L’APDCAT promou amb una vintena d’autoritats de control una resolució per reforçar la regulació de l’ús de sistemes de reconeixement facial

L’Autoritat Catalana de Protecció de Dades (APDCAT) ha participat en la 44a edició de l’Assemblea Global de la Privacitat (GPA), que ha tingut lloc del 25 al 28 d’octubre a Istanbul. Aquesta conferència internacional, que reuneix anualment més de 130 autoritats de protecció de dades d’arreu del món, s’ha centrat enguany a trobar l’equilibri entre la defensa de la privacitat i el ràpid desenvolupament tecnològic.

En el marc de les activitats del Grup de Treball de Cooperació Internacional (IEWG) i del Grup de Treball d'Ètica i Protecció de Dades en Intel·ligència Artificial (AIWG), l’APDCAT ha contribuït a impulsar una resolució promoguda a iniciativa del Supervisor Europeu de Protecció de Dades, juntament amb una vintena més d’autoritats de protecció de dades. El text reconeix que, en el context d'innovacions tecnològiques complexes i d'alt risc com el reconeixement facial, on les diferències en la regulació generen incertesa, calen estàndards globals de protecció de dades i privacitat clars i coherents.

En aquest sentit, estableix els principis que han de regir aquest tipus de tecnologies:

1. Base legal: les organitzacions que utilitzen el reconeixement facial han de tenir una base legal clara per recollir i fer ús de la biometria.
2. Causalitat, necessitat i proporcionalitat: les organitzacions han d'establir i ser capaces de demostrar la causalitat, necessitat i proporcionalitat de l'ús de la tecnologia de reconeixement facial.
3. Interferència amb drets humans: les organitzacions han d'avaluar i mitigar interferències il·legals o arbitràries respecte de la privacitat i altres drets humans.
4. Transparència: l'ús del reconeixement facial ha de ser transparent per a les persones i col·lectius afectats.
5. Rendició de comptes: l'ús del reconeixement facial ha d'incloure mecanismes de rendició de comptes clars i eficaços.
6. Principis de protecció de dades: l'ús del reconeixement facial ha de respectar tots els principis de protecció de dades.

La resolució acorda per al 2023 l’elaboració d’un pla per promoure aquests principis amb un conjunt de grups d'interès externs estratègics, així com avaluar i revisar l'aplicació en el món real dels principis per part dels desenvolupadors i persones usuàries de sistemes de reconeixement facial.

Cooperació internacional en ciberseguretat

D’altra banda, s’ha aprovat una altra resolució de la qual l’APDCAT també ha estat copatrocinadora, per impulsar la millora de la regulació en matèria de ciberseguretat davant dels danys dels ciberatacs. Impulsada pel regulador britànic (ICO), la iniciativa ha comptat amb el suport de les autoritats de protecció de dades de Canadà, Colòmbia, Estònia, França, Gibraltar, Israel, Jersey, Filipines, Corea, Suïssa i Turquia, a més de Catalunya.

El text admet que la creixent digitalització de l'economia i la societat global comporta riscos creixents i significatius per a les dades personals dels individus en poder de les organitzacions públiques i privades. Un risc que pot incloure amenaces accidentals i també deliberades, com ara intents de vigilància i accés a dades en moltes jurisdiccions, sovint més enllà de fronteres.

La resolució acorda avançar en la determinació de les competències i responsabilitats de les autoritats membres del GPA en matèria de ciberseguretat i explorar les possibilitats de cooperació internacional, coneixement i intercanvi d'informació. Això inclou els coneixements tècnics i bones pràctiques entre els membres de GPA, per evitar duplicitats en investigacions o altres activitats reguladores sobre qüestions de ciberseguretat i enfocaments normatius relacionats amb la protecció de dades i la privacitat.

El Grup de Treball de Cooperació Internacional (IEWG) de la GPA ha de presentar els seus treballs abans de la tardor de 2023, així com un pla de treball per complir els compromisos adoptats, centrat en resultats clars i pràctics.