Blog

Protección de Datos

El Reconocimiento Facial y su próxima regulación en la Unión Europea

24 noviembre, 2021
El Reconocimiento Facial y su próxima regulación en la Unión Europea

Una de las tecnologías que más se ha visto desarrollada e impulsada en el mercado en los últimos años es sin duda la Inteligencia Artificial (IA), y, en particular, el reconocimiento facial impulsado por dicha IA. Estos sistemas se caracterizan, a modo de resumen, por autentificar, identificar o categorizar a alguien según sus rasgos faciales, de manera que automáticamente se tome una decisión en el sistema. Algunos ejemplos pueden ser facilitar o denegar un acceso a un recinto, identificar emociones u enfermedades, detectar a criminales o personas desaparecidas, así como muchas otras finalidades.

Hoy en día, los sistemas de reconocimiento facial han sido instalados tanto en el sector público como el privado, llegando incluso a adoptarse en espacios semiabiertos al público como en el caso de Mercadona con tal de detectar personas con órdenes de alejamiento.

Sin duda alguna, el reconocimiento facial invoca grandes ventajas para la sociedad, como la seguridad, investigación médica, lucha contra el crimen organizado y terrorismo, técnicas avanzadas de prospección comercial, etc. Pero, también presenta riesgos que han sido considerados una amenaza para la democracia y los derechos fundamentales de los ciudadanos, como, por ejemplo, su afectación a la privacidad y protección de datos personales, a la no discriminación, etc.

Respecto a la normativa de protección de datos, el empleo de tecnologías de reconocimiento facial implica el tratamiento de datos biométricos, a los que se aplica el Reglamento General de Protección de Datos (RGPD), el cual los define como “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”; y que los cataloga como categorías especiales de datos al permitir “la identificación o la autenticación unívocas de una persona física”.

Ello implica que, en principio, se encuentre prohibido el tratamiento de dichos datos ya que el RGPD dice que “quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física”, a menos que, se permita su tratamiento en situaciones específicas contempladas en el mismo RGPD (excepciones).

Antes que nada, cabe destacar, que para que un tratamiento sea lícito (en otras palabras, que pueda llevarse a cabo de acuerdo a la ley), debe concurrir alguna de las bases de legitimación del artículo 6 del RGPD, estas son (y que pudieran afectar a sistemas de reconocimiento facial e IA): (a) la ejecución de un contrato en el que el interesado es parte, o para la aplicación de medidas precontractuales a petición de este, (b) el interés legítimo, siempre que no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño, (c) el consentimiento de los interesados, (d) protección de intereses vitales, (e) razones de interés público o ejercicio de poderes público, y, (f) cumplimiento de obligaciones legales.

Posteriormente, una vez detectada con la debida diligencia la legitimidad de la fuente de datos adquirida (base de legitimación), para hacer posible el uso de reconocimiento facial e IA, debe concurrir alguna de las excepciones del artículo 9.2 del RGPD que permita el tratamiento de datos biométricos con fines de identificación o categorización.

En relación a ello, la interpretación de las distintas excepciones ha generado dudas en el mercado implementándose medidas sin la debida seguridad jurídica dada la incerteza sobre la posible aplicación de éstas en el uso en particular de los sistemas de reconocimiento facial e IA. Ejemplo de ello, son las recientes resoluciones de la AEPD en la que ha determinado que el uso de dicha tecnología es ilícito en sistemas de exámenes online en universidades (N/REF: 0036/2020), en bancos para prevención de blanqueo de capital (N/REF: 0047/2021), así como con fines de seguridad en supermercados (PS/00120/2021).

Ello ha generado tal debate, que se ha hecho necesario legislar a nivel europeo unos estándares normativos para garantizar el correcto funcionamiento del mercado interior de los sistemas de reconocimiento facial, con una ponderación adecuada de los beneficios y de los riesgos. En este contexto, por parte de la Comisión Europea se ha presentado en abril de este mismo año el Proyecto de ley de inteligencia artificial de la UE, cuyo objetivo es regular el uso de sistemas de identificación biométrica, incluido el reconocimiento facial, garantizando la protección de los derechos fundamentales y la seguridad de los usuarios, a fin de que haya confianza en el desarrollo y la adopción de la IA.

Con ese fin, el enfoque de la UE a la biometría, y en particular al reconocimiento facial, se basaría en una distinción entre aplicaciones biométricas de ‘alto riesgo’ y ‘bajo riesgo’ que conduce a la aplicación de un régimen legal más o menos estricto.  El enfoque de la IA de la UE parece complementar el ya aplicable, con estrictas normas de protección de datos personales y no discriminación con un nuevo elenco de normas. Parece que la mayoría de los estados parecen estar de acuerdo en esta necesidad de regulación, aunque es cierto que algunos expertos cuestionan la distinción propuesta entre sistemas biométricos de bajo y alto riesgo y advierten que la legislación propuesta permitiría un sistema de normalización y autorregulación sin la debida supervisión pública. Otros, incluso apoyan reglas más estrictas, incluida una prohibición total de tales tecnologías. Habrá que esperar para ver cómo afrontan finalmente los legisladores europeos estos nuevos retos que se plantean en torno a la IA.

En DATAX somos una empresa especializada en materia de protección de datos y seguridad de la información.

Ofrecemos un servicio de consultoría integral para adecuar a su organización a todos los requisitos del  Reglamento Europeo (RGPD 2016/679) relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, de obligado cumplimiento desde el 25 de mayo 2018.

Más de 16 años de experiencia en la adecuación de todo tipo de organizaciones y sectores de actividad, incluido el sector público y privado nos avalan.

Más de 10.000 clientes confían ya en nuestros conocimientos y profesionalidad en materia de protección de datos.

 

Javier De Zea Rodríguez

Abogado especialista en Privacidad y Protección de Datos

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *