La realidad actual no ofrece dudas de una implantación generalizada de tecnologías biométricas en un amplio abanico de casos de uso, acelerada aún más a raíz de la pandemia de COVID-19. Es por ello,  por lo que es importante comprender correctamente la biométrica desde el punto de vista tecnológico, para que la regulación de estos sistemas se base en el conocimiento del funcionamiento de la tecnología garantizando además la protección de los derechos y libertades de los interesados.

La  AEPD en la consulta planteada sobre la viabilidad jurídica conforme a la normativa reguladora de protección de datos en la adopción de un acuerdo de la Comisión Estatal contra la Violencia, Racismo, la Xenofobia y la Intolerancia, estableciendo medidas para el cumplimiento de los clubes consistente en la instalación de sistemas biométricos para el control de todos los accesos a las gradas de animación que permita la identificación unívoca de los aficionados que accedan a las gradas, Informe del Gabinete Jurídico 0098/2022,  establece algunas conclusiones e interpretaciones que son una realidad pero que dejan abierto un escenario futuro que puede generar incertidumbre a los responsables del tratamiento de datos personales a la hora de elegir tecnologías de  vanguardia.

El informe elabora una línea de trabajo definiendo en primer lugar dato biométrico, RGPD artículo 4.14:“datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.  Continúa argumentando que en el artículo 9.1 de dicha norma se establece una prohibición general del tratamiento de categorías especiales de datos, entre los que se encuentran los datos biométricos. Finalmente indica que el artículo 9.2 establece cuáles son las excepciones a dicha prohibición general (consentimiento explícito, cumplimiento obligaciones en al ámbito del Derecho Laboral y de la seguridad y protección social, protección de intereses vitales, interés legítimo, datos públicos, interés público…).

Más allá de la conclusión del Informe, que establece que el uso de sistemas biométricos para el control de todos los accesos a las gradas que permita la identificación unívoca de los aficionados no es conforme con la normativa reguladora de protección de datos, es interesante  analizar algunas indicaciones y conclusiones de la AEPD, que pueden llevar a revisiones de criterios de la propia AEPD para adecuarlos al que pueda mantener el Comité Europeo de Protección de Datos (CEPD). En este sentido, haciendo mención al Libro blanco sobre inteligencia artificial de la Comisión Europea, al Informe 36/2020 de la AEDP y al Dictamen 3/2012 sobre la evolución de las tecnologías biométricas del Grupo del Artículo 29, la AEPD establece una distinción entre lo que es “Identificación biométrica”, que tiene la consideración de categoría especial de datos, y “verificación/autenticación biométrica”, que no se consideraría categoría especial de datos. No obstante, la AEPD destaca la dificultad de deslindar estos dos conceptos, lo que requerirá estar al caso concreto, a las particulares técnicas empleadas en relación con la finalidad perseguida por el tratamiento y a la necesidad de otorgar la máxima protección a los derechos de los afectados.

  • Identificación biométrica: la identificación de un individuo por un sistema biométrico es normalmente el proceso de comparar sus datos biométricos (adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos (es decir, un proceso de búsqueda de correspondencias uno-a-varios {1-N}).
  • Verificación/autenticación biométrica: la verificación de un individuo por un sistema biométrico es normalmente el proceso de comparación entre sus datos biométricos (adquiridos en el momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo (es decir, un proceso de búsqueda de correspondencias uno a- uno {1-1}).

Pero la AEPD hace una aclaración al respecto, indicando que dicho criterio está supeditado a lo que pudiera establecerse por el CEPD (EDPB) o, en su caso, por los órganos jurisdiccionales.  En este sentido, recuerda que en la Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement (EDPB), Directrices 5/2022, el CEPD se aparta claramente de dicha diferenciación, concluyendo que ambos supuestos implican el tratamiento de categorías especiales de datos.

Analizando las Directrices 5/2022, el CEPD establece una serie de premisas y recomendaciones, siendo el marco jurídico aplicable la Carta de los Derechos  Fundamentales de la Unión Europea, el Convenio Europeo de los Derechos Humanos y la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos. Además presenta distintos escenarios basados en situaciones hipotéticas que ilustran usos concretos de la tecnología de reconocimiento facial con el fin de facilitar la evaluación de la necesidad y proporcionalidad, que debe de preceder a la decisión sobre el posible uso del reconocimiento facial.

Entre las conclusiones de las Directrices 5/2022 podemos enumerar las siguientes.

