"La tecnología existe y las aplicaciones también, pero ponerlas en práctica de manera legal no es tan sencillo como parece.
Entre los recuerdos más lejanos que tenemos de los primeros pinitos
del reconocimiento facial figuran los intentos iniciales de Facebook de
reconocer automáticamente los rostros de nuestros amigos en las
fotografías que subíamos a la red social. Corría el año 2010 y aquello
nos parecía entre curioso y baladí. Ahora nuestras caras sirven para desbloquear móviles, hacer gestiones con entidades bancarias y saciar la curiosidad de los Estados más fisgones.
No es casualidad, sus ventajas son evidentes: “Están estrechamente
vinculados a una persona, aceleran y simplifican los procedimientos de
autenticación y verificación”, explica Andrés Ruiz, abogado
especializado en privacidad en Metricson. ¿Pero hasta dónde pueden
llegar empresas y entidades con esta tecnología? ¿Cuándo es legal que se
queden con tu cara?
Primero, no es descabellada cierta sensación de que nuestra cara no
importa tanto ni esconde información que merezca protección. Esto
importa porque pone en riesgo el anonimato y algo que tendemos a dar por
sentado: la circulación no registrada de personas.
“Estos sistemas de
reconocimiento facial utilizados a gran escala pueden producir efectos
graves en la privacidad de las personas, ya que pueden capturar datos
biométricos fácilmente sin conocimiento del interesado; un uso amplio e
indiscriminado podría terminar con el anonimato en espacios públicos y
privados y permitir un seguimiento continuo de personas”, precisa Ruiz.
Además, abre la puerta a intentos de usurpación de identidad.
Lo que tu rostro esconde
¿Qué protege la legislación? Los datos asociados a tu cara. Pero no
todos. “El reconocimiento facial se considera, en general, una técnica
biométrica”, señala Ruiz. Esto implica, según el Reglamento General de
Protección de Datos (RGPD), que los datos recopilados por la creciente
masa de cámaras que se entremete en nuestras rutinas encajan en esta
definición cuando además se traten “con medios específicos que tengan
como finalidad la identificación o la autentificación unívoca de una
persona”.
Además, en estas condiciones la información recopilada entra
en el selecto grupo de los “datos sensibles”. Estos últimos se protegen
con más celo. Para coleccionarlos, es necesario tener consentimiento
explícito o bien cumplir ciertos requisitos en cuyo marco quede
justificado el uso de reconocimiento facial.
En líneas generales, ¿qué necesita una entidad para poder usar tu
cara? Entre otras cosas cumplir alguna de las bases del artículo 6 o 9
del RGPD, entre las que figuran las siguientes:
- Un verdadero sí quiero. Si el interesado ha dado su consentimiento explícito, todo está bien. Pero no vale cualquier tipo de aceptación. “Debe ser una manifestación de voluntad libre, específica e informada”, explica Ruiz. No vale que el consentimiento sea obligatorio para acceder a un servicio. Y debe ser revocable. Además, si no existe un método de autentificación alternativo, el consentimiento tampoco puede considerarse libre. Por ejemplo, en el caso de un local que emplea esta tecnología para controlar el acceso de sus clientes, se deben establecer mecanismos alternativos. “Así se permitirá la no participación en el reconocimiento facial a quien no quiera”.
- Una buenísima excusa. “La compañía deberá ponderar y demostrar que su interés legítimo prevalece objetivamente sobre el derecho de los interesados a no ser objeto de reconocimiento facial”, explica el experto, que pone el ejemplo del laboratorio de una empresa que investiga un virus peligroso. En este caso, un sistema de acceso basado en esta tecnología estaría justificado para garantizar que solo determinadas personas pudieran entrar.
- Un papel que diga que empezaste tú. Si el usuario ha contratado un servicio de reconocimiento facial, también vale. Por ejemplo, si dos hermanos acuden a una empresa para que realice una prueba sobre sus patrones faciales para cuantificar el parecido de sus rasgos. “Esta base legal sólo sería válida cuando se presten servicios biométricos puros”, advierte el abogado.
- Que sea por tu bien. También es válido que se use esta tecnología cuando se están cumpliendo normativas específicas al respecto, se protegen tus intereses vitales o se cumple una misión de interés público.
Biometría light
Cuando las imágenes se emplean para tareas cuya finalidad no es
identificar individuos, el tratamiento de la información también debe
cumplir ciertos límites para ser legal. Estamos hablando de sistemas de
clasificación y monitoreo. “Por ejemplo, reconocimiento facial para el
posterior análisis estadístico del público en general, que muestre datos
agregados sobre cómo se desplazan los consumidores por un local o la
recurrencia de los clientes”, precisa el abogado.
En este supuesto, hay una serie de requisitos de obligado
cumplimiento para cualquier empresa que aspire a usar estas tecnologías.
- Fines claros y chocolate espeso. Debe definirse específicamente con qué finalidad se recaban y tratan los datos biométricos.
- Tu cara, la única opción. El reconocimiento debe ser esencial para la finalidad descrita y la pérdida de intimidad que implica debe compensarse con los beneficios que supone. Ruiz plantea el escenario de un gimnasio con un sistema de este tipo para controlar la entrada. “Este tratamiento parece desproporcionado en relación con la necesidad de controlar el acceso. Es fácil imaginar que existan otras medidas con menor intromisión en la privacidad de los usuarios”
- Quedarse con lo justo y necesario. La entidad no debe recopilar más de lo estrictamente necesario para cumplir su finalidad. “En redes sociales sobre las que se aplica reconocimiento facial, aunque el interesado haya consentido expresamente este tratamiento para que se le etiquete automáticamente en fotografías, los datos biométricos que no sean necesarios tras el etiquetado, como el nombre, alias o cualquier otro no necesario, deberían suprimirse y dejar de tratarse”.
- Nada de Diógenes. Debe garantizarse que el periodo de conservación de los datos se limita al necesario para cumplir la finalidad. En el caso de una empresa que lo usa para controlar accesos, si un empleado deja de trabajar ahí, sus datos deberán suprimirse de inmediato.
- Todo correcto. “Los datos deben ser exactos y, en su caso, si fuera necesario actualizados, debiendo cumplir las medidas técnicas y organizativas razonables para que se rectifiquen o supriman datos personales inexactos”, precisa Ruiz.
- Privacidad nativa. El tratamiento de datos debe diseñarse de forma preventiva, pensando desde el inicio en la privacidad, y convirtiendo esta un elemento esencial en los primeros pasos de definición y desarrollo de productos o servicios.
Cumplir todo lo anterior no agota las obligaciones de las empresas que se mueven en este novedoso sector.
Es necesario tomar medidas para asegurar que el uso de estas
tecnologías no acabe volviéndose en contra de los ciudadanos a causa de
filtraciones de la información almacenada. “Por ejemplo, con la
reconstrucción de rasgos faciales biométricos a través de plantillas de
referencia que puedan ser usados con fines maliciosos”, precisa el
experto.
En este sentido es necesario establecer medidas de seguridad
que limiten estos riesgos, como cifrados de la información recopilada y
sistemas antisuplantación que prevengan la suplantación de identidad.
“Se debe tener especial atención a los sesgos y circunstancias
discriminatorias para personas sobre las que se aplica el reconocimiento
facial y que pueden, por ejemplo, ser rechazadas por el sistema; deben
introducirse garantías adecuadas, intervenciones humanas, soluciones o
mecanismos que permitan al usuario la posibilidad de defender su punto
de vista ante decisiones automatizadas”, añade Ruiz.
Y si…
Dicho todo esto, ¿tenemos que ir por la calle desconfiando de cada
cámara? No exactamente. “La instalación de videocámaras en lugares
públicos, tanto fijas como móviles, es competencia exclusiva de las
Fuerzas y Cuerpos de Seguridad del Estado, rigiéndose el tratamiento por
su legislación específica, sin perjuicio de que les sea aplicable, en
su caso, lo especialmente previsto en el RGPD en determinados aspectos”,
matiza Ruiz.
Esto no quita, que en determinadas situaciones pueda
establecerse una colaboración público-privada en la que una empresa de
reconocimiento facial preste sus servicios a la Administración. “Puede
desarrollarse, por ejemplo, una obligación legal que determine que en
determinados niveles de alerta terrorista o por circunstancias concretas
en infraestructuras críticas puedan utilizarse tecnologías biométricas
para garantizar la seguridad nacional”.
En este sentido, tampoco tenemos que preocuparnos demasiado por la posibilidad de que las grabaciones hechas en sistemas normales
-que se limitan a registrar vídeo sin que haya procesamiento de la
información almacenada en ellos- acaben en manos de terceros que puedan
aplicar tecnologías de reconocimiento facial.
“Estas comunicaciones de
datos con origen en videovigilancia sólo serían posibles si existe una
base legal para ello: por ejemplo, cuando sean requeridas por jueces y
tribunales o cuando las Fuerzas y Cuerpos de Seguridad del Estado lo
soliciten en aquellos supuestos en los que son necesarios. Por ejemplo,
prevención de delitos, seguridad pública, para investigación o represión
de infracciones penales”. (Montse Hidalgo Pérez , Retina, El País, 19/03/20)
No hay comentarios:
Publicar un comentario