Moscú lanza un sistema de pago mediante reconocimiento facial

El sistema de pago mediante reconocimiento facial lanzado recientemente en Moscú es el primero en utilizarse a gran escala.

 

Los usuarios del metro de Moscú tienen ahora la opción de utilizar de forma voluntaria un nuevo método de pago denominado “Face Pay”, que les permite acceder mediante un escáner facial situado en los tornos de entrada. Antes de que esta función estuviese disponible, los pasajeros podían subir los detalles de su tarjeta junto a una foto identificativa. El departamento de transporte de Moscú ha afirmado que toda la información relacionada con el uso de Face Pay se encripta de manera segura. El uso de esta nueva tecnología es completamente voluntario y otras alternativas de pago siguen estando disponibles.

 

Moscú es la primera ciudad en utilizar un sistema de pago mediante reconocimiento facial a esta escala.

 

La ciudad de Moscú alberga uno de los mayores sistemas de videovigilancia del mundo, donde la tecnología de reconocimiento facial ha sido ya empleada para vigilar las cuarentenas impuestas con motivo del COVID-19, para realizar detenciones preventivas y con el objetivo de identificar delincuentes en búsqueda y captura durante la Copa Mundial de fútbol de 2018, entre otras aplicaciones. Sin embargo, esta es la primera vez que Moscú utiliza reconocimiento facial en un sistema de pago. Además, es la primera ciudad en emplear a gran escala la tecnología de reconocimiento facial para un sistema de pago. Según este artículo de Reuters, Maxim Liksutov, el responsable del departamento de transporte de la capital rusa, afirmó que “Moscú es la primera ciudad del mundo donde un sistema así está operando a esta escala”.

 

El sistema ha recibido críticas, especialmente en relación a la privacidad.

 

Este nuevo sistema de pago mediante reconocimiento facial ya ha recibido algunas críticas. Algunos grupos por la defensa de los derechos digitales afirman que esta tecnología puede socavar la privacidad y los derechos humanos de la población. “Roskomsvoboda” una organización por los derechos digitales y libertad de información, ha alertado sobre la posibilidad de que dicho sistema de pago mediante reconocimiento facial se utilice con finalidades de vigilancia. El departamento de transporte de la ciudad, por su parte, sostiene que los datos de los pasajeros se encriptarán de manera segura. La protección que se otorgue a los datos juega un papel clave dado que el sistema tratará datos biométricos.

 

¿Sería algo así posible en Europa?

 

EL RGPD no prohíbe el uso de categorías especiales de datos como huellas dactilares o reconocimiento facial, sin embargo existen directrices específicas para proteger, no sólo la privacidad de los datos, sino también los derechos y libertades de los sujetos. Tal y como informamos en nuestro blog en junio, el EPBD y el SEPD solicitaron una prohibición en el uso de IA para reconocimiento automático de elementos humanos en espacios públicos, en cualquier contexto.

Cristina Contero Almagro, socia en Aphaia, señala que “en consideración de la naturaleza del tratamiento y el tipo de datos empleados, esta actividad requeriría tanto una Evaluación de Impacto de Protección de Datos como una Evaluación de la Ética de la IA a fin de identificar y minimizar los riesgos para los derechos y libertades de los interesados. Junto con el principio de limitación de la finalidad, es también especial asegurar que se cumple con las obligaciones de transparencia para que el tratamiento sea legítimo, y tendrían que aplicarse varias medidas de mitigación, como cortos períodos de retención y la posibilidad de intervención humana”.

 

 

 

¿Necesitas ayuda sobre los requisitos del RGPD y la normativa de IA que debes aplicar según tus actividades? Podemos ayudarte. Realizamos Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IAimplementación del RGPD, la LOPDGDD y la LSSI y ofrecemos subcontratación del Delegado de Protección de Datos, entre otros servicios. Podemos ayudarte. Infórmate aquí.

Multa a una compañía eléctrica por falta de transparencia en el proceso de verificación de datos

La autoridad de control de Hamburgo ha impuesto una multa a una compañía eléctrica por falta de transparencia en el proceso de verificación de datos.

 

La autoridad de control de Hamburgo ha impuesto una multa a una compañía eléctrica como resultado de su falta de transparencia en el proceso de verificación de datos. La empresa ofrecía descuentos a nuevos clientes y a fin de comprobar que quienes optaban a dicha promoción no habían sido clientes en el pasado, contrastaba sus datos para consultar si alguna vez habían estado registrados. Sin embargo, este proceso no se realizaba con transparencia, pues la empresa no proporcionaba la información correspondiente. Conforme a esta publicación del EDPB, una verificación, comprobación o contraste de datos no es en sí mismo ilegítimo. Sin embargo, fue la falta de información al respecto lo que condujo a la infracción, pues no se cumplió con la obligación relativa al principio de transparencia del RGPD.

