Utilizarea tehnologiei de recunoaștere facială în școli este ilegală!

ANSPDCP

Vizualizari: 1648

Facebooktwittergoogle_plusredditpinterestlinkedinmail

În timp ce Autoritatea franceză pentru protecția datelor (CNIL) a declarat ilegală recunoașterea facială în școli, autoritatea din România (ANSPDCP) declara că nu intră în sarcinile ei să se pronunțe asupra utilizării acestei tehnologii. 

La Quadrature du Net, un ONG francez care apără libertățile fundamentale în lumea digitală, a anunțat o prima victorie în lupta pe care acesta o duce împotriva cenzurii și supravegherii cetățenilor francezi.

Conform La Quadrature du Net, CNIL a emis o decizie potrivit căreia sistemul de recunoaștere facială din cele două licee din regiunea de Sud „nu poate fi pus în aplicare legal”. CNIL nu propune măsuri corective respingând acest tip de prelucrare în principiu

În decembrie 2018, Consiliul Regiunii Sudice a autorizat un experiment pentru instalarea unor sisteme de recunoaștere a feței în două licee, Les Eucalyptus din Nisa și Ampère din Marsilia, pentru a controla accesul în cele două înstitușii, aceste proiecte finanțate integral de compania americană Cisco. (la ei măcar se fac pe gratis, noi mai dăm și bani)

În februarie 2019, membri ai societății civile din Franța au formulat recurs la Curtea Administrativă din Marsilia solicitând anularea implementării sistemului. Argumentele se bazează în principal pe Regulamentul general privind protecția datelor cu caracter personal (GDPR), acuzând lipsa evaluării impactului în momentul proiectării acestui proiect, lipsa unui cadru legal pentru recunoașterea facială, tratarea datelor biometrice în mod evident disproporționat față de obiectivul urmărit.

În decizia sa, CNIL a argumentat că utilizarea acestui tip de monitorizare, fie și la nivel experimental, este disproporționată:

Dispozitivele de recunoaștere facială prevăzute, chiar dacă acestea ar fi puse în aplicare pe o bază experimentală și s-ar baza pe acordul elevilor, pentru a controla accesul la două licee din zona dvs., nu respectă principiile proporționalității", a subliniat CNIL

CNIL consideră că scopul acestui sistem de recunoaștere facială, care se presupune că „asigură și fluidizează intrările în cele două licee”, ar fi putut fi „realizat în mod rezonabil prin alte mijloace”, cum ar fi „prezența supraveghetorilor la intrarea în licee”.

Aceasta decizie pune la îndoială legalitatea utilizării acestui tip de tehnologie: prea periculos pentru libertățile noastre, aceste sisteme automatizate ar trebui să fie întotdeauna utilizate în favoarea persoanelor.

Decizia CNIL are doar rol consultativ dar aplicativitate generală

Decizia CNIL nu este executorie, Consiliul Regiunii Sudice având posibilitatea să o ignore și să continue experimentul, cu riscul de a face obiectul unei acțiuni în instanță pentru încălcarea drepturilor persoanelor.

Decizia CNIL contestă în mare măsură legalitatea utilizării sistemelor de recunoașterea facială, fie că este vorba de proiectul național de identificare online Alicem sau chiar de sisteme mai vechi, precum sistemul de recunoașterea facială în aeroporturi PARAFE. Astfel, acuzațiile expuse de CNIL în decizia sa împotriva utilizării unui sistem de recunoaștere sistemul în licee sunt aplicabile și celorlalte sisteme care se bazează pe aceeași tehnologie.

Această decizie este suficient de fermă pentru a înfrâna tentația de a folosi recunoașterea facială și pentru a forța statul să stabilească un cadru legal ferm privind utilizarea sistemelor de monitorizare care utilizează tehnologia de recunoaștere faciala, în cazul în care acesta dorește să-și continue strategia. 

Această primă victorie împotriva recunoașterii facilă în Franța a oferit un plus de curaj societății civile franceze în lupta împotriva sistemelor existente (cum ar fi recunoașterea facială pe aeroporturi prin PARAFE) sau în viitor (aplicația de identitate digitală Alicem), lucru pe care l-am resimțit până aici, în România.

ANSPDCP: Același Regulament, același subiect dar o interpretare diametral opusă

Vă reamintim faptul că luna trecută mai multe organizații neguvernamentale au transmis autorităților o SCRISOARE DESCHISĂ prin care își exprimă îngrijorarea cu privire la respectarea principiilor fundamentale ce țin de respectarea vieții private, prin punerea în aplicare a sistemului de recunoaștere facială ce urmează a fi achiziționat de Inspectoratul General al Poliției Române, formulând totodată mai multe cereri în mod public.

Acest demers a fost consecința faptului că IGPR a lansat o procedura de achiziție publică pentru achiziționarea unui sistem de recunoaștere facială capabil să efectueze căutări/ verificări/ comparații ale imaginilor faciale din bazele de date ale poliției asociindu-le cu cele provenite de la CCTV, webcam, telefoane mobile, rețele sociale, camere ATM.

Citește mai multe despre poziția organizațiilor neguvernamentale aici:

Deși era de așteptat ca autoritatea națională de supraveghere (ANSPDCP) să aibă o reacție similară cu a autorității franceze (CNIL), răspunsul acesteia ne-a trezit și ne-a reamintit că trăim în România, iar asta este suficient pentru orice instituție publică să uite că lucrează în slujba cetățenilor. 

Deși competențele și sarcinile autorităților de supraveghere au fost stabilite de GDPR în articolele 56 și 57 din GDPR, ceea ce înseamna că acestea se aplică unitar tuturor autorităților de supraveghere din Spațiul Economic European, ANSPDCP lasă impresia că încă nu a ajuns cu lectura atât de departe în textul Regulamentului.

Iată ce răspuns a oferit autoritatea la SCRISOARE DESCHISĂ:[...] remarcăm că cele 8 solicitări menționate privind achiziția de către Inspectoratul General al Poliției Române a unui sistem de recunoaștere facială, ca parte a unui proiect denumit [...], nu se referă la atribuțiile Autorității Naționale de Supraveghere”.

Oare Avocatul Poporului va împărtăși concluzia autorității? Om trăi și om vedea, dacă încă n-om fi cu toții deja plecați până atunci. Între timp, tot ce ne rămâne de făcut în astfel de clipe de demoralizante este să strigăm cât ne țin plămânii „Vrem o autoritate ca afară!

Să revenim la francezi: Ce este aplicația de identitate digitală Alicem?

Franța a anunțat că va lansa sistemul de identificare ce utilizează tehnologia recunoașterii faciale, intitulat Alicem, în luna noiembrie a acestui an, sub forma unei aplicații de Android.

Guvernul francez intenționează să introducă acest program național obligatoriu de identificare pe baza recunoașterii faciale, urmând să devină prima țară europeană care va oferi oamenilor o identitate digitală sigură

Alicem urma să fie lansat de Crăciun, însă, în cele din urma, Guvernul Francez a devansat lansarea pentru luna noiembrie, în ciuda numeroaselor probleme de confidențialitate și securitate asociate acestui tip de sistem. 

CNIL (Autoritatea de supraveghere franceză) s-a poziționat împotriva programului, afirmând că încalcă legislația europeană

Grupul de confidențialitate Quadrature du Net a contestat planul Guvernul Francez în instanță, în luna iulie, însă acest fapt nu va conduce la amânarea termenului de lansare. 

În ceea ce privește securitatea, hackerii au reușit să acceseze sistem foarte repede anul trecut, ridicând îngrijorări cu privire la standardele de securitate ale statului francez.

CNIL nu doar se opune, dar și acționează

Nici nu apucasem să termin de scris despre decizia CNIL că vineri, 15 noiembrie 2019, Autoritatea franceză de supraveghere („CNIL”) a publicat un Ghid privind utilizarea recunoașterii faciale. Ghidul se adresează în principal autorităților publice din Franța care doresc să experimenteze recunoașterea facială.

