Uso de reconocimiento facial por parte de las agencias federales estadounidenses

Tienes que añadir un widget, una fila o un diseño preconstruido antes de que puedas ver algo aquí. 🙂

Encuesta sobre el uso actual y futuro del reconocimiento facial por parte de las agencias federales estadounidenses. 

El uso de tecnologías de reconocimiento facial tanto por el sector público como por el sector privado es un tema de debate recurrente a nivel mundial. En Europa se han promovido en los últimos años varias iniciativas para prohibirlas. En Estados Unidos ya las emplean muchas agencias federales, según informa esta publicación que refleja los resultados de la encuesta de la que aquí hablamos. La encuesta, llevada a cabo por la Oficina de Rendición de Cuentas del Gobierno de Estados Unidos sobre 24 agencias federales concluyó que la tecnología de reconocimiento facial tenía aplicaciones prácticas de grado militar, desde ciberseguridad hasta seguridad física, incluida investigación de delitos. Los resultados de la encuesta también reflejaron que las agencias del gobierno emplean la tecnología de reconocimiento facial con varias finalidades. 

La mayoría de agencias federales informaron de que emplean la tecnología de reconocimiento facial con varias finalidades. 

A través de los años ha habido un aumento progresivo en el uso e interés de la tecnología de reconocimiento facial, lo que hace esencial comprender su funcionamiento en todos los ámbitos. La Oficina de Rendición de Cuentas del Gobierno de Estados Unidos ha sido encomendada con la tarea de evaluar el uso de la tecnología de reconocimiento facial por parte de las agencias federales, llevar a cabo la investigación correspondiente y recopilar información al respecto sobre los planes futuros hasta el año 2023. Las conclusiones han sido publicadas tras completar la encuesta, estudiar toda la documentación disponible y entrevistar a los funcionarios de las 24 agencias, de las cuales 18 informaron de que utilizan esta tecnología con diversas finalidades. 

Acceso digital: 

De las agencias federales que llevaron a cabo la encuesta, 16 de ellas information de que usan la tecnología de reconocimiento facial para ciberseguridad o acceso digital. De estas 16 agencias, 14 afirmaron que estos sistemas se emplean para desbloquear smartphones expedidos por ellas y las otras dos reconocieron que se hace uso de la misma para monitorizar a las personas que acceden a las páginas web del gubernamentales. 

Aplicación de la ley:

En el campo de aplicación de la ley, seis de las agencias federales usan la tecnología de reconocimiento facial para conseguir pistas en las investigaciones, como por ejemplo identificar a los presuntos delincuentes y obtener información sobre las víctimas de delitos a través de recursos disponibles de manera pública.  

Seguridad física:

Otras cinco agencias reportaron un uso de reconocimiento facial destinado a vigilancia. Una de ellas en concreto identifica a personas que se encuentran en listas de vigilancia y alertan en consecuencia al personal de seguridad. Además, diez agencias explicaron que están llevando a cabo una investigación y desarrollo relative a la tecnología de reconocimiento facial, incluida su habilidad para identificar a personas que llevan mascarillas. 

Planes futuros de uso de la tecnología de reconocimiento facial:

En torno a diez agencias planean expandir el uso de reconocimiento facial para 2023. También alegaron que pretenden usar la tecnología de reconocimiento facial para automatizar el proceso de verificación de identidad en los aeropuertos. 

Europa ha solicitado en varias ocasiones que se prohíba la tecnología de reconocimiento facial en espacios públicos. 

En Europa, los correspondientes organismos han solicitado en varias ocasiones que se prohíba el uso de tecnología de reconocimiento facial en espacios públicos, la más reciente el pasado junio cuando el CEPD y el SEPD publicaron un comunicado conjunto al respecto. Si bien se acogió con satisfacción el objetivo de abordar este problema, existe preocupación sobre la exclusión de cooperación internacional, y se basó la solicitud de veto en los altos riesgos asociados con la identificación biométrica, incluido el reconocimiento facial, de sujetos en espacios de acceso público.

¿Qué dice el RGPD sobre la tecnología de reconocimiento facial?

