Empiezan a producirse las primeras sanciones en Europa por el uso del Reconocimiento Facial como sistema de identificación.
Hace unas semanas, en aplicación del RGPD, la Agencia de Protección de Datos Sueca hacía pública la sanción a un colegio por el uso de esta tecnología para una prueba piloto de control de asistencia realizada con 22 alumnos. Hace apenas 10 días un instituto de Badalona, se enfrenta a una posible sanción por utilizar esta misma tecnología. En este caso toman la asistencia de los alumnos de 1º de la ESO y notifican a los padres o tutores a través de SMS.
Desde el punto de vista tecnológico, el control de asistencia es una de las aplicaciones directa que tiene el reconocimiento facial ya que aporta un ahorro considerable de tiempo de proceso y evita la suplantación de identidad en los fichajes. Pero desde el punto de vista legislativo, las agencias de protección de datos van más allá.
Tratamiento de los datos y consentimiento explícito
El Reglamento recoge en su artículo 9 el tratamiento de los datos biométricos como datos personales de «categoría especial» y prohíbe su uso:
Art.9 / 1 Quedan prohibidos el tratamiento de datos... biométricos dirigidos a identificar de manera unívoca a una persona física...
Aunque deja fuera de aplicación la prohibición cuando concurra una serie de circunstancias, entre ellas la definida en el apartado 2a:
Art.9 / 2 a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;
Es tal consentimiento explícito el que da pie a la «Licitud del tratamiento» de los datos, que viene recogida en el artículo 6. Pero al tratarse de menores, el reglamento establece que, si el niño es menor de 16 años ese consentimiento lo autoriza el titular de la patria potestad o tutela:
Art.8/1 ...el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años. Si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó.
Y exige al responsable del tratamiento un esfuerzo especial de cara a verificar el consentimiento:
Art.8/2 El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible.
A pesar de que el colegio, mostrando una «responsabilidad proactiva», justificó que se había recogido el consentimiento explícito para el tratamiento de los datos tal y como establece el reglamento, desde la agencia, sin dar muchos más detalles de los motivos, justifican la sanción diciendo cosas como las siguientes:
“...hay un desequilibrio claro entre los dueños de los datos y quién controla esta información ahora.” “...la tecnología de reconocimiento facial está en sus inicios, pero el desarrollo es rápido. Por lo tanto, vemos una gran necesidad de crear claridad sobre lo que se aplica a todos los actores...” “...el reconocimiento facial significaba que la vigilancia con cámara de los estudiantes en su entorno cotidiano era una intrusión en su integridad...”
Tecnología vs. Legislación
Tanto empresas como organismos hacemos un gran esfuerzo por intentar cumplir las estrictas normas que establece el RGPD como para que las agencias de cada país fueran un poco más explícitas indicando cuáles son los errores que provocan estas sanciones:
- ¿Se hizo uso de los datos para otros fines distintos a los establecidos?
- ¿Se incumplió el código de conducta establecido por la agencia sueca?
- ¿Hubo irregularidades en el proceso de obtención de consentimiento?
Esta sanción es la primera, y de ella se desprende que el desconocimiento y el temor del uso de nueva tecnología para la identificación (en este caso de menores) ha provocado que la agencia sueca opte por la máxima restricción y la sanción de forma «preventiva».
El problema es que el actual RGPD, aunque empezó a aplicarse en mayo de 2018, entró en vigor en 2016. Y allá por 2015, para los legisladores y para la mayoría de personas, el reconocimiento facial sonaba poco más que a ciencia ficción. De hecho, no se encuentra el término como tal en todo el texto. Sólo se hace referencia a «imágenes faciales» dentro de la definición del término «datos biométricos»
Art.4/ 14 «datos biométricos»: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos;
Esto hace entender que la velocidad de avance tecnológico hace que este tipo de reglamentos queden obsoletos nada más nacer. Y cuando la legislación no avanza al ritmo de la tecnología, este tipo de sanciones empiezan a sentar precedentes y es la jurisprudencia la que acaba estableciendo la norma.
Teniendo en cuenta que cada estado miembro dispone de su propia agencia para hacer cumplir la norma, empezarán a aflorar casos de este tipo por todo el territorio europeo, cada uno con su interpretación. Esta forma de legislar a base de sanción, sólo crea confusión e incertidumbre a usuarios y empresas y hacen un flaco favor al progreso.
Responsabilidad proactiva, por supuesto. Pero sentido común también.
Fuentes:
Deja una respuesta