido algunas críticas. Algunos grupos por la defensa de los derechos digitales afirman que esta tecnología puede socavar la privacidad y los derechos humanos de la población. “Roskomsvoboda” una organización por los derechos digitales y libertad de información, ha alertado sobre la posibilidad de que dicho sistema de pago mediante reconocimiento facial se utilice con finalidades de vigilancia. El departamento de transporte de la ciudad, por su parte, sostiene que los datos de los pasajeros se encriptarán de manera segura. La protección que se otorgue a los datos juega un papel clave dado que el sistema tratará datos biométricos.

 

¿Sería algo así posible en Europa?

 

EL RGPD no prohíbe el uso de categorías especiales de datos como huellas dactilares o reconocimiento facial, sin embargo existen directrices específicas para proteger, no sólo la privacidad de los datos, sino también los derechos y libertades de los sujetos. Tal y como informamos en nuestro blog en junio, el EPBD y el SEPD solicitaron una prohibición en el uso de IA para reconocimiento automático de elementos humanos en espacios públicos, en cualquier contexto.

Cristina Contero Almagro, socia en Aphaia, señala que “en consideración de la naturaleza del tratamiento y el tipo de datos empleados, esta actividad requeriría tanto una Evaluación de Impacto de Protección de Datos como una Evaluación de la Ética de la IA a fin de identificar y minimizar los riesgos para los derechos y libertades de los interesados. Junto con el principio de limitación de la finalidad, es también especial asegurar que se cumple con las obligaciones de transparencia para que el tratamiento sea legítimo, y tendrían que aplicarse varias medidas de mitigación, como cortos períodos de retención y la posibilidad de intervención humana”.

 

 

 

¿Necesitas ayuda sobre los requisitos del RGPD y la normativa de IA que debes aplicar según tus actividades? Podemos ayudarte. Realizamos Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IAimplementación del RGPD, la LOPDGDD y la LSSI y ofrecemos subcontratación del Delegado de Protección de Datos, entre otros servicios. Podemos ayudarte. Infórmate aquí.

Multa a una compañía eléctrica por falta de transparencia en el proceso de verificación de datos

La autoridad de control de Hamburgo ha impuesto una multa a una compañía eléctrica por falta de transparencia en el proceso de verificación de datos.

 

La autoridad de control de Hamburgo ha impuesto una multa a una compañía eléctrica como resultado de su falta de transparencia en el proceso de verificación de datos. La empresa ofrecía descuentos a nuevos clientes y a fin de comprobar que quienes optaban a dicha promoción no habían sido clientes en el pasado, contrastaba sus datos para consultar si alguna vez habían estado registrados. Sin embargo, este proceso no se realizaba con transparencia, pues la empresa no proporcionaba la información correspondiente. Conforme a esta publicación del EDPB, una verificación, comprobación o contraste de datos no es en sí mismo ilegítimo. Sin embargo, fue la falta de información al respecto lo que condujo a la infracción, pues no se cumplió con la obligación relativa al principio de transparencia del RGPD.

 

Se concluyó que la compañía eléctrica había infringido los artículos 12 y 13 del RGPD.

 

Tras evaluar el proceso, la autoridad de control de Hamburgo concluyó que la compañía eléctrica Vattenfall Europe Sales GmbH había infringido los artículos 12 y 13 del RGPD, con unas 500.000 personas afectadas. El artículo 12 indica que “El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14 […] en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo…” y el artículo 13 detalla las categorías de información que deben proporcionarse a los interesados.

 

La multa no resulta del procedimiento en sí mismo, sino de la falta de transparencia en la comunicación a los clientes.

 

La infracción y las acciones derivadas de ella no están vinculadas con el contraste de datos en sí mismo, que no está regulado de manera explícita en el RGPD. Para la verificación de información, la empresa comparaba los datos de los nuevos clientes con datos de clientes ya existentes o antiguos clientes, a fin de evitar que se diesen de alta en repetidas ocasiones para beneficiarse del descuento, lo cual desvirtuaría la oferta y haría que no fuese rentable para la empresa. La información empleada a estos efectos se almacenaba conforme a la legislación fiscal y comercial. Así, la infracción fue únicamente consecuencia de la falta de cumplimiento con los deberes de transparencia en relación a los clientes.

