La CNIL publica recursos de IA para apoyar a los profesionales

La CNIL publica una serie de recursos de IA en un esfuerzo por ayudar a los profesionales a cumplir con las normas aplicables. 

 

El incremento del uso de sistemas de IA a lo largo de los años presenta nuevos desafíos en el campo de protección de datos. Como parte de su misión relativa a la información y protección de los derechos, la CNIL ha publicado un conjunto de recursos dedicados a la IA, para ayudar a los profesionales, especialistas y el público en general. Este contenido forma parte de una estrategia europea mayor, que pretende promover la excelencia en el campo de la inteligencia artificial, e incluye normas enfocadas a garantizar la fiabilidad de las tecnologías IA. En concreto, se trata de desarrollar un marco normative sólido para la IA que se base en derechos humanos y valores fundamentales, para obtener así la confianza de los ciudadanos europeos. 

 

Además de ayudar a los profesionales a cumplir con las normas aplicables, los recursos de IA de la CNIL se orientan a especialistas en la materia y serán asimismo útiles para el público en general. 

 

Los recursos se orientan a tres sectores en concreto: profesionales de lA, que serían los responsables o subcontratistas, especialistas (investigadores de IA, expertos en ciencia de datos, ingenieros de machine learning, etc.) y el público en general. Estos recursos pueden ser muy útiles para aquellos miembros de la sociedad en general que estén interesados en el funcionamiento de los sistemas de IA y sus implicaciones en la vida diaria o para aquellos que deseen probar su funcionamiento. Estos recursos serán también muy útiles para los especialistas que traten con la IA de manera regular y aquellos que sientan curiosidad sobre las implicaciones que la IA conlleva para la protección de datos. Sin embargo, están principalmente pensados para profesionales, que traten datos de sistemas de IA o que pretendan hacerlo y necesiten saber cómo cumplir con el RGPD. 

Los recursos de IA de la CNIL incluyen dos extensas guías que pretenden impulsar a los profesionales a que tomen una mayor responsabilidad para cumplir con las normas aplicables en lo relativo al uso de sus sistemas de IA. 

 

Son dos los recursos publicados por la CNIL en este sentido y que pueden ser útiles para los profesionales de IA: por un lado, una guía detallada de cumplimiento con el RGPD y, por otro, una guía de autoevaluación para que las organizaciones comprueben sus sistemas de IA en relación con el marco del RGPD y sus requisitos. La guía de cumplimiento con el RGPD debería resultar práctico en todas las etapas de los sistemas de IA, desde las fases de aprendizaje hasta las de producción. Promueve una mejora y una evaluación continuas para confirmar que el sistema cumple con las necesidades operativas una vez que se ha implementado. Esta guía tiene en cuenta los retos que presentan los sistemas de IA y tiene como objetivo abordarlos de manera preventiva y constante a lo largo de su uso. La guía de autoevaluación proporcionada por la CNIL ha sido diseñada para que se utilice de forma conjunta con la guía del RGPD, y permite a los profesionales de IA comprobar la madurez de sus sistemas de IA en relación al RGPD. Se busca empoderar a estos profesionales con herramientas de enseñanza que fomentan la transparencia y los derechos de los usuarios, evitan brechas y aseguran el cumplimiento y las mejores prácticas.

¿Tu app o tus servicios utilizan IA y necesitas ayuda para cumplir con la normativa aplicable? Podemos ayudarte. Realizamos Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI y ofrecemos subcontratación del Delegado de Protección de Datos, entre otros servicios. Infórmate aquí.

Clearview AI es multada y se le solicita eliminar los datos tratados de forma ilegítima

Clearview AI ha sido multada por el Garante, la autoridad de control italiana, por varias infracciones del RGPD y deberá eliminar los datos y designar a un representante europeo. 

 

La compañía Clearview AI ha sido multada por otra autoridad de control europea, Garante, según informa el EDPB en esta publicación. La autoridad de control italiana también ha ordenado a la empresa que elimine de su base de datos todos los datos de sujetos italianos. Dicha base de datos había sido construida con aproximadamente 10 billones de rostros extraídos de imágenes obtenidas de la web mediante prácticas de scraping. Garante inició una investigación después de que se elaborase un informe sobre diversos problemas generados por productos de reconocimiento facial ofrecidos por Clearview AI Inc. La investigación puso en evidencia múltiples inconsistencias. Como resultado, Garante le ha impuesto una multa de 20 millones de euros y ha ordenado la prohibición de cualquier recogida y tratamiento de datos posterior, además de la eliminación de los datos de personas en el territorio italiano, incluidos datos biométricos, que formaban parte de la base de datos de la compañía y que eran utilizados por el sistema de reconocimiento facial de la misma. Clearview AI Inc. deberá también designar un representante europeo.

