La Comisión de Protección de Datos (DPC, por sus siglas en inglés) de Irlanda ha impuesto una multa de 550.000 euros al Departamento de Protección Social (DSP, por sus siglas en inglés) por infracciones del Reglamento General de Protección de Datos (RGPD) relacionadas con el uso de tecnología de reconocimiento facial en el proceso de registro de la Tarjeta de Servicios Públicos. La investigación se centró en el uso de plantillas biométricas faciales y tecnologías de comparación facial como parte del proceso de registro conocido como “SAFE 2”.
El DPC concluyó que el DSP no logró establecer una base legal válida para la recopilación de datos biométricos, retuvo dichos datos sin justificación adecuada y no proporcionó información suficientemente transparente a los ciudadanos sobre el tratamiento de sus datos. Como resultado, además de la multa, el DPC emitió una reprimenda formal y ordenó al DSP cesar el tratamiento de datos biométricos en el contexto del registro en un plazo de nueve meses, a menos que pueda justificar legalmente su uso.
El comisario, Dale Sunderland, fue quien tomó la decisión, que fue comunicada al DSP esta semana. Graham Doyle, subcomisario del DPC, aclaró que la investigación no cuestiona la implementación del registro SAFE 2 como tal, ni encontró deficiencias en las medidas técnicas y organizativas de seguridad del DSP. Sin embargo, sí identificó fallos en el cumplimiento de la normativa en materia de protección de datos.
Por su parte, el DSP defendió su actuación, afirmando que cree contar con una base legal válida y que cumple con los requisitos de transparencia exigidos por el RGPD. No obstante, reconoció que el DPC considera que la base legal existente no es lo suficientemente clara ni precisa. El departamento indicó que revisará detenidamente el informe del DPC junto con la Abogacía del Estado irlandesa para determinar una respuesta adecuada dentro del plazo establecido.