Amonestada la Dirección General de la Policía Nacional de Finlandia por una brecha de seguridad durante un ensayo con tecnología de reconocimiento facial

La autoridad de control amonesta a la Dirección General de la Policía Nacional de Finlandia por tratamiento ilegítimo de datos en un ensayo con tecnología de reconocimiento facial.

 

La policía de Finlandia ha sido amonestada por tratamiento ilegítimo de categorías especiales de datos en un ensayo con tecnología de reconocimiento facial. La unidad del Departamento Nacional de Investigación especializada en la prevención de abuso sexual a menores experimentó en 2020 con tecnología de reconocimiento facial para la identificación de potenciales víctimas.  Así, empleó con este fin el servicio de Clearview AI, empresa con sede en Estados Unidos. Sin embargo, tal y como comunica la autoridad de control finlandesa, la Policía Nacional no había sido informada de este ensayo, y la decisión de probar el software la tomó el Departamento Nacional de Investigación de manera independiente.

 

El responsable de los datos, la Dirección General de la Policía Nacional, fue declarada responsable por la brecha de seguridad y su falta de capacidad para supervisar esta operación, pues el encargado de tratamiento no había sido lo suficientemente informado del protocolo para tratar categorías especiales de datos.

 

La Dirección General de la Policía Nacional, en su capacidad como responsable de los datos tratados por la policía en Finlandia, informó de esta brecha de seguridad a la autoridad de control nacional en abril de 2021. Dicha unidad del Departamento Nacional de Investigación  tomó la decisión de utilizar Clearview AI de manera independiente, y en consecuencia la Dirección General de la Policía Nacional no fue informada y no se llevó a cabo el pertinente procedimiento de aprobación y supervisión del ensayo con tecnología de reconocimiento facial. Estos hechos tuvieron lugar a principios de 2020 y la unidad correspondiente concluyó que tal tecnología no era apropiada para las autoridades finlandesas. Sin embargo, la Dirección General de Policía Nacional no tuvo constancia de tal ensayo hasta abril de 2021, cuando lo descubrió a través de Buzzfeed News. Fue entonces cuando la brecha fue comunicada a la autoridad de control.

 

La Dirección General de la Policía Nacional no había instruido a la unidad del Departamento Nacional de Investigación implicada sobre la forma en que debían tratarse las categorías especiales de datos personales, ni sobre el proceso que debía seguirse a tales efectos, y por ello fue declarada responsable de la brecha. La Ley sobre el Tratamiento de Datos Personales en Materia Penal y en relación con el Mantenimiento de la Seguridad Nacional sitúa en el responsable de los datos el deber de asegurar un tratamiento legítimo de los datos personales.  Además, bajo el RGPD, los encargados de tratamiento no tienen las mismas obligaciones de cumplimiento que los responsables. Conforme al Artículo 24 del RGPD, el responsable de los datos debe demostrar de manera activa cumplimiento absoluto con todos los principios de protección de datos. Por este motivo, la autoridad de control declaró a la Dirección General de la Policía Nacional responsable de este incidente.

La Dirección General de la Policía Nacional fue amonestada y se le solicitó que tomase acciones correctivas.

 

La Dirección General de la Policía Nacional de Finlandia fue declarada responsable de la brecha y amonestada en consecuencia. La autoridad de control también ha solicitado a la Dirección General que notifique a todos los sujetos afectados por la brecha. Además, la Dirección General deberá requerir a Clearview AI que elimine de su base de datos toda la información tratada en virtud del ensayo.

 

 

¿Utilizas IA en tu empresa y necesitas ayuda para cumplir con la normativa aplicable? Podemos ayudarte. Realizamos Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IAimplementación del RGPD, la LOPDGDD y la LSSI y ofrecemos subcontratación del Delegado de Protección de Datos, entre otros servicios. Podemos ayudarte. Infórmate aquí.

La CNIL emite una serie de requerimientos por mala gestión de una base de datos

La autoridad de control de Francia, CNIL, ha emitido una serie de requerimientos por mala gestión de una base de datos que contenía huellas dactilares.

 

La CNIL ha emitido una serie de requerimientos contra el Ministerio de Interior por supuesto almacenamiento ilegítimo de datos, mala gestión de archivos e incumplimiento del deber de transparencia en relación a la información que debía proporcionar a los interesados. El Fichero Automatizado de Huellas Dactilares, creado en 1987 y que contiene huellas dactilares y huellas de la mano de personas implicadas en investigaciones, había acumulado información de 6,2 millones de sujetos. Muchos de estos archivos deberían haberse eliminado por diversas razones y sin embargo continuaban disponibles.

 

La CNIL ha acusado al Ministro de Interior de almacenar datos de forma ilegítima y transcurrido el período de retención.