 

La investigación del Garante reveló varias infracciones graves cometidas por Clearview AI Inc. 

 

Las investigaciones de la autoridad de control italiana, iniciadas tras recibir varias quejas, descubrieron que Clearview AI permite el seguimiento de los nacionales italianos y las personas localizadas en Italia. Se identificaron así una serie de infracciones cometidas por Clearview AI Inc. Los datos personales se trataban por la compañía de manera ilegítima sin una base legal apropiada, incluidos datos biométricos y de geolocalización. Además, la empresa violó numerosos principios del RGPD, incluido el principio de transparencia, el de finalidad del tratamiento, el de limitación de la finalidad y el de limitación del plazo de conservación. Asimismo, Clearview AI no proporcionaba la información requerida por los artículos 13-14 del RGPD y tampoco había designado un representante en la UE. 

 

Clearview AI ha sido multada con 20 millones de euros y deberá eliminar los datos de todos los usuarios italianos.  

 

Garante ha impuesto una multa de 20 millones de euros a la empresa, la prohibición de recoger mediante técnicas de web scraping imágenes y metadatos de personas en el territorio italiano y la de seguir tratando los datos personales en general y datos biométricos en particular de dichos sujetos que estaban en posesión de la compañía mediante su sistema de reconocimiento facial. La autoridad de control también solicitó la eliminación de todos los datos, incluidos los datos biométricos y exigió la designación de un representante europeo. 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

Los supermercados británicos prueban sistemas que utilizan IA para verificar la edad en compras de alcohol.

Algunos supermercados británicos están probando sistemas que utilizan IA para verificar la edad de las personas que pretendan comprar alcohol en las cajas de autopago.

Algunos supermercados británicos han comenzado a probar sistemas de verificación de edad para las compras de alcohol en las cajas de autopago. Conforme a este artículo de la BBC, esta tecnología, entrenada con una base de datos de rostros anónimos, utiliza cámaras que pueden estimar la edad de los clientes con el consentimiento de los mismos. Todos aquellos usuarios cuya edad calculada sea inferior a 25 deberán presentar una identificación al personal en el momento de pago. 

Los creadores de este sistema defienden que no se trata de reconocimento facial y que no se retienen las imágenes. 

El sistema se orienta a agilizar el proceso de pago al eliminar la necesidad de esperar a que alguien del personal verifique las edades de los clientes que utilizan las cajas de autopago. La empresa que lo ha creado, Yoti, ha destacado que este sistema no es reconocimiento facial y que las imágenes captadas por las cámaras no se almacenan, con el objetivo de proteger la identidad de los clientes. Así, al contrario del reconocimiento facial, el sistema no relacionará los rostros de los clientes con aquellos de una base de datos, sino que simplemente los comparará con la base de datos de rostros anónimos para identificar su edad. Según Robin Tombs, el director ejecutivo de Yoti, «Nuestras soluciones de verificación de edad ayudan a los comercios minoristas como Asda a cumplir con los requisitos de los reguladores en todo el mundo y a la vez satisfacer la demanda de los clientes de obtener servicios de manera rápida mientras que se vela por la privacidad de los individuos”. 

Los desarrolladores de este sistema de IA también indican que las imágenes nunca se almacenan ni muestran a nadie. 

El sistema se ha probado en unos 125.000 rostros de personas entre seis y 16 años. De media,  fue capaz de averiguar la edad de los participantes con un margen de error de 1,5-2,2 años en sujetos con edades comprendidas entre los 16 y los 20 años.  Mientras que el uso de sistemas de reconocimiento facial en espacios públicos ha generado importantes debates en torno a la privacidad, los desarrolladores de esta tecnología de Verificación de edad sostienen que este sistema no es igual que el reconocimiento facial y que sus datos no son tratados y las imágenes no son almacenadas. La página web de la empresa señala que el sistema de estimación de edad puede integrarse en una app, página web o terminal POS. El sistema impulsado por IA puede estimar la edad de los interesados en segundos sin la necesidad de que proporcionen una identificación, y tampoco almacena las imágenes ni se comparten estas con nadie. 

