Blog

Ciberseguretat

Nuevas tecnologías y seguridad - Consultoría de protección de datos

L’ús de sistemes de reconeixement facial per part de les empreses de seguretat privada

5 juny, 2020

L’ÚS DE SISTEMES DE RECONEIXEMENT FACIAL PER PART DE LES EMPRESES DE SEGURETAT PRIVADA

La Indústria 4.0 i implementació de les noves tecnologies ja és una realitat. Tal com hem pogut analitzar prèviament en altres articles d’aquest blog, l’ús d’aquestes tecnologies pot suposar un greu risc respecte a la privacitat i protecció de dades personals dels usuaris, havent-se de garantir en la configuració d’aquestes la correcta salvaguarda i respecte al cos normatiu vigent en matèria de protecció de dades i seguretat de la informació.

 

Exemple d’això, és la tecnologia de reconeixement facial que diferents empreses de seguretat privada del sector s’han plantejat incorporar en el mercat. Cal dir, que tals sistemes de reconeixement facial suposen una aplicació dirigida per ordinador que identifica automàticament a una persona en una imatge digital. Això és possible mitjançant una anàlisi de les característiques facials del subjecte, extretes de la imatge o d’un fotograma clau d’una font de vídeo, i comparant-les amb una base de dades.

 

En efecte, encara que aquesta tecnologia ens aporta grans beneficis (ja no sols en la seguretat privada amb videovigilància avançada, sinó també en altres àrees, com la de seguretat de la informació en l’inici de sessió, en seguretat en aplicacions, caixers automàtics, etc.) la realitat és que es qüestiona la privacitat del subjecte, i exemple d’això és l’informe publicat ahir (28 de maig) per l’Agència Espanyola de Protecció de Dades (AEPD).

 

El referit informe, analitza diverses qüestions que se li han plantejat a l’AEPD sobre la seguretat privada, entre les quals es troba la licitud d’incorporar sistemes de reconeixement facial en els serveis de videovigilància proporcionats per empreses seguretat privada. Resulta interessant analitzar aquest informe, i detectar si és possible o no el seu ús, i, en cas de ser-ho, que hauria de tenir en compte l’empresa de seguretat privada per a complir amb el cos normatiu vigent d’aplicació.

 

D’una banda, l’AEPD deixa clar que l’ús de tecnologies de reconeixement facial en els sistemes de videovigilància implica el tractament de dades biomètriques, sent un tipus de dades especialment protegides d’acord amb el Reglament General de Protecció de Dades (RGPD), que els cataloga com a categories especials en tractar-se de dades “dirigides a identificar de manera unívoca a una persona física”.

 

Això implica, que, d’acord amb el RGPD, el tractament d’aquesta mena de dades especials queda, “en un primer moment”, prohibit. Diem “en un primer moment”, ja que el mateix RGPD, si bé ha volgut protegir aquest tipus de dades amb una especial configuració, contempla també diferents supòsits (als quals anomenarem “excepcions”) en els quals aquesta prohibició general s’aixecaria per a deixar pas a l’ús i tractament de tals dades.

 

En particular, per a poder tractar aquestes dades en tal escenari, tal com analitza l’informe de l’AEPD, ha de valorar-se si pot aplicar algunes de les excepcions del RGPD. I, en conseqüència, l’AEPD ens diu que, si bé la instal·lació dels sistemes de videovigilància amb finalitats de seguretat que capten i graven imatges i sons podria emparar-se en l’interès públic, si en aquestes es tracten categories especials de dades, com en el cas de la utilització de tecnologies de reconeixement facial, la normativa requereix que existeixi un “interès públic essencial” perquè pugui ser legítim. Això implica, que, en efecte, al tractament de tals dades per mitjà de tecnologia facial, se li reconeix la importància i necessitat de major protecció de les dades tractades.

 

Però què implica o què significa que ha d’aplicar “l’interès públic essencial” com a base de legitimació? L’AEPD és clara referent a això, indicant que segons el nostre ordenament jurídic, això es tradueix en el fet que és necessari que existeixi  una norma amb rang de llei que justifiqui en quina mesura i en quins supòsits l’ús d’aquesta tecnologia respondria a aquest.

 

És a dir, que ha d’establir-se una norma amb rang de llei, que empari l’ús i tractament d’aquestes tecnologies i dades biomètriques (especialment protegides). No obstant això, existeix en el nostre ordenament jurídic una norma o llei com la referida? La resposta és no.  Una norma de tals característiques no existeix en el nostre actual marc normatiu, i, adverteix l’AEPD, que en el cas de tramitar-se, hauria de justificar específicament en quina mesura i en quins supòsits la utilització d’aquests sistemes respondria a un interès públic essencial, així com incorporar garanties específiques com exigeix el Tribunal Constitucional.

 

Així mateix, podem afirmar que, en tot cas, aquest escenari haurà de complir amb el principi de proporcionalitat i superar el judici de necessitat, en el sentit que no existeixi una altra mesura menys onerosa o invasiva, amb la qual es pugui aconseguir la mateixa finalitat o propòsit amb la igual eficàcia. En altres paraules, això significa que, mentre existeixin altres mesures que permetin que la seguretat privada funcioni, i, que permeti la correcta protecció de persones, béns i instal·lacions, amb un sistema que no sigui tan invasiu o intrusiu a la privacitat i protecció de dades personals dels usuaris,  si es pretén aprovar una llei de tals característiques, s’haurà d’acudir a una especial justificació de la necessitat d’optar pel reconeixement facial respecte d’altres mesures, la qual cosa estableix garanties reforçades que exigeix el nostre ordenament.

 

En conseqüència, l’AEPD ha estat clara, indicant que la legitimació que ara abraça les empreses de seguretat privada respecte als sistemes de videovigilància que capten i graven imatges i sons, no podria abastar altres tecnologies molt més intrusives per a la privacitat com és el reconeixement facial, sent necessari per a això, que existeixi un marc normatiu que invoqui les garanties suficients per a legitimar la utilització de tècniques de reconeixement facial en sistemes de videovigilància emprats per la seguretat privada.

 

No obstant això, el marc normatiu, tal com esmenta l’AEPD, contempla altres supòsits excepcionals en els quals podria quedar justificat l’ús de sistemes de reconeixement facial sempre que la legislació ho prevegi, com és el cas d’infraestructures crítiques. Però, la qual cosa sabem, és que l’autorització, amb caràcter general, de l’ús de sistemes de reconeixement facial en els sistemes de videovigilància emprats per la seguretat privada, no podria dur-se a terme avui dia, al no comptar amb la corresponent base de legitimació, i, no superar el judici de proporcionalitat, atès que existeix una clara intrusió i amenaça a la privacitat i protecció de dades personals dels usuaris, considerats drets fonamentals.

 

En DATAX, som especialistes en l’adequació i implementació de les obligacions legals i millors pràctiques en projectes tecnològics. Amb una llarga trajectòria professional que ens acredita, els nostres clients poden incorporar les seves solucions digitals en el mercat amb la garantia de dissenyar un producte tècnic que vagi en línia amb la normativa vigent en protecció de dades, privacitat i seguretat de la informació.

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *