La policía de Londres utilizará reconocimiento facial en diferido

La policía de Londres comenzará a utilizar reconocimiento facial en diferido a finales de este año o a principios del siguiente.

 

 

El Servicio de Policía Metropolitana de Londres (MPS) ha obtenido autorización para utilizar reconocimiento facial en diferido y empezará a implementarlo en los próximos meses. Esta tecnología ha sido ya probada por las fuerzas y cuerpos de seguridad del sur de Gales y ha demostrado presentar una gran efectividad en el cumplimiento de la ley. Hace unos días publicamos un artículo sobre el uso de la tecnología de reconocimiento facial por parte de varias agencias gubernamentales en Estados Unidos. Sin embargo, es importante destacar que, al contrario que ellas, la Policía Metropolitana de Londres no usará reconocimiento facial en tiempo real.

 

La policía de Londres ha firmado un contrato de cuatro años con la empresa encargada de ofrecer el servicio.

 

La Policía Metropolitana de Londres ha firmado un contrato de cuatro años por más de tres millones de euros con Northgate Public Services. Se espera que esta tecnología optimice el tiempo que se necesita para vincular una imagen con su identidad. Así, imágenes capturadas por cámaras en robos, asaltos y tiroteos y aquellas compartidas por testigos, pronto se usarán para identificar a las personas involucradas, a través de técnicas de reconocimiento facial en diferido. Se espera que esta medida sea de gran utilidad en la resolución de delitos e incremente la seguridad de los ciudadanos londinenses.

 

A pesar de que el reconocimiento facial en diferido es menos controvertido que aquel en tiempo real, la Policía Metropolitana realizará las consultas pertinentes antes de implementarlo.

 

Si bien el reconocimiento facial en tiempo real compara las imágenes con las de personas bajo vigilancia, el reconocimiento facial en diferido permitirá vincularlas con una lista mucho más amplia. El reconocimiento facial en tiempo real se considera mucho más controvertido y ha recibido una gran cantidad de respuestas negativas, también de la presidenta de la ICO, cuyas palabras han aparecido recientemente en Forbes “Deberíamos poder llevar a nuestros hijos a centros de ocio, de visitar centros comerciales o de recorrer ciudades sin que nuestros datos biométricos sean recogidos y analizados a cada paso que damos”. A pesar de que el reconocimiento facial es menos controvertido, el Servicio de Policía Metropolitana está realizando consultas con el Panel de Ética Policial de Londres, que se espera que se una a las conversaciones el próximo mes.

 

Conforme a Cristina Contero Almagro, Socia de Aphaia, “A pesar de ser reconocimiento facial en diferido, las imágenes y vídeos se tratan con la finalidad de identificar a un individuo de manera única, con lo que deberán aplicarse los requisitos adicionales para tratamientos sensibles y una Evaluación de Impacto podría ser necesaria”.

 

¿Utilizas IA en tu empresa y necesitas ayuda para cumplir con la normativa aplicable? Podemos ayudarte. Realizamos Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IAimplementación del RGPD, la LOPDGDD y la LSSI y ofrecemos subcontratación del Delegado de Protección de Datos, entre otros servicios. Podemos ayudarte. Infórmate aquí.

Los banners de consentimiento de cookies, entre los temas de debate en la última cumbre de la ICO y los países del G7

La ICO indica que los banners de consentimiento de cookies deberán abordarse para ofrecer un consentimiento más significativo y una mejor experiencia de navegación.

 

La semana pasada tuvo lugar una cumbre en la que participaron las autoridades de control de protección de datos de los países del G7 y la ICO, que propuso una serie de cambios sobre la manera en la que actualmente se gestionan los banner de cookies, tras informar sobre la gran cantidad de quejas recibidas en relación a la necesidad de interactuar con los banner de cookies de manera continua cuando se accede a una página web. La ICO señaló también que estas herramientas por lo general hacen que los usuarios otorguen su consentimiento para más categorías de datos personales y usos de los mismos de lo que realmente quisieran. Puede accederse al comunicado aquí.

 

La ICO considera que los actuales banners de cookies pueden llevar a los sujetos a consentir más usos de sus datos personales de los que quisieran.

 

Los banners de cookies y los requisitos de consentimiento han sido tema de debate durante mucho tiempo, no sólo entre los usuarios de internet, sino también entre las autoridades de control. Uno de los pronunciamientos más recientes en este sentido fue el de la autoridad de control de Malta, del que informamos en nuestro blog. La ICO defiende que el formato actual de los banners de cookies no ofrece a los sujetos una posibilidad de elección absoluta, pues están configurados de tal manera que hacen que estos otorguen su consentimiento para más datos y tratamientos de los que realmente desearían

 

Mientras que el modelo actual cumple con la normativa de protección de datos, la ICO sostiene que las autoridades del G7 tienen poder suficiente para influir en su desarrollo futuro.

