Guía definitiva del reconocimiento facial: qué pueden hacer con tu cara y qué no
La tecnología existe y las aplicaciones también, pero ponerlas en práctica de manera legal no es tan sencillo como parece
Entre los recuerdos más lejanos que tenemos de los primeros pinitos del reconocimiento facial figuran los intentos iniciales de Facebook de reconocer automáticamente los rostros de nuestros amigos en las fotografías que subíamos a la red social. Corría el año 2010 y aquello nos parecía entre curioso y baladí. Ahora nuestras caras sirven para desbloquear móviles, hacer gestiones con entidades bancarias y saciar la curiosidad de los Estados más fisgones. No es casualidad, sus ventajas son evidentes: “Están estrechamente vinculados a una persona, aceleran y simplifican los procedimientos de autenticación y verificación”, explica Andrés Ruiz, abogado especializado en privacidad en Metricson. ¿Pero hasta dónde pueden llegar empresas y entidades con esta tecnología? ¿Cuándo es legal que se queden con tu cara?
Primero, no es descabellada cierta sensación de que nuestra cara no importa tanto ni esconde información que merezca protección. Esto importa porque pone en riesgo el anonimato y algo que tendemos a dar por sentado: la circulación no registrada de personas. “Estos sistemas de reconocimiento facial utilizados a gran escala pueden producir efectos graves en la privacidad de las personas, ya que pueden capturar datos biométricos fácilmente sin conocimiento del interesado; un uso amplio e indiscriminado podría terminar con el anonimato en espacios públicos y privados y permitir un seguimiento continuo de personas”, precisa Ruiz. Además, abre la puerta a intentos de usurpación de identidad.
Lo que tu rostro esconde
¿Qué protege la legislación? Los datos asociados a tu cara. Pero no todos. “El reconocimiento facial se considera, en general, una técnica biométrica”, señala Ruiz. Esto implica, según el Reglamento General de Protección de Datos (RGPD), que los datos recopilados por la creciente masa de cámaras que se entremete en nuestras rutinas encajan en esta definición cuando además se traten “con medios específicos que tengan como finalidad la identificación o la autentificación unívoca de una persona”. Además, en estas condiciones la información recopilada entra en el selecto grupo de los “datos sensibles”. Estos últimos se protegen con más celo. Para coleccionarlos, es necesario tener consentimiento explícito o bien cumplir ciertos requisitos en cuyo marco quede justificado el uso de reconocimiento facial.
En líneas generales, ¿qué necesita una entidad para poder usar tu cara? Entre otras cosas cumplir alguna de las bases del artículo 6 o 9 del RGPD, entre las que figuran las siguientes:
- Un verdadero sí quiero. Si el interesado ha dado su consentimiento explícito, todo está bien. Pero no vale cualquier tipo de aceptación. “Debe ser una manifestación de voluntad libre, específica e informada”, explica Ruiz. No vale que el consentimiento sea obligatorio para acceder a un servicio. Y debe ser revocable. Además, si no existe un método de autentificación alternativo, el consentimiento tampoco puede considerarse libre. Por ejemplo, en el caso de un local que emplea esta tecnología para controlar el acceso de sus clientes, se deben establecer mecanismos alternativos. “Así se permitirá la no participación en el reconocimiento facial a quien no quiera”.
- Una buenísima excusa. “La compañía deberá ponderar y demostrar que su interés legítimo prevalece objetivamente sobre el derecho de los interesados a no ser objeto de reconocimiento facial”, explica el experto, que pone el ejemplo del laboratorio de una empresa que investiga un virus peligroso. En este caso, un sistema de acceso basado en esta tecnología estaría justificado para garantizar que solo determinadas personas pudieran entrar.
- Un papel que diga que empezaste tú. Si el usuario ha contratado un servicio de reconocimiento facial, también vale. Por ejemplo, si dos hermanos acuden a una empresa para que realice una prueba sobre sus patrones faciales para cuantificar el parecido de sus rasgos. “Esta base legal sólo sería válida cuando se presten servicios biométricos puros”, advierte el abogado.
- Que sea por tu bien. También es válido que se use esta tecnología cuando se están cumpliendo normativas específicas al respecto, se protegen tus intereses vitales o se cumple una misión de interés público.
Biometría light
Cuando las imágenes se emplean para tareas cuya finalidad no es identificar individuos, el tratamiento de la información también debe cumplir ciertos límites para ser legal. Estamos hablando de sistemas de clasificación y monitoreo. “Por ejemplo, reconocimiento facial para el posterior análisis estadístico del público en general, que muestre datos agregados sobre cómo se desplazan los consumidores por un local o la recurrencia de los clientes”, precisa el abogado.
