Reconocimiento facial y protección de datos: nuevas pautas en la Unión Europea

Publicado el 23rd junio 2023

El Comité Europeo de Protección de Datos avanza hacia un marco jurídico europeo para las tecnologías de reconocimiento facial

En la era de la creciente adopción de tecnologías basadas en inteligencia artificial, el reconocimiento facial se ha convertido en una de las formas más frecuentes de identificación biométrica. En Europa, estamos presenciando un alarmante despliegue de esta técnica conocida como tecnología de reconocimiento facial (TRF), que se implementa a menudo sin conocimiento público y sin las salvaguardas legales necesarias. El rápido avance de estas técnicas altamente intrusivas para la privacidad plantea preocupaciones significativas y nos conduce a la necesidad de proteger los derechos fundamentales de los individuos.

El hecho de que cada vez más entidades se beneficien de las funcionalidades de la TRF nos debe hacer pensar acerca de los riesgos y obligaciones asociados a su implementación. En este sentido, es importante destacar la reciente sanción impuesta por la Agencia Española de Protección de Datos contra una conocida patronal de telecomunicaciones por el tratamiento de datos biométricos a través de sistemas de reconocimiento facial sin haber realizado previamente la correspondiente evaluación de impacto.

Directrices CEPD

Con el fin de abordar los desafíos que plantea esta tecnología, el Comité Europeo de Protección de Datos (CEPD) publicó en mayo de 2022 un primer borrador de las Directrices 05/2022 sobre el uso de tecnología de reconocimiento facial en el ámbito del orden público. La primera versión estuvo sometida a un proceso de consulta pública hasta el 27 de junio de 2022 y, finalmente, el 17 de mayo de 2023, el CEPD adoptó la versión final, habiendo actualizado y añadido algunas recomendaciones.

El objetivo principal de estas directrices es orientar a los legisladores y autoridades policiales tanto nacionales como de la Unión Europea sobre la aplicación y el uso de técnicas de reconocimiento facial. Aunque estas directrices se centran principalmente en el uso de sistemas de TRF en el marco de investigaciones penales de conformidad con la Directiva 2016/680 sobre tratamiento de datos para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, lo cierto es que también incluyen una serie de pautas y aclaraciones de carácter general. Estas disposiciones más generales son relevantes no sólo para las autoridades que hagan uso de TRF en el contexto de investigaciones penales, sino también para todas las entidades que se beneficien de esta tecnología en otros ámbitos, como el control de acceso a instalaciones, la realización de pagos electrónicos o el acceso a dispositivos o aplicaciones, entre otros.

Datos biométricos

En primer lugar, las directrices explican que la TRF es un tipo de tecnología cuyo funcionamiento se basa en la probabilidad y en el análisis de rasgos faciales para la identificación automática de individuos. Esta técnica forma parte de la denominada tecnología biométrica, que consiste en utilizar procesos automatizados para reconocer a las personas basándose en sus características físicas, fisiológicas o de comportamiento, como las huellas dactilares, la estructura del iris, la voz o incluso la forma de andar. Estas características se conocen como "datos biométricos" ya que permiten la identificación única de una persona.

El texto se centra en el uso de TRF con dos fines: autenticación e identificación. La autenticación consiste en verificar la identidad de una persona comparando una plantilla biométrica almacenada con su rostro, mientras que la identificación pretende encontrar a una persona concreta analizando su rostro y comparándolo con los existentes en una base de datos.

El CEPD señala la importancia de que los responsables del tratamiento lleven a cabo evaluaciones periódicas y sistemáticas de estos procedimientos algorítmicos. Estas evaluaciones tienen como objetivo garantizar la calidad, fiabilidad y exactitud de los resultados obtenidos del tratamiento de estos datos biométricos. Además, se enfatiza en que los datos personales que se utilicen para formar, enriquecer y desarrollar técnicas de reconocimiento facial sólo podrán ser tratados en la medida en que se cuente con una base de legitimación suficiente y se cumplan con los principios de protección de datos contemplados en la normativa.