El RGPD define los datos biométricos como “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”. Conforme al artículo 9 del RGPD, el tratamiento de datos biométricos, que se considera categorías especiales de datos personales, se encuentra prohibido salvo que se cuente con consentimiento explícito o se den algunas de las otras condiciones recogidas en el RGPD o en la normativa aplicable. 

¿Cuáles son los factores clave a tener en cuenta si se planea usar reconocimiento facial? 

Existen varios factores que deberán tener en cuenta las empresas u organizaciones que quieran emplear reconocimiento facial. En primer lugar, es esencial confirmar la base legítima que se aplica en cada caso, de acuerdo a la normativa nacional y europea. Cuando se trata de categorías especiales de datos personales, como en este caso, se deberá cumplir también con alguna de las condiciones establecidas en el artículo 9 del RGPD. En caso de que el tratamiento se base en consentimiento explícito, se deberá confirmar que éste es válido. En segundo lugar, el principio de proporcionalidad también deberá ser tenido en cuenta y tendrá que llevarse a cabo una Evaluación de Impacto de Protección de Datos conforme al artículo 35 del RGPD, el cual ayudará a determinar el riesgo específico para los derechos y libertades de los sujetos. 

Cristina Contero Almagro, Socia en Aphaia, considera que “No es sólo el derecho a la protección de datos el que puede verse afectado por las tecnologías de reconocimiento facial. Si no se emplea de manera adecuada, también puede dañar otros derechos fundamentales, como el derecho a la igualdad y a la no discriminación. En consecuencia, es esencial que se tenga en cuenta todo el marco legal aplicable a lo largo de todo el ciclo de vida tanto del sistema como de los resultados obtenidos con su uso. La habilidad de asegurar un adecuado nivel de protección y seguridad en todos los campos determinará la adopción de esta tecnología y nuestra capacidad para disfrutar de los beneficios que conlleva”. 

¿Utilizas IA en tu empresa y necesitas ayuda para cumplir con la normativa aplicable? Podemos ayudarte.Realizamos Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI y ofrecemos subcontratación del Delegado de Protección de Datos, entre otros servicios. Podemos ayudarte. Infórmate aquí.

Propuesta de Reglamento de la UE sobre IA

La propuesta de Reglamento de la UE sobre IA se centra principalmente en el nivel de riesgo asociado al sistema de IA. 

 

En abril de este año, la UE se convirtió en la primera institución internacional en crear un marco legal para regular los sistemas de Inteligencia Artificial (IA). La propuesta sienta las bases y mecanismos para identificar los riesgos asociados a la IA y ofrecer soluciones factibles a los mismos. Con esta iniciativa, la UE da un giro a su tradicional enfoque sobre IA y robótica, que hasta ahora había estado marcado por el “soft-law”. Así, la propuesta de Reglamento contiene normas para el desarrollo y uso de sistemas de IA en la UE, prohibiciones, requisitos y obligaciones específicos para operadores de sistemas de IA de “alto riesgo”, normas sobre transparencia y normas sobre control y vigilancia del mercado.

 

Los sistemas de IA se evalúan y clasifican en cuatro grupos conforme al nivel de riesgo percibido. 

 

El Reglamento distingue los sistemas de IA según el riesgo percibido, y los clasifica en cuatro categorías: riesgo inaceptable (sistemas completamente prohibidos), alto riesgo (sistemas sujetos a unas determinadas normas), riesgo limitado y riesgo mínimo (sujetos a códigos de conducta, fuera del Reglamento). Mientras que otras áreas quedan más claras, este no es el caso con los sistemas de IA de alto riesgo, que requerirán un control estricto, evaluaciones de riesgo detalladas y supervisión humana. Ejemplos de sistemas de IA de alto riesgo son aquellos empleados en infraestructuras críticas como transporte, cumplimiento de la ley, administración de justicia y control de fronteras, entre otros. 

 

La propuesta de Reglamento introduce normas y responsabilidades para los proveedores de sistemas de IA, incluso después de que éste haya sido vendido. 

 

La propuesta de Reglamento va más allá de la mera definición de los sistemas que precisan regulación y establece responsabilidad civil en ciertos casos, como aquella que puede recaer sobre los proveedores que ponen el sistema en el mercado. Estos deberán asegurar que se observan y respetan las prácticas de gobierno y gestión del dato y que se cumple con las normas, incluso después de la venta del sistema de IA, en relación a lo cual el proveedor tendrá que implementar un control postventa que le permita confirmar que se aplica la normativa y tomar medidas en caso de no ser así.

