Cierre de año intenso para la autoridad francesa de protección de datos: nuevas resoluciones sobre datos biométricos y sanción a una Fintech por no gestionar correctamente una brecha de seguridad

Por María Luisa González Tapia

Diciembre ha sido un mes de gran actividad para la autoridad francesa de protección de datos, la Commission National de l’informatique et des libertés (“CNIL”).

El día 16 publicaba sus conclusiones sobre la investigación realizada a la sociedad Clearview AI en relación con un sistema (otro más) de reconocimiento facial biométrico.

Clearview AI es una start-up con sede en EE. UU., que se define en su web como una entidad privada dedicada a innovar y proporcionar la tecnología más avanzada a las fuerzas del orden para investigar delitos, mejorar la seguridad pública y brindar justicia a las víctimas.

Entre las soluciones que facilita para este propósito, se encuentra un software de reconocimiento facial que utiliza fotografías y vídeos obtenidos de distintos sitios de Internet, incluidas redes sociales. De esta forma, y de acuerdo con lo señalado por la CNIL, la sociedad Clearview podría haber creado una base de 10.000 millones de imágenes de ciudadanos de distintos países.

Un grupo de organizaciones encabezadas por la ONG Privacy International plantearon en mayo de 2021 reclamaciones ante las autoridades de control de cinco países (además de Francia, Grecia, Austria, Italia y Reino Unido), aportando pruebas obtenidas, entre otros medios, a partir del ejercicio del derecho de acceso, como indica el periódico Le Figaro.

La decisión de la CNIL llega después de que la autoridad de protección de datos de Reino Unido hiciese pública en noviembre la sanción provisional a Clearview AI por un importe de 17 millones de libras y de que el Gobierno de Canadá anunciase que no volvería a hacer uso del software proporcionado por esta empresa.

El tratamiento efectuado por Clearview AI parece, en efecto, muy intrusivo. La entidad ha creado una base de datos con la que, utilizando la biometría y a través de un motor de búsqueda en el que se incluye una fotografía de la persona de la que se desea obtener información, ofrece un servicio de identificación de personas enfocado fundamentalmente a que fuerzas y cuerpos de seguridad obtenga una identificación de autores o víctimas de infracciones o delitos.

Como se ha indicado, la base de datos se nutre de fotografías y vídeos rastreados en Internet, por lo que la inmensa mayoría de los titulares de la información no son conscientes de que han sido incluidos en este sistema de búsqueda. Usted y yo podríamos aparecer en la base de datos de Clearview AI y, en función de la fiabilidad del software y su porcentaje de error, vernos inmersos en situaciones propias de una novela de Kafka.

La CNIL considera que se cometen dos infracciones del Reglamento General de Protección de Datos:

• Un tratamiento ilícito de datos, al faltar una base de legitimación adecuada para el tratamiento. En este sentido, la CNIL resalta que la sociedad Clearview AI no dispone de un interés legítimo para proceder a un tratamiento tan intrusivo como el descrito.

• Defectos en la atención de los derechos reconocidos al afectado por los artículos 12, 15 y 17 del Reglamento General de Protección de Datos.

La autoridad francesa no impone una sanción económica, pero ordena a la sociedad que, en el plazo de dos meses, cese en la recogida y uso de datos personales en territorio francés y que facilite de forma completa los ejercicios de derechos que le han sido solicitados.

Más información aquí.

También en diciembre, el día 28, la CNIL ha dictado la resolución por la que sancionaba a la Fintech SLIMPAY, que facilita una aplicación que permite gestionar pagos recurrentes mediante tarjeta o domiciliación bancaria, con 180.000 euros por tres infracciones:

• No disponía de contratos con todos sus encargados del tratamiento. Además, en algunos de los casos en los que sí se llegó a firmar contrato, estos acuerdos eran deficientes porque carecían de los requisitos exigidos por el artículo 28 del Reglamento General de Protección de Datos.

• No adoptó medidas de seguridad apropiadas para proteger la información de los afectados. Entre noviembre de 2015 y febrero de 2020 (es decir, durante cinco años), fue posible acceder a través de Internet al nombre, estado civil, dirección postal y electrónica e información bancaria de más 12 millones de personas.

• No comunicó a los afectados la brecha de seguridad que se había producido. La CNIL entiende que, dada la naturaleza de los datos comprometidos, que incluían datos financieros, SLIMPAY debería haber informado del incidente a todos los afectados.

Los periódicos franceses se han hecho eco de la sanción y del escándalo producido al descubrirse una brecha de seguridad de tan larga duración, a pesar de que la multa no es de las más elevadas entre las impuestas por la autoridad francesa (así por ejemplo, Le Monde informa aquí del incidente). La resolución completa de la CNIL se encuentra disponible aquí.

Además de lo anterior, la CNIL ha continuado su campaña sobre utilización de cookies hasta finalizar el año. En diciembre, se ha puesto en contacto con treinta organizaciones conminándolas a regularizar sus páginas webs y cesar en malas prácticas en relación al uso de cookies y dispositivos similares. Puede encontrarse más información en este enlace.