Gu¨ªa definitiva del reconocimiento facial: qu¨¦ pueden hacer con tu cara y qu¨¦ no

?Entre los recuerdos m¨¢s lejanos que tenemos de los primeros pinitos del reconocimiento facial figuran los intentos iniciales de Facebook de reconocer autom¨¢ticamente los rostros de nuestros amigos en las fotograf¨ªas que sub¨ªamos a la red social. Corr¨ªa el a?o 2010 y aquello nos parec¨ªa entre curioso y balad¨ª. Ahora nuestras caras sirven para desbloquear m¨®viles, hacer gestiones con entidades bancarias y saciar la curiosidad de los Estados m¨¢s fisgones. No es casualidad, sus ventajas son evidentes: ¡°Est¨¢n estrechamente vinculados a una persona, aceleran y simplifican los procedimientos de autenticaci¨®n y verificaci¨®n¡±, explica Andr¨¦s Ruiz, abogado especializado en privacidad en Metricson. ?Pero hasta d¨®nde pueden llegar empresas y entidades con esta tecnolog¨ªa? ?Cu¨¢ndo es legal que se queden con tu cara?

Primero, no es descabellada cierta sensaci¨®n de que nuestra cara no importa tanto ni esconde informaci¨®n que merezca protecci¨®n. Esto importa porque pone en riesgo el anonimato y algo que tendemos a dar por sentado: la circulaci¨®n no registrada de personas. ¡°Estos sistemas de reconocimiento facial utilizados a gran escala pueden producir efectos graves en la privacidad de las personas, ya que pueden capturar datos biom¨¦tricos f¨¢cilmente sin conocimiento del interesado; un uso amplio e indiscriminado podr¨ªa terminar con el anonimato en espacios p¨²blicos y privados y permitir un seguimiento continuo de personas¡±, precisa Ruiz. Adem¨¢s, abre la puerta a intentos de usurpaci¨®n de identidad.

Lo que tu rostro esconde

?Qu¨¦ protege la legislaci¨®n? Los datos asociados a tu cara. Pero no todos. ¡°El reconocimiento facial se considera, en general, una t¨¦cnica biom¨¦trica¡±, se?ala Ruiz. Esto implica, seg¨²n el Reglamento General de Protecci¨®n de Datos (RGPD), que los datos recopilados por la creciente masa de c¨¢maras que se entremete en nuestras rutinas encajan en esta definici¨®n cuando adem¨¢s se traten ¡°con medios espec¨ªficos que tengan como finalidad la identificaci¨®n o la autentificaci¨®n un¨ªvoca de una persona¡±. Adem¨¢s, en estas condiciones la informaci¨®n recopilada entra en el selecto grupo de los ¡°datos sensibles¡±. Estos ¨²ltimos se protegen con m¨¢s celo. Para coleccionarlos, es necesario tener consentimiento expl¨ªcito o bien cumplir ciertos requisitos en cuyo marco quede justificado el uso de reconocimiento facial.

En l¨ªneas generales, ?qu¨¦ necesita una entidad para poder usar tu cara? Entre otras cosas cumplir alguna de las bases del art¨ªculo 6 o 9 del RGPD, entre las que figuran las siguientes:

• Un verdadero s¨ª quiero. Si el interesado ha dado su consentimiento expl¨ªcito, todo est¨¢ bien. Pero no vale cualquier tipo de aceptaci¨®n. ¡°Debe ser una manifestaci¨®n de voluntad libre, espec¨ªfica e informada¡±, explica Ruiz. No vale que el consentimiento sea obligatorio para acceder a un servicio. Y debe ser revocable. Adem¨¢s, si no existe un m¨¦todo de autentificaci¨®n alternativo, el consentimiento tampoco puede considerarse libre. Por ejemplo, en el caso de un local que emplea esta tecnolog¨ªa para controlar el acceso de sus clientes, se deben establecer mecanismos alternativos. ¡°As¨ª se permitir¨¢ la no participaci¨®n en el reconocimiento facial a quien no quiera¡±.
• Una buen¨ªsima excusa. ¡°La compa?¨ªa deber¨¢ ponderar y demostrar que su inter¨¦s leg¨ªtimo prevalece objetivamente sobre el derecho de los interesados a no ser objeto de reconocimiento facial¡±, explica el experto, que pone el ejemplo del laboratorio de una empresa que investiga un virus peligroso. En este caso, un sistema de acceso basado en esta tecnolog¨ªa estar¨ªa justificado para garantizar que solo determinadas personas pudieran entrar.
• Un papel que diga que empezaste t¨². Si el usuario ha contratado un servicio de reconocimiento facial, tambi¨¦n vale. Por ejemplo, si dos hermanos acuden a una empresa para que realice una prueba sobre sus patrones faciales para cuantificar el parecido de sus rasgos. ¡°Esta base legal s¨®lo ser¨ªa v¨¢lida cuando se presten servicios biom¨¦tricos puros¡±, advierte el abogado.
• Que sea por tu bien. Tambi¨¦n es v¨¢lido que se use esta tecnolog¨ªa cuando se est¨¢n cumpliendo normativas espec¨ªficas al respecto, se protegen tus intereses vitales o se cumple una misi¨®n de inter¨¦s p¨²blico.

Biometr¨ªa light

Cuando las im¨¢genes se emplean para tareas cuya finalidad no es identificar individuos, el tratamiento de la informaci¨®n tambi¨¦n debe cumplir ciertos l¨ªmites para ser legal. Estamos hablando de sistemas de clasificaci¨®n y monitoreo. ¡°Por ejemplo, reconocimiento facial para el posterior an¨¢lisis estad¨ªstico del p¨²blico en general, que muestre datos agregados sobre c¨®mo se desplazan los consumidores por un local o la recurrencia de los clientes¡±, precisa el abogado.

