Autor: Rafael Juristo Contreras & Beatriz Rodriguez Gómez | Área Disruptive Technologies & Privacy
El reconocimiento facial no es una tecnología nueva, tanto los gobiernos como las empresas han desarrollado en los últimos años numerosos servicios y productos que integran esta tecnología (control de fronteras, desbloqueo de dispositivos, etc.). Sin embargo, su idoneidad para garantizar la privacidad de las personas -y su utilidad real frente a tecnologías menos invasivas- se ha convertido en uno de los temas más controvertidos en los últimos meses, acentuado por la pandemia de la COVID-19, por varias iniciativas de empresas y los pronunciamientos con relación a esta tecnología, en particular con fines de identificación biométrica, de la Agencia Española de Protección de Datos (AEPD).
En el último de sus informes, publicado a finales de mayo de 2020, la AEPD analizaba el uso del reconocimiento facial por parte de empresas de seguridad. En dicho informe se dice que las herramientas o sistemas de reconocimiento facial con fines de identificación biométrica suponen un tratamiento de categorías especiales de datos para los que el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD) exige una serie de garantía reforzadas.
El informe también resalta que para realizar un tratamiento categorías especiales como el reconocimiento facial se requiere la existencia de un interés público esencial recogido en una norma de rango de ley que, a fecha de hoy, no existe en nuestro ordenamiento jurídico.
A una de las preguntas planteadas a la AEPD -la licitud de la incorporación de sistemas de reconocimiento facial en los servicios de videovigilancia- ésta ha contestado, citando un informe suyo anterior sobre el reconocimiento facial en pruebas de evaluación online por la COVID-19, que hay que partir de la distinción de identificación biométrica (reconocer a un individuo dentro de un grupo) y verificación/autenticación biométrica (probar que es cierta la identidad reclamada por un individuo). Y que, con carácter general y estando caso por caso, sólo la identificación biométrica tendría la consideración de categoría especial de datos.
En el caso concreto, la AEPD entiende que utilización de reconocimiento facial en los sistemas de videovigilancia empleados en el ámbito de la seguridad privada implica el tratamiento de un dato biométrico dirigido a identificar de una manera unívoca a una persona física, en un proceso de búsqueda de correspondencias uno-a-varios, que constituye el tratamiento una categoría especial de datos, cuyo tratamiento se encuentra prohibido por el artículo 9.1 RGPD.
Concluye la AEPD que, para que el tratamiento de los datos biométricos por las herramientas de reconocimiento facial integrados en sistemas de videovigilancia sea lícito, tiene que concurrir algunas de las excepciones del artículo 9.2 RGPD, lo que no ocurren en el caso analizado, al no existir amparo legal y no existir interés público esencial. Es decir, no existe una ley que reconozca un interés público esencial (no es suficiente un interés público general, porque estamos ante datos de categoría especial) y que establezca además las garantías adecuadas de tipo técnico, organizativo y procedimental, que prevengan los riesgos de distinta probabilidad y gravedad y mitiguen sus efectos.
Mientras, a nivel de la Unión Europea seguimos a la espera de una postura más clara al respecto, tras filtrarse primero que la UE tenía previsto vetar el reconocimiento facial en espacios públicos para, a reglón seguido, desaparecer dicho veto. La Comisaria de Competencia de la UE sí que se ha pronunciado al respecto, afirmando que, tal y como está ahora el reconocimiento facial, el RGPD diría que no se use porque no puede obtener el consentimiento.
Y todos estos pronunciamientos llegan en un momento en que algunas empresas ya se han lanzado a aprobar iniciativas de reconocimiento facial con fines de identificación biométrica para controlar el acceso de los clientes a sus instalaciones o incluso para invitar a entrar a clientes habituales cuando pasan por su escaparate, lo cual dista mucho de los objetivos de seguridad analizados por la AEPD, muchas veces sin valorar la privacidad de los usuarios.
Lo que está claro es que la controversia está servida, y así se ve reflejado cada vez que una iniciativa de este tipo aparece en el mercado. Es el caso de Mercadona, que recientemente ha anunciado la instalación en algunos de sus supermercados un sistema de reconocimiento facial con fines de identificación biométrica para identificar "única y exclusivamente" a las personas con sentencia firme y medida cautelar de orden de alejamiento de sus supermercados o contra cualquiera de sus trabajadoras o trabajadores. Así, aún limitando el uso con fines de seguridad y contando con las medidas y limitaciones que ha implementado el gigante de los supermercados (según explica la propia empresa, el sistema no guarda más información y la imagen es eliminada en 0,3 segundos, que es el tiempo que tarda el sistema en realizar el proceso de reconocimiento facial y de identificación de las personas), las redes sociales han ardido y ha suscitado un gran debate y no pocas críticas por su posible desproporcionalidad y discutible legitimación en el marco normativo de privacidad existente.
Tenemos por supuesto también en el lado contrario a empresas como IBM que recientemente ha manifestado sus dudas en cuanto a la legalidad del reconocimiento facial. De hecho, IBM ha comunicado que no seguirá desarrollando y licenciando software de reconocimiento facial por su oposición a su uso con propósitos de vigilancia masiva, el perfil racial, las violaciones de los derechos humanos y las libertadas básicas en Estados Unidos.
En todo caso, lo que es evidente es que para la implementación de una tecnología de este tipo será necesario que el DPO de la empresa se arremangue (sí, tener un DPO designado y notificado es obligatorio en este caso) y realice un asesoramiento diligente al equipo encargado de la implementación, así como realizar una EIPD sí o sí por la que valore de forma detallada la necesidad y proporcionalidad del tratamiento; porque si la AEPD llama a la puerta, no van a valer medias tintas.
