El reconocimiento facial como todas las técnicas de inteligencia artificial presenta sin duda problemas de privacidad porque se tratan datos de naturaleza biométrica extremadamente delicados. En el específico esta técnica lleva la aplicación de un software biométrico capaz de identificar de manera universal y verificar la identidad de una persona analizando las características distintivas de la cara y comparándolas con aquellas de otras imágenes.

De hecho cada de nosotros tiene características faciales únicas.

Este tipología de software es capaz de analizarlos, compararlos con las imágenes archivadas en un database e identificar la persona (si se encuentra una correspondencia). 

Según la relación con el sector específico de la protección de datos personales, como frecuentemente ocurre en el campo de las nuevas tecnologías, no se puede hablar de absoluta incompatibilidad, en cuanto el tratamiento de datos si se cumple a los principios de legalidad, necesidad, proporcionalidad y minimización detallados en el Reglamento Europeo n. 2016/679 (GDPR) puede sin duda ser posible y lícito.

En caso contrario podríamos enfrentarnos a casos de difusión ilegítima de datos extremadamente sensible y de hecho a robos de identidad o tratamiento automatizados de datos no permitidos desde la normativa o desde otras formas de tratamiento ilícito de datos personales. 

En realidad, mientras que el uso de estas tecnologías puede ser percibido como particularmente eficaz, los responsables del tratamiento tendrían antes todo evaluar el impacto sobre los derechos y sobre las libertades fundamentales y considerar los medios menos invasivos para lograr sus legitimo fin. 

En nuestro ordenamiento no existen leyes ad hoc que regulan el reconocimiento facial, pero el relativo tratamiento de datos personales tiene que respetar algunas disposiciones fundamentales del GDPR, en particular el artículo 5 que regula los principios aplicables al tratamiento de datos personales, el artículo 6 que define las condiciones de licitud del tratamiento y el artículo 9 que disciplina el tratamiento de categorías particulares de datos entre cuales los biométricos. Además, recientemente, el Comité Europeo de Protección de Datos (EDPB) en las directiva n. 3./2019 sobre el tratamiento de datos personales mediante dispositivos de vidéosurveillance dedica particular atención al reconocimiento facial y a la videovigilancia inteligente. 

Hablando de dato biométrico, a la luz de los artículos 4.14 y 9 del GDPR, se tienen que tener en cuenta los tres criterios siguientes: 

• Naturaleza de los datos: datos sobre las características físicas, fisiológicas o comportamentales de una persona física;
• Medios y modalidades de elaboración: datos “resultantes desde una elaboración técnicas específica”. 
• Propósito del tratamiento: los datos tienen que ser utilizados para identificar de manera unívoca una persona física.

Las directivas apoyan que el artículo 9 del GDPR se aplica si el responsable del tratamiento memoriza datos biométricos (más comunemente mediante modelos creados con la extracción de características llaves de la forma aproximada de datos biométricos (por ejemplo, mensuraciones faciales desde una imagen)) para identificar de manera unívoca una persona. Si un responsable del tratamiento deseara de relevar un sujeto que está dentro del área o que sale en una otra área (por ejemplo para proyectar un anuncio publicitario personalizado) el fin sería aquel de identificar de manera unívoca una persona física, esto significa que la operación es parte desde el comienzo del ámbito de aplicación del artículo 9.

A veces algunos sistemas biométricos son instalados en entornos no controlados, esto significa que el sistema preve la captura de las caras de cualquiera persona que pasa dentro de un radio de acción de la videocámara, incluida las personas que no han dejado el consentimiento al dispositivo biométrico. Estos modelos son comparados con los creados desde las personas que han dejado su previo consentimiento durante un proceso de reclutamiento (es decir un usuario biométrico) para que el responsable del tratamiento reconozca si la persona es un usuario de dispositivos biométricos o no. 

En este caso, según las orientaciones de la EDPB, el sistema suele estar diseñado para discriminar a las personas que quiere reconocer en una base de datos de las que no están inscritas y, obviamente, se requiere una excepción específica en virtud del artículo 9, apartado 2, del GDPR.

Cuando se utiliza el tratamiento biométrico con fines de autenticación, las directrices recomiendan que el responsable del tratamiento ofrezca una solución alternativa que no implique el tratamiento biométrico, sin restricciones ni costes adicionales para el interesado. Esta solución alternativa también es necesaria para las personas que no cumplen con las limitaciones del dispositivo biométrico (imposibilidad de inscripción o lectura de los datos biométricos, situación de discapacidad que dificulta su uso, etc.) y en previsión de una indisponibilidad del dispositivo biométrico (como un mal funcionamiento del dispositivo), debe implementarse una «solución de respaldo» para garantizar la continuidad del servicio propuesto, limitada sin embargo a un uso excepcional.

Por supuesto, de acuerdo con el principio de minimización de los datos, los responsables del tratamiento deben garantizar que los datos extraídos de una imagen digital para construir un modelo no sean excesivos y contengan únicamente la información necesaria para la finalidad especificada, evitando así cualquier posible tratamiento posterior.

Desde el punto de vista técnico, según las directrices, el responsable del tratamiento debe tomar todas las precauciones necesarias para preservar la disponibilidad, integridad y confidencialidad de los datos tratados.

En este sentido, debe:

1. Compartimentar los datos durante la transmisión y el almacenamiento;
2. Almacenar las plantillas biométricas y los datos brutos o de identidad en bases de datos separadas;
3. cifrar los datos biométricos, en particular las plantillas biométricas, y definir una política de cifrado y gestión de claves
4. Integrar una medida organizativa y técnica para la detección del fraude;
5. Asociar un código de integridad a los datos (por ejemplo, una firma o un hash) y prohibir cualquier acceso externo a los datos biométricos.

Por supuesto, estas medidas tendrán que evolucionar con el progreso de las tecnologías.

FUENTE: FEDERPRIVACY