Securitate — October 31, 2019 at 5:14 pm

Prima amendă GDPR din Suedia se leagă de recunoașterea facială

by

Este posibil ca toți ochii să fie pe Hong Kong chiar acum și pentru că autoritățile pot recurge la utilizarea recunoașterii faciale pentru a identifica protestatarii, dar un caz mult mai edificator se poate găsi în micul oraș suedez Skellefteå, situat în apropierea Cercului Arctic. Acest oraș minier a ajuns în mari titluri internaționale când a devenit primitorul primei amenzi GDPR din Suedia pentru un proiect pilot în domeniul utilizării viziunii computerizate pentru a urmări prezența elevilor de liceu.

Biometric identification and verification face detection concept. Facial recognition system. Unlocking technology.Iar mică amendă înmânată unui oraș îndepărtat este importantă pentru că demonstrează că viziunea computerizată, în special recunoașterea facială, poate fi implementată cu succes de toată lumea,  indiferent de resurse și capacități, și că trebuie să existe o concentrare pe consimțământul semnificativ pentru a asigura adoptarea cu succes.

Anul trecut, liceul Anderstorp din Skellefteå s-a asociat cu o firmă finlandeză de consultanță pentru software și IT, numită Tieto, pentru tehnologii de automatizare pilot pentru monitorizarea și raportarea prezenței elevilor. Conform legii suedeze, școlile trebuie să raporteze zilnic numerele de prezență, o cerință consumatoare de timp care ocupă multe ore valoroase pe parcursul anului școlar. Colectiv, Tieto raportează că profesorii școlii au petrecut anual un uimitor număr de 17.280 de ore pentru raportarea prezenței.

Tieto a implementat pilot două soluții pentru această problemă: una bazată pe etichete RFID care ar înregistra studenții prezenți atunci când se aflau în raza de acțiune a unui receptor și una bazată pe tehnologia recunoașterii faciale. Cea din urmă s-a dovedit a fi mai reușită, deoarece un procent mare de studenți ar uita să își aducă etichetele la clasă, ceea ce face ca datele să fie incomplete și inexacte.

Un element esențial al reclamației Autorității suedeze pentru protecția datelor (DPA) a fost legat de problema consimțământului. Da, elevilor și părinților li s-a solicitat consimțământul, iar unii au refuzat într-adevăr să participe, dar agenția a considerat că acest lucru nu a fost suficient, având în vedere dinamica puterii dintre elevi și școală. Astfel, consimțământul scris nu este suficient, chiar și atunci când persoana are o alternativă viabilă, dacă persoana este presată sau obligată să ofere consimțământ. Aceasta este diferența dintre „consimțământ” și „consimțământ semnificativ” și se aplică peste tot atunci când vine vorba de inteligența artificială.

Modul corect de a introduce o soluție de AI este de a oferi una care să beneficieze semnificativ de individ și să îl convingă de aceste beneficii, oferind în același timp alternative, inclusiv status quo. Și ar trebui să existe orice garanție că alegerea status quo-ului nu va avea repercusiuni negative și va fi în continuare la fel de bună sau, în mod ideal, mai bună cu soluția AI din jur.

Așadar, acest lucru nu înseamnă că soluțiile de recunoaștere facială nu sunt compatibile cu GDPR. Această amendă nu se bazează pe GDPR, ci pe interpretarea GDPR în Suedia, o țară care are o istorie a legislației stricte privind protecția datelor care se întinde în urmă cu zeci de ani. Este puțin probabil ca acest lucru să stabilească un precedent limitativ în toată Uniunea Europeană. De fapt, dacă există un cadru geografic mai mare din acest scenariu, acesta este unul pozitiv. Cu un deceniu în urmă, acest caz de utilizare a recunoașterii faciale ar fi fost science fiction. Astăzi, tehnologia este suficient de matură încât să o poți implementa oriunde, chiar și la marginea Cercului Arctic.