 

Se concluyó que la compañía eléctrica había infringido los artículos 12 y 13 del RGPD.

 

Tras evaluar el proceso, la autoridad de control de Hamburgo concluyó que la compañía eléctrica Vattenfall Europe Sales GmbH había infringido los artículos 12 y 13 del RGPD, con unas 500.000 personas afectadas. El artículo 12 indica que “El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14 […] en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo…” y el artículo 13 detalla las categorías de información que deben proporcionarse a los interesados.

 

La multa no resulta del procedimiento en sí mismo, sino de la falta de transparencia en la comunicación a los clientes.

 

La infracción y las acciones derivadas de ella no están vinculadas con el contraste de datos en sí mismo, que no está regulado de manera explícita en el RGPD. Para la verificación de información, la empresa comparaba los datos de los nuevos clientes con datos de clientes ya existentes o antiguos clientes, a fin de evitar que se diesen de alta en repetidas ocasiones para beneficiarse del descuento, lo cual desvirtuaría la oferta y haría que no fuese rentable para la empresa. La información empleada a estos efectos se almacenaba conforme a la legislación fiscal y comercial. Así, la infracción fue únicamente consecuencia de la falta de cumplimiento con los deberes de transparencia en relación a los clientes.

 

La compañía ha aceptado la multa de más de 900.000 € y paralizó el procedimiento de manera inmediata tras la primera acción de la autoridad de control.

 

Vattenfall Europe Sales GmbH no impugnó la multa, que asciende a 901,388.84 € y tras la primera resolución de la autoridad de control de Hamburgo, paralizó de manera inmediata el procedimiento por el cual se realizaba la verificación de los datos. La empresa ha cooperado en todo momento, y ha acordado un proceso para informar a los clientes nuevos y existentes sobre la comprobación de datos y su finalidad, de manera transparente y completa, lo cual les permitirá tomar una decisión informada sobre si quieren optar al descuento, con conocimiento de que incluye una verificación interna, o si por el contario prefieren la tarifa normal sin que sus datos formen parte de dicho procedimiento.

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IAimplementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.

El Consejo de la UE acuerda su posición sobre la Ley de Gobernanza de Datos

Se espera que la Ley de Gobernanza de Datos proporcione a la UE una ventaja competitiva en un mundo cada vez más impulsado por datos.

 

En un comunicado emitido el pasado 1 de octubre, el Consejo anunció  que los Estados miembros han acordado un mandato de negociación sobre la propuesta relativa a la Ley de Gobernanza de Datos (LGD). La finalidad de esta ley es promover una serie mecanismos de cesión de datos, que, entre otros aspectos, faciliten la reutilización de determinadas categorías de datos protegidos por el sector público, mejoren la confianza del público en los servicios de intermediación e impulsen el altruismo de datos.

 

La Ley de Gobernanza de Datos promoverá la reutilización de datos del sector público a la vez que se preserva la privacidad y confidencialidad.

 

La LGD complementará la Directiva sobre Datos Abiertos, que no cubre los datos del sector público y creará un mecanismo que permitirá la reutilización segura de determinadas categorías de datos del sector público que están sujetos a derechos de terceros, como datos protegidos por derechos de propiedad intelectual, secreto comercial y datos personales. En consecuencia, los organismos que autoricen esta reutilización necesitarán implementar una serie de medios técnicos que aseguren la privacidad y confidencialidad de la información. La posición del Consejo introduce mayor flexibilidad y respeta las provisiones nacionales existentes de los diferentes Estados Miembro.

 

La LGD promoverá la creación de un nuevo modelo empresarial para la intermediación de datos.

 

Los servicios de intermediación pueden facilitar la cesión de datos mediante la creación de entornos seguros tanto para las empresas como para los sujetos. Este modelo podría canalizarse a través de plataformas digitales y ayudaría a los interesados a ejercer sus derechos bajo el RGPD y garantizar un intercambio de datos con garantías legales. Una opción es diseñar elementos tales como espacios personales de datos o carteras de datos que ofrezcan un control absoluto sobre los mismos a la vez que estos se ceden a las compañías en que cada individuo confía.

