La Autoridad Sueca de Protección de Datos sería la primera en imponer una sanción en Europa por el uso de la tecnología de reconocimiento facial.
Según el Reglamento General de Protección de Datos (RGPD) los “datos biométricos son datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos” (Art. 4)
Tenemos que, los datos biométricos son aquellos que permiten la identificación de una persona a través de un tratamiento tecnológico en el que se recopila información sobre su aspecto físico, corporal y en algunos casos conductual. Estos datos se pueden recopilar a través de la huella digital, la imagen facial, geometría de la mano, reconocimiento del iris, la retina, la firma, la escritura, la voz, la forma de andar, etc. ¿Les parece familiar? Al parecer este tipo de tecnología se está incursionando en nuestra vida cotidiana sin darnos cuenta, por ejemplo es usada por Amazon, en los gimnasios, en los bancos, en las empresas y en las escuelas. Tal es el caso que nos ocupa, debido a que la Autoridad Sueca de Protección de Datos impuso una multa de casi 20.000 euros a una escuela sueca por el software utilizado como reconocimiento facial de 22 estudiantes de clase que permitió controlar su asistencia durante tres semanas, aunque esta iniciativa constituía un proyecto piloto que permitía ahorrar horas de trabajo y la automatización del registro de asistencia al parecer no les fue bien con el proyecto.
Si bien es cierto, la norma citada en su art. 9 prohíbe el tratamiento de datos personales que revelen los “datos biométricos dirigidos a identificar de manera unívoca a una persona física”, la misma también plantea diferentes excepciones en reglón seguido. Así que, según el Alto Tribunal la escuela violó la norma por tres importantes aspectos a tenerse en cuenta:
- La medida introducida por la escuela había supuesto una gran intrusión en la privacidad de los estudiantes, el uso de un sistema de reconocimiento facial era desproporcionado a la luz de la finalidad perseguida, que no era sino el control de la asistencia a clase, además que este tipo de situación debió consultarse previamente a la agencia para evaluar su implementación.
- El tratamiento de los datos carecían de base legal. Así, entiende que (i) el consentimiento obtenido no podía ser considerado como voluntario, tomando en consideración la posición de desigualdad entre la escuela y los estudiantes, y que (ii) la mejora de la gestión de los registros de asistencia tampoco podía considerarse como una medida necesaria para el interés público esencial, por lo que tampoco podría alzarse como base legítima suficiente para justificar tal tratamiento.
- La escuela no realizó ninguna evaluación de impacto relativa a la protección de datos, ni formuló ninguna consulta previa a la autoridad de control correspondiente.
Sea esta el inicio de un debate que permita poner medidas y evaluar a los riesgos para la privacidad que nos enfrentamos con el uso de las nuevas tecnologías.
Otro caso sobre incumplimiento de la protección de datos
El pasado mes de octubre, la Alcaldía de San Francisco prohibió el uso de la tecnología de reconocimiento facial a las agencias locales. Esta disposición abre el debate al parecer temprano de tratamiento de los datos biométricos.
“Esta no es una política antitecnológica. Se trata de poder exigir responsabilidades en torno a la tecnología de vigilancia, de garantizar que se hace un uso seguro de ella”, explicó durante el pleno el concejal promotor de la medida, Aaron Peskin, quien aseguró que “se puede tener seguridad sin convertirse en un estado policial”.