La Oficina de la Comisionada de Información de Australia (OAIC) confirmó que la cadena de tiendas de conveniencia 7-Eleven violó la privacidad de miles de clientes mediante la recolección de datos biométricos sensibles sin previo consentimiento entre junio de 2020 y agosto de 2021.
Durante el periodo mencionado, la compañía realizó miles de encuestas empleando tabletas electrónicas con cámaras integradas instaladas en 700 de sus tiendas, aprovechando esta campaña para capturar los rasgos faciales de miles de clientes al momento de iniciar la encuesta y al finalizar de responder las preguntas.
Esta campaña llamó la atención de la OAIC, que inició una investigación sobre la encuesta, descubriendo que las imágenes recolectadas son almacenadas unos 20 segundos en los dispositivos antes de enviarlas a un servidor de Microsoft Azure.
Posteriormente, las imágenes faciales se conservan en este servidor por al menos una semana, periodo empleado por 7-Eleven para identificar y corregir cualquier problema y reprocesar las respuestas de la encuesta.
Las imágenes faciales se cargaron en el servidor como representaciones algorítmicas, otra forma de decir registros faciales. Esta información fue usada por la compañía para comparar las respuestas recolectadas y eliminar posibles registros no genuinos.
Por su parte, la compañía afirma que los usuarios consintieron la recolección de datos al momento de responder la encuesta, ya que esta incluye un aviso que menciona que 7-Eleven puede recopilar datos biométricos. Según datos de la propia compañía, alrededor de 1.6 millones de clientes respondieron a la encuesta.
Angelene Falk, comisionada de información y privacidad, determinó que esta estrategia de recopilación de datos infringe los lineamientos de privacidad de Australia y no hay argumentos suficientes para sostener cómo esta práctica mejora la experiencia de los clientes. Cabe recordar que, en Australia, las compañías tienen prohibido recopilar información confidencial sobre sus clientes sin consentimiento expreso.
La Comisionada concluyó mencionando que las imágenes faciales que muestran el rostro de una persona deben considerarse como información sensible, por lo que 7-Eleven no puede simplemente agregar a su encuesta un pequeño cuadro de diálogo mencionando que se recolectará información biométrica. La OAIC ordenó a 7-Eleven dejar de recolectar imágenes faciales como parte de sus programas de retroalimentación, además deberán destruir todos los registros recolectados hasta el momento.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad