El regulador de datos del Reino Unido ha reprendido a una escuela secundaria en Essex por implementar ilegalmente tecnología de reconocimiento facial para aceptar pagos de los estudiantes sin efectivo en el comedor.
Según el Reglamento General de Protección de Datos del Reino Unido (GDPR), la Oficina del Comisionado de Información (ICO) tiene el poder de imponer amonestaciones formales, así como multas y otros avisos de cumplimiento, cuando las organizaciones infringen la ley.
Debido a los altos riesgos de protección de datos asociados con el procesamiento de datos biométricos sensibles, las organizaciones que buscan implementar el reconocimiento facial para el procesamiento de información infantil están obligadas a realizar evaluaciones de impacto de la protección de datos (DPIA) para identificar y gestionar los riesgos con el sistema.
A pesar de este requisito legal, la ICO descubrió que Chelmer Valley High School en Chelmsford comenzó a utilizar el sistema de reconocimiento facial, suministrado por CRB Cunninghams, en marzo de 2023 sin haber completado nunca una DPIA. Dijo que esto significaba que no se había realizado una evaluación previa de los riesgos para la información de los 1.200 niños que asistían a la escuela.
“La ley exige una EIPD; no es un ejercicio de marcar casillas. Es una herramienta vital que protege los derechos de los usuarios, brinda responsabilidad y alienta a las organizaciones a pensar en la protección de datos al inicio de un proyecto”, dijo Lynne Currie, directora de innovación en privacidad de la ICO.
“Manejar correctamente la información de las personas en el entorno de un comedor escolar es tan importante como la manipulación de los alimentos en sí. Esperamos que todas las organizaciones lleven a cabo las evaluaciones necesarias al implementar una nueva tecnología para mitigar cualquier riesgo de protección de datos y garantizar el cumplimiento de las leyes de protección de datos.
“Hemos tomado medidas contra esta escuela para demostrar que la introducción de medidas como el FRT no debe tomarse a la ligera, especialmente cuando se trata de niños”.
Currie añadió que si bien la ICO no quiere disuadir a las escuelas de adoptar nuevas tecnologías, la salvaguardia de la privacidad y los derechos de los datos de los niños debe seguir siendo una prioridad.
El regulador también encontró que la escuela no obtuvo un consentimiento claro para procesar la información biométrica de los estudiantes y no consultó ni con ellos ni con sus padres antes de implementar la tecnología.
Según la amonestación, si bien se envió una carta a los padres en marzo de 2023 con una nota para que la devolvieran si no querían que su hijo participara, tampoco había ninguna opción para dar su consentimiento al plan, lo que significaba que la escuela estaba confiando erróneamente. sobre consentimiento asumido hasta noviembre de 2023.
La ICO añadió que debido a que la mayoría de los estudiantes tenían edad suficiente para dar su propio consentimiento (según la ley de protección de datos del Reino Unido, la edad de consentimiento para procesar los datos personales de un niño es 13 años), la “exclusión voluntaria de los padres privó a los estudiantes de la capacidad de ejercer sus derechos y libertades”.
La escuela tampoco consultó con su propio responsable de protección de datos, lo que, según la ICO, habría ayudado a aclarar cualquier problema de cumplimiento antes de que comenzara el procesamiento.
Para remediar los problemas, la ICO dijo que Chelmer Valley debe completar una EIPD e integrar los resultados nuevamente en los planes del proyecto antes de cualquier nuevo procesamiento, y señaló que la evaluación debe “dar una consideración exhaustiva a la necesidad y proporcionalidad del servicio de catering sin efectivo, y a mitigar riesgos específicos y adicionales, como el sesgo y la discriminación”.
Agregó que desde entonces la escuela completó una DPIA para el sistema de reconocimiento facial en noviembre de 2023, que luego fue presentada a la ICO por su DPO, y también tomó medidas correctivas para obtener el consentimiento explícito de los estudiantes con edad suficiente para dar él.
Sin embargo, también señaló que la amonestación no era jurídicamente vinculante y que seguir estas recomendaciones era voluntario para la escuela.
“Si en el futuro el ICO tiene motivos para sospechar que Chelmer Valley High School no está cumpliendo con la ley de protección de datos, cualquier incumplimiento por parte de Chelmer Valley High School de rectificar las infracciones establecidas en esta amonestación (que podría hacerse siguiendo las recomendaciones del comisionado o tomar medidas alternativas apropiadas) puede tenerse en cuenta como un factor agravante al decidir si se toman medidas coercitivas”, dijo.
El regulador dijo anteriormente en 2021 que las escuelas que utilizan sistemas de reconocimiento facial deberían considerar formas menos intrusivas de permitir que los alumnos paguen las comidas, mientras que varios grupos de campaña, incluidos Liberty y Defend Digital Me, han argumentado durante mucho tiempo que el reconocimiento facial y otras tecnologías de identificación biométrica no tienen cabida. En escuelas.
El ex comisionado de biometría de Inglaterra y Gales, Fraser Sampson, también dijo anteriormente que existían riesgos obvios con el uso de datos y tecnología biométricos en entornos escolares, lo que podría llevar a que la vigilancia se normalice para los niños.
Computer Weekly se puso en contacto con Chelmer Valley, pero no recibió respuesta al momento de la publicación.