Sistema de reconocimiento facial

AUTOR: Ana Victoria Martínez Muñoz 

FECHA: 25.02.2019

A pesar de las innegables ventajas que proporcionan los sistemas de reconocimiento biométricos, la evolución, precisión e incremento del uso de estas tecnologías exige una especial atención por las implicaciones legales en materia de protección de datos personales.

Los datos biométricos han sido definidos por el Grupo de Trabajo del Artículo 29 (GT 29) como “propiedades biológicas, características fisiológicas, rasgos de la personalidad o tics, que son, al mismo tiempo,   atribuibles   a   una   sola   persona   y   mensurables,  incluso  si  los  modelos  utilizados  en  la  práctica  para  medirlos  técnicamente implican un cierto grado de probabilidad”. La biometría permite el desarrollo de técnicas que examinan parámetros físicos únicos en cada individuo para su identificación o autenticación. La naturaleza de estas tecnologías posibilita la identificación de un individuo lo cual las vincula directamente con la normativa de protección de datos personales. El Reglamento General de Protección de Datos (RGPD) define los datos biométricos como datos personales relativos, entre otras, a las características físicas y fisiológicas de una persona, obtenidas a partir de un tratamiento técnico, que permiten o confirman la identificación unívoca de la misma. La definición incluye como dato biométrico, la imagen facial. 

El sistema de reconocimiento facial posibilita la lectura de la imagen facial previamente extraída, digitalizada y registrada que puede permitir, la identificación inequívoca, la verificación o la categorización de una persona física.

El uso de esta tecnología invade las herramientas tradicionalmente de uso en el ámbito policial, ya que en la actualidad, el sistema de reconocimiento facial habilita la realización de pagos en línea, se encuentra en múltiples aplicaciones móviles, redes sociales, control de accesos, y el uso por entidades privadas con finalidades analíticas y publicitarias es cada vez mayor. 

Esta avanzada tecnología permite que la imagen digital pueda ser tanto estática como en movimiento. Esto convierte a este sistema en el más controvertido, ya que, a diferencia del reconocimiento a través del iris del ojo o la huella dactilar, el facial no requiere interacción con el individuo y puede ser utilizado sin el conocimiento o consentimiento de éste. Las meras imágenes de individuos obtenidas a través de fotografías o videos, podrían llegar a constituir un dato biométrico si, en virtud del considerando 51 del RGPD “tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física.”

Si bien esta tecnología contribuye a aumentar el nivel de seguridad (por ejemplo, en el control de accesos o desbloqueo de un dispositivo móvil) y a facilitar y agilizar los procedimientos de identificación y comprobación, el tratamiento de estos datos personales podría, según cuales sean las finalidades y las circunstancias, entrañar importantes riesgos para los derechos y las libertades fundamentales. Europa ha optado por una regulación estricta del tratamiento de los datos biométricos. El RGPD prohíbe el tratamiento cuando se dirige a identificar de manera unívoca a una persona física, salvo que concurran una serie de excepciones y solo será lícito si encuentra una base legítima para el tratamiento, de conformidad con el artículo 6 del RGPD.

Se deben tener especialmente en cuenta los principios de limitación de la finalidad, minimización de datos, periodos de conservación, exactitud y proporcionalidad. Es necesario efectuar un análisis previo restrictivo de la necesidad y proporcionalidad del tratamiento y evaluar si el mismo objetivo del tratamiento se alcanza con un sistema menos intrusivo. Por ejemplo, en el control de acceso en el ámbito laboral, como medida de control del empresario frente a sus empleados, según las circunstancias, podría considerarse proporcional el uso de la huella dactilar, pero no el de reconocimiento facial, debido a los mayores riesgos para los derechos y libertades de los interesados que dimanan de éste.  

Los efectos derivados de una brecha de seguridad que afectara la confidencialidad, integridad y disponibilidad, no serían mitigables. Es por esto, que se deberá prestar especial atención a la seguridad de los datos y las medidas técnicas y organizativas que se van a aplicar, y asegurar que éstas son adecuadas para minimizar los riesgos.

 

En cuanto a las evaluaciones de impacto en la privacidad, el GT 29 recomienda que éstas no solo las deben llevar a cabo los responsables de tratamiento que implementen el sistema, considerando sus propios procedimientos y medidas de seguridad informática, sino que además la entidad que defina la finalidad y los medios del dispositivo, debe realizarlas como parte de la fase de diseño de los sistemas que tratan este tipo de datos. 

En estos sistemas, adquiere especial relevancia la protección de los datos desde el diseño y por defecto en todas las fases del proceso de recogida y tratamiento de los datos. El GT 29 sugiere el diseño de las nuevas tecnologías y sensores con utilización del cifrado para el almacenamiento de los datos biométricos, la descentralización de la base de datos, la supresión automática de los datos brutos una vez generada la plantilla biométrica (por ejemplo, medición facial de la imagen), conmutadores anti-extracción y anti-manipulación para prevenir el acceso no autorizado.