Blog

Protecció de Dades

El Reconeixement Facial i la seva pròxima regulació a la Unió Europea

24 novembre, 2021

El Reconeixement Facial i la seva pròxima regulació a la Unió Europea

Una de les tecnologies que més s’ha vist desenvolupada i impulsada en el mercat en els últims anys és sens dubte la Intel·ligència Artificial (IA), i, en particular, el reconeixement facial estimulat per aquesta IA. Aquests sistemes es caracteritzen, a manera de resum, per autenticar, identificar o categoritzar a algú segons els seus trets facials, de manera que automàticament es prengui una decisió en el sistema. Alguns exemples poden ser facilitar o denegar un accés a un recinte, identificar emocions o malalties, detectar a criminals o persones desaparegudes, així com moltes altres finalitats.

Avui dia, els sistemes de reconeixement facial han estat instal·lats tant en el sector públic com el privat, arribant fins i tot a adoptar-se en espais semioberts al públic com en el cas de Mercadona amb la condició de detectar persones amb ordres d’allunyament.

Sense dubte, el reconeixement facial invoca grans avantatges per a la societat, com la seguretat, recerca mèdica, lluita contra el crim organitzat i terrorisme, tècniques avançades de prospecció comercial, etc. Però, també presenta riscos que han estat considerats una amenaça per a la democràcia i els drets fonamentals dels ciutadans, com, per exemple, la seva afectació a la privacitat i protecció de dades personals, a la no discriminació, etc.

Respecte a la normativa de protecció de dades, l’ús de tecnologies de reconeixement facial implica el tractament de dades biomètriques, als quals s’aplica el Reglament General de Protecció de Dades (RGPD), el qual els defineix com a “dades personals obtingudes a partir d’un tractament tècnic específic, relatius a les característiques físiques, fisiològiques o conductuals d’una persona física que permetin o confirmin la identificació única d’aquesta persona, com a imatges facials o dades dactiloscòpiques”; i que els cataloga com a categories especials de dades en permetre “la identificació o l’autenticació unívoques d’una persona física”.

Això implica que, en principi, es trobi prohibit el tractament d’aquestes dades ja que el RGPD diu que “queden prohibits el tractament de dades personals que revelin l’origen ètnic o racial, les opinions polítiques, les conviccions religioses o filosòfiques, o l’afiliació sindical, i el tractament de dades genètiques, dades biomètriques dirigides a identificar de manera unívoca a una persona física, dades relatives a la salut o dades relatives a la vida sexual o les orientació sexuals d’una persona física”, tret que, es permeti el seu tractament en situacions específiques contemplades en el mateix RGPD (excepcions).

Primer de tot, cal destacar, que perquè un tractament sigui lícit (en altres paraules, que pugui dur-se a terme d’acord amb la llei), ha de concórrer alguna de les bases de legitimació de l’article 6 del RGPD, aquestes són (i que poguessin afectar sistemes de reconeixement facial i IA): (a) l’execució d’un contracte en el qual l’interessat és part, o per a l’aplicació de mesures precontractuals a petició d’aquest, (b) l’interès legítim, sempre que no prevalguin els interessos o els drets i llibertats fonamentals de l’interessat que requereixin la protecció de dades personals, en particular quan l’interessat sigui un nen, (c) el consentiment dels interessats, (d) protecció d’interessos vitals, (e) raons d’interès públic o exercici de poders públic, i, (f) compliment d’obligacions legals.

Posteriorment, una vegada detectada amb la deguda diligència la legitimitat de la font de dades adquirida (base de legitimació), per a fer possible l’ús de reconeixement facial i IA, ha de concórrer alguna de les excepcions de l’article 9.2 del RGPD que permeti el tractament de dades biomètriques amb finalitats d’identificació o categorització.

En relació a això, la interpretació de les diferents excepcions ha generat dubtes en el mercat implementant-se mesures sense la deguda seguretat jurídica donada la incertessa sobre la possible aplicació d’aquestes en l’ús en particular dels sistemes de reconeixement facial i IA. Exemple d’això, són les recents resolucions de l’AEPD en la qual ha determinat que l’ús d’aquesta tecnologia és il·lícit en sistemes d’exàmens en línia en universitats (N/REF: 0036/2020), en bancs per a prevenció de blanqueig de capital (N/REF: 0047/2021), així com amb finalitats de seguretat en supermercats (PS/00120/2021).

Això ha generat tal debat, que s’ha fet necessari legislar a nivell europeu uns estàndards normatius per a garantir el correcte funcionament del mercat interior dels sistemes de reconeixement facial, amb una ponderació adequada dels beneficis i dels riscos. En aquest context, per part de la Comissió Europea s’ha presentat a l’abril d’aquest mateix any el Projecte de llei d’intel·ligència artificial de la UE, l’objectiu de la qual és regular l’ús de sistemes d’identificació biomètrica, inclòs el reconeixement facial, garantint la protecció dels drets fonamentals i la seguretat dels usuaris, a fi que hi hagi confiança en el desenvolupament i l’adopció de la IA.

Amb aquesta finalitat, l’enfocament de la UE a la biometria, i en particular al reconeixement facial, es basaria en una distinció entre aplicacions biomètriques de ‘alt risc’ i ‘baix risc’ que condueix a l’aplicació d’un règim legal més o menys estricte. L’enfocament de la IA de la UE sembla complementar el ja aplicable, amb estrictes normes de protecció de dades personals i no discriminació amb un nou elenc de normes. Sembla que la majoria dels estats estant d’acord en aquesta necessitat de regulació, encara que és cert que alguns experts qüestionen la distinció proposada entre sistemes biomètrics de baix i alt risc i adverteixen que la legislació proposada permetria un sistema de normalització i autoregulació sense la deguda supervisió pública. Uns altres, fins i tot donen suport a regles més estrictes, inclosa una prohibició total de tals tecnologies. Caldrà esperar per a veure com afronten finalment els legisladors europeus aquests nous reptes que es plantegen entorn de la IA.

A DATAX som una empresa especialitzada en matèria de protecció de dades i seguretat de la informació.

Oferim un servei de consultoria integral per a adequar a la seva organització a tots els requisits del Reglament Europeu (RGPD 2016/679) relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades, d’obligat compliment des del 25 de maig 2018.

Més de 16 anys d’experiència en l’adequació de tota mena d’organitzacions i sectors d’activitat, inclòs el sector públic i privat ens avalen.

Més de 10.000 clients confien ja en els nostres coneixements i professionalitat en la matèria.

 

Javier De Zea Rodríguez

Abogado especialista en Privacitat i Protecció de Dades

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *