El avance de la tecnología ha provocado que cada vez sea más común la proliferación de técnicas de identificación mediante reconocimiento facial.
Sin embargo, se emplean datos biométricos relativos a características físicas, fisiológicas o conductuales especialmente sensibles. Por ello, se ha de llevar a cabo un análisis para atender al cumplimiento normativo en privacidad y protección de datos.
¿Qué es el reconocimiento facial?
La Agencia de Protección de Datos (AEPD) ha tenido oportunidad de definir en su Informe 36/2020 el reconocimiento facial. Se diferencia entre identificación biométrica y verificación/autenticación biométrica:
- Identificación biométrica: identificación de un individuo por su imagen facial comparando esta con otras muchas almacenadas en una base de datos.
- Verificación/autenticación biométrica: verificación de un individuo por imagen facial comparando esta con una única plantilla biométrica. En este caso, el proceso de búsqueda enlaza la imagen del individuo con otra sola imagen de este. El objetivo es enlazar la imagen facial captada solamente con otra almacenada, para ver si la persona de las dos imágenes es la misma.
¿Cuándo está legitimado el uso de este tipo de técnica?
El Reglamento (UE) 2016/679 (RGPD) determina en su art. 9 el tratamiento de datos de categoría especial. Entre estos, se encuentran los datos biométricos cuyo tratamiento está prohibido, exceptuando ciertos casos como:
- el consentimiento explícito del interesado,
- y (ii) que el tratamiento sea necesario por razones de interés público esencial.
Así, quitando los casos en los que el interesado preste su consentimiento, el reconocimiento fácil puede sustentarse sobre razones de interés público. La AEPD ha determinado que la identificación de los fines de interés público ha de ser proporcionado. Además, el tratamiento de datos biométricos debe estar previsto en una norma con rango de ley dado el art. 9.2 de la Ley 3/2018 (LOPDGDD).
Cuando el tratamiento esté justificado por razones de interés público, se debe salvaguardar en todo caso el derecho a la protección de datos aplicando medidas adecuadas y específicas para ello.
Reconocimiento facial para la prevención del blanqueo de capitales
Recientemente, la AEPD ha publicado el Informe 47/2021 que también versa sobre esta cuestión. En este caso, la consulta proviene de una empresa que pretendía implantar un sistema de reconocimiento facial. El proyecto consistía en que en el momento del alta de sus clientes se verificase su identidad para la prevención del blanqueo de capitales
Dicho tratamiento pretendía ampararse en la obligación de identificación que impone el art. 3 de la Ley 10/2010. Este, impone a los sujetos obligados a identificar a las personas física y jurídicas para la prevención del blanqueo de capitales. La identificación debe hacerse a través de diferentes documentos fehacientes que la norma menciona.
En este sentido, la norma no prevé el uso de datos biométricos para la identificación de personas físicas. No se produce, por tanto, el requisito de existencia de norma legal del art. 9.2.g) RGPD. Por ello, este tratamiento carece de base legitimadora y es contrario a los principios de necesidad, proporcionalidad y minimización.
Reconocimiento facial para la detección de clientes
La AP de Barcelona en su Auto 72/2021 de 15 de febrero también tuvo oportunidad de analizar el reconocimiento facial y la protección de datos. Específicamente, se denegaba a una importante cadena de supermercados la utilización de sistemas de reconocimiento facial para la detección de clientes. Se trataba de captar aquellos que tuviesen antecedentes de hurto y robo y prohibirles la entrada.
El Tribunal consideró que la medida era completamente desproporcionada, no siendo necesaria ni idónea. Además, esta respondía a un interés privado y no público, pues el fin era garantizar la seguridad de sus instalaciones.
En definitiva, la utilización de sistemas de reconocimiento facial debe ajustarse al cumplimiento normativo. Han de ponderarse la afectación a la protección de datos y la privacidad. Debe recabarse el consentimiento expreso de los interesados, o fundamentar el tratamiento en el interés público esencial. No obstante, en este último caso, ha de existir una norma de rango legal que lo habilite.
Desde UBT L&C, garantizamos a nuestros clientes la asistencia de abogados expertos en la materia, asesorando y supervisando periódicamente los distintos aspectos del cumplimiento normativo en materia de protección de datos.
Pablo Salas, Departamento de privacidad y protección de datos
- Multa por publicar imágenes sin consentimiento en un centro estético
- PBC en el fútbol: nuevas normativas
- Efectos de la economía colaborativa en servicios digitales
- Autoridades Independientes de Protección al Informante en España: estado actual y novedades
- Multa histórica a Uber: claves del caso
- Compliance en BCG: Caso FCPA