22 septiembre 2021
¿Hasta qué punto es legal usar un sistema de reconocimiento facial?
Por Jorge Morell Ramos, fundador de Legaltechies
Un sistema de reconocimiento facial es una tecnología capaz de comparar un rostro humano a partir de una imagen digital o un fotograma de video con una base de datos de rostros. Se trata de un sistema menos preciso que el de reconocimiento de iris, pero su adopción es cada vez mayor por el escaso contacto que implica. Puede usarse reconocimiento facial para identificar o limitar el acceso de una persona a una oficina, un dispositivo, un servicio o determinado tipo de información. En países como China es usado hasta en los cubos de basura o en los baños. En Estados Unidos 20 de 42 agencias federales lo han usado en los últimos 5 años. Mientras que en Europa, donde siempre ha habido más resistencia a su uso, tenemos casos como Francia y su sistema Alicem para reconocer por el rostro a sus ciudadanos.
El problema de esta tecnología es que implica la medición de las características fisiológicas de un ser humano y para ello usa datos biométricos. Es decir, un tipo de dato que de acuerdo con el Reglamento General de Protección de Datos (RGPD), permite identificar a alguien de forma única debido a sus características físicas (su rostro), fisiológicas (su huella) o conductuales (su forma de caminar). Ese tipo de dato es especial y merece por parte de la ley mayor protección y garantías.
Y he ahí el quid de la cuestión: ¿Hasta qué punto es legal usar un sistema de reconocimiento facial?
El Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos indicaba a finales de junio de 2021 que se debía prohibir el uso en el espacio público de cualquier tipo de sistema de inteligencia artificial que permita el reconocimiento de seres humanos a través de elementos biométricos, por ejemplo las cámaras de reconocimiento facial.
En España, hasta la fecha, cuatro asuntos han motivado un análisis jurídico de forma más detallada. Además, la Agencia Española de Protección de Datos (AEPD) ha emitido una nota técnica sobre los 14 equívocos relativos a la identificación y autenticación biométrica, como puede ser el reconocimiento facial.
Hay que señalar que el uso de datos biométricos, en especial el reconocimiento facial, implica técnicamente dos fases que deben ser claramente separadas. Por un lado, está el proceso de identificación, consistente en reconocer a un individuo particular entre un grupo. Este procedimiento compara los datos del individuo a identificar con los datos de cada individuo en el grupo. Un ejemplo es lo que estaba haciendo Mercadona con su sistema de reconocimiento facial en sus establecimientos.
Por otro lado, el proceso de autenticación consiste en probar que es cierta la identidad reclamada por un individuo. Este proceso compara los datos del individuo únicamente con los datos asociados a la identidad reclamada. Éste sería el uso que estaba haciendo la UNIR al utilizar reconocimiento facial en la realización de exámenes online.
La diferencia entre procesos es relevante ya que podría posibilitar la legalidad del tratamiento, según el caso.
RESOLUCIONES SOBRE EL USO DE RECONOCIMIENTO FACIAL
El primer asunto relevante sobre la materia es el informe de la Agencia Española de Protección de Datos sobre el uso del reconocimiento facial para realizar exámenes, emitido en 2020. La Agencia consideró que las técnicas de reconocimiento facial con fines de identificación biométrica suponen un tratamiento de categorías especiales de datos para los que el RGPD exige garantías reforzadas. El consentimiento por parte del alumno solo sería libre y, por tanto, válido, cuando se hubiera ofrecido una alternativa equivalente en cuanto a duración y dificultad. Además, si se optase por basar el reconocimiento facial de los alumnos en el interés público se requeriría una norma con rango de ley que lo habilitase y estableciera garantías específicas.
Ese asunto ha dado lugar a la reciente resolución de advertencia contra la Universidad Internacional de La Rioja, en la que la AEPD indica que no está justificado el uso del reconocimiento facial para esa finalidad.
El segundo caso importante trata sobre el uso de sistemas de reconocimiento facial por parte de las empresas de seguridad privada. Dice la Agencia de Protección de Datos que para ello haría falta un interés público esencial recogido en una norma con rango de ley, que no existe actualmente. Por tanto, se rechaza que la legitimación reconocida para los sistemas de videovigilancia que solo captan y graban imágenes y sonidos pueda abarcar tecnologías como el reconocimiento facial, la forma de andar o la voz.
El tercer caso versa sobre un proyecto del sector bancario que planteaba su uso para el alta de clientes, ya sean presenciales u online, con la finalidad de verificar la identidad de la persona a efectos de prevención de blanqueo de capitales y financiación del terrorismo. En este caso, la AEPD señala que ese tratamiento es ilegal por entender que no es necesario, no es proporcional (hay alternativas menos intrusivas, como usar el DNI) y tampoco cumple con el principio de minimización (se obtienen más datos de los imprescindibles). Además, las dos posibles bases legales para ese caso, el consentimiento explícito del usuario o el interés público, son difícilmente justificables en un caso como éste, el primero por el peligro de que se entienda obligatorio y no libre y el segundo por no considerarse esencial.
Finalmente, tenemos el Auto 75/2021 del 15 de febrero de la Audiencia Provincial de Barcelona sobre el caso Mercadona. El supermercado había instalado un sistema de reconocimiento facial en varios establecimientos para controlar el acceso de determinadas personas a las que se les había prohibido la entrada. El tribunal entendió que Mercadona no estaba protegiendo el interés público sino los intereses privados o particulares de la empresa, de modo que consideraba que ese sistema suponía una violación de privacidad y ponía en riesgo a los derechos fundamentales de los ciudadanos.
En resumen, la realidad es que ahora mismo el uso de datos biométricos obtenidos a través de un sistema de reconocimiento facial implica tratar datos de categoría especial. Por tanto, debe contarse con la correspondiente base de legitimación (art. 6 del RGPD), más una condición específica (art. 9 del RGPD) para su legalidad.
Si la base de legitimación es el consentimiento explícito, se debe haber dado de manera libre y será necesario que se haya ofrecido una alternativa igual de eficaz. El interés público esencial podría ser otra opción, pero en la actualidad no está previsto en una norma con rango de ley. Norma que, en todo caso, debería ser proporcional, necesaria, justificada y con garantías.
Por tanto, el uso de reconocimiento facial de forma legal en España es ahora mismo casi residual, pudiendo, quizás, utilizarse en el caso de la seguridad en el ámbito de las infraestructuras críticas y en todo caso analizando detalladamente cada supuesto antes de su puesta en marcha.
Después de todo, no olvidemos que la propuesta de Mercadona acabó con una sanción de 2,5 millones de euros.