 

Según el informe de Euractiv, la CNIL acusó el mes pasado al Ministerio de Interior por almacenar datos que no estaban previstos en la normativa. En función de la gravedad y la naturaleza de la ofensa, dicha información puede almacenarse durante 10, 15 o 20 años y tiene que eliminarse en caso de absolución, sobreseimiento, desistimiento o similar. Sin embargo, en su investigación de 2019, la CNIL identificó más de dos millones de registros cuyo plazo de retención máximo ya había sido alcanzado. Además, el Ministerio guardaba también varios millones de archivos de manera manual sin base legítima para ello, a pesar de los esfuerzos de digitalización de los años anteriores. En consecuencia, la CNIL ha solicitado que se eliminen alrededor de siete millones de archivos manuales aunque no haya transcurrido el período de retención

 

Los requerimientos de la CNIL también hacen referencia a materias relativas a la seguridad y la difusión de información.

 

Uno de los problemas que ha destacado la CNIL es el hecho de que la policía podía acceder a archivos que contenían información biométrica junto a otros datos personales con una contraseña de únicamente ocho caracteres. La autoridad de control consideró por tanto que los datos no se encontraban protegidos de manera suficiente. Además, conforme a las leyes de Francia, los sujetos cuya información se trate de esta forma deben ser informados de la finalidad del tratamiento y también de la parte o las partes responsables del mismo, lo cual deberá hacerse en el momento de la recogida de los datos o en el momento de la resolución.

 

La CNIL ha otorgado al Ministerio de Interior un plazo para tomar las medidas correctivas correspondientes.

 

A fecha de julio de este año, el Estado había notificado a la CNIL que se habían eliminado más de tres millones de tarjetas en cumplimiento con los períodos de retención indicados por la normativa. Sin embargo, en lo que concierne a los archivos guardados de forma manual, la CNIL rechazó el período de cuatro años recomendado en observación del tiempo transcurrido, la duración de la brecha y la naturaleza de los datos afectados, y ordenó que su eliminación se hubiese completado para el 31 de diciembre de 2022. En relación al resto de materias, la fecha límite otorgada por la CNIL es el 31 de diciembre de 2021. Conforme a la normativa, no se pueden imponer multas al Estado.

 

 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IAimplementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.

El Consejo de la UE acuerda su posición sobre la Ley de Gobernanza de Datos

Se espera que la Ley de Gobernanza de Datos proporcione a la UE una ventaja competitiva en un mundo cada vez más impulsado por datos.

 

En un comunicado emitido el pasado 1 de octubre, el Consejo anunció  que los Estados miembros han acordado un mandato de negociación sobre la propuesta relativa a la Ley de Gobernanza de Datos (LGD). La finalidad de esta ley es promover una serie mecanismos de cesión de datos, que, entre otros aspectos, faciliten la reutilización de determinadas categorías de datos protegidos por el sector público, mejoren la confianza del público en los servicios de intermediación e impulsen el altruismo de datos.

 

La Ley de Gobernanza de Datos promoverá la reutilización de datos del sector público a la vez que se preserva la privacidad y confidencialidad.

 

La LGD complementará la Directiva sobre Datos Abiertos, que no cubre los datos del sector público y creará un mecanismo que permitirá la reutilización segura de determinadas categorías de datos del sector público que están sujetos a derechos de terceros, como datos protegidos por derechos de propiedad intelectual, secreto comercial y datos personales. En consecuencia, los organismos que autoricen esta reutilización necesitarán implementar una serie de medios técnicos que aseguren la privacidad y confidencialidad de la información. La posición del Consejo introduce mayor flexibilidad y respeta las provisiones nacionales existentes de los diferentes Estados Miembro.

 

La LGD promoverá la creación de un nuevo modelo empresarial para la intermediación de datos.

 

Los servicios de intermediación pueden facilitar la cesión de datos mediante la creación de entornos seguros tanto para las empresas como para los sujetos. Este modelo podría canalizarse a través de plataformas digitales y ayudaría a los interesados a ejercer sus derechos bajo el RGPD y garantizar un intercambio de datos con garantías legales. Una opción es diseñar elementos tales como espacios personales de datos o carteras de datos que ofrezcan un control absoluto sobre los mismos a la vez que estos se ceden a las compañías en que cada individuo confía.

 

Los intermediarios tendrían que formar parte de un registro que estuviese accesible a los sujetos, a fin de asegurar su confiabilidad, y sólo podrán utilizar los datos con la finalidad prevista, lo que implica que no se podrán vender ni emplear con una finalidad alternativa. El Consejo también ha aclarado qué empresas pueden ofrecer los servicios de intermediación de datos.