 

Los intermediarios tendrían que formar parte de un registro que estuviese accesible a los sujetos, a fin de asegurar su confiabilidad, y sólo podrán utilizar los datos con la finalidad prevista, lo que implica que no se podrán vender ni emplear con una finalidad alternativa. El Consejo también ha aclarado qué empresas pueden ofrecer los servicios de intermediación de datos.

 

El fomento del altruismo de datos es otro de los objetivos de la Ley de Gobernanza de Datos, para permitir a las compañías y sujetos la cesión de datos por el bien común.

 

La propuesta de la LGD busca simplificar la cesión de datos de manera voluntaria para finalidades relevantes para el interés público, como la investigación. Las organizaciones podrán solicitar registrarse para recoger datos con objetivos de interés general, y aquellas que lo hagan serán reconocidas a  tales efectos en todos los Estados Miembro. Se espera que esta medida genere la confianza suficiente para motivar a los sujetos y a las empresas para compartir sus datos, y que estos puedan así usarse en el beneficio de la sociedad. En colaboración con las organizaciones altruistas y las partes implicadas, se desarrollará también un código de conducta al que dichas organizaciones deberían adherirse.

 

 

Se creará un Comité Europeo de Innovación en materia de Datos para asegurar la consistencia de las prácticas entre todas las organizaciones involucradas.

 

La LGD da lugar también a una nueva estructura, el denominado Comité Europeo de Innovación en materia de Datos, que se encargará de mantener la consistencia entre las organizaciones implicadas en la cesión de datos y aconsejará a la Comisión para la mejora de la interoperabilidad de los servicios de inmediación. Además, velará por la coherencia en la tramitación de las solicitudes de datos del sector público. Se espera que todos estos cambios en conjunto impulsen un mayor intercambio de datos mediante la generación de confianza sobre la seguridad y protección de los derechos y libertades.

 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IAimplementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.

Las gafas Facebook View, cuestionadas por las autoridades de control de Irlanda e Italia

Las gafas Facebook View, cuestionadas por las autoridades de control de Irlanda e Italia en relación a la información proporcionada a los interesados cuando están grabando.

 

 

Las autoridades de protección de datos de Europa han cuestionado el nuevo producto que planea sacar Facebook en colaboración con Ray Ban, denominado “Facebook View” y que se presentó al público general con un pequeño vídeo promocional donde Mark Zuckerberg explicaba los atributos de las gafas, incluida su capacidad de realizar fotografías y grabar vídeos. En relación a esto último, y en previsión de las posibles preocupaciones vinculadas con la privacidad, Mark Zuckerberg explicó que se ha implementado una luz LED que se enciende cuando la grabación está activa, a fines informativos. Sin embargo, las autoridades de control de Irlanda y la de Italia destacan que una luz en la montura de las gafas podría no ser lo suficientemente significativa para comunicar de manera efectiva que se está grabando.

 

 

Las gafas Facebook View son mucho menos evidentes en lo relativo a la grabación que una cámara o un teléfono móvil.

 

En lo que respecta a la privacidad, es importante que las personas sean conscientes de que están siendo grabadas cuando esto ocurre, pues se trata de una percepción extendida cuando se saca una cámara o un teléfono móvil, pero no cuando se ve a alguien con unas gafas Ray Ban. De hecho, la mayoría de gente no busca una luz en unas gafas en circunstancias normales. Por este motive, las autoridades de control de Irlanda y la de Italia han emitido un comunicado conjunto donde consideran que unas gafas no pueden proporcionar de manera adecuada información sobre el hecho de que hay una grabación en curso.

 

 

Las autoridades de control solicitan a Facebook que demuestre la efectividad de la luz LED que se enciende cuando la grabación está activa, así como que lleve a cabo una campaña informativa.

 

Las autoridades de control de Irlanda e Italia alegan que Facebook no les ha demostrado que haya realizado pruebas exhaustivas para asegurar que la luz LED comunicará de manera efectiva que la grabación está activa y en consecuencia se le solicita a Facebook que lo haga, además de llevar a cabo una campaña informativa para alertar al público de manera adecuada sobre la existencia y funcionamiento de este nuevo producto, mediante el cual se pueden tomar vídeos y fotografías de manera mucho menos evidente de lo que permiten otros dispositivos en el mercado.

 

Cristina Contero Almagro, socia en Aphaia, destaca que “Facebook debería también explicar si planea combinar la información recogida mediante las gafas Facebook View con sus actuales bases de datos, especialmente porque este escenario parece muy probable si se tiene en cuenta que sus servicios principales consisten en que los usuarios de su red social puedan compartir fotos de sus amigos y contactos”.

 

 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IAimplementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.