 

La propuesta también hace obligatorio para los proveedores ofrecer a los usuarios la posibilidad de supervisar los sistemas de IA de alto riesgo a fin de prevenir cualquier riesgo potencial. 

 

En caso de incumplimiento se prevén multas que pueden alcanzar el 6% del beneficio anual de la empresa. A pesar de que aún hay algún tiempo hasta que el Reglamento comenzase a aplicarse, pues ocurriría 24 meses después de la adopción de la propuesta, es recomendable que las empresas y operadores que pueden verse sujetos al mismo comiencen a revisar sus sistemas de IA y las prácticas asociadas a los mismos. 

 

Mientras que el Reglamento se aplicaría en el contexto de la Unión Europea, la UNESCO está también trabajando en una Recomendación sobre la Ética de la IA, lo cual tomaría un alcance global. 

¿Quieres explorar estas novedades en detalle? No te pierdas nuestro último vlog:

 

https://youtu.be/XqaMkkcP3i8

 

Para aprender más sobre IA y Regulación, visita nuestro Canal de Youtube. 

 

¿Utilizas IA en tu empresa y necesitas ayuda para cumplir con la normativa aplicable? Podemos ayudarte. Realizamos Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI y ofrecemos subcontratación del Delegado de Protección de Datos, entre otros servicios. Podemos ayudarte. Infórmate aquí.

Una decisión vinculante del CEPD modifica una resolución anterior sobre el caso de WhatsApp Irlanda

Una decisión vinculante del CEPD modifica el borrador de decisión sobre la controvertida actualización de la política de privacidad de WhatsApp y menciona la infracción del principio de transparencia y la necesidad de recalcular el importe de la multa  

 

A raíz de la controvertida actualización de la política de privacidad de WhatsApp, la autoridad de control de Irlanda emitió una resolución inicial. Sin embargo, otras autoridades de control presentaron sus objeciones a la misma. De acuerdo a este informe, el Comité Europeo de Protección de Datos (CEPD) ha adoptado una decisión vinculante conforme al Artículo 65 del RGPD por la cual reconoce la necesidad de realizar una serie de modificaciones en varias áreas de la resolución de la autoridad de control de Irlanda, entre las que se incluyen las partes relativas a la infracción del principio de transparencia, la subestimación del cálculo de la multa y la otorgación de un plazo indulgente para actualizar sus operaciones en cumplimiento con la normativa. El artículo 65 del RGPD permite al CEPD tomar la decisión final cuando existe desacuerdo entre la autoridad de control principal y otras autoridades de control interesadas en la materia.  

El CEPD explica que la infracción implica una brecha del principio de transparencia del RGPD. 

 

El CEPD señaló que la información proporcionada no aportaba detalles sobre los intereses legítimos que se persiguen, lo cual supone una infracción del artículo 13 (1) (d) del RGPD. El CEPD explicó también que de ello se derivaba una brecha del principio de transparencia del Artículo 5 (1) (a) del RGPD. De hecho, el procedimiento empleado para recoger datos de no usuarios no asegura que se haga de forma anónima. 

La decisión vinculante del CEPD toma en cuenta el beneficio de la matriz de WhatsApp para decidir el importe de la multa. 

El CEPD considera que el beneficio de una empresa no es sólo importante para el cálculo de la máxima multa que se puede imponer, sino que también debe tenerse en cuenta para determinar el importe recomendado para una multa a fin de que ésta sea proporcionada, efectiva y con efecto disuasorio. Asimismo, el CEPD indicó que a estos efectos deberá considerarse también el beneficio de la empresa matriz (en este caso, Facebook Inc.). Por otro lado, el CEPD interpretó por primera vez el Artículo 83 (3) del RGPD, en relación al cual concluyó que cuando se han cometido varias infracciones vinculadas con las mismas actividades de tratamiento, todas ellas deberían valorarse para el cálculo de la multa. 

El CEPD también propone un plazo más corto para que WhatsApp actualice sus operaciones en cumplimiento con la normativa.  

