La tecnología ha desempeñado un papel dominante durante el confinamiento y será un aspecto clave para garantizar que la transición a la normalidad sea exitosa. Este artículo analiza las tendencias recientes con respecto a la instalación de cámaras de reconocimiento facial como resultado de la pandemia de COVID-19. Observamos con más detalle algunos de los casos de uso y las preocupaciones sobre ellos, como es el caso de Mercadona, y consideramos los aspectos clave de la ley de protección de datos al adoptar tales soluciones tecnológicas.
En este artículo hablamos de:
¿Qué son los sistemas de reconocimiento facial?
El reconocimiento facial fue investigado por primera vez a mediados de la década de 1960 por Woodrow Blesdoe y Helen Chan, quienes utilizaron la programación de computadoras para hacer coincidir una gran base de datos de fotografías con una fotografía. Su método implicaba la extracción manual de características de las fotografías y luego ingresarlas en un sistema informático que comparaba las imágenes.
El reconocimiento facial es una categoría de software biométrico que mapea matemáticamente las características faciales de un individuo y almacena los datos como una huella facial. El software utiliza algoritmos de aprendizaje profundo para comparar una captura en vivo o una imagen digital con la huella facial almacenada para verificar la identidad de un individuo.
Las preocupaciones de vigilancia masiva, la invasión percibida de la privacidad, el riesgo de sesgo inherente y la falta general de comprensión de los casos de uso de la tecnología se encuentran entre las principales preocupaciones sociales y políticas en relación con la tecnología de reconocimiento facial. Gran parte de las preocupaciones se relacionan con la confianza.
En mayo de 2019, San Francisco se convirtió en la primera ciudad de EE. UU. en prohibir el uso del reconocimiento facial por parte de las agencias locales, incluidas las fuerzas del orden. Otras ciudades hicieron lo mismo en julio, y en octubre de 2019 California introdujo una prohibición a nivel estatal de usar esta tecnología en cámaras policiales usadas en el cuerpo.
¿Es legal poner cámaras de reconocimiento facial en lugares de acceso público?
Es muy cuestionable si el uso del reconocimiento facial automático con cámaras de vigilancia pública, escaneo y análisis biométrico de la cara de cada transeúnte, y que permite a las autoridades identificar y rastrear a los ciudadanos sin su conocimiento, es compatible con los derechos humanos fundamentales, en particular, los derechos a una vida privada y a la libertad de expresión.
La necesidad de tal vigilancia biométrica es altamente cuestionable, y el escaneo inherentemente indiscriminado parece ser claramente desproporcionado. Tal como está, el riesgo de que el reconocimiento facial automatizado sea fundamentalmente incompatible con los derechos de las personas en virtud de la Ley de Derechos Humanos de 1998 aún no se ha considerado.
Las cámaras de reconocimiento facial en vivo, que actúan como puntos de verificación de identificación biométrica, son una clara amenaza tanto para la privacidad individual como para la privacidad como norma social.
Las cámaras de reconocimiento facial escanean los rostros de cada persona que camina dentro de la vista de la cámara; el sistema crea, aunque sea de manera transitoria, un escaneo biométrico de la cara de cada persona visible; compara esos escaneos biométricos con una base de datos de imágenes; y conserva fotos de todas las personas ’emparejadas’ por el sistema, a pesar del 95% de las coincidencias que identifican de manera incorrecta a personas inocentes.
Es claramente desproporcionado implementar una tecnología mediante la cual se analice, mapee y verifique la identidad en cada rostro de los transeúntes. Además, una coincidencia de reconocimiento facial puede hacer que la policía detenga a un individuo en la calle y le pida que pruebe su identidad y, por lo tanto, su inocencia.
Es poco probable que los miembros del público que han sido escaneados por reconocimiento facial sean conscientes de que estaban sujetos al control de identidad y no tienen la opción de dar su consentimiento para su uso.
¿En qué casos podría ser lícita su colocación?
Según el RGPD, al procesar datos personales, se deben cumplir los principios básicos de protección de datos del Artículo 5. Estos principios son:
- Limitación de propósito. Los datos deben recopilarse para un propósito específico, explícito y legítimo que se define en el momento en que se recopilan los datos personales.
- Transparencia. Asegurar la claridad del propósito permite el cumplimiento del principio de transparencia, que obliga además al controlador de datos a proporcionar a los interesados información sobre el procesamiento de sus datos en un formato claro, conciso y comprensible, en forma de un aviso de procesamiento justo. La entrega de avisos adecuados puede plantear un desafío significativo con respecto al uso de cámaras de reconocimiento facial. Por ejemplo, las personas ya pueden estar cerca de una de esas cámaras en el momento en que conocen la señalización.
