¿Como una empresa, puede utilizar las cámaras con reconocimiento facial?

No, solamente no. Solo en casos excepcionales es posible utilizar cámaras con reconocimiento facial. Con el reconocimiento facial se procesan datos biométricos. Estos son datos personales especiales. Y puedes procesarlos solo si hay una excepción en la ley.

Datos personales biométricos.
Se utilice cámaras con reconocimiento facial para elaborar las imágenes de la cara. Estos son datos biométricos.
Propio como las huellas digitales.

Estas características del cuerpo son únicas. Por esto, las organizaciones pueden utilizarlas para identificar a las personas. Y también para verificar si cualquiera persona es quien dice de ser (autenticación).

Porque estos datos son únicos, representan riesgos para la privacy que son extremadamente elevados. Por ejemplo, en caso de furto de datos. No es posible modificar una imagen de la cara o una huella digital, como tu puedes fácilmente hacerlo con un pin o una password.

Excepciones a la prohibición.
Están dos excepciones a la prohibición de utilizar cámaras para el reconocimiento facial.

Excepción 1: necesaria para la autenticación o la seguridad.
Es posible utilizar datos biométricos si es necesario para razones de autenticación o de seguridad. Tiene que ser un importante interés público.

Es decir, por ejemplo, la seguridad de una central nuclear. Pero la seguridad de un supermercado, por ejemplo, no es tan importante de permitir la elaboración de los datos biométricos.

Excepción 2: autorización explícita de los interesados. Es posible utilizar cámaras con reconocimiento facial si los interesados (las personas que se están filmando) han dejado el permiso explícito por esto.

Nota: el consentimiento explícito es una forma más pesante de consentimiento “normal” y no ambiguo. El consentimiento expresado pide más de un consentimiento unívoco. Puedes ver más allá: ¿cuáles requisitos tiene que cumplir una autorización válida para las cámaras con reconocimiento facial?

Riesgos de privacy.
El reconocimiento facial conlleva importantes riesgos para la privacy. Ten cuidado si deseas utilizar cámaras con reconocimiento facial. Por ejemplo, es necesario incluir estos riesgos en un file de evaluación del impacto sobre la protección de datos (DPIA).

Los riesgos incluyen:

• Bias (bias) y errores en el reconocimiento facial (los resultados del reconocimiento facial pueden ser discriminatorios y funcionar menos bien en determinados grupos);
• recogida de informaciones opaques (el reconocimiento facial actual funciona siempre sobre la base de modelos abstractos con imágenes por las cuales las personas figuradas no han dejado el permiso);
• falta de elección o momento de refleccion para las personas implicadas (¿lo quieren de verdad?);
• uso secundario de datos (por ejemplo, los gobiernos que piden a las empresas las informaciones recogidas utilizando el reconocimiento facial).

¿Cuales requisitos tiene que cumplir una autorización válida para las cámaras con reconocimiento facial?

¿Te gustaría utilizar cámaras con reconocimiento facial como empresa? ¿Y tu intendes pedir permiso a las partes implicadas (las personas que tú estás filmando)? Además están una serie de puntos a los cuales tenemos que tener cuidado. Si la autorización no cumple todas las condiciones no es válida. Y estas violando el Reglamento General de Protección de Datos (GDPR).

Autorización explícita solicitada.
Con el reconocimiento facial se procesan datos biométricos. Estos son datos personales especiales. De acuerdo con el GDPR, es solicitado el consentimiento explícito de los interesados para poder tratar datos personales especiales. El consentimiento expresado es una forma de consentimiento agravado.

Ve además: ¿Cuando es necesaria una autorización explícita y cuales requisitos tiene que cumplir?

Otros requisitos para el consentimiento explícito.
Además, los mismos requisitos se aplican al consentimiento explícito como al consentimiento “normal” e inesquivable.

En primer lugar, el consentimiento es válido solo di dejado liberamente. Esto significa, entre las otras cosas, lo que sigue:

• Las personas implicadas no tendrían que sentirse obligadas a dejar el consentimiento. ¿Si tu eres un empresario? Entonces tú empleados dependen desde tigo. Y por esto tu no eres capaz de dejar o negar libremente el consentimiento.
• Quienquiera que rechaza no tiene que ser influenciado negativamente. Además, el consentimiento tiene que ser específico, basarse sobre informaciones suficientes y se ofrecido con una acción activa e inequivocables.

¿A que tengo que prestar atención en cualidad de productor y/o de proveedor de cámaras con reconocimiento facial?

¿Si tu eres un productor de cámaras con reconocimiento facial? Así que tendría que tener cuidado con todos los aspectos de privacy durante la proyección de las cámaras (privacy by design y valor predefinido). ¿Proporcionar cameras también a los clientes? ¿Y tú vas a tratar los datos personales para ellos? Así que tu eres un procesor de estos datos. Tu eres también un encargado del tratamiento si tu eres un proveedor de cámaras con reconocimiento facial y procese datos personales de tus clientes.

Privacy by design y valor predefinido.
El Reglamento General de Protección de Datos (AGV) requiere de aplicar la privacy by design y la privacy para valor predefinido.

Privacy by design significa que cuando se proyectan productos y servicios, vamos a asegurarnos que los datos personales sean adecuadamente protegidos. Y que los datos, por ejemplo, no sean conservados más tiempo de lo necesario.

Privacy by default predefinida significa que se adoptan medidas técnicas y organizativas para garantizar que, como estándar, se procesan solo datos personales necesarios para el fin específico que se desea lograr.

El encargado del tratamiento.
¿Tu vas a procesar los datos personales de los clientes que han comprado cámaras con reconocimiento facial? Por el GDPR tu eres el encargado del tratamiento.

Tu tienes una serie de obligaciones específicas como encargado del tratamiento. Si bien tu último cliente sea (en la última analisis) encargado y responsable del tratamiento para el tratamiento de datos, tú eres también encargado en modo independiente para el respecto del GDPR.

FUENTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DEI PAESI BASSI – AP