Los rasgos de la cara también son datos personales
La biometría se está convirtiendo en el gran caballo de batalla por nuestra privacidad
Una imagen vale más que mil palabras. A este dicho hay que sumarle que en la sociedad actual, las imágenes se convierten en datos (digitales) y los datos son el nuevo petróleo de la economía.
En un día cualquiera pasamos ante una enorme cantidad de cámaras sin ser conscientes de ello: cámaras de videovigilancia de comercios, bancos, cámaras de tráfico en las calles.
No podemos olvidarnos tampoco de las cámaras de móviles y ordenadores frente a las que trabajamos o leemos artículos como este. Si me permite un consejo, ponga una pegatina delante de ella para evitarle disgustos o problemas en caso de que programas espía puedan acceder a su ordenador y activarla sin su consentimiento.
Más tecnología, más riesgos
Además, a lo anterior se suma que de una simple foto o vídeo se pueden obtener nuestros rasgos o datos biométricos. Por decirlo de alguna forma, sería como nuestra huella dactilar pero con los rasgos de, en este caso, la cara. Por ello, la biometría se está convirtiendo en el gran caballo de batalla por nuestra privacidad.
La biometría supone nuevos riesgos y retos. La tecnología nos facilita la vida, nos otorga mayor seguridad en todos los aspectos, pero debemos ser conscientes del riesgo añadido que cada nuevo uso o mejora supone para la pérdida de privacidad e intimidad. Escalones que, dicho sea de paso, una vez subidos, difícilmente volveremos a descender.
Por ello, el empleo o la elección de una tecnología no es una cuestión baladí. Las decisiones deben tomarse tras realizar un estudio sobre la proporcionalidad y necesidad.
Biometría en aeropuertos y supermercados
Volviendo a la biometría, estamos encontrando nuevos escenarios para su empleo. Sus nuevos usos van desde la seguridad en los aeropuertos a la identificación de los estudiantes en el ámbito educativo online para verificar que no existe suplantación de identidad en un examen –la Agencia Española de Protección de Datos (AEPD) ya ha publicado un informe al respecto–.
El último ejemplo es el anuncio de la implantación de esta tecnología por una gran compañía de supermercados española en decenas de sus establecimientos. El objetivo es detectar a personas con sentencias firmes o medidas cautelares que tengan una orden de alejamiento contra la empresa o sus trabajadores que les prohíba entrar a las tiendas.
La decisión de la cadena de tiendas está generando discusiones y dudas. La AEPD ya ha abierto una investigación para comprobar que su sistema de reconocimiento facial cumple las normas. ¿Se pueden tratar nuestros datos biométricos?
Las características faciales, un dato personal
Lo primero que hay que decir es que los datos biométricos son datos de carácter personal. Por ello, están regulados y protegidos por la normativa europea de protección de datos de carácter personal, tanto por el Reglamento Europeo de Protección de datos (RGPD) como por su adaptación española, la Ley orgánica de protección de datos y garantía de derechos digitales (LOPDGDD).
Los datos biométricos pueden ser datos básicos (por así decirlo) o datos especialmente protegidos si, como dice el reglamento, los datos biométricos están dirigidos a identificar de manera unívoca a una persona física. Esta distinción no es baladí. El tratamiento y la tipología de los datos no solo determinará cuál es la legitimación para el procesamiento de los mismos, sino también las obligaciones y garantías que tendrá que aplicar el responsable de dichos tratamientos.
- Si los datos biométricos son considerados como datos de categoría especial, su tratamiento requeriría el consentimiento explícito del usuario.
- Si los datos biométricos son considerados como básicos, el responsable del tratamiento podría ampararse en un interés legítimo.
En un principio, la cadena de supermercados parece acogerse a este último supuesto. Sin embargo, no sabemos los detalles del proyecto. Necesitamos conocer el sistema que se va a emplear para saber si quien va a tratar esos datos (ya sean los supermercados, la compañía de seguridad o la universidad) va a procesar datos básicos o especialmente protegidos.
Un estudio previo para evaluar los efectos
En cualquier caso, antes de implantar un sistema de biometría, los responsables de tratamiento deben realizar lo que se denomina una evaluación de impacto en protección de datos.
El objetivo de este estudio es analizar la necesidad y proporcionalidad del sistema y los riesgos asociados. En definitiva, se trata de una autoevaluación para determinar que el sistema no afecta de forma grave a la privacidad de las personas a las que va dirigido y para detectar los riesgos para la seguridad, reputación, privacidad, etc. que puede tener el uso de la tecnología.
Si esa autoevaluación sale negativa, la propia normativa obliga a consultar a la agencia de protección de datos correspondiente a fin de determinar si se puede o no sacar a la luz el sistema.
Cuestiones éticas: ¿y si el sistema falla?
Tampoco debemos olvidar el aspecto ético de esta tecnología y los problemas asociados en la actualidad a los denominados sesgos de la inteligencia artificial. ¿Qué puede pasar con los falsos positivos? ¿Es tan fiable la tecnología para instalar ya estos sistemas?
Aunque es normal que no queramos renunciar a la facilidad de uso y disfrute que nos proporciona la tecnología, no debemos tirar la toalla sobre la protección de la privacidad ante la multiplicación de sistemas. Nos podríamos encontrar con que hemos permitido una sociedad panóptica perfecta.
Este artículo fue publicado originalmente en The Conversation. Lea el original.