La autoridad de control de Irlanda estableció un plazo de seis meses para que WhatsApp actualizase sus operaciones en cumplimiento con la normativa aplicable. Sin embargo, el CEPD considera que las obligaciones relativas al principio de transparencia deben ser implementadas a la mayor brevedad posible. Como resultado, se reduce el plazo inicial de seis meses a tres. 

 

En consecuencia, la autoridad de control de Irlanda ha adoptado una nueva resolución que incorpora los comentarios del CEPD. WhatsApp Irlanda ha sido notificado debidamente de esta resolución y también se ha adjuntado una copia de la decisión del CEPD. 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.

Multa a una empresa de Viena por tratamiento ilegítimo de datos bajo el RGPD

Una empresa de Viena se enfrenta a una multa de dos millones de euros por recogida y tratamiento ilegítimo de datos bajo el RGPD. 

 

El operador de programas de fidelidad Unser Ö-Bonus Club GmbH deberá hacer frente a una multa de dos millones de euros por tratamiento ilegítimo de datos. La compañía ha sido acusada de recoger datos de los interesados sin informarles de manera debida sobre las finalidades del tratamiento. Conforme al RGPD, los sujetos han de recibir información suficiente y completa sobre los usos que se les va a dar a sus datos y tener el derecho de decidir no proporcionar su información en caso de estar en desacuerdo. Esta decisión de la autoridad de control de Austria demuestra que las empresas que instan a sus consumidores a aceptar la política de privacidad sin ofrecerles una oportunidad real de leer y comprender los términos quedan expuestas a que se les pueda imponer una multa por no cumplir con la normativa. Cabe asimismo destacar que se les debería preguntar a los interesados si han “leído y comprendido” la política de privacidad, en lugar de solicitarles que la “acepten”, pues esto último queda reservado a aquellos casos en los que la base legítima para el tratamiento sea consentimiento.

 

A pesar de que la empresa sí proporcionaba la política de privacidad, ésta no era fácil de localizar y por tanto se consideró que no informaba de manera adecuada a los usuarios. 

 

La investigación reveló que Unser Ö-Bonus Club GmbH había habilitado un formulario de registro mediante el cual se recogían datos personales, los cuales después eran empleados para crear perfiles para los usuarios. Posteriormente esta información se compartía con empresas de publicidad con finalidades de marketing. Si bien la compañía ponía a disposición de los usuarios una política de privacidad, esta se encontraba situada de tal manera que no se localizaba con facilidad, debajo de las opciones “sí” o “no”.  Se consideró por tanto que este formato no permitía informar de forma plena a los sujetos.  

 

Se concluyó que la empresa había infringido varias provisiones del RGPD. 

 

Se determinó que Unser Ö-Bonus Club GmbH había infringido varios artículos del RGPD así como una serie de recomendaciones y orientaciones, en los campos de recogida de información, consentimiento, tratamiento de datos con finalidad de elaboración de perfiles e incumplimiento continuado tras la admisión de los hechos. Estas violaciones están vinculadas con los Artículos 6, 7, 12 y 13 del RGPD. Conforme al RGPD, las empresas podrán únicamente tratar los datos personales cuando cuentan con una finalidad legítima, y deberán ser capaces de demostrar que han recogido el consentimiento debido cuando este es aplicable. También se tendrá que proporcionar una serie de información sobre el tratamiento en el momento en que se recogen los datos y no se podrá ocultar ningún elemento ni detalle al respecto. 

 

La multa impuesta se vio incrementada por las prácticas continuadas de tratamiento de datos recogidos de manera ilegítima tras admitir las infracciones cometidas. 

 

La compañía continuó tratando los datos recogidos de manera ilegítima aun después de admitir las infracciones cometidas al respecto. Aunque el formulario se modificó para cumplir con los requisitos del RGPD, no dejaron de usarse los datos que se habían recogido por medio del anterior formulario, que había sido considerado inapropiado. La compañía acusó a la autoridad de control de Austria por no informarles de que el uso continuado de dichos datos se consideraba ilegítimo y no ético. Sin embargo, la autoridad de control decidió imponer una multa por dicho incumplimiento de manera separada, lo que hizo que la sanción alcanzase un total de dos millones de euros.  

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.