RECONOCIMIENTO FACIAL, BIOMETRÍA Y CATEGORÍAS ESPECIALES DE DATOS
Clearwiew es una aplicación de reconocimiento facial que, a partir de una imagen, consigue rastrear todas las imágenes que de una persona pueda haber en internet. El pasado 10 de junio, el Comité Europeo de Protección de Datos cuestionaba la legalidad de dicha aplicación respecto a la normativa europea de protección de datos. Ello ha hecho que se retome el debate sobre el uso de soluciones de reconocimiento facial.
A continuación, repasaremos la normativa aplicable y últimos pronunciamientos de las autoridades.
Como sabemos, una imagen es un dato de carácter personal por ser una información sobre una persona física identificada o identificable (Art 4.1 RGPD) y, por tanto, su tratamiento queda protegido por la normativa reguladora del derecho fundamental de protección de datos. También el derecho a la propia imagen es un derecho fundamental protegido por la Ley Orgánica 1/1982, de Protección Civil del Derecho al Honor, Intimidad personal y familiar y a la propia imagen.
En cuanto a si una fotografía constituye un dato biométrico, el Considerando 51 del RGPD lo aclara afirmando que las fotografías “únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física”.
Si atendemos a la definición del artículo 4.14 del RGPD, son datos biométricos aquellos datos personales obtenidos a partir de un tratamiento técnico especifico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.
El mismo Considerando afirma que “El tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales” pues para ello deberían constituir antes un dato biométrico.
Así, los “datos biométricos dirigidos a identificar de manera unívoca a una persona física”, constituyen categorías especiales de datos (artículo 9.1 RGPD). De modo que, podemos concluir que no todo tratamiento de datos biométricos constituye un tratamiento de categorías especiales de datos; así lo entiende la AEPD en su Informe 0036/2020[1] y el Comité Europeo de Protección de Datos en las Directrices 3/2019 sobre videovigilancia[2]
En el mismo sentido, la nueva versión del Convenio 108 para la Protección de Individuos con respecto al procesamiento de datos personales incluye[3] entre las categorías especiales de datos a los datos biométricos dirigidos a la identificación unívoca de una persona.
Si los datos biométricos son categorías especiales de datos cuando identifican unívocamente a una persona, hemos de tener en cuenta que una “identificación unívoca” no es lo mismo que una “verificación” o “autenticación” de la identidad. En palabras de la AEPD “La identificación es el proceso de reconocer a un individuo particular entre un grupo. Este proceso compara los datos del individuo a identificar con los datos de cada individuo en el grupo. La autenticación es el proceso de probar que es cierta la identidad reclamada por un individuo”.
Así, el GT29 en su Dictamen 3/2012 sobre la evolución de las tecnologías biométricas ya distinguía dichos conceptos:
- Identificación biométrica: la identificación de un individuo por un sistema biométrico es normalmente el proceso de comparar sus datos biométricos (adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos (es decir, un proceso de búsqueda de correspondencias uno-a-varios).
- Verificación/autenticación biométrica: la verificación de un individuo por un sistema biométrico es normalmente el proceso de comparación entre sus datos biométricos (adquiridos en el momento de la verificación) con una única plantilla[4] biométrica almacenada en un dispositivo (es decir, un proceso de búsqueda de correspondencias uno-a-uno).
Por tanto, en ambos casos estaremos ante datos biométricos, pero únicamente en el caso de que el tratamiento se dirija a la obtención de la identificación de la persona, estaremos ante una categoría especial de datos (correspondencias uno-a-varios).
No obstante, la AEPD en el Informe anteriormente mencionado, afirma[5] que:
“se trata de una cuestión compleja, sometida a interpretación, respecto de la cual no se pueden extraer conclusiones generales, debiendo atenderse al caso concreto según los datos tratados, las técnicas empleadas para su tratamiento y la consiguiente injerencia en el derecho a la protección de datos, debiendo, en tanto en cuanto no se pronuncia al respecto el Comité Europeo de Protección de Datos o los órganos jurisdiccionales, adoptarse, en caso de duda, la interpretación más favorable para la protección de los derechos de los afectados”.
El Comité Europeo de Protección de Datos en sus Directrices 3/2019 sobre tratamiento de datos personales a través de dispositivos de video, pone varios ejemplos[6] interesantes que ponen de manifiesto la complejidad de la cuestión. Así, en el caso de instalación de sistemas de captación de datos biométricos en entornos no controlados (el dispositivo biométrico está ubicado en un lugar público o accesible por cualquier persona y, por tanto, operará sobre cualquier persona que acceda o pase por allí), se crean plantillas tanto de las personas que han podido consentir a dicho tratamiento como de las que no, para que precisamente el Responsable del tratamiento pueda reconocer al usuario que consintió, y de quien por tanto, tiene su identificación. El CEPD afirma que, dado que el propósito es identificar de manera única a las personas físicas, se necesita aplicar una excepción, de acuerdo con las previstas en el Artículo 9.2 RGPD, para poder tratar los datos de cualquier persona capturada por la cámara.
En relación al tratamiento de datos de las personas que no hubieran consentido, el CEPD pone el ejemplo de una tienda que instala un sistema de reconocimiento facial dentro de su tienda para personalizar su publicidad para particulares. El Responsable del tratamiento ha de obtener el consentimiento de todos los interesados antes de usar este sistema. El CEPD afirma que el sistema sería ilegal si capturase a visitantes o transeúntes que no han dado su consentimiento para la creación de su plantilla biométrica, incluso si su plantilla se elimina dentro del período más corto posible. De hecho, afirma que estas plantillas temporales constituyen datos biométricos tratados con el fin de identificar de manera única a una persona que no desea recibir publicidad personalizada. El CEPD diferencia este caso del supuesto en que lo que se pretenda sea, no identificar unívocamente a una persona, sino distinguir categorías, como, por ejemplo, dirigir una publicidad según el género o edad del destinatario.
