La cara oculta del reconocimiento facial

Muchos pensaron, al ver a Tom Cruise en la pel¨ªcula Minority Report caminando por un centro comercial, mientras las pantallas le ofrec¨ªan autom¨¢ticamente publicidad personalizada, que este era otro elemento de ciencia ficci¨®n del filme. Sin embargo, ese futuro imaginario ya est¨¢ aqu¨ª. El imparable desarrollo de los sistemas de reconocimiento facial (de alt¨ªsima fiabilidad), sus m¨²ltiples aplicaciones y la generalizaci¨®n de la tecnolog¨ªa hace que muchas empresas y entes p¨²blicos ya est¨¦n experimentando con su utilidad. Los fines son muy diversos: desde sacar dinero del cajero hasta detectar posibles acosadores en un concierto. Esta tecnolog¨ªa, sin embargo, plantea una serie de problemas legales que deben ser tenidos en cuenta.

El rostro es un dato personal ¡°sensible¡± (es decir, especialmente protegido por la ley) que puede llegar a ser captado sin nuestro conocimiento. Las empresas que implantan soluciones biom¨¦tricas de identificaci¨®n deben acreditar que cumplen con la normativa de privacidad. El reglamento europeo de protecci¨®n de datos (RGPD) es especialmente riguroso en este ¨¢mbito y proh¨ªbe, en principio, el tratamiento de este tipo de informaci¨®n para reconocer de manera un¨ªvoca a una persona. Hay excepciones, como el uso por la polic¨ªa para funciones de seguridad o cuando el afectado ha dado el consentimiento y se persigue una finalidad l¨ªcita. Por otra parte, debe informarse al particular de los fines y, en algunos casos, incluso, recabar su consentimiento.

Para muchos expertos en privacidad, el uso generalizado del reconocimiento facial plantea m¨¢s riesgos que beneficios. La abogada y presidenta de la Asociaci¨®n de Internautas, Ofelia Tejerina, cree que su utilizaci¨®n para cosas tan habituales como pagar el autob¨²s (la EMT de Madrid ya tiene un plan piloto) o recoger una llave ¡°es excesivo¡±. ¡°Que consientas no significa que sea legal; puede ser abusivo¡±, advierte. En su opini¨®n, los organismos reguladores deber¨ªan informar a los ciudadanos de los riesgos de estas soluciones, especialmente el de la suplantaci¨®n si se produce una brecha de seguridad. ¡°No es una tecnolog¨ªa inocua; los riesgos no compensan la comodidad¡±, concluye.

Paloma Llaneza, letrada y auditora de ciberseguridad, tambi¨¦n es tajante: ¡°El mejor dato biom¨¦trico es el que no se recaba¡±. Y duda de que la regulaci¨®n pueda solucionar los problemas que genera porque el uso del reconocimiento facial no solo tiene implicaciones para la intimidad de las personas, sino tambi¨¦n para otras libertades como la de movimiento, expresi¨®n o manifestaci¨®n. Ello, sin entrar a valorar las consecuencias de un hackeo porque ¡°a diferencia de otras claves de acceso, las caras no admiten sustituci¨®n¡±.

Las c¨¢maras nos vigilan. La UE ya ha dado luz verde a una gigantesca base de datos biom¨¦tricos con fines de seguridad. El debate pol¨ªtico, ideol¨®gico y jur¨ªdico que genera este Gran Hermano es intenso. Sin embargo, poco hay que puedan hacer los ciudadanos al respecto. Como explica Blanca Escribano, socia de EY Abogados, ¡°mientras los datos se utilicen estrictamente para las finalidades indicadas y con la seguridad y protecci¨®n adecuada, en principio, no habr¨ªa ning¨²n perjuicio que reclamar¡±. Por otro lado, Europa se ha propuesto incluir m¨¢s controles en la inteligencia artificial de los sistemas de reconocimiento facial. Una de las mayores preocupaciones es el sesgo que se pueda producir en sus decisiones. Por este motivo, se?ala Escribano, ¡°es muy importante que las organizaciones que dise?an o utilizan estos programas hagan las comprobaciones debidas para corregir los fallos antes de que produzcan da?os¡±. La abogada recomienda, en todo caso, cumplir con los est¨¢ndares de seguridad y realizar el triple juicio de valoraci¨®n: necesidad, idoneidad y proporcionalidad de la medida.

Pese a todo, el uso del reconocimiento facial se est¨¢ extendiendo a gran velocidad. Ra¨²l Rubio, socio de Baker McKenzie, no cree que haya que preocuparse por ello; ¡°solo hay que cumplir la ley¡±. No obstante, reconoce que hay cierta confusi¨®n en cuanto al cumplimiento de la normativa y ve necesario que el regulador despeje dudas en los supuestos pr¨¢cticos m¨¢s controvertidos. Hay proyectos ¡°que no plantean ning¨²n riesgo desde el punto de vista de privacidad¡±, como determinados sistemas de control de acceso, porque no se almacenan los datos biom¨¦tricos o la imagen, sino solo una representaci¨®n de la misma. Por el contrario, hay otras aplicaciones mucho m¨¢s dudosas, como las c¨¢maras de seguridad privada para identificar sospechosos en la multitud. La clave, en todo caso, es que la medida sea proporcional con el uso que va a hacerse de ella.

En todo caso, explica Rubio, siempre que se manejan datos biom¨¦tricos es necesario elaborar una evaluaci¨®n de impacto de privacidad, un estudio sobre la afectaci¨®n en materia de protecci¨®n de datos que refleje sus riesgos y las medidas de mitigaci¨®n. Por otro lado, las entidades tienen que poner especial atenci¨®n en la redacci¨®n de la cl¨¢usula de protecci¨®n de datos, porque si el usuario no la entiende, podr¨ªa acarrear una sanci¨®n de las autoridades (el RGPD proh¨ªbe las ¡°cl¨¢usulas oscuras¡±).

Algunas empresas ya barajan la opci¨®n de instalar un lector de caras por ser un mecanismo de registro m¨¢s ¨¢gil y fiable. En tal caso, deben tener en cuenta que, aunque no siempre es necesario contar con el consentimiento del empleado, s¨ª deben informarle adecuadamente de su finalidad. La negativa a pasar por este control, se?ala Ra¨²l Rubio, no autorizar¨ªa a la compa?¨ªa, en principio, a despedirle y habr¨ªa que ofrecerle una alternativa menos invasiva. Sobre todo, porque los tribunales laborales siguen criterios garantistas. Seg¨²n una reciente sentencia del Tribunal Superior de Justicia de Castilla La Mancha, negarse a firmar las pol¨ªticas de privacidad de la empresa no fue lo suficientemente grave para justificar el despido de un trabajador. Una soluci¨®n que critica Rubio porque ¡°deja a las empresas en situaciones muy dif¨ªciles¡±.