Por otra parte, el CEPD confirma que el tratamiento de datos biométricos constituye una injerencia en los derechos reconocidos en la Carta de Derechos Fundamentales de la Unión Europea, en particular vinculados con el respeto a la vida privada y la protección de datos personales. En relación con esto último, a lo largo del texto el CEPD insiste en que, de conformidad con lo dispuesto en la Carta, el uso de estas herramientas de reconocimiento facial solo debe llevarse a cabo en situaciones estrictamente necesarias y proporcionadas y cuando esta intromisión en los derechos fundamentales y libertades de los individuos esté prevista en una ley que describa la aplicación y las condiciones de uso de estas tecnologías con el objetivo de respetar plenamente dichos derechos y libertades.

Directiva 2016/680

En el marco jurídico de la Directiva 2016/680, cabe destacar la prohibición de tomar decisiones automatizadas y crear perfiles basados en categorías especiales de datos, salvo que se implementen medidas adecuadas para proteger los derechos, libertades e intereses legítimos de las personas físicas afectadas.

Por otra parte, según el CEPD, la identificación biométrica remota en espacios públicos plantea serios desafíos para la privacidad de las personas y contradice los principios de una sociedad democrática al implicar una vigilancia masiva. En esta misma línea, el pasado 14 de junio de 2023 el pleno del Parlamento Europeo adoptó su posición negociadora sobre la Ley de Inteligencia Artificial y acordó prohibir el uso de sistemas de reconocimiento facial en tiempo real por parte de autoridades públicas o entidades privadas en espacios de acceso público.

Asimismo, cabe destacar que el CEPD considera que el uso de TRF o tecnologías similares con el fin de deducir las emociones de una persona debería prohibirse y que el tratamiento de datos personales en un contexto policial no debe fundamentarse en bases de datos construidas mediante la recopilación indiscriminada y masiva de datos personales como, por ejemplo, mediante el scraping de fotografías e imágenes faciales disponibles en Internet.

¿Categorías especiales de datos?

Desde hace tiempo, la AEPD ha venido sosteniendo que los datos biométricos no se consideran datos especialmente protegidos, a menos que se utilicen para identificar de manera inequívoca a una persona. Esta postura difiere de la adoptada por el CEPD en las directrices, en las que establece que los datos biométricos tienen la consideración de categorías especiales de datos tanto para la función de identificación como para la de autenticación. Ello nos hace pensar que la AEPD deberá reconsiderar su postura a los efectos de alinearse con el CEPD, cosa que no ocurrirá con la Autoridad Catalana de Protección de Datos que ya venía adoptando el criterio definido por el CEPD en las directrices.

Esta nueva interpretación podría generar incertidumbre en el panorama empresarial, ya que las entidades que se beneficien de la TRF podrían tener que adaptar sus prácticas y políticas a los efectos de cumplir con los requisitos aplicables al tratamiento de categorías especiales de datos personales. Ello podría afectar, por ejemplo, a la simplicidad de operabilidad y acceso a aplicaciones y plantear obstáculos en los procesos de autenticación de los empleados, en particular en aquellas empresas que utilizan sistemas de huella dactilar o reconocimiento facial para el registro horario o el acceso a las instalaciones. En este sentido, será fundamental para estas compañías realizar un análisis exhaustivo de los procedimientos de TRF implementados para adecuarlos a los requisitos aplicables al tratamiento de categorías especiales de datos personales.

Comentario de Osborne Clarke

Estas directrices suponen un importante avance hacia un marco legal que dote de mayor seguridad jurídica al uso de esta tecnología en la Unión Europea, promoviendo su utilización cuando sea estrictamente necesaria, proporcional y con pleno respeto a la privacidad de los individuos. Solo a través de una gestión responsable y ética de la TRF podremos salvaguardar los derechos fundamentales de las personas en un mundo cada vez más dominado por la inteligencia artificial.

Compartir

* This article is current as of the date of its publication and does not necessarily reflect the present state of the law or relevant regulation.

Contacte con uno de nuestros expertos

Interested in hearing more from Osborne Clarke?