  • La tecnología de reconocimiento facial puede utilizarse para autenticar o identificar a una persona y puede aplicarse a videos o fotografías.
  • Se basa en el tratamiento de datos biométricos, por lo que abarca el tratamiento de categorías especiales de datos.
  • Es una herramienta sensible para los Estados Miembros que tienen poderes soberanos y potestades legislativas y ejecutivas, pudiendo afectar a la estabilidad política social y democrática.
  • Las medidas legislativas deben de ser apropiadas para alcanzar los objetivos legítimos perseguidos, pero hay que tener en cuenta que un objetivo de interés general, por fundamental que sea no justifica por sí mismo la limitación de un derecho fundamental.
  • En Derecho interno, la base jurídica debe de ser suficientemente clara para ofrecer a los ciudadanos información adecuada sobre las condiciones y circunstancias en las que las autoridades puedan utilizar esta tecnología.
  • La proporcionalidad de las medidas debe de ser adecuada y debe de identificar y considerar todas las posibles implicaciones para otros derechos fundamentales, evitando que se genere una concepción general de vigilancia constante.
  • El tratamiento de categorías especiales de datos, como los datos biométricos, solo puede considerarse como estrictamente necesario.
  • El responsable de tratamiento debe de estudiar detenidamente como cumplir  con los requisitos relativos a los derechos de los interesados antes de  poner en marcha cualquier tratamiento con tecnología de reconocimiento facial.
  • Será necesario la realización de una evaluación de impacto sobre la protección de datos (EIDP).
  • La utilización de esta tecnología requiere especial atención a la seguridad del tratamiento garantizando que el sistema cumple las normas pertinentes y se pueda aplicar medidas de protección a la plantilla biométrica basadas en los principios de protección de datos desde el diseño y por defecto.

La intención del CEPD es proporcionar información pertinente a los Estados Miembros, a los legisladores a escala nacional, a las fuerzas y Cuerpos de Seguridad  y a los funcionarios a la hora de aplicar y utilizar los sistemas de reconocimiento facial, además de facilitar información a los interesados sobre todo en lo que se refiere a la defensa y ejercicio de sus derechos.

Estas Directrices 5/2022 han estado sometidas a Consulta previa, por lo que hasta el 27 de junio de 2022 estaba abierto el plazo de alegaciones y comentarios a su contenido. Entre las organizaciones o empresas que han realizado alegaciones encontramos dos españolas, que aportan conclusiones técnicas y puntos de vista  interesantes que el CEPD debería de tener en cuenta. (fuente: https://edpb.europa.eu/).

Como resumen a las respuestas a la consulta pública por parte de estas empresas españolas podemos enumerar las siguientes:

  • Las conclusiones extraídas de los distintos escenarios que plantea el CEPD en las Directrices 5/2022 se utilizan para generalizar los riesgos y efectos potenciales de todos los sistemas biométricos, lo que conduce a una interpretación sesgada de la tecnología de sistema de reconocimiento facial.
  • La utilización de sistemas basados en Inteligencia Artificial (IA) pueden ofrecer garantías de precisión seguridad y protección de datos respecto a las exigidas por los principios de privacidad desde el diseño y por defecto.
  • La calidad de los sistemas biométricos debe de auditarse, por lo que deben de crearse organismos europeos que realicen estas evaluaciones y que analicen cuestiones como la precisión y fiabilidad, la ausencia de sesgos raciales o de edad, etc..
  • La regulación e interpretación jurídica de los sistemas de reconocimiento biométrico debe de eta estrechamente vinculado a sus características técnicas y a sus condiciones de funcionamiento, ya que ello permitirá establecer límites y requisitos.
  • Hay que distinguir entre implementaciones de verificación {1-1} e identificación {1-N}, tal y como se ha interpretado desde el inicio de la aplicación del RGPD ya que no conlleva los mismos riesgos. No todos los sistemas de identificación  biométrica {1-N} suponen un riesgo para los derechos y libertades de las personas, sino solo aquellos que pueden dar lugar a un sistema de vigilancia masiva e indiscriminada y/o limiten en algún modo dichos derechos y libertades.
  • Las aplicaciones basadas en el consentimiento del usuario se consideran un uso legítimo de reconocimiento biométrico, siempre que el interesado esté debidamente informado del funcionamiento del sistema y de cómo se tratan sus datos, según establece el RGPD.
  • El poder de disposición del interesado sobre sus datos es clave. Debe de garantizarse el acceso a una información completa, clara y transparente, así como el derecho a no ser sometido a tratamiento biométrico, salvo en aquellos casos en que el equilibrio con otros derechos fundamentales así lo recomienda.
  • Hay que distinguir entre utilizar la biométrica para que el usuario demuestre su identidad, permitiéndose siempre que se garantice la seguridad y privacidad del sistema, o para controlarlo, debiendo de estar suficientemente regulada para que la tecnología biométrica quede prohibida para este fin, salvo excepciones autorizadas por las autoridades judiciales o administrativas y siempre basada en la legislación europea y/o nacional.
  • La regulación y aplicación de estos sistemas debe basarse en el riesgo, sopesando los derechos fundamentales que pueden verse afectados y considerando que el derecho a la protección de datos no es el único derecho en peligro.
  • Las Directrices incluyen malentendidos  relativos a la tecnología biométrica como la referencia a la permanencia e inmutabilidad y la imposibilidad de regenerara una plantilla biométrica, no siendo cierto esto cuando se habla de tecnología de vanguardia.

Para finalizar, en lo que respecta a las tecnologías de reconocimiento facial podemos concluir por un lado que debemos de esperar a los criterios y directrices finales que establezca el Comité Europeo de Protección de Datos (CEPD) y que puede  llevar a revisiones de criterios de la propia AEPD y por otro que la tecnología de vanguardia va por delante de las regulaciones normativas europeas y nacionales y precisa una coordinación, estructuración y hoja de ruta que garantice los derechos y libertades de los interesados  no solo en materia de protección de datos sino del resto de los derechos fundamentales.

Antonio Urbano Fernández

Abogado

Delegado de Protección de Datos

http://www.abbantia.com