 

La ICO anunció hace unas semanas su intención de realizar varios cambios sobre su modelo de protección de datos, entre los que se encuentran los banner de cookies como uno de los principales elementos. A pesar de que el estándar actual cumple con la normativa de protección de datos, la ICO cree que las autoridades del G7 pueden influir en su desarrollo futuro.  El enfoque de la ICO se basa en que los navegadores, las apps y los ajustes de los dispositivos permitan a los sujetos establecer preferencias de privacidad duraderas, en lugar de tener que hacerlo de manera individual mediante banners de cookies cada vez que acceden a una página web o app. La autoridad de control de Reino Unido mantiene que esta alternativa dará lugar a un consentimiento más consciente, y que, aunque se trata de una opción que ya es posible tecnológicamente y que además cumple con el marco vigente, aún queda mucho trabajo para hacer el cambio efectivo y promover soluciones orientadas a la privacidad.

 

La actual normativa de cookies se encuentra dividida entre el RGPD y la Directiva ePrivacy.

 

Actualmente las normas sobre cookies están recogidas tanto en el RGPD como en la Directiva ePrivacy. Existen varios tipos de cookies entre las cuales los usuarios pueden realizar su selección. Por ejemplo, pueden decidir permitir sólo el uso de cookies estrictamente necesarias y rechazar todas aquellas que sean adicionales con finalidades de marketing o análisis de preferencias.  El Considerando 30 del RGPD menciona la importancia de las cookies en tanto en cuanto pueden ser empleadas para identificar a los sujetos, sobre todo si se tiene en cuenta la cantidad de información del usuario a la que se puede acceder mediante las cookies. La Directiva ePrivacy es también conocida como la “ley de cookies”, pues ha sentado las condiciones de los actuales banners de cookies y dado lugar a un consentimiento ético. Las reglas que regulan las cookies y las cookies empleadas cambian continuamente, lo que implica que los banners y las políticas de cookies requieren revisión continua.

 

 

¿Utilizas cookies en tu página web o app? ¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.

La autoridad de control de Portugal ordena al Instituto de Estadística suspender todas las transferencias internacionales de datos en un plazo de 12 horas

A principios de esta semana, la autoridad de control de Portugal ordenó al Instituto de Estadística suspender todas las transferencias de datos a terceros países en un plazo de 12 horas.

La autoridad de control de Portugal (CNPD) ha ordenado al Instituto de Estadística (INE) suspender todas las transferencias internacionales de datos relacionadas con el censo en un plazo de 12 horas por no ofrecer un nivel adecuado de protección para las mismas, conforme informa la IAPP. Tras recibir varias quejas sobre las condiciones de recogida de datos mediante internet, la autoridad de control llevó a cabo una breve investigación, lo que reveló que el INE usaba Cloudfare Inc, una empresa de seguridad estadounidense, para gestionar las encuestas del censo. Dada la naturaleza de los servicios ofrecidos por Cloudfare, la empresa está directamente sujeta a la legislación sobre vigilancia con fines de seguridad nacional.

Aunque las transferencias internacionales se basaban en SCC, se concluyó que los datos no se encontraban debidamente protegidos.

Incluso en los casos en que las transferencias se encontraban cubiertas por Cláusulas Contractuales Tipo, las autoridades de control se ven obligadas a suspender o prohibir las transferencias de datos cuando no existan garantías de que los datos personales quedarán en el país de destino sujetos a un nivel de protección similar al de la Unión Europea. Las autoridades de vigilancia de Estados Unidos imponen a ciertas empresas una obligación legal de conceder a las autoridades estadounidenses acceso ilimitado a los datos que traten sin poder informar a los sujetos afectados al respecto. Dado que CloudfareInc. se encuentra sujeta a dicha normativa y trata grandes cantidades de datos personales de ciudadanos portugueses, la transferencia presentaba un alto riesgo.

La CNPD ordenó al Instituto de Estadística el cese de todas las transferencias internacionales de datos en un plazo de 12 horas debido a la naturaleza sensible de la información recogida.

La recogida de datos por parte del INE con el fin de elaborar el censo comenzó el 19 de abril y se esperaba que estuviese completada para el 3 de mayo. Sin embargo, debido a las quejas recibidas por la CNPD en la primera semana, se ordenó el cese de las transferencias en un plazo de 12 horas. La principal razón para la orden de cese fue, además de la gran cantidad de datos tratados, la naturaleza sensible de los mismos, pues incluía información como creencias religiosas y salud.

En los últimos meses, varias autoridades de control de Europa han lidiado con casos similares.

En los últimos meses otras autoridades de control europeas como España y Alemania han tomado acciones similares en relación a la transferencia de datos sobre la base de Cláusulas Contractuales Tipo. Las transferencias a Estados Unidos o a cualquier otro tercer país que no ha sido reconocido con un nivel adecuado de protección de datos pueden presentar problemas, y el riesgo es especialmente alto cuando se trata de categorías especiales de datos, como en este caso. Cuando se realicen transferencias internacionales de datos es extremadamente importante que se garantice, mediante medidas adicionales, un nivel de protección de datos equivalente al que ofrece la normativa europea.

¿Realizas transferencias internacionales de datos a terceros países? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de transferencias de datos y subcontratación del Delegado de Protección de DatosInfórmate aquí.

