Una scuola secondaria nel Regno Unito è stata ripresa dall'ufficio del Commissario per l'Informazione (ICO) per aver impiegato la tecnologia di riconoscimento facciale nella propria mensa senza aver ottenuto il consenso esplicito degli studenti o adottato misure adeguate per proteggere i loro dati biometrici sensibili.
La tecnologia era in uso da circa 16 mesi presso la Chelmer Valley High School a Chelmsford, nell'Essex, che conta circa 1200 studenti tra gli 11 e i 18 anni. Nonostante la scuola avesse inviato un modulo di autorizzazione ai genitori, è stata data loro solo la possibilità di escludersi dal sistema (opt-out), senza dare alcuna voce in capitolo agli studenti.
Il problema sottolineato dall'ICO è che molti di questi studenti erano abbastanza grandi per fornire il proprio consenso, quindi l'opt-out parentale ha privato gli studenti della possibilità di esercitare i propri diritti e libertà. Inoltre, la scuola non ha esaminato adeguatamente le implicazioni del trattamento di questi dati biometrici.
Con l'espandersi dell'uso delle tecnologie di riconoscimento facciale, che trovano più spesso applicazione nelle forze dell'ordine piuttosto che negli ambienti scolastici, la regolamentazione relativa all'utilizzo dei dati biometrici si è inasprita.
La necessità di valutazioni dell'impatto sulla protezione dei dati
Secondo quanto riportato da Public Technology, la sensibilità di questi dati richiede che le organizzazioni effettuino una valutazione dell'impatto sulla protezione dei dati (DPIA), un passaggio che, secondo l'ICO, la scuola non ha completato.
Lynne Currie, capo dell'innovazione sulla privacy all'ICO, ha sottolineato:
“Gestire correttamente le informazioni delle persone in una mensa scolastica è importante quanto la gestione del cibo stesso. Ci aspettiamo che tutte le organizzazioni effettuino le valutazioni necessarie quando implementano una nuova tecnologia per ridurre eventuali rischi di protezione dei dati e garantire la conformità alle leggi sulla protezione dei dati. Abbiamo intrapreso un'azione contro questa scuola per dimostrare che l'introduzione di misure come l'FRT non deve essere presa alla leggera, soprattutto quando si tratta di bambini".
Currie ha aggiunto che l'intento non è scoraggiare le scuole dall'adottare nuove tecnologie, ma è fondamentale che ciò avvenga con la protezione dei dati come priorità, promuovendo la fiducia e proteggendo la privacy e i diritti dei bambini.
Una DPIA non è una mera formalità: è uno strumento essenziale che tutela i diritti degli utenti, offre responsabilità e spinge le organizzazioni a considerare la protezione dei dati fin dall'inizio di un progetto.