Ghidul avertizează că această tehnologie riscă să conducă la rezultate părtinitoare, deoarece algoritmii folosiți nu sunt 100% fiabili și rata potrivirilor false poate varia în funcție de sex și de culoarea pielii. Acesta stabilește cerințele generale care trebuiesc îndeplinite pentru a putea implementa un sistem de recunoaștere facială pe o bază experimentală. 

Surse: laquadrature. net, telecompaper. com, insideprivacy. com

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Încă o mare bancă din România amendată pentru încălcarea GDPRului!

ANSPDCP

Vizualizari: 3861

Facebooktwittergoogle_plusredditpinterestlinkedinmail

ING Bank N.V. Amsterdam – Sucursala București este a doua banca din România sancționată pentru nerespectarea prevederilor Regulamentului General privind Protecția Datelor.

Vă reamintim că în luna octombrie Raiffeisen Bank S.A. a fost sancționată cu o amendă în valoare de 150.000 Euro pentru încălcarea prevederilor art. 32 din GDPR (Securitatea prelucrării)

Să ne întoarcem la ING

Conform comunicatului Autorității Naționale de Supraveghere, investigația a fost demarată ca urmare a unei sesizări, constatând faptul că operatorul a încălcat prevederile art. 25 (privacy by design și privacy by default) coroborat cu nerespectarea principiului  integrității și confidențialității prevăzut la 5 alin. 1 lit. f) din GDPR, ceea ce a condus la aplicarea unei amenzi contravenționale în cuantum de 80.000 euro.

Autoritatea a constatat că operatorul nu a asigurat respectarea principiului protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor (privacy by design și privacy by default), întrucât nu a procedat la adoptarea de măsuri tehnice și organizatorice corespunzătoare, privind integrarea de garanții adecvate în sistemul automatizat de prelucrare a datelor în cadrul procesului de decontare al tranzacțiilor cu cardul, fiind afectat un număr de 225.525 de clienți ale căror operațiuni de plată au fost dublate în perioada 8-10.10.2018, raportat și la prevederile art. 32 alin. (1) lit. d) din GDPR.

Ce prevede Regulamentul general privind protecţia datelor:

Art 25 alin. (1) din RGPD prevede următoarele:„Având în vedere stadiul actual al tehnologiei, costurile implementării, și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice pe care le prezintă prelucrarea, operatorul, atât în momentul stabilirii mijloacelor de prelucrare, cât și în cel al prelucrării în sine, pune în aplicare măsuri tehnice și organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate să pună în aplicare în mod eficient principiile de protecție a datelor, precum reducerea la minimum a datelor, și să integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini cerințele prezentului regulament și a proteja drepturile persoanelor vizate.

De asemenea, art. 5 alin. (1) lit. f) din RGPD stabilește unul dintre principiile de prelucrare a datelor și anume faptul că datele trebuie ”prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare ("integritate şi confidenţialitate").”

Totodată, potrivit art. 32 alin. (1) lit. d) din RGPD, printre măsurile tehnice şi organizatorice adecvate pe care operatorul trebuie să le ia în vederea asigurării unui nivel de securitate corespunzător riscului, se numără și cea privind existența unui proces pentru testarea, evaluarea şi aprecierea periodice ale eficacităţii măsurilor tehnice şi organizatorice pentru a garanta securitatea prelucrării.

Autoritatea a prins viteză și pare să nu mai încetinească

Subliniem faptul că aceasta este cea de-a 5-a amendă GDPR în numai cele 6 zile lucrătoare scurse de vinerea trecută pană astăzi!