Una resolución de un tribunal de Francia arroja más contexto sobre la aplicación del caso “Schrems II” bajo el RGPD.

Una resolución de un tribunal de Francia arroja más orientaciones sobre la aplicación del caso “Schrems II” al considerar que los datos almacenados por una filial de una empresa de Estados Unidos se encuentran suficientemente protegidos. 

 

El más alto tribunal administrativo de Francia emitió a principios de mes una resolución en la que determinaba que una plataforma de reservas para vacunación del COVID-19 alojada en Amazon Web Service, también conocido como AWS, se encontraba suficientemente protegida bajo el RGPD. Inicialmente se plantearon algunas cuestiones en torno a si el uso de los servidores de Amazon Web Services como plataforma para el almacenamiento de los datos era compatible con el RGPD tras la sentencia “Schrems II”, dado que el encargado de tratamiento estaría sujeto a la normativa estadounidense. La resolución final en este caso se basó en el hecho de que el Tribunal considera que existen suficientes garantías técnicas y legales en caso de que las autoridades estadounidenses solicitasen acceso a los datos. Este hecho ofrece contexto alrededor de la aplicación de “Schrems II” y tiene grandes implicaciones para muchas empresas, a la vez que subraya la necesidad de aplicar salvaguardas adicionales cuando los datos son tratados por una filial de una empresa no europea.  

 

Se determinó que si bien se trata de una preocupación común, los datos de salud alojados por una empresa sujeta a la normativa estadounidense se encontraban lo suficientemente protegidos bajo el RGPD.  

 

Los demandantes alegaron en este caso que el almacenamiento de datos por una empresa sujeta a la normativa estadounidense presentaba varios riesgos, no sólo la transferencia de datos a Estados Unidos, sino también el posible acceso a dichos datos por parte de las autoridades estadounidenses si así se solicitase. Los demandantes lo consideraron un asunto sensible y de urgencia dado el nivel de riesgo percibido. Sin embargo, lo que en principio se señaló como una posible brecha del RGPD bajo “Schrems II”, finalmente resultó en cumplimiento con la normativa, pues se valoró que los datos estaban suficientemente protegidos conforme al RGPD en virtud de las extensas medidas legales y técnicas aplicadas por el demandado, Doctolib. Así por tanto, el juez falló en contra de la solicitud de los demandantes para suspender el servicio.

 

La resolución del tribunal de Francia fue el resultado de una detallada evaluación de las medidas técnicas y legales incluidas en el acuerdo entre las partes. 

 

La resolución del tribunal de Francia se emitió tras llevar a cabo una detallada evaluación de las medidas técnicas y legales y de otras garantías acordadas por Doctolib y Amazon Web Services. El análisis determinó que el contrato entre ambas partes incluía varias provisiones en este sentido, y consideraba un procedimiento específico en caso de solicitudes de acceso por parte de un tercer país. La garantía legal aportada aquí consiste en que se cuestionarán y rebatirán todas las solicitudes de acceso que el encargado reciba por parte de las autoridades. El juez también valoró que los datos estuviesen encriptados con la clave en manos de un tercero de confianza y no Amazon Web Services. Además, se observe que los datos transmitidos a Doctolib a través de la campaña de vacunación no contenían información sensible sobre salud que especificase, por ejemplo, que un cierto candidato tiene prioridad para la vacunación debido a determinada condición pre existente. Como medida extra, cualquier dato introducido por los usuarios con la finalidad de identificación para conseguir una cita de vacunación es eliminado como mucho tres meses después de la misma. 

 

El Dr Bostjan Makarovic, Socio Gerente de Aphaia, apunta que: “La resolución deja entrever que hay espacio para la coherencia en la aplicación de Schrems II, lo cual debería en términos generales percibirse como buenas noticias para la industria online”. 

Cristina Contero Almagro, socia de Aphaia, señala que: “Es muy importante que las empresas lleven a cabo un análisis de sus flujos de datos, los países involucrados y las medidas que deben aplicarse según el riesgo identificado; esto es lo que se denomina ‘Evaluación de Impacto de Transferencias de Datos”. 

Este caso destaca la necesidad de contar con garantías técnicas y legales, las cuales deberían aplicarse incluso cuando los datos no se transfieren fuera de la UE. 

 

Uno de los elementos principales de cumplimiento con “Schrems II” reside en las medidas técnicas como la pseudonimización y la encriptación, junto a la confirmación de que el encargado no tiene manera de acceder a la clave de descifrado, especialmente cuando las autoridades podrían acceder a la misma. Las garantías legales, como aquellas tomadas por . Doctolib, son también especiales. Mientras las nuevas Cláusulas Contractuales Tipo recientemente publicadas por la Comisión Europea contienen provisiones similares, se recomienda, en previsión de las mismas, que las empresas incluyan cláusulas alrededor de este tipo de garantías en un anexo específico, incluso en los casos en que no hay transferencia de datos fuera de la UE. 

 

¿Realizas transferencias internacionales de datos a terceros países? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de transferencias de datos y subcontratación del Delegado de Protección de DatosInfórmate aquí.