PROENTER

Accesos Inteligentes

  • Inicio
  • Servicios
    • Control de accesos
    • Desarrollo de soluciones RFID
    • Sistemas de Identificación Biométrica
    • Videovigilancia
  • bluky
  • ¿Quiénes somos?
  • Blog
  • Contacto

Reconocimiento facial en colegios e institutos

30/09/2019 by Proenter Accesos Inteligentes Leave a Comment

Empiezan a producirse las primeras sanciones en Europa por el uso del Reconocimiento Facial como sistema de identificación.

Hace unas semanas, en aplicación del RGPD, la Agencia de Protección de Datos Sueca hacía pública la sanción a un colegio por el uso de esta tecnología para una prueba piloto de control de asistencia realizada con 22 alumnos. Hace apenas 10 días un instituto de Badalona, se enfrenta a una posible sanción por utilizar esta misma tecnología. En este caso toman la asistencia de los alumnos de 1º de la ESO y notifican a los padres o tutores a través de SMS.

Colegios y reconocimiento facial

Desde el punto de vista tecnológico, el control de asistencia es una de las aplicaciones directa que tiene el reconocimiento facial ya que aporta un ahorro considerable de tiempo de proceso y evita la suplantación de identidad en los fichajes. Pero desde el punto de vista legislativo, las agencias de protección de datos van más allá.

Tratamiento de los datos y consentimiento explícito

RGPD

El Reglamento recoge en su artículo 9 el tratamiento de los datos biométricos como datos personales de «categoría especial» y prohíbe su uso:

Art.9 / 1
Quedan prohibidos el tratamiento de datos... biométricos dirigidos a identificar de manera unívoca a una persona física...

Aunque deja fuera de aplicación la prohibición cuando concurra una serie de circunstancias, entre ellas la definida en el apartado 2a: 

Art.9 / 2 

a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;

Es tal consentimiento explícito el que da pie a la «Licitud del tratamiento» de los datos, que viene recogida en el artículo 6. Pero al tratarse de menores, el reglamento establece que, si el niño es menor de 16 años ese consentimiento lo autoriza el titular de la patria potestad o tutela:

Art.8/1

...el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años. Si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó. 

Y exige al responsable del tratamiento un esfuerzo especial de cara a verificar el consentimiento:

Art.8/2

El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible. 

A pesar de que el colegio, mostrando una «responsabilidad proactiva», justificó que se había recogido el consentimiento explícito para el tratamiento de los datos tal y como establece el reglamento, desde la agencia, sin dar muchos más detalles de los motivos, justifican la sanción diciendo cosas como las siguientes:

“...hay un desequilibrio claro entre los dueños de los datos y quién controla esta información ahora.” 

“...la tecnología de reconocimiento facial está en sus inicios, pero el desarrollo es rápido. Por lo tanto, vemos una gran necesidad de crear claridad sobre lo que se aplica a todos los actores...”

“...el reconocimiento facial significaba que la vigilancia con cámara de los estudiantes en su entorno cotidiano era una intrusión en su integridad...”

Tecnología vs. Legislación

Tanto empresas como organismos hacemos un gran esfuerzo por intentar cumplir las estrictas normas que establece el RGPD como para que las agencias de cada país fueran un poco más explícitas indicando cuáles son los errores que provocan estas sanciones:

  • ¿Se hizo uso de los datos para otros fines distintos a los establecidos?
  • ¿Se incumplió el código de conducta establecido por la agencia sueca?
  • ¿Hubo irregularidades en el proceso de obtención de consentimiento?

Esta sanción es la primera, y de ella se desprende que el desconocimiento y el temor del uso de nueva tecnología para la identificación (en este caso de menores) ha provocado que la agencia sueca opte por la máxima restricción y la sanción de forma «preventiva».

RGPD

El problema es que el actual RGPD, aunque empezó a aplicarse en mayo de 2018, entró en vigor en 2016. Y allá por 2015, para los legisladores y para la mayoría de personas, el reconocimiento facial sonaba poco más que a ciencia ficción. De hecho, no se encuentra el término como tal en todo el texto. Sólo se hace referencia a «imágenes faciales» dentro de la definición del término «datos biométricos»

Art.4/ 14
«datos biométricos»: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos; 

Esto hace entender que la velocidad de avance tecnológico hace que este tipo de reglamentos queden obsoletos nada más nacer. Y cuando la legislación no avanza al ritmo de la tecnología, este tipo de sanciones empiezan a sentar precedentes y es la jurisprudencia la que acaba estableciendo la norma.

Teniendo en cuenta que cada estado miembro dispone de su propia agencia para hacer cumplir la norma, empezarán a aflorar casos de este tipo por todo el territorio europeo, cada uno con su interpretación. Esta forma de legislar a base de sanción, sólo crea confusión e incertidumbre a usuarios y empresas y hacen un flaco favor al progreso.

Responsabilidad proactiva, por supuesto. Pero sentido común también.

Fuentes:

  • European Data Protection Board
  • REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
  • Autoridad Sueca de Protección de Datos
  • Artículo del diario El País
  • Artículo de Bussines Insider

Filed Under: Control de accesos, Control de presencia, Lectores Biométricos, Legislación, Reconocimiento facial

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

CAPTCHA
Refresh

*

Artículos más recientes

  • Instalar un control de acceso en una piscina ¿Qué necesito? 10/10/2019
  • Control de acceso en cuartos técnicos 08/10/2019
  • Camino al Smart Building – Vivienda de nueva construcción y control de accesos 02/10/2019
  • Reconocimiento facial en colegios e institutos 30/09/2019
  • Control de acceso con torno 24/09/2019

Categorías

  • Control de accesos
  • Control de presencia
  • Lectores Biométricos
  • Legislación
  • Reconocimiento facial
  • Sistemas de control de acceso
  • Smart Building
  • Videovigilancia

Acceso a clientes bluky

LOGIN

Aviso Legal
RGPD 2016/679

Artículos sobre normativa

Reconocimiento facial en colegios e institutos

Normativa aplicable a equipos de videovigilancia

Control de accesos en comunidades de propietarios

 

Copyright © 2017-2020 PROENTER Accesos Inteligentes S.L.