Bruxelles, 24 mai – În timpul celei mai recente ședințe plenare, EDPB a adoptat un aviz privind utilizarea tehnologiilor de recunoaștere facială de către operatorii aeroportuari și companiile aeriene pentru a eficientiza fluxul de pasageri în aeroporturi *. Acest aviz în temeiul articolului 64 alineatul (2), în urma unei cereri din partea Autorității franceze pentru protecția datelor, abordează o chestiune de aplicare generală și produce efecte în mai multe state membre.

Președintele EDPB, Anu Talus, a declarat: „Din ce în ce mai mulți operatori aeroportuari și companii aeriene din întreaga lume pilotează sisteme de recunoaștere facială care le permit pasagerilor să treacă mai ușor prin diferitele puncte de control. Este important să fim conștienți de faptul că datele biometrice sunt deosebit de sensibile și că prelucrarea lor poate crea riscuri semnificative pentru indivizi. Tehnologia de recunoaștere facială poate duce la fals negative, părtinire și discriminare. Folosirea greșită a datelor biometrice poate avea, de asemenea, consecințe grave, cum ar fi frauda de identitate sau uzurparea identității. Prin urmare, îndemnăm companiile aeriene și operatorii aeroportuari să opteze pentru modalități mai puțin intruzive de eficientizare a fluxurilor de pasageri, atunci când este posibil. În opinia EDPB, persoanele ar trebui să aibă control maxim asupra propriilor date biometrice.”

Avizul analizează compatibilitatea prelucrării cu principiul limitării stocării (articolul 5 alineatul (1) litera (e) GDPR), principiul integrității și confidențialității (articolul 5 alineatul (1) (f) GDPR, protecția datelor prin proiectare și implicit ( Articolul 25 GDPR) și securitatea prelucrării (Articolul 32 GDPR).

Nu există o cerință legală uniformă în UE pentru operatorii aeroportuari și companiile aeriene de a verifica dacă numele de pe cartea de îmbarcare a pasagerului se potrivește cu numele de pe documentul lor de identitate, iar acest lucru poate face obiectul legilor naționale. Prin urmare, în cazul în care nu este necesară verificarea identității pasagerilor cu un act de identitate oficial, nu ar trebui efectuată o astfel de verificare prin utilizarea datelor biometrice, deoarece aceasta ar duce la o prelucrare excesivă a datelor.
În avizul său, EDPB a analizat conformitatea procesării datelor biometrice ale pasagerilor cu patru tipuri diferite de soluții de stocare, de la cele care stochează datele biometrice doar în mâinile persoanei, până la cele care se bazează pe o arhitectură de stocare centralizată cu diferite modalitati. În toate cazurile, ar trebui prelucrate numai datele biometrice ale pasagerilor care se înscriu în mod activ și își dau consimțământul pentru a participa.

EDPB a constatat că singurele soluții de stocare care ar putea fi compatibile cu principiul integrității și confidențialității, protecția datelor prin proiectare și implicite și securitatea prelucrării sunt soluțiile prin care datele biometrice sunt stocate în mâinile persoanei sau într-o bază de date centrală. dar cu cheia de criptare numai în mâinile lor. Aceste soluții de stocare, dacă sunt implementate cu o listă de garanții minime recomandate, sunt singurele modalități care contrabalansează în mod adecvat intruzivitatea prelucrării, oferind indivizilor cel mai mare control.

EDPB a constatat că soluțiile bazate pe stocarea într-o bază de date centralizată, fie în aeroport, fie în cloud, fără cheile de criptare în mâinile persoanei, nu pot fi compatibile cu cerințele de protecție a datelor prin proiectare și implicite și, dacă operatorul se limitează la măsurile descrise în scenariile analizate, nu ar respecta cerințele de securitate a prelucrării.

În ceea ce privește principiul limitării stocării, operatorii trebuie să se asigure că au o justificare suficientă pentru perioada de păstrare prevăzută și să o limiteze la ceea ce este necesar pentru scopul propus.

În continuare, APD a adoptat un raport privind activitatea grupului de lucru ChatGPT . Acest grup de lucru a fost creat de EDPB pentru a promova cooperarea dintre DPA care investighează chatbot-ul dezvoltat de OpenAI.

Raportul oferă opinii preliminare asupra anumitor aspecte discutate între APD și nu prejudecă analiza care va fi făcută de fiecare APD în cadrul investigației respective, aflate în derulare***.

Acesta analizează mai multe aspecte privind interpretarea comună a prevederilor GDPR aplicabile relevante pentru diferitele investigații în curs, cum ar fi:

• legalitatea colectării datelor de formare („web scraping”), precum și procesarea datelor pentru intrarea, ieșirea și instruirea ChatGPT.
• corectitudine: asigurarea conformității cu GDPR este responsabilitatea OpenAI și nu a persoanelor vizate, chiar și atunci când indivizii introduc date personale.
• transparența și acuratețea datelor: operatorul ar trebui să furnizeze informații adecvate cu privire la natura probabilistică a rezultatelor ChatGPT și să se refere în mod explicit la faptul că textul generat poate fi părtinitor sau inventat.
• Raportul subliniază că este imperativ ca persoanele vizate să își poată exercita drepturile în mod eficient.

Membrii grupului de lucru au dezvoltat, de asemenea, un chestionar comun ca o posibilă bază pentru schimburile lor cu Open AI, care este publicat ca anexă la raport.

În plus, EDPB a decis să elaboreze orientări privind IA generativă, concentrându-se, ca prim pas, pe colectarea datelor în contextul formării AI.

În cele din urmă, EDPB a adoptat o declarație privind „pachetul de plată și acces la date financiare” al Comisiei (care include propunerile de regulament privind cadrul pentru accesul la date financiare (FIDA), privind Regulamentul privind serviciile de plăți (PSR) și serviciile de plată. Directiva 3 (PSD3)).
EDPB ia notă de rapoartele Parlamentului European privind propunerile FIDA și PSR, dar consideră că, în ceea ce privește prevenirea și detectarea tranzacțiilor frauduloase, ar trebui incluse garanții suplimentare privind protecția datelor în mecanismul de monitorizare a tranzacțiilor din propunerea PSR. Este important să se asigure că nivelul de interferență cu dreptul fundamental la protecția datelor cu caracter personal al persoanelor vizate este necesar și proporțional cu obiectivul de prevenire a fraudei la plăți.