Selecciona Edición
Conéctate
Selecciona Edición
Tamaño letra

La cara oculta del reconocimiento facial

El uso de esta tecnología en auge por empresas y entidades públicas presenta importantes riesgos legales

Tom Cruise en la película Minority Report. 
Tom Cruise en la película Minority Report. 

Muchos pensaron, al ver a Tom Cruise en la película Minority Report caminando por un centro comercial, mientras las pantallas le ofrecían automáticamente publicidad personalizada, que este era otro elemento de ciencia ficción del filme. Sin embargo, ese futuro imaginario ya está aquí. El imparable desarrollo de los sistemas de reconocimiento facial (de altísima fiabilidad), sus múltiples aplicaciones y la generalización de la tecnología hace que muchas empresas y entes públicos ya estén experimentando con su utilidad. Los fines son muy diversos: desde sacar dinero del cajero hasta detectar posibles acosadores en un concierto. Esta tecnología, sin embargo, plantea una serie de problemas legales que deben ser tenidos en cuenta.

El rostro es un dato personal “sensible” (es decir, especialmente protegido por la ley) que puede llegar a ser captado sin nuestro conocimiento. Las empresas que implantan soluciones biométricas de identificación deben acreditar que cumplen con la normativa de privacidad. El reglamento europeo de protección de datos (RGPD) es especialmente riguroso en este ámbito y prohíbe, en principio, el tratamiento de este tipo de información para reconocer de manera unívoca a una persona. Hay excepciones, como el uso por la policía para funciones de seguridad o cuando el afectado ha dado el consentimiento y se persigue una finalidad lícita. Por otra parte, debe informarse al particular de los fines y, en algunos casos, incluso, recabar su consentimiento.

Para muchos expertos en privacidad, el uso generalizado del reconocimiento facial plantea más riesgos que beneficios. La abogada y presidenta de la Asociación de Internautas, Ofelia Tejerina, cree que su utilización para cosas tan habituales como pagar el autobús (la EMT de Madrid ya tiene un plan piloto) o recoger una llave “es excesivo”. “Que consientas no significa que sea legal; puede ser abusivo”, advierte. En su opinión, los organismos reguladores deberían informar a los ciudadanos de los riesgos de estas soluciones, especialmente el de la suplantación si se produce una brecha de seguridad. “No es una tecnología inocua; los riesgos no compensan la comodidad”, concluye.

Paloma Llaneza, letrada y auditora de ciberseguridad, también es tajante: “El mejor dato biométrico es el que no se recaba”. Y duda de que la regulación pueda solucionar los problemas que genera porque el uso del reconocimiento facial no solo tiene implicaciones para la intimidad de las personas, sino también para otras libertades como la de movimiento, expresión o manifestación. Ello, sin entrar a valorar las consecuencias de un hackeo porque “a diferencia de otras claves de acceso, las caras no admiten sustitución”.

Las cámaras nos vigilan. La UE ya ha dado luz verde a una gigantesca base de datos biométricos con fines de seguridad. El debate político, ideológico y jurídico que genera este Gran Hermano es intenso. Sin embargo, poco hay que puedan hacer los ciudadanos al respecto. Como explica Blanca Escribano, socia de EY Abogados, “mientras los datos se utilicen estrictamente para las finalidades indicadas y con la seguridad y protección adecuada, en principio, no habría ningún perjuicio que reclamar”. Por otro lado, Europa se ha propuesto incluir más controles en la inteligencia artificial de los sistemas de reconocimiento facial. Una de las mayores preocupaciones es el sesgo que se pueda producir en sus decisiones. Por este motivo, señala Escribano, “es muy importante que las organizaciones que diseñan o utilizan estos programas hagan las comprobaciones debidas para corregir los fallos antes de que produzcan daños”. La abogada recomienda, en todo caso, cumplir con los estándares de seguridad y realizar el triple juicio de valoración: necesidad, idoneidad y proporcionalidad de la medida.

Pese a todo, el uso del reconocimiento facial se está extendiendo a gran velocidad. Raúl Rubio, socio de Baker McKenzie, no cree que haya que preocuparse por ello; “solo hay que cumplir la ley”. No obstante, reconoce que hay cierta confusión en cuanto al cumplimiento de la normativa y ve necesario que el regulador despeje dudas en los supuestos prácticos más controvertidos. Hay proyectos “que no plantean ningún riesgo desde el punto de vista de privacidad”, como determinados sistemas de control de acceso, porque no se almacenan los datos biométricos o la imagen, sino solo una representación de la misma. Por el contrario, hay otras aplicaciones mucho más dudosas, como las cámaras de seguridad privada para identificar sospechosos en la multitud. La clave, en todo caso, es que la medida sea proporcional con el uso que va a hacerse de ella.

En todo caso, explica Rubio, siempre que se manejan datos biométricos es necesario elaborar una evaluación de impacto de privacidad, un estudio sobre la afectación en materia de protección de datos que refleje sus riesgos y las medidas de mitigación. Por otro lado, las entidades tienen que poner especial atención en la redacción de la cláusula de protección de datos, porque si el usuario no la entiende, podría acarrear una sanción de las autoridades (el RGPD prohíbe las “cláusulas oscuras”).

Algunas empresas ya barajan la opción de instalar un lector de caras por ser un mecanismo de registro más ágil y fiable. En tal caso, deben tener en cuenta que, aunque no siempre es necesario contar con el consentimiento del empleado, sí deben informarle adecuadamente de su finalidad. La negativa a pasar por este control, señala Raúl Rubio, no autorizaría a la compañía, en principio, a despedirle y habría que ofrecerle una alternativa menos invasiva. Sobre todo, porque los tribunales laborales siguen criterios garantistas. Según una reciente sentencia del Tribunal Superior de Justicia de Castilla La Mancha, negarse a firmar las políticas de privacidad de la empresa no fue lo suficientemente grave para justificar el despido de un trabajador. Una solución que critica Rubio porque “deja a las empresas en situaciones muy difíciles”.

En los colegios

En China ya se está experimentando con tecnología capaz de medir la atención de los escolares en clase. Algo impensable, de momento, en Europa. La autoridad de protección de datos sueca impuso una multa de 18.500 euros a un colegio por implantar, con consentimiento de los padres, eso sí, una prueba piloto de reconocimiento facial para controlar la asistencia de sus alumnos. La agencia consideró ilícita la medida porque no se evaluó su impacto ni se consultó al regulador.

Se adhiere a los criterios de The Trust Project Más información >

Más información