Conforme al Dr Bostjan Makarovic, Socio Gerente de Aphaia, “El sistema podría no estar exento de potenciales problemas de cumplimiento, pues trata datos sobre las características faciales de los sujetos y su edad estimada, y después sobre esa base toma una decisión automatizada en relación al derecho de esa persona para comprar un determinado elemento. En consecuencia, la implementación del derecho a obtener intervención humana es crucial”.  

Según Cristina Contero Almagro, Socia en Aphaia, “Estos sistemas pueden dar lugar a problemas de discriminación si los datos empleados para entrenarlos no eran de una calidad adecuada, con lo que una evaluación de la ética de la IA podría ser necesaria para asegurar cumplimiento total”. 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

CLEARVIEW AI deberá eliminar una serie de fotografías por orden de la autoridad de control de Francia, CNIL

CLEARVIEW AI deberá eliminar una serie de fotografías obtenidas de internet por tratamiento ilegítimo de las mismas, tras investigación de la CNIL.

 

CLEARVIEW AI y su software de reconocimiento facial fueron llevados ante la CNIL por primera vez en mayo de 2020, lo que condujo a una investigación que destapó dos infracciones del RGPD: el tratamiento ilegítimo de datos personales y la falta de consideración sobre los derechos de los interesados, en especial en relación al derecho de acceso. Como resultado, la CNIL ordenó a CLEARVIEW AI facilitar el ejercicio del derecho de acceso y cesar la recogida y utilización de datos de personas en el territorio de Francia si no se cuenta con una base legítima para ello. Además, se le requirió a CLEARVIEW AI cumplir con todas las solicitudes de eliminación de datos. Para todo ello, la CNIL ha otorgado a la compañía un plazo de dos meses.

 

CLEARVIEW AI había desarrollado un sistema de reconocimiento facial que empleaba fotografías obtenidas de internet sin contar con consentimiento ni ninguna otra base legítima para el tratamiento.

 

CLEARVIEW AI había desarrollado un software de reconocimiento facial cuya base de datos se compone de fotografías y vídeos extraídos de internet. La empresa no contaba con el consentimiento de los sujetos que aparecían en dicho contenido y tampoco existía ninguna base legítima para el tratamiento conforme al artículo 6 del RGPD, y por tanto se trata de un incumplimiento directo del mismo. La recopilación de datos de decenas de millones de interesados en el territorio de Francia sin contar con interés legítimo se considera como particularmente intrusivo.

 

Cristina Contero Almagro, Socia de Aphaia, señala que “debe tenerse en cuenta que el hecho de que los datos sean públicos no significa que puedan utilizarse libremente. El RGPD se aplica también a los datos personales disponibles de manera pública, y por tanto se precisa una de las bases del artículo 6 del RGPD para poder tratarlos de forma legítima. Si dicha base es el interés legítimo, tendrá que llevarse a cabo una Evaluación de Interés Legítimo”.

La CNIL también concluyó que CLEARVIEW AI habría infringido los artículos 12, 15 y 17 del RGPD, pues resultaba difícil para los interesados ejercer sus derechos frente a la compañía.

 

Las numerosas quejas recibidas por la CNIL señalaban que CLEARVIEW AI infringía los derechos de los interesados, en concreto el derecho de acceso y el derecho de supresión. La CNIL concluyó que la empresa había estado limitando el derecho de acceso a datos recogidos durante los 12 meses anteriores a la solicitud. Además, los interesados sólo podían ejercer este derecho frente a CLEARVIEW AI dos veces al año, sin ninguna justificación. La empresa únicamente respondía a algunas solicitudes tras recibir una gran cantidad de ellas enviadas por la misma persona y, cuando éstas versaban sobre el derecho de supresión, bien no había ninguna respuesta o ésta era incompleta. La CNIL ha requerido a CLEARVIEW AI que adapte sus prácticas a la normativa aplicable, que cese el tratamiento ilegítimo de datos y que elimine todos los datos tratados sin base legal, todo ello en un plazo de dos meses.

 

 

 

¿Conoces las bases que legitiman el tratamiento de datos? ¿Has implementado un proceso para lidiar con los derechos de los interesados? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IAimplementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de DatosInfórmate aquí.