✔ Cada vez es más frecuente escuchar que muchas organizaciones quieren implementar técnicas de identificación mediante reconocimiento facial. Estas técnicas son viables, ya que el avance de la tecnología lo permite. No obstante, no se puede dejar de lado que para ello, se emplean datos sensibles de los interesados: datos biométricos relativos a características físicas y conductuales. En consecuencia, se debe realizar un análisis particular en cada caso concreto para proteger la privacidad y los datos de los interesados.
Para entender de que hablamos cuando nos referimos a reconocimiento fácil, la Agencia de Protección de Datos (AEPD) ha tenido oportunidad de definirlo en su Informe 36/2020. Se diferencia,
- Identificación biométrica: identificación de un individuo por su imagen facial comparando esta con otras muchas almacenadas en una base de datos.
- Verificación/autenticación biométrica: verificación de un individuo por imagen facial comparando esta con una única plantilla biométrica. En este caso, el proceso de búsqueda enlaza la imagen del individuo con otra sola imagen de este. El objetivo es enlazar la imagen facial captada solamente con otra almacenada, para ver si la persona de las dos imágenes es la misma.
Al tratarse de datos de categoría especial, (art. 9 RGPD) el tratamiento en principio está prohibido excepto que se encuentre en algunas de las excepciones previstas por la norma, como el consentimiento explícito del interesado o que el tratamiento sea necesario por razones de interés público esencial. En este último caso, se debe salvaguardar en todo caso el derecho a la protección de datos aplicando medidas adecuadas y específicas para ello.
A continuación, veremos algunos de los casos donde se pretende implantar dichos mecanismos de reconocimiento fácil. Ya sea para la prevención del blanqueo de capitales y para la identificación de clientes que tienen prohibido el ingreso a los locales.
La AEPD también ha publicado el Informe 47/2021 que versa sobre el reconocimiento fácil y la prevención del blanqueo de capitales. El informe se emite a raíz de la consulta realizada por una empresa que pretendía implantar un sistema de reconocimiento facial. El proyecto consistía en que en el momento del alta de sus clientes se verificase su identidad para la prevención del blanqueo de capitales. Dicho tratamiento pretendía ampararse en la obligación de identificación que impone el art. 3 de la Ley 10/2010. No obstante, dicha identificación debe hacerse a través de diferentes documentos fehacientes que la norma menciona y la norma no prevé el uso de datos biométricos para la identificación de personas físicas. En consecuencia, no existe norma legal (art. 9.2.g) RGPD) y no hay base legal para legitimar dicho tratamiento. Asimismo, es contrario a los principios de necesidad, proporcionalidad y minimización.
Las autoridades catalanas también han analizado el reconocimiento fácil y su influencia en materia de protección de datos. El Auto 75/2021 del 15 de febrero de la AP de Barcelona denegó a una cadena de supermercados la utilización de sistemas de reconocimiento fácil para la detección de clientes con el fin de captar a quienes tuvieran antecedentes de hurto y robo y garantizar de este modo, la seguridad de sus instalaciones. El Tribunal consideró que la medida era completamente desproporcionada, que no había necesidad ni idoneidad para la aplicación de la misma y que además perseguía intereses privados de la compañía y no un interés público, porque el fin era garantizar la no siendo necesaria ni idónea.
Para más información puede consultar la nota periódica donde se informa que Mercadona ha decidido dar por finalizado el procedimiento abierto por la Agencia Española de Protección de Datos (AEPD) procediendo al pago de los 2,5 millones de euros de sanción propuesta por este organismo en relación con el proyecto piloto que fue testado durante varios meses en 48 de las 1.640 tiendas de las que dispone la compañía.
En definitiva, la utilización de sistemas de reconocimiento facial debe ajustarse al cumplimiento normativo. Han de ponderarse la afectación a la protección de datos y la privacidad. Debe recabarse el consentimiento expreso de los interesados, o fundamentar el tratamiento en el interés público esencial y existir una norma de rango legal que lo habilite.
⚖️ Estimado lector, si tiene alguna duda relacionada con la «protección de datos», no dude en ponerse en contacto con nosotros utilizando nuestro formulario corporativo.