La AEPD en la consulta 010308/2019 aclara que la autorización, con carácter general, del empleo de sistemas de reconocimiento facial en los sistemas de videovigilancia empleados por la seguridad privada, sería considerada como desproporcionada, dada la intrusión y los riesgos que supone para los derechos fundamentales de los ciudadanos. Sobre los requisitos para utilizar sistemas de reconocimiento facial en base a un interés público (artículo 9.2.g), concluye que es necesario que esté previsto en una norma de derecho europeo o nacional, debiendo tener dicha norma rango de ley. “Dicha ley deberá, además especificar el interés público esencial que justifica la restricción del derecho a la protección de datos personales y en qué circunstancias puede limitarse, estableciendo las reglas precisas que hagan previsible al interesado la imposición de tal limitación y sus consecuencias, sin que sea suficiente, a estos efectos, la invocación genérica de un interés público. Y dicha ley deberá establecer, además, las garantías adecuadas de tipo técnico, organizativo y procedimental, que prevengan los riesgos de distinta probabilidad y gravedad y mitiguen sus efectos”. Además, añade la AEPD, que dicha ley deberá respetar en todo caso el principio de proporcionalidad.
Por su parte, la Comisión Europea en su Libro blanco sobre la inteligencia artificial mantiene la diferenciación anteriormente comentada, al hablar de aplicaciones de inteligencia artificial para la identificación biométrica remota (por ejemplo, instalación de sistemas de reconocimiento facial en lugares públicos) sobre la que afirma entraña riesgos específicos para los derechos fundamentales.
Así, la Comisión establece que la identificación biométrica remota debe distinguirse de la autenticación biométrica, sirviendo la primera para determinar la identidad de varias personas con la ayuda de identificadores biométricos (huellas dactilares, imágenes faciales, iris, patrones vasculares, etc.) a distancia, en un espacio público y de manera continuada o sostenida contrastándolos con datos almacenados en una base de datos, y siendo la segunda, un procedimiento de seguridad basado en las características biológicas exclusivas de una persona para comprobar que es quien dice ser.
La Comisión afirma que dado que todo tratamiento de datos biométricos dirigido a identificar a una persona física de manera unívoca está vinculado con una excepción a una prohibición establecida en la legislación de la UE, dicho tratamiento ha de atenerse a la Carta de Derechos Fundamentales de la UE, y por tanto, de conformidad con las normas vigentes en materia de protección de datos y con la citada Carta, la IA solo puede utilizarse con fines de identificación biométrica remota cuando dicho uso esté debidamente justificado, sea proporcionado y esté sujeto a garantías adecuadas.
El Supervisor Europeo de Protección de Datos ha publicado el 29 de Junio de 2020 su Opinion 4/2020 sobre el Libro Blanco sobre IA de la Comisión, en la que propone una moratoria en la UE en relación al uso de la identificación biométrica remota en espacios públicos, no solo en lo relativo al reconocimiento facial sino también sobre huellas, ADN, voz, señales de comportamiento etc, hasta que no se lleve a cabo un debate a nivel europeo y se establezcan las garantías adecuadas y el marco legal que garantice la proporcionalidad de las respectivas tecnologías y sistemas para los específicos casos de uso.
Esta preocupación por los sistemas de reconocimiento facial no solo existe en Europa, pues en EEUU, a falta de una regulación a nivel federal sobre el uso de tecnologías de reconocimiento facial, diversos estados (Illinois, Texas, California, Washington, Arkansas y Colorado) han aprobado sus propias normas. El 25 de Junio de 2020 se ha presentado un proyecto de ley (Facial Recognition and Biometric Technology Moratorium Act of 2020) que prohibiría el uso de tecnología de reconocimiento facial por parte de las agencias federales, salvo autorización del Congreso.
La CNIL en un Informe de Noviembre de 2019 ya planteó la crucial necesidad de este debate sobre cómo conciliar los derechos y libertades de los ciudadanos con consideraciones de seguridad o económicas y las formas de vigilancia aceptables en una sociedad democrática.
La magnitud del debate actual sobre el uso de las técnicas de reconocimiento facial evidencia el punto de inflexión en el que nos encontramos actualmente, pues hemos de decidir hacia qué modelo de sociedad queremos evolucionar.
Lead Advisor @govertis
[1] Informe 0036/2020, p. 18, “el RGPD no parece considerar a todo tratamiento de datos biométricos como tratamiento de categorías especiales de datos, ya que el artículo 9.1. se refiere a los “datos biométricos dirigidos a identificar de manera unívoca a una persona física”, por lo que, de una interpretación conjunta de ambos preceptos parece dar a entender que los datos biométricos solo constituirían una categoría especial de datos en el caso de que se sometan a un tratamiento técnico específico dirigido a identificar de manera unívoca a una persona física”
[2] Directrices 3/2019, p. 18.
[3] Art 6.1 “biometric data uniquely identifying a person”.
[4] Tal y como indica el GT29 en su Dictamen 3/2012 sobre la evolución de las tecnologías biométricas: “la información biométrica bruta capturada es tratada de manera que solo se extraen ciertas características o rasgos y se salvan como una plantilla biométrica”, p.4.
[5] Informe 0036/2020, p. 19.
[6] Informe 0036/2020, p. 20.
Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.
