O órgão de proteção de dados do Reino Unido repreendeu uma escola em Essex por usar reconhecimento facial para pagamentos de cantina, quase três anos depois de outras escolas terem sido alertadas sobre fazer o mesmo.
Uma declaração do Information Commissioner’s Office (ICO) disse que a Chelmer Valley High School em Chelmsford infringiu a lei quando introduziu a tecnologia de reconhecimento facial (FRT) para receber pagamentos sem dinheiro dos alunos na cantina em março de 2023.
Ao processar dados biométricos para identificar pessoas de forma única, o FRT pode resultar em altos riscos de proteção de dados, disse o regulador.
Repreendeu a escola, que acolhe cerca de 1.200 alunos com idades compreendidas entre os 11 e os 18 anos, por não ter realizado uma Avaliação de Impacto da Protecção de Dados (DPIA) antes de começar a utilizar o FRT, conforme exigido pela lei de protecção de dados do Reino Unido, formalmente RGPD do Reino Unido após o Brexit, que acompanha a Lei de Proteção de Dados de 2018.
Ao mesmo tempo, a escola falhou em realizar uma avaliação dos riscos para as informações das crianças antes de introduzir o FRT, como a lei exige. O regulador também disse que a escola não obteve permissão clara para processar as informações biométricas dos alunos e que os alunos não tiveram a oportunidade de decidir se queriam que elas fossem usadas dessa forma.
Lynne Currie, chefe de inovação de privacidade do ICO, disse: “Manusear as informações das pessoas corretamente em um ambiente de cantina escolar é tão importante quanto o manuseio da comida em si. Esperamos que todas as organizações realizem as avaliações necessárias ao implantar uma nova tecnologia para mitigar quaisquer riscos de proteção de dados e garantir sua conformidade com as leis de proteção de dados.
“Tomamos medidas contra esta escola para mostrar que introduzir medidas como FRT não deve ser feito levianamente, particularmente quando envolve crianças. Não queremos que isso impeça outras escolas de adotar novas tecnologias. Mas isso deve ser feito corretamente, com a proteção de dados em primeiro plano, defendendo a confiança, protegendo a privacidade das crianças e salvaguardando seus direitos.”
A escola não obteve a opinião de seu responsável pela proteção de dados, nem consultou pais e alunos antes de implementar o FRT, disse o ICO.
O registro entrou em contato com a escola para obter uma resposta.
De acordo com o ICO, a escola enviou uma carta aos pais em março de 2023. Ela continha um recibo para eles devolverem se não quisessem que seus filhos participassem do FRT. Ao fazer isso, a escola deixou de buscar o consentimento “opt-in”, o que significa que a escola confiou erroneamente no “consentimento presumido” a princípio, o que não é uma forma válida de consentimento e requer permissão explícita aos olhos da lei.
O ICO disse que forneceu à Chelmer Valley High School recomendações para o futuro.
O caso ocorre após incidentes de 2021 que chamaram a atenção, já que o FRT estava sendo empregado em mais escolas do Reino Unido para permitir que os alunos pagassem por suas refeições.
Pouco depois, o ICO pediu que os planos fossem suspensos até que teve a oportunidade de descobrir mais.
Jen Persson, diretora do grupo de campanha digitaldefendme, disse que as escolas demonstraram novamente que não tiveram o treinamento ou a capacidade de adquirir tecnologia que respeite a lei ou os direitos das crianças.
“O reconhecimento facial não deve ter lugar nas escolas”, ela nos disse hoje. “As crianças no Reino Unido são expostas a IA de alto risco, biometria e ferramentas emergentes de maneiras que são impensáveis em outros lugares, e o setor educacional deve obter recursos e suporte urgentes para entender como esse tipo de prática pode comprometer a identidade dos alunos para o resto da vida.”
Ela disse que a aplicação da lei pelo ICO era vital, mas encorajou o regulador a ir além e identificar o fabricante e o país de origem por trás de cada caso em que intervém. ®