22.11.2019 Cetelem: 2.000 € pentru că nu a răspuns unei solicitări a unei persoane privind ștergerea anumitor date personale. [1 persoană afectată] Citește mai multe aici

25.09.2019 FAN COURIER: 11.000 € pentru mai multe incidente de securitate, care au condus la pierderea și la divulgarea/accesarea neautorizată a datelor cu caracter personal. [1100 persoane afectate] Citește mai multe aici

29.11.2019 Pensiunea Royal President: 2500 € pentru că nu a soluționat o cerere de exercitare a dreptului de acces, precum și faptul că acesta a dezvăluit date cu caracter personal fără acordul persoanei. [1 persoană afectată] Citește mai multe aici

29.11.2019 TAROM: 20.000 € pentru faptul că un angajat al său a fotografiat o lista cu 22 de pasageri, publicând poza în mediul online. [22 persoane afectate] Citește mai multe aici

Sursa: dataprotection.ro

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

O amendă pentru nerespectarea GDPR-ului a zburat către TAROM

ANSPDCP

Vizualizari: 4111

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Autoritatea Națională de Supraveghere a anunțat pe site-ul său finalizarea unei investigații ce viza cea mai veche companie aeriană din România, TAROM!

Autoritatea a constatat că operatorul SC CNTAR TAROM SA a încălcat prevederile art. 32 alin. (4) coroborat cu art. 32 alin. (1) și alin. (2) din Regulamentul General privind Protecția Datelor (Securitatea prelucrării).

Investigația a fost efectuată ca urmare a notificării autorității de supraveghere de către TAROM din data de 13.09.2019 cu privire la încălcarea securității datelor cu caracter personal.

Sancțiunea a fost aplicată operatorului ca urmare a faptului că acesta nu a implementat măsuri tehnice și organizatorice adecvate pentru a se asigura că orice persoană fizică care acționează sub autoritatea acestuia și care are acces la date cu caracter personal, nu le prelucrează decât la cererea sa.

Corelat cu acest aspect, operatorul nu a luat nici măsuri adecvate pentru a asigura un nivel de securitate corespunzător riscului generat de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod, menționează autoritatea în comunicatul său

Această situație a condus la accesarea neautorizată, de către un angajat propriu, a aplicației de rezervări și fotografierea unei liste conținând datele cu caracter personal a 22 pasageri/clienți TAROM și la divulgarea neautorizată în mediul on-line a acestei liste.

Operatorul SC CNTAR TAROM SA a fost sancționat contravențional cu amendă în cuantum de 95.194 lei, echivalentul a 20.000 EURO.

Sursa: dataprotection.ro

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Pensiune amendată pentru nerespectarea GDPR-ului

Royal President SRL, care deține o pensiune din Bragadiru, Ilfov, unde se organizează și evenimente private (nunti, botezuri, aniversari sau evenimente corporate), a făcut obiectul unei investigații a […]

Amendă usturătoare pentru cea mai mare firmă românească de curierat

Autoritatea Națională de Supraveghere (ANSPDCP) a anunțat ce-a de-a IX-a amendă pentru încălcarea prevederilor Regulamentul (UE) 2016/679 (GDPR).  Conform comunicatului emis ieri (25.09.2019) de Autoritate, cea mai mare […]

Cetelem amendat pentru încălcarea GDPR. BONUS! Procedură procesarea cererilor

BNP Paribas Personal  Finance SA Paris Sucursala București, cunoscută sub denumirea de Cetelem IFN România, denumit în continuare Cetelem, unul dintre cei mai activi actori în domeniul creditelor […]

ONG-urile, o prioritate pentru ANSPDCP

Reprezentanții Autorității Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal au participat, pe data de 24 octombrie 2019, la reuniunea organizată de Asociația Expert Forum la Cluj-Napoca, […]

Prima persoană fizică din RO sancţionată contravenţional și importanța dublului opt-in

DA! Persoanele fizice pot face obiectul unei sancțiuni GDPR Nu cu mult timp în urma, cândva prin mijlocul verii, s-a viralizat o știre potrivit căreia  Regulamentului General privind […]

ANSPDCP: lista măsurilor (55) dispuse în urma investigațiilor, în ultimele 3 luni