- Minimización de datos: El principio de minimización de datos requiere que los controladores de datos recopilen la cantidad mínima de datos requerida para los fines definidos. Además, el procesamiento debe equilibrarse con los derechos del interesado.
- Seguridad de datos: Deben establecerse medidas de seguridad técnicas y organizativas adecuadas para garantizar la seguridad de los datos obtenidos de las soluciones de reconocimiento facial. La definición de lo apropiado requiere una evaluación de varias medidas, incluida la naturaleza, el alcance, el contexto y los propósitos del procesamiento, y el riesgo de una probabilidad y severidad variables para los derechos y libertades de las personas físicas. En la mayoría de las soluciones de reconocimiento facial, cumplir con este estándar requerirá una inversión significativa en seguridad.
- Sin toma de decisiones automatizadas. El artículo 22 otorga a los interesados el derecho a no estar sujetos a decisiones basadas únicamente en el procesamiento automatizado, es decir, sin intervención humana. Sin embargo, se permite con el consentimiento expreso, si está expresamente autorizado por la ley, o por razones de interés público sustancial.
Para poder utilizar las cámaras de reconocimiento facial es necesario, por tanto, cumplir con los principios anteriores y no disponer de otro medio menos invasivo para cumplir los objetivos previstos.
La polémica con las cámaras de seguridad de Mercadona
Mercadona comenzó a usar cámaras de seguridad con reconocimiento facial a partir del 1 de julio en distintos supermercardos de Zaragoza, Valencia y Mallorca.
Esto ha originado una polémica por el tratamiento que se realice de los datos biométricos de los consumidores que accedan a dichos supermercados. Y la cuestión ha hecho que la AEPD realice una investigación de oficio a esta empresa.
Con la utilización de esas cámaras de reconocimiento facial, Mercadona pretende localizar a personas que tienen una orden de alejamiento del supermercado o de trabajadores del mismo. Al detectar que una de esas personas accede al supermercado, se emite una alerta a la policía.
Desde la empresa insisten en que este sistema es totalmente legal y no se guardan las imágenes de los ciudadanos.
Sin embargo, los datos biométricos gozan de una especial protección en la ley. Además, la tecnología de reconocimiento facial es imperfecta y tiene sus fallos. A diferencia de lo que ocurre con otras técnicas de identificación biométrica, como la huella dactilar, en este caso las caras pueden ser reconocidas a distancia. Por ello la AEPD siempre se ha mostrado restrictiva al uso de este tipo de tecnología.
Nuestra experta, Beatriz Freije Trapiella, habla sobre el caso con TVE, en el siguiente vídeo.
Diferencia entre identificar y autenticar
Identificar y autenticar son dos conceptos distintos. Autenticar significa comprobar si los patrones de puntos de una cara coinciden con el patrón de solo una cara en concreto. Esta situación se puede dar, por ejemplo, en aeropuertos al introducir el pasaporte en una máquina y mirar a cámara. En este caso, el sistema comprueba que eres quien dices ser.
Sin embargo, identificar implica relacionar un patrón con muchos otros patrones. Es decir, cotejar el patrón biométrico de una persona en concreto con todos los patrones que forman parte de una base de datos. Es aquí donde la normativa es especialmente restrictiva a la hora de permitir el uso de esta tecnología para el tratamiento de datos personales.
El tratamiento de los datos biométricos, según el RGPD, debe fundamentarse en un interés público esencial y ser proporcional al objetivo que se persigue. En el caso de Mercadona se cuestiona la legitimación ya que se considera que no es un interés público sino un interés privado de la propia compañía.
Consecuencias para Mercadona
En caso de que la AEPD concluya que ese sistema implantado por Mercadona es ilegal, la compañía será sancionada en virtud del RGPD con una multa de hasta 20 millones de euros o del 4 % de su volumen de negocios anual mundial.
Mercadona indica que en todo momento han contactado con la AEPD para explicarle el proyecto y han seguido sus recomendaciones. De momento, el proceso de investigación está en fase de actuaciones previas por lo que habrá que ver cuál es la decisión de la AEPD.
Sobre todo, debemos tener en cuenta que al ser el derecho a la protección de datos un derecho fundamental, las interpretaciones de lo que puede hacerse respecto al mismo deben ser restrictivas en cualquier caso.