En este supuesto, hay una serie de requisitos de obligado cumplimiento para cualquier empresa que aspire a usar estas tecnologías.
- Fines claros y chocolate espeso. Debe definirse específicamente con qué finalidad se recaban y tratan los datos biométricos.
- Tu cara, la única opción. El reconocimiento debe ser esencial para la finalidad descrita y la pérdida de intimidad que implica debe compensarse con los beneficios que supone. Ruiz plantea el escenario de un gimnasio con un sistema de este tipo para controlar la entrada. “Este tratamiento parece desproporcionado en relación con la necesidad de controlar el acceso. Es fácil imaginar que existan otras medidas con menor intromisión en la privacidad de los usuarios”
- Quedarse con lo justo y necesario. La entidad no debe recopilar más de lo estrictamente necesario para cumplir su finalidad. “En redes sociales sobre las que se aplica reconocimiento facial, aunque el interesado haya consentido expresamente este tratamiento para que se le etiquete automáticamente en fotografías, los datos biométricos que no sean necesarios tras el etiquetado, como el nombre, alias o cualquier otro no necesario, deberían suprimirse y dejar de tratarse”.
- Nada de Diógenes. Debe garantizarse que el periodo de conservación de los datos se limita al necesario para cumplir la finalidad. En el caso de una empresa que lo usa para controlar accesos, si un empleado deja de trabajar ahí, sus datos deberán suprimirse de inmediato.
- Todo correcto. “Los datos deben ser exactos y, en su caso, si fuera necesario actualizados, debiendo cumplir las medidas técnicas y organizativas razonables para que se rectifiquen o supriman datos personales inexactos”, precisa Ruiz.
- Privacidad nativa. El tratamiento de datos debe diseñarse de forma preventiva, pensando desde el inicio en la privacidad, y convirtiendo esta un elemento esencial en los primeros pasos de definición y desarrollo de productos o servicios.
Cumplir todo lo anterior no agota las obligaciones de las empresas que se mueven en este novedoso sector. Es necesario tomar medidas para asegurar que el uso de estas tecnologías no acabe volviéndose en contra de los ciudadanos a causa de filtraciones de la información almacenada. “Por ejemplo, con la reconstrucción de rasgos faciales biométricos a través de plantillas de referencia que puedan ser usados con fines maliciosos”, precisa el experto. En este sentido es necesario establecer medidas de seguridad que limiten estos riesgos, como cifrados de la información recopilada y sistemas antisuplantación que prevengan la suplantación de identidad. “Se debe tener especial atención a los sesgos y circunstancias discriminatorias para personas sobre las que se aplica el reconocimiento facial y que pueden, por ejemplo, ser rechazadas por el sistema; deben introducirse garantías adecuadas, intervenciones humanas, soluciones o mecanismos que permitan al usuario la posibilidad de defender su punto de vista ante decisiones automatizadas”, añade Ruiz.
Y si…
Dicho todo esto, ¿tenemos que ir por la calle desconfiando de cada cámara? No exactamente. “La instalación de videocámaras en lugares públicos, tanto fijas como móviles, es competencia exclusiva de las Fuerzas y Cuerpos de Seguridad del Estado, rigiéndose el tratamiento por su legislación específica, sin perjuicio de que les sea aplicable, en su caso, lo especialmente previsto en el RGPD en determinados aspectos”, matiza Ruiz. Esto no quita, que en determinadas situaciones pueda establecerse una colaboración público-privada en la que una empresa de reconocimiento facial preste sus servicios a la Administración. “Puede desarrollarse, por ejemplo, una obligación legal que determine que en determinados niveles de alerta terrorista o por circunstancias concretas en infraestructuras críticas puedan utilizarse tecnologías biométricas para garantizar la seguridad nacional”.
En este sentido, tampoco tenemos que preocuparnos demasiado por la posibilidad de que las grabaciones hechas en sistemas normales -que se limitan a registrar vídeo sin que haya procesamiento de la información almacenada en ellos- acaben en manos de terceros que puedan aplicar tecnologías de reconocimiento facial. “Estas comunicaciones de datos con origen en videovigilancia sólo serían posibles si existe una base legal para ello: por ejemplo, cuando sean requeridas por jueces y tribunales o cuando las Fuerzas y Cuerpos de Seguridad del Estado lo soliciten en aquellos supuestos en los que son necesarios. Por ejemplo, prevención de delitos, seguridad pública, para investigación o represión de infracciones penales”.
Tu suscripción se está usando en otro dispositivo
¿Quieres añadir otro usuario a tu suscripción?
Si continúas leyendo en este dispositivo, no se podrá leer en el otro.
FlechaTu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.
En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.