En este supuesto, hay una serie de requisitos de obligado cumplimiento para cualquier empresa que aspire a usar estas tecnolog¨ªas.

• Fines claros y chocolate espeso. Debe definirse espec¨ªficamente con qu¨¦ finalidad se recaban y tratan los datos biom¨¦tricos.
• Tu cara, la ¨²nica opci¨®n. El reconocimiento debe ser esencial para la finalidad descrita y la p¨¦rdida de intimidad que implica debe compensarse con los beneficios que supone. Ruiz plantea el escenario de un gimnasio con un sistema de este tipo para controlar la entrada. ¡°Este tratamiento parece desproporcionado en relaci¨®n con la necesidad de controlar el acceso. Es f¨¢cil imaginar que existan otras medidas con menor intromisi¨®n en la privacidad de los usuarios¡±
• Quedarse con lo justo y necesario. La entidad no debe recopilar m¨¢s de lo estrictamente necesario para cumplir su finalidad. ¡°En redes sociales sobre las que se aplica reconocimiento facial, aunque el interesado haya consentido expresamente este tratamiento para que se le etiquete autom¨¢ticamente en fotograf¨ªas, los datos biom¨¦tricos que no sean necesarios tras el etiquetado, como el nombre, alias o cualquier otro no necesario, deber¨ªan suprimirse y dejar de tratarse¡±.
• Nada de Di¨®genes. Debe garantizarse que el periodo de conservaci¨®n de los datos se limita al necesario para cumplir la finalidad. En el caso de una empresa que lo usa para controlar accesos, si un empleado deja de trabajar ah¨ª, sus datos deber¨¢n suprimirse de inmediato.
• Todo correcto. ¡°Los datos deben ser exactos y, en su caso, si fuera necesario actualizados, debiendo cumplir las medidas t¨¦cnicas y organizativas razonables para que se rectifiquen o supriman datos personales inexactos¡±, precisa Ruiz.
• Privacidad nativa. El tratamiento de datos debe dise?arse de forma preventiva, pensando desde el inicio en la privacidad, y convirtiendo esta un elemento esencial en los primeros pasos de definici¨®n y desarrollo de productos o servicios.

Cumplir todo lo anterior no agota las obligaciones de las empresas que se mueven en este novedoso sector. Es necesario tomar medidas para asegurar que el uso de estas tecnolog¨ªas no acabe volvi¨¦ndose en contra de los ciudadanos a causa de filtraciones de la informaci¨®n almacenada. ¡°Por ejemplo, con la reconstrucci¨®n de rasgos faciales biom¨¦tricos a trav¨¦s de plantillas de referencia que puedan ser usados con fines maliciosos¡±, precisa el experto. En este sentido es necesario establecer medidas de seguridad que limiten estos riesgos, como cifrados de la informaci¨®n recopilada y sistemas antisuplantaci¨®n que prevengan la suplantaci¨®n de identidad. ¡°Se debe tener especial atenci¨®n a los sesgos y circunstancias discriminatorias para personas sobre las que se aplica el reconocimiento facial y que pueden, por ejemplo, ser rechazadas por el sistema; deben introducirse garant¨ªas adecuadas, intervenciones humanas, soluciones o mecanismos que permitan al usuario la posibilidad de defender su punto de vista ante decisiones automatizadas¡±, a?ade Ruiz.

Y si¡­

Dicho todo esto, ?tenemos que ir por la calle desconfiando de cada c¨¢mara? No exactamente. ¡°La instalaci¨®n de videoc¨¢maras en lugares p¨²blicos, tanto fijas como m¨®viles, es competencia exclusiva de las Fuerzas y Cuerpos de Seguridad del Estado, rigi¨¦ndose el tratamiento por su legislaci¨®n espec¨ªfica, sin perjuicio de que les sea aplicable, en su caso, lo especialmente previsto en el RGPD en determinados aspectos¡±, matiza Ruiz. Esto no quita, que en determinadas situaciones pueda establecerse una colaboraci¨®n p¨²blico-privada en la que una empresa de reconocimiento facial preste sus servicios a la Administraci¨®n. ¡°Puede desarrollarse, por ejemplo, una obligaci¨®n legal que determine que en determinados niveles de alerta terrorista o por circunstancias concretas en infraestructuras cr¨ªticas puedan utilizarse tecnolog¨ªas biom¨¦tricas para garantizar la seguridad nacional¡±.

En este sentido, tampoco tenemos que preocuparnos demasiado por la posibilidad de que las grabaciones hechas en sistemas normales -que se limitan a registrar v¨ªdeo sin que haya procesamiento de la informaci¨®n almacenada en ellos- acaben en manos de terceros que puedan aplicar tecnolog¨ªas de reconocimiento facial. ¡°Estas comunicaciones de datos con origen en videovigilancia s¨®lo ser¨ªan posibles si existe una base legal para ello: por ejemplo, cuando sean requeridas por jueces y tribunales o cuando las Fuerzas y Cuerpos de Seguridad del Estado lo soliciten en aquellos supuestos en los que son necesarios. Por ejemplo, prevenci¨®n de delitos, seguridad p¨²blica, para investigaci¨®n o represi¨®n de infracciones penales¡±.

M¨¢s informaci¨®n

La fiabilidad del reconocimiento facial, en duda

Espa?a se apunta al reconocimiento facial y a la vigilancia con inteligencia artificial