El regulador de datos del Reino Unido ha reprendido a una escuela secundaria en Essex por implementar ilegalmente tecnología de reconocimiento facial para aceptar pagos sin efectivo de la cantina de los estudiantes. Según el Reglamento General de Protección de Datos del Reino Unido (GDPR), la Oficina del Comisionado de Información (ICO) tiene el poder de entregar reprimendas formales, así como multas y otras notificaciones de cumplimiento, cuando las organizaciones infringen la ley. Debido a los altos riesgos de protección de datos asociados con el procesamiento de datos biométricos sensibles, las organizaciones que buscan implementar el reconocimiento facial para el procesamiento de información de niños están obligadas a realizar evaluaciones de impacto de protección de datos (DPIA) para identificar y gestionar los riesgos con el sistema. A pesar de este requisito legal, la ICO descubrió que Chelmer Valley High School en Chelmsford comenzó a utilizar el sistema de reconocimiento facial, suministrado por CRB Cunninghams, en marzo de 2023 sin haber completado nunca una DPIA. Dijo que esto significaba que no se había realizado ninguna evaluación previa de los riesgos para la información de los 1.200 niños que asisten a la escuela. «La ley exige una DPIA, no es un ejercicio de marcar casillas. “Es una herramienta vital que protege los derechos de los usuarios, proporciona responsabilidad y anima a las organizaciones a pensar en la protección de datos al inicio de un proyecto”, dijo Lynne Currie, directora de innovación en materia de privacidad de la ICO. “Manejar correctamente la información de las personas en un entorno de comedor escolar es tan importante como el manejo de la comida en sí. Esperamos que todas las organizaciones realicen las evaluaciones necesarias al implementar una nueva tecnología para mitigar los riesgos de protección de datos y garantizar su cumplimiento con las leyes de protección de datos. “Hemos tomado medidas contra esta escuela para demostrar que la introducción de medidas como FRT no debe tomarse a la ligera, especialmente cuando involucra a niños”. Currie agregó que, si bien la ICO no quiere disuadir a las escuelas de adoptar nuevas tecnologías, la protección de la privacidad y los derechos de los datos de los niños debe seguir siendo una prioridad. El regulador también descubrió que la escuela no obtuvo un consentimiento claro para procesar la información biométrica de los estudiantes y no consultó ni a ellos ni a sus padres antes de implementar la tecnología. Según la reprimenda, si bien se envió una carta a los padres en marzo de 2023 con un comprobante para que lo devolvieran si no querían que su hijo participara, tampoco había ninguna opción para dar el consentimiento al plan, lo que significa que la escuela se basó erróneamente en el consentimiento asumido hasta noviembre de 2023. La ICO agregó que debido a que la mayoría de los estudiantes tenían la edad suficiente para dar su propio consentimiento (según la ley de protección de datos del Reino Unido, la edad de consentimiento para procesar los datos personales de un niño es de 13 años), la «exclusión voluntaria de los padres privó a los estudiantes de la capacidad de ejercer sus derechos y libertades». La escuela tampoco consultó con su propio oficial de protección de datos, lo que la ICO dijo que cree que habría ayudado a aclarar cualquier problema de cumplimiento antes de que comenzara el procesamiento. Para remediar los problemas, la ICO dijo que Chelmer Valley debe completar una evaluación de impacto sobre la protección de datos e integrar los resultados nuevamente en los planes del proyecto antes de cualquier nuevo procesamiento, y señaló que la evaluación debe «considerar exhaustivamente la necesidad y proporcionalidad de la restauración sin efectivo, y mitigar riesgos específicos adicionales como el sesgo y la discriminación». Añadió que la escuela ya había completado una evaluación de impacto de la protección de datos (DPIA) para el sistema de reconocimiento facial en noviembre de 2023, que luego fue presentada a la ICO por su DPO, y que también había tomado medidas correctivas para obtener el consentimiento explícito de los estudiantes con edad suficiente para darlo. Sin embargo, también señaló que la reprimenda no era legalmente vinculante y que seguir estas recomendaciones era voluntario para la escuela. “Si en el futuro la ICO tiene motivos para sospechar que Chelmer Valley High School no está cumpliendo con la ley de protección de datos, cualquier incumplimiento por parte de Chelmer Valley High School de rectificar las infracciones establecidas en esta reprimenda (lo que podría hacerse siguiendo las recomendaciones del comisionado o tomando medidas alternativas apropiadas) puede tenerse en cuenta como un factor agravante a la hora de decidir si se toman medidas de cumplimiento”, dijo. El regulador dijo anteriormente en 2021 que las escuelas que utilizan sistemas de reconocimiento facial deberían considerar formas menos intrusivas de permitir que los alumnos paguen las comidas, mientras que varios grupos de campaña, incluidos Liberty y Defend Digital Me, han argumentado durante mucho tiempo que el reconocimiento facial y otras tecnologías de identificación biométrica no tienen cabida en las escuelas. El ex comisionado de biometría para Inglaterra y Gales, Fraser Sampson, también dijo anteriormente que existían riesgos obvios con el uso de datos y tecnología biométrica en entornos escolares, lo que podría llevar a que la vigilancia se normalizara hacia los niños. Computer Weekly se puso en contacto con Chelmer Valley, pero no recibió una respuesta al momento de la publicación.