Reconocimiento facial: “El extraño caso del doctor Jekyll y el señor Hyde”
Igual que el Dr. Jekyll fue capaz de desarrollar una fórmula para separar su mitad buena de la mala, el legislador debe ser capaz de diferenciar entre tratamientos nocivos y lícitos
El reconocimiento facial se abre paso como la opción más segura para fichar (EFE).
Por
Bartolomé Martín
El uso de técnicas de reconocimiento facial con fines de verificación de identidad es cada vez más frecuente. Sin ir más lejos, es una de las funcionalidades de las que disponen algunos teléfonos móviles con el objetivo, precisamente, de proteger nuestra privacidad e intimidad. No obstante, como si del famoso personaje de R. L. Stevenson se tratase, el reconocimiento facial (el tratamiento de datos biométricos, en general, en realidad) puede también transformarse en un sistema de control extremadamente eficaz e intrusivo en la privacidad.
Con esa preocupación, el legislador europeo ha establecido que los datos biométricos, cuando vayan a emplearse para identificar de manera unívoca a una persona, se consideran una categoría especial de dato personal, cuyo tratamiento está, con carácter general, prohibido. El artículo 9 del Reglamento General de Protección de Datos (el RGPD) así lo prevé, señalando que solo será posible el tratamiento de estas categorías especiales de datos en circunstancias especiales, por ejemplo, si se obtiene el consentimiento explícito del interesado o cuando ello resulte preciso para dar cumplimiento a una misión de interés público.
Conviene insistir en que este precepto no pretende prohibir el uso de estos datos en todos los casos. Las autoridades europeas, en el Libro blanco sobre la inteligencia artificial de la Comisión Europea, diferencian el uso de datos biométricos para identificar a un sujeto (comparando sus datos con los de otros) de aquel dirigido simplemente a verificar su identidad (cuando la comprobación se realiza con un patrón biométrico del propio individuo), quedando, en principio, solo el primero de estos tratamientos sujeto a ese régimen de prohibición general previsto en el RGPD.
Sin embargo, la AEPD no parece estar de acuerdo con este enfoque de “blancos y negros” y en el informe de su Gabinete Jurídico con número 2020-0036 ya establecía que, incluso cuando el tratamiento de este tipo de datos persiga verificar la identidad del usuario, por contraposición a su identificación, estaremos ante tratamientos cuya licitud requerirá analizar el “caso concreto y a las particulares técnicas empleadas en relación con la finalidad perseguida por el tratamiento.”
Con un discurso incluso más severo, en un nuevo informe (con número 2021-0047) la AEPD persiste, seguro que sin pretenderlo, en atormentar, siguiendo con el caso del libro con el que titulamos esta tribuna, al bueno del Dr. Jekyll y no solo en perseguir al Sr. Hyde. En la consulta a la que la Agencia responde a través del citado informe se cuestiona si a la hora de identificar a los clientes de una entidad financiera, y en cumplimiento de la normativa de prevención del blanqueo de capitales y la financiación del terrorismo, el uso de sistemas de reconocimiento facial puede ampararse en una de las excepciones recogidas en el meritado artículo 9 del RGPD: dar cumplimiento a una misión de interés público.
Responde la AEPD que, para que esto sea posible, la ley en la que se reconozca dicho interés público tendría que especificar además “las reglas precisas que hagan previsible al interesado la imposición de tal limitación y sus consecuencias” y “las garantías adecuadas de tipo técnico, organizativo y procedimental, que prevengan los riesgos de distinta probabilidad y gravedad y mitiguen sus efectos”.
Es decir, impone una serie de exigencias formales que suponen, en la práctica, reducir al extremo la posibilidad de aplicar esta circunstancia excepcional (desconocemos si habrá siquiera algún supuesto en que el legislador haya realizado este ejercicio que pretende la Agencia). No solo eso, aun cuando estemos en un supuesto en el que el tratamiento no persiga la identificación del individuo, sino su verificación, tampoco será posible, conforme al criterio de la AEPD, ampararse en la base legitimadora contemplada en el artículo 6.1 e) del RGPD (que “el tratamiento es necesario para el cumplimiento de una misión realizada en interés público […]”).
La AEPD impone una serie de exigencias formales a los métodos de reconocimiento facial que reducen al extremo la posibilidad de su uso
La AEPD señala que, cuando está en juego cumplir una norma (en el caso analizado en el informe, la normativa de prevención del blanqueo de capitales), la base legitimadora de aplicación es precisamente esa, que “el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento” (artículo 6.1 del RGPD) y que “dichas obligaciones legales deben cumplirse en los términos que la ley que las impone establece”. Es decir, que solo si la normativa de prevención del blanqueo de capitales previese el uso de estos sistemas a efectos de cumplir con la obligación de identificación del cliente, dicho tratamiento quedaría amparado por dicha base legitimadora.
Sin perjuicio de que podamos estar de acuerdo en que la base legitimadora deba ser el cumplimiento de una obligación legal y no el cumplimiento a una misión de interés público y en que el uso de técnicas de reconocimiento facial puede ser desproporcionado cuando se vaya a emplear de forma masiva y existan medios menos intrusivos en la privacidad que permiten alcanzar el mismo objetivo, como sucede cuando de lo que se trata es de cumplir la normativa de prevención del blanqueo de capitales y de la financiación del terrorismo, con lo que no podemos estar tan de acuerdo es con que esta base legitimadora no pueda conjugarse con el interés legítimo del responsable y que solo si la ley prevé un determinado tratamiento de forma expresa este se pueda llevar a cabo.
En todo caso, como el Dr. Jekyll fue capaz de desarrollar una fórmula que le transformó en otra persona, separando su mitad buena de la mala, en lo que se refiere al reconocimiento facial la clave será ser capaces de diferenciar entre tratamientos nocivos y desproporcionados y otros que no solo pueden resultar lícitos, sino incluso deseables y adecuados a las necesidades y constante evolución tecnológica y social.
* Bartolomé Martín es director responsable de Propiedad Intelectual y Nuevas Tecnologías en KPMG Abogados
El uso de técnicas de reconocimiento facial con fines de verificación de identidad es cada vez más frecuente. Sin ir más lejos, es una de las funcionalidades de las que disponen algunos teléfonos móviles con el objetivo, precisamente, de proteger nuestra privacidad e intimidad. No obstante, como si del famoso personaje de R. L. Stevenson se tratase, el reconocimiento facial (el tratamiento de datos biométricos, en general, en realidad) puede también transformarse en un sistema de control extremadamente eficaz e intrusivo en la privacidad.
:format(png)/https%3A%2F%2Fdelorean.ecestaticos.com%2Fimg%2Fjournalist%2Fjournalist-default.png)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F157%2Fb5f%2Fed4%2F157b5fed4bad61231a20b3c01d5ba6e9.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F3d6%2Fba0%2Ff9d%2F3d6ba0f9d428f980d176ab2960be1051.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F5d5%2Fcb0%2Ffee%2F5d5cb0fee488ad0401ab82c1430151ef.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F238%2F0d7%2F6ac%2F2380d76ac79da7165e5dac9024bb8bc9.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F884%2F1c7%2F6b4%2F8841c76b40856227f9987a0affc2a08c.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F16f%2F9c3%2F47f%2F16f9c347fc645c517d6b274004602020.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F79d%2F056%2Fd6e%2F79d056d6e703c3538e24fd77627a2a8e.jpg)