Săptămâna trecută, Autoritatea de supraveghere națională (ANSPDCP) a publicat Raportul activității sale în decursul anului 2018 (vezi aici cele mai interesante date desprinse din raport). Conform acestui raport, […]

55.000 euro amenda GDPR aplicată unui SPITAL pentru nedesemnarea DPO-ului

Conform unui comunicat al Comitetul European pentru Protecția Datelor, la 12 august 2019, Autoritatea de supraveghere austriacă a aplicat o amendă administrativă unui operator care activează în sectorul […]

Avocatnet.ro a fost sancționat cu 9000 € pentru lipsa consimțământului explicit

Ziua și amenda, așa pare să ne obișnuiască Autoritatea națională de supraveghere. „Victima” de astăzi este INTELIGO MEDIA SA, administratorul platformei online avocatnet.ro, un website care „explică legislația […]

ANSPDCP a publicat Raportul activității sale în decursul anului 2018

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a publicat pe site-ul său un Raport al activității sale în decursul anului 2018. Conform Raportului, în anul […]

Societatea civila contestă legalitatea implementării tehnologiei de recunoaștere facială

Mai multe organizații nonguvernamentale au transmis autorităților o SCRISOARE DESCHISĂ prin care îți exprimă îngrijorarea cu privire la respectarea principiilor fundamentale ce țin de respectarea vieții private, prin punerea în […]

De ce românilor nu le pasă de viața lor privată ?

La începutul săptămânii trecute citeam despre implementarea unui sistem de recunoaștere facială care va folosi camerele de monitorizare video (CCTV), webcam-urile, telefoane mobile, rețele de socializare și camere […]

Românii vor fi monitorizați de un sistem de recunoașterea facială

Camerele de monitorizare video (CCTV), webcam-urile, telefoane mobile, rețele de socializare, camere ATM din România vor fi monitorizate de un sistem de recunoaștere facială. Controversele din jurul acestei tehnologii […]

Cine sunt campionii GDPR Summer Challenge 2019 ?

68 de participanți, grupati in 14 echipe, au luat startul in concursul GDPR Summer Challenge 2019 GDPR Summer Challenge este o competitie organizata de Dpo-NET.ro – Data Protection […]

A început GDPR Summer Challenge 2019!

68 de participanți din 14 echipe au luat startul in concursul GDPR Summer Challenge 2019. GDPR Summer Challenge este o simulare de caz la care participă mai multe […]

Ești DPO ? S-a lansat un MANUAL pentru tine!

Autoritatea de supraveghere italiană (Il Garante per la protezione dei dati personali) a publicat un manual în limba engleză menit să sprijine responsabilii cu protecția datelor (DPO) ai […]

GDPR Summer Challenge este pregătit de lansare!

Sâmbătă, 10 August 2019, începe primul concurs național din România destinat aprofundarii și mai ales verificării cunoștințelor în domeniul protecției datelor. Scopul este ca participantii să dobândească cât […]

Te-ai înscris la GDPR Summer Challenge?

Peste 50 de persoane s-au înscris până acum în concursul „GDPR Summer Challenge”, motiv pentru care organizatorii au decis creșterea numărului de membrii într-o echipă la 5 persoane, […]

Înscrie-te acum la GDPR Summer Challenge!

Acceptă GDPRovocarea acestui sfârșit de vară! 5 echipe formate din pasionați de GDPR vor concura pentru titlul de GDPR Summer Challenge Champion 2019. Nu este doar un concurs, […]

Atenție la falsele certificări GDPR!

Înainte de a parcurge acest articol-manifest vă invit să răspundeți singuri la o întrebare: „Dacă ideea de a fi tratat de un fals doctor vă înspăimântă, v-ați lăsa […]

Persoanele fizice pot fi amendate, conform GDPR!

Pe zi ce trece devine din ce în ce mai greu să ignori titlurile bombastice care fac referire la acest nou Regulament European (GDPR). Majoritatea titlurilor încearcă să […]