El reconocimiento facial: una controversia evitable

  • ¿Cuándo puede usarse sin restricciones?
  • ¿Cuándo conlleva un problema de Privacidad?

El artículo 4.1 del Reglamento General de Protección de Datos (RGPD) considera que una persona física es identificable cuando su identidad puede determinarse mediante -entre otros- uno o varios elementos propios del aspecto físico, fisiológico o genético de dicha persona.

Dicho con otras palabras, si a través de la tecnología de reconocimiento facial se puede identificar a una persona, esa información (es decir, los rasgos faciales) son considerados como datos de carácter personal y, en consecuencia, a su tratamiento le resulta de aplicación la citada normativa.

Gracias a su fiabilidad y eficacia, esta tecnología se viene desarrollando a gran velocidad, y muchas empresas la han implementado ya, o se están planteando implementarla en el futuro. Este es el caso de Apple y su servicio Face ID, con el que se permite al usuario desbloquear y realizar compras. O, ya en España, CaixaBank permite sacar dinero de sus cajeros a través del reconocimiento facial de sus clientes[1].

Con carácter previo, hay que remitirse a la distinción entre identificación biométrica y verificación/autenticación, tal y como se refiere el Dictamen 3/2012 del Grupo de Trabajo del Artículo 29.

En los ejemplos citados estaríamos ante este último supuesto, ya que la comparación de los datos biométricos del individuo se lleva a cabo contra una única plantilla almacenada en el dispositivo (pe. el sistema empleado en las puertas de control automatizado de fronteras de los controles fronterizos de los aeropuertos), y no, tal y como ocurre con la identificación, en una comparación entre sus datos biométricos con correspondencias entre una pluralidad de personas (pe. el caso de las cámaras instaladas por Mercadona para prevenir hurtos en sus supermercados).

La importancia de esta distinción es muy relevante desde el punto de vista jurídico, ya que, aunque en base al artículo 4 del RGPD, el concepto de dato biométrico incluiría ambos supuestos, estos datos biométricos únicamente tendrán la consideración de categoría especial de datos en el supuesto de identificación, y no en el de la verificación.

Adicionalmente, hay que destacar que los ejemplos de Apple y CaixaBank antes citados tienen una cosa en común, como es en que en ambos casos la legitimación para el uso de dicha tecnología se basa en el consentimiento del usuario, quien accede, libre y voluntariamente, a que se usen sus rasgos faciales con tal de poder recibir un servicio -aparentemente- de forma más segura, cómoda y sencilla.

En relación con esto último, cabe recordar que el artículo 6.1 del RGPD recoge el consentimiento como una de las seis causas de legitimación para el tratamiento de datos personales, aunque no de forma absoluta. En efecto, el considerando 42 de dicho Reglamento termina diciendo que “El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno”. Mientras que el considerando 43 añade que “Para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento […]”.

Es decir, para que pueda alegarse la validez del consentimiento obtenido, este debe haber sido prestado de forma libre, lo que en la práctica exige que se ofrezca un modo alternativo para que el usuario pueda, subsidiariamente, acceder al servicio contratado por otras vías. Dicho con otras palabras, al usuario de Apple siempre se le habrá de ofrecer la opción de poder desbloquear su móvil a través de contraseña, del mismo modo que el cliente de Caixa Bank debe poder optar por sacar dinero del cajero con su tarjeta bancaria. De lo contrario, el consentimiento para el uso de biometría se consideraría que no ha sido prestado libremente, y comenzarían nuestros problemas[2].

Todo ello, además, en el entorno de respeto de los principios aplicables a la protección de datos, recogidos en el artículo 5 del RGPD, especialmente los de limitación de la finalidad y del plazo de conservación, minimización de datos, integridad y confidencialidad, al objeto de que el uso de esa tecnología suponga la menor injerencia en los derechos y libertades de los interesados.

Así las cosas, en estos momentos sí parece viable emplear biometría con fines de autenticación de personas (lectura de iris, reconocimiento facial, huella dactilar…), aplicando las garantías legalmente exigibles. Mientras que encontraremos mayores dificultades si el objetivo que se persigue con el uso de esa tecnología es el de la identificación de personas.

En Ecix trabajamos para asesorar a nuestros clientes sobre Riesgos empresariales en los que pueden incurrir y en tratar de solventarlos y evitarlos cuando estos se presentan, si tienes dudas sobre la implantación de este tipo de soluciones que puedan atentar sobre la Privacidad contacta con nosotros.

[1] https://www.caixabank.com/comunicacion/noticia/caixabank-primer-banco-del-mundo-que-utiliza-el-reconocimiento-facial-en-sus-cajeros-para-sacar-dinero_es.html?id=41476

[2] STC 207/1996: “[…] para comprobar si una medida restrictiva de un derecho fundamental supera el juicio de proporcionalidad, es necesario constatar si cumple los tres siguientes requisitos o condiciones: «si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto)”.

Compartir

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp