La autoridad sueca multó a una escuela de secundaria con casi 20.000 euros por la mala utilización de un software de reconocimiento facial para controlar la asistencia de estudiantes.
Suecia multó a una escuela secundaria por la mala utilización de la tecnología de reconocimiento facial, el pasado 20 de agosto, basada en el Reglamento General de Protección de Datos (RGPD). Sería la primera sanción de su tipo en Europa.
La autoridad sueca multó a una escuela de secundaria con casi 20.000 euros por la mala utilización de un software de reconocimiento facial para controlar la asistencia de estudiantes.
Aunque se trataba del uso del software en el marco de un proyecto piloto (medido en 22 estudiantes) que permitiría ahorrar muchas horas de trabajo en la escuela gracias a la automatización del registro de asistencia, y que el experimento gozaba de la autorización de los tutores, así como de la abstención de aquellos que no desearon participar en el ensayo, la autoridad sueca consideró que de todos modos el uso de la aludida tecnología había violado el RGPD de tres maneras diferentes.
De acuerdo el blog de Cuatrecasas, en primer lugar, "se constató que la medida introducida por la escuela había supuesto una gran intrusión en la privacidad de los estudiantes y, en particular, que el uso de un sistema de reconocimiento facial era desproporcionado a la luz de la finalidad perseguida, que no era sino el control de la asistencia a clase".
"En segundo lugar, la autoridad sueca considera que el tratamiento de los datos biométricos carecía de una base legal. Así, entiende que (i) el consentimiento obtenido no podía ser considerado como voluntario, tomando en consideración la posición de desigualdad entre la escuela y los estudiantes, y que (ii) la mejora de la gestión de los registros de asistencia tampoco podía considerarse como una medida necesaria para el interés público esencial, por lo que tampoco podría alzarse como base legítima suficiente para justificar tal tratamiento", agrega la publicación.
Finalmente, "la autoridad sueca pone el acento sobre el hecho de que la escuela no realizó ninguna evaluación de impacto relativa a la protección de datos, ni formuló ninguna consulta previa a la autoridad de control correspondiente", finaliza.