El Reconeixement Facial i la seva pròxima regulació a la Unió Europea

24 novembre, 2021

El Reconeixement Facial i la seva pròxima regulació a la Unió Europea

Una de les tecnologies que més s’ha vist desenvolupada i impulsada en el mercat en els últims anys és sens dubte la Intel·ligència Artificial (IA), i, en particular, el reconeixement facial estimulat per aquesta IA. Aquests sistemes es caracteritzen, a manera de resum, per autenticar, identificar o categoritzar a algú segons els seus trets facials, de manera que automàticament es prengui una decisió en el sistema. Alguns exemples poden ser facilitar o denegar un accés a un recinte, identificar emocions o malalties, detectar a criminals o persones desaparegudes, així com moltes altres finalitats.

Avui dia, els sistemes de reconeixement facial han estat instal·lats tant en el sector públic com el privat, arribant fins i tot a adoptar-se en espais semioberts al públic com en el cas de Mercadona amb la condició de detectar persones amb ordres d’allunyament.

Sense dubte, el reconeixement facial invoca grans avantatges per a la societat, com la seguretat, recerca mèdica, lluita contra el crim organitzat i terrorisme, tècniques avançades de prospecció comercial, etc. Però, també presenta riscos que han estat considerats una amenaça per a la democràcia i els drets fonamentals dels ciutadans, com, per exemple, la seva afectació a la privacitat i protecció de dades personals, a la no discriminació, etc.

Respecte a la normativa de protecció de dades, l’ús de tecnologies de reconeixement facial implica el tractament de dades biomètriques, als quals s’aplica el Reglament General de Protecció de Dades (RGPD), el qual els defineix com a “dades personals obtingudes a partir d’un tractament tècnic específic, relatius a les característiques físiques, fisiològiques o conductuals d’una persona física que permetin o confirmin la identificació única d’aquesta persona, com a imatges facials o dades dactiloscòpiques”; i que els cataloga com a categories especials de dades en permetre “la identificació o l’autenticació unívoques d’una persona física”.

Això implica que, en principi, es trobi prohibit el tractament d’aquestes dades ja que el RGPD diu que “queden prohibits el tractament de dades personals que revelin l’origen ètnic o racial, les opinions polítiques, les conviccions religioses o filosòfiques, o l’afiliació sindical, i el tractament de dades genètiques, dades biomètriques dirigides a identificar de manera unívoca a una persona física, dades relatives a la salut o dades relatives a la vida sexual o les orientació sexuals d’una persona física”, tret que, es permeti el seu tractament en situacions específiques contemplades en el mateix RGPD (excepcions).

Primer de tot, cal destacar, que perquè un tractament sigui lícit (en altres paraules, que pugui dur-se a terme d’acord amb la llei), ha de concórrer alguna de les bases de legitimació de l’article 6 del RGPD, aquestes són (i que poguessin afectar sistemes de reconeixement facial i IA): (a) l’execució d’un contracte en el qual l’interessat és part, o per a l’aplicació de mesures precontractuals a petició d’aquest, (b) l’interès legítim, sempre que no prevalguin els interessos o els drets i llibertats fonamentals de l’interessat que requereixin la protecció de dades personals, en particular quan l’interessat sigui un nen, (c) el consentiment dels interessats, (d) protecció d’interessos vitals, (e) raons d’interès públic o exercici de poders públic, i, (f) compliment d’obligacions legals.

Posteriorment, una vegada detectada amb la deguda diligència la legitimitat de la font de dades adquirida (base de legitimació), per a fer possible l’ús de reconeixement facial i IA, ha de concórrer alguna de les excepcions de l’article 9.2 del RGPD que permeti el tractament de dades biomètriques amb finalitats d’identificació o categorització.

En relació a això, la interpretació de les diferents excepcions ha generat dubtes en el mercat implementant-se mesures sense la deguda seguretat jurídica donada la incertessa sobre la possible aplicació d’aquestes en l’ús en particular dels sistemes de reconeixement facial i IA. Exemple d’això, són les recents resolucions de l’AEPD en la qual ha determinat que l’ús d’aquesta tecnologia és il·lícit en sistemes d’exàmens en línia en universitats (N/REF: 0036/2020), en bancs per a prevenció de blanqueig de capital (N/REF: 0047/2021), així com amb finalitats de seguretat en supermercats (PS/00120/2021).

Això ha generat tal debat, que s’ha fet necessari legislar a nivell europeu uns estàndards normatius per a garantir el correcte funcionament del mercat interior dels sistemes de reconeixement facial, amb una ponderació adequada dels beneficis i dels riscos. En aquest context, per part de la Comissió Europea s’ha presentat a l’abril d’aquest mateix any el Projecte de llei d’intel·ligència artificial de la UE, l’objectiu de la qual és regular l’ús de sistemes d’identificació biomètrica, inclòs el reconeixement facial, garantint la protecció dels drets fonamentals i la seguretat dels usuaris, a fi que hi hagi confiança en el desenvolupament i l’adopció de la IA.