 

La compañía ha aceptado la multa de más de 900.000 € y paralizó el procedimiento de manera inmediata tras la primera acción de la autoridad de control.

 

Vattenfall Europe Sales GmbH no impugnó la multa, que asciende a 901,388.84 € y tras la primera resolución de la autoridad de control de Hamburgo, paralizó de manera inmediata el procedimiento por el cual se realizaba la verificación de los datos. La empresa ha cooperado en todo momento, y ha acordado un proceso para informar a los clientes nuevos y existentes sobre la comprobación de datos y su finalidad, de manera transparente y completa, lo cual les permitirá tomar una decisión informada sobre si quieren optar al descuento, con conocimiento de que incluye una verificación interna, o si por el contario prefieren la tarifa normal sin que sus datos formen parte de dicho procedimiento.

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IAimplementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.

Amonestada la Dirección General de la Policía Nacional de Finlandia por una brecha de seguridad durante un ensayo con tecnología de reconocimiento facial

La autoridad de control amonesta a la Dirección General de la Policía Nacional de Finlandia por tratamiento ilegítimo de datos en un ensayo con tecnología de reconocimiento facial.

 

La policía de Finlandia ha sido amonestada por tratamiento ilegítimo de categorías especiales de datos en un ensayo con tecnología de reconocimiento facial. La unidad del Departamento Nacional de Investigación especializada en la prevención de abuso sexual a menores experimentó en 2020 con tecnología de reconocimiento facial para la identificación de potenciales víctimas.  Así, empleó con este fin el servicio de Clearview AI, empresa con sede en Estados Unidos. Sin embargo, tal y como comunica la autoridad de control finlandesa, la Policía Nacional no había sido informada de este ensayo, y la decisión de probar el software la tomó el Departamento Nacional de Investigación de manera independiente.

 

El responsable de los datos, la Dirección General de la Policía Nacional, fue declarada responsable por la brecha de seguridad y su falta de capacidad para supervisar esta operación, pues el encargado de tratamiento no había sido lo suficientemente informado del protocolo para tratar categorías especiales de datos.

 

La Dirección General de la Policía Nacional, en su capacidad como responsable de los datos tratados por la policía en Finlandia, informó de esta brecha de seguridad a la autoridad de control nacional en abril de 2021. Dicha unidad del Departamento Nacional de Investigación  tomó la decisión de utilizar Clearview AI de manera independiente, y en consecuencia la Dirección General de la Policía Nacional no fue informada y no se llevó a cabo el pertinente procedimiento de aprobación y supervisión del ensayo con tecnología de reconocimiento facial. Estos hechos tuvieron lugar a principios de 2020 y la unidad correspondiente concluyó que tal tecnología no era apropiada para las autoridades finlandesas. Sin embargo, la Dirección General de Policía Nacional no tuvo constancia de tal ensayo hasta abril de 2021, cuando lo descubrió a través de Buzzfeed News. Fue entonces cuando la brecha fue comunicada a la autoridad de control.

 

La Dirección General de la Policía Nacional no había instruido a la unidad del Departamento Nacional de Investigación implicada sobre la forma en que debían tratarse las categorías especiales de datos personales, ni sobre el proceso que debía seguirse a tales efectos, y por ello fue declarada responsable de la brecha. La Ley sobre el Tratamiento de Datos Personales en Materia Penal y en relación con el Mantenimiento de la Seguridad Nacional sitúa en el responsable de los datos el deber de asegurar un tratamiento legítimo de los datos personales.  Además, bajo el RGPD, los encargados de tratamiento no tienen las mismas obligaciones de cumplimiento que los responsables. Conforme al Artículo 24 del RGPD, el responsable de los datos debe demostrar de manera activa cumplimiento absoluto con todos los principios de protección de datos. Por este motivo, la autoridad de control declaró a la Dirección General de la Policía Nacional responsable de este incidente.

La Dirección General de la Policía Nacional fue amonestada y se le solicitó que tomase acciones correctivas.

 

La Dirección General de la Policía Nacional de Finlandia fue declarada responsable de la brecha y amonestada en consecuencia. La autoridad de control también ha solicitado a la Dirección General que notifique a todos los sujetos afectados por la brecha. Además, la Dirección General deberá requerir a Clearview AI que elimine de su base de datos toda la información tratada en virtud del ensayo.

 

 

¿Utilizas IA en tu empresa y necesitas ayuda para cumplir con la normativa aplicable? Podemos ayudarte. Realizamos Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IAimplementación del RGPD, la LOPDGDD y la LSSI y ofrecemos subcontratación del Delegado de Protección de Datos, entre otros servicios. Podemos ayudarte. Infórmate aquí.

La policía de Londres utilizará reconocimiento facial en diferido

La policía de Londres comenzará a utilizar reconocimiento facial en diferido a finales de este año o a principios del siguiente.

 

 

El Servicio de Policía Metropolitana de Londres (MPS) ha obtenido autorización para utilizar reconocimiento facial en diferido y empezará a implementarlo en los próximos meses. Esta tecnología ha sido ya probada por las fuerzas y cuerpos de seguridad del sur de Gales y ha demostrado presentar una gran efectividad en el cumplimiento de la ley. Hace unos días publicamos un artículo sobre el uso de la tecnología de reconocimiento facial por parte de varias agencias gubernamentales en Estados Unidos. Sin embargo, es importante destacar que, al contrario que ellas, la Policía Metropolitana de Londres no usará reconocimiento facial en tiempo real.

 

La policía de Londres ha firmado un contrato de cuatro años con la empresa encargada de ofrecer el servicio.

 

La Policía Metropolitana de Londres ha firmado un contrato de cuatro años por más de tres millones de euros con Northgate Public Services. Se espera que esta tecnología optimice el tiempo que se necesita para vincular una imagen con su identidad. Así, imágenes capturadas por cámaras en robos, asaltos y tiroteos y aquellas compartidas por testigos, pronto se usarán para identificar a las personas involucradas, a través de técnicas de reconocimiento facial en diferido. Se espera que esta medida sea de gran utilidad en la resolución de delitos e incremente la seguridad de los ciudadanos londinenses.

 

A pesar de que el reconocimiento facial en diferido es menos controvertido que aquel en tiempo real, la Policía Metropolitana realizará las consultas pertinentes antes de implementarlo.

 

Si bien el reconocimiento facial en tiempo real compara las imágenes con las de personas bajo vigilancia, el reconocimiento facial en diferido permitirá vincularlas con una lista mucho más amplia. El reconocimiento facial en tiempo real se considera mucho más controvertido y ha recibido una gran cantidad de respuestas negativas, también de la presidenta de la ICO, cuyas palabras han aparecido recientemente en Forbes “Deberíamos poder llevar a nuestros hijos a centros de ocio, de visitar centros comerciales o de recorrer ciudades sin que nuestros datos biométricos sean recogidos y analizados a cada paso que damos”. A pesar de que el reconocimiento facial es menos controvertido, el Servicio de Policía Metropolitana está realizando consultas con el Panel de Ética Policial de Londres, que se espera que se una a las conversaciones el próximo mes.

 

Conforme a Cristina Contero Almagro, Socia de Aphaia, “A pesar de ser reconocimiento facial en diferido, las imágenes y vídeos se tratan con la finalidad de identificar a un individuo de manera única, con lo que deberán aplicarse los requisitos adicionales para tratamientos sensibles y una Evaluación de Impacto podría ser necesaria”.

 

¿Utilizas IA en tu empresa y necesitas ayuda para cumplir con la normativa aplicable? Podemos ayudarte. Realizamos Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IAimplementación del RGPD, la LOPDGDD y la LSSI y ofrecemos subcontratación del Delegado de Protección de Datos, entre otros servicios. Podemos ayudarte. Infórmate aquí.