 

El fomento del altruismo de datos es otro de los objetivos de la Ley de Gobernanza de Datos, para permitir a las compañías y sujetos la cesión de datos por el bien común.

 

La propuesta de la LGD busca simplificar la cesión de datos de manera voluntaria para finalidades relevantes para el interés público, como la investigación. Las organizaciones podrán solicitar registrarse para recoger datos con objetivos de interés general, y aquellas que lo hagan serán reconocidas a  tales efectos en todos los Estados Miembro. Se espera que esta medida genere la confianza suficiente para motivar a los sujetos y a las empresas para compartir sus datos, y que estos puedan así usarse en el beneficio de la sociedad. En colaboración con las organizaciones altruistas y las partes implicadas, se desarrollará también un código de conducta al que dichas organizaciones deberían adherirse.

 

 

Se creará un Comité Europeo de Innovación en materia de Datos para asegurar la consistencia de las prácticas entre todas las organizaciones involucradas.

 

La LGD da lugar también a una nueva estructura, el denominado Comité Europeo de Innovación en materia de Datos, que se encargará de mantener la consistencia entre las organizaciones implicadas en la cesión de datos y aconsejará a la Comisión para la mejora de la interoperabilidad de los servicios de inmediación. Además, velará por la coherencia en la tramitación de las solicitudes de datos del sector público. Se espera que todos estos cambios en conjunto impulsen un mayor intercambio de datos mediante la generación de confianza sobre la seguridad y protección de los derechos y libertades.

 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IAimplementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.

La policía de Londres utilizará reconocimiento facial en diferido

La policía de Londres comenzará a utilizar reconocimiento facial en diferido a finales de este año o a principios del siguiente.

 

 

El Servicio de Policía Metropolitana de Londres (MPS) ha obtenido autorización para utilizar reconocimiento facial en diferido y empezará a implementarlo en los próximos meses. Esta tecnología ha sido ya probada por las fuerzas y cuerpos de seguridad del sur de Gales y ha demostrado presentar una gran efectividad en el cumplimiento de la ley. Hace unos días publicamos un artículo sobre el uso de la tecnología de reconocimiento facial por parte de varias agencias gubernamentales en Estados Unidos. Sin embargo, es importante destacar que, al contrario que ellas, la Policía Metropolitana de Londres no usará reconocimiento facial en tiempo real.

 

La policía de Londres ha firmado un contrato de cuatro años con la empresa encargada de ofrecer el servicio.

 

La Policía Metropolitana de Londres ha firmado un contrato de cuatro años por más de tres millones de euros con Northgate Public Services. Se espera que esta tecnología optimice el tiempo que se necesita para vincular una imagen con su identidad. Así, imágenes capturadas por cámaras en robos, asaltos y tiroteos y aquellas compartidas por testigos, pronto se usarán para identificar a las personas involucradas, a través de técnicas de reconocimiento facial en diferido. Se espera que esta medida sea de gran utilidad en la resolución de delitos e incremente la seguridad de los ciudadanos londinenses.

 

A pesar de que el reconocimiento facial en diferido es menos controvertido que aquel en tiempo real, la Policía Metropolitana realizará las consultas pertinentes antes de implementarlo.

 

Si bien el reconocimiento facial en tiempo real compara las imágenes con las de personas bajo vigilancia, el reconocimiento facial en diferido permitirá vincularlas con una lista mucho más amplia. El reconocimiento facial en tiempo real se considera mucho más controvertido y ha recibido una gran cantidad de respuestas negativas, también de la presidenta de la ICO, cuyas palabras han aparecido recientemente en Forbes “Deberíamos poder llevar a nuestros hijos a centros de ocio, de visitar centros comerciales o de recorrer ciudades sin que nuestros datos biométricos sean recogidos y analizados a cada paso que damos”. A pesar de que el reconocimiento facial es menos controvertido, el Servicio de Policía Metropolitana está realizando consultas con el Panel de Ética Policial de Londres, que se espera que se una a las conversaciones el próximo mes.

 

Conforme a Cristina Contero Almagro, Socia de Aphaia, “A pesar de ser reconocimiento facial en diferido, las imágenes y vídeos se tratan con la finalidad de identificar a un individuo de manera única, con lo que deberán aplicarse los requisitos adicionales para tratamientos sensibles y una Evaluación de Impacto podría ser necesaria”.

 

¿Utilizas IA en tu empresa y necesitas ayuda para cumplir con la normativa aplicable? Podemos ayudarte. Realizamos Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IAimplementación del RGPD, la LOPDGDD y la LSSI y ofrecemos subcontratación del Delegado de Protección de Datos, entre otros servicios. Podemos ayudarte. Infórmate aquí.