Amb aquesta finalitat, l’enfocament de la UE a la biometria, i en particular al reconeixement facial, es basaria en una distinció entre aplicacions biomètriques de ‘alt risc’ i ‘baix risc’ que condueix a l’aplicació d’un règim legal més o menys estricte. L’enfocament de la IA de la UE sembla complementar el ja aplicable, amb estrictes normes de protecció de dades personals i no discriminació amb un nou elenc de normes. Sembla que la majoria dels estats estant d’acord en aquesta necessitat de regulació, encara que és cert que alguns experts qüestionen la distinció proposada entre sistemes biomètrics de baix i alt risc i adverteixen que la legislació proposada permetria un sistema de normalització i autoregulació sense la deguda supervisió pública. Uns altres, fins i tot donen suport a regles més estrictes, inclosa una prohibició total de tals tecnologies. Caldrà esperar per a veure com afronten finalment els legisladors europeus aquests nous reptes que es plantegen entorn de la IA.

A DATAX som una empresa especialitzada en matèria de protecció de dades i seguretat de la informació.

Oferim un servei de consultoria integral per a adequar a la seva organització a tots els requisits del Reglament Europeu (RGPD 2016/679) relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades, d’obligat compliment des del 25 de maig 2018.

Més de 16 anys d’experiència en l’adequació de tota mena d’organitzacions i sectors d’activitat, inclòs el sector públic i privat ens avalen.

Més de 10.000 clients confien ja en els nostres coneixements i professionalitat en la matèria.

Javier De Zea Rodríguez

Abogado especialista en Privacitat i Protecció de Dades

Cookie	Nom	Finalitat / Més informació	Venciment
	419ª6F17ACB 2CAC9810D93 1150D119930	Aquesta cookie és un identificador de sessió proporcionat pel servidor.
	cookieaccept	Emmagatzema l'acceptació de la instal·lació de cookies per part de l'usuari per no mostrar repetidament el mateix missatge.	1 any
Google Analytics	_utma	PROTECCIÓN DE DATOS DATAX, SL utilitza Google Analytics en el lloc web per a poder fer un seguiment de l’activitat que s’hi realitza.	2 anys
	_utmb	Les cookies de Google Analytics compilen informació de registre estàndard i dades sobre els hàbits dels visitants de manera anònima.	30 minuts
	_utmc	Determina si es necessari establir una nova sessió.	Sessió
	_utmt	S’utilitza per a processar el tipus de sol·licitud demanada per l’usuari.	Sessió
	_utmz	Emmagatzema l’origen del visitant i el camí que ha seguit per a accedir al web.	6 mesos
	_ga	S’utilitza per a distingir als usuaris.	2 anys
	_gat	S’usa per diferenciar entre els diferents objectes de seguiment creats a la sessió. La cookie es crea en carregar la llibreria javascript i no existeix una versió prèvia de la cookie _gat. La cookie s’actualitza cada vegada que envia les dades a Google Analytics.	10 minuts
Cookies google.com	PREF	L’ús de serveis de localització com Google Maps implica la instal·lació d’aquestes cookies.	2 anys
	APISID	S’utilitzen per a recordar preferències de l’usuari durant la seva navegació.	2 anys
	SAPISID		2 anys
	SSID	També per al recompte, per part de Google, del número d’usuaris que utilitzen els mapes	2 anys
	khcookie		Sessió
	testcookie		6 mesos
	NID	Per a fer la publicitat més atractiva	6 mesos
	HSID, SID	I per a proveir de mecanismes de seguretat que evitin l’accés no autoritzat a dades d’accés d’usuaris o la informació que aquests faciliten en formularis de contacto, p.ex.	2 anys
Cookies de Facebook	Lu, cuser, csm, fr, s, xs	Les seves finalitats estan especificades en www.facebook.com/ help/cookies
Account Google	GAPS, LSID, LSOSID, UTMA, UTZ	Eina de Google+ a través de botons d'acció per permetre a l'usuari compartir contingut a través de Google+. Aquestes cookies permeten a Google autenticar si es comparteix el lloc amb aquest botó. Més informació sobre les cookies de Google en www.google.com/intl/es/ policies/technologies/ types (castellà)
APIS GOOGLE		Aquestes cookies de Google Maps registren l'origen de l'usuari, així com les keywords. També es genera un prefix únic, que és el que s'utilitza per fer recompte de quantes vegades visita el lloc un usuari www.google.com/intl/es/ policies/technologies/ types (castellà)

Consultoria especialitzada en Protecció de Dades i Seguretat de la Informació

ÀREA CLIENT EN CONSTRUCCIÓ.

Protecció de Dades

El Reconeixement Facial i la seva pròxima regulació a la Unió Europea

Deixa un comentari Cancel·la les respostes