AD 176/2021
CLAVES Y RETOS EN EL USO DE DATOS BIOMÉTRICOS
RESUMEN: La Agencia Española de Protección de Datos (AEPD) durante el año 2021 ha publicado diversos informes, y ha emitido varias resoluciones sancionadoras, en las que analiza diversos proyectos que implican el uso de datos biométricos como el reconocimiento facial. Se abordan a continuación los aspectos claves, que han merecido el reproche de la AEPD, a tener en cuenta en este tipo de proyectos, dado el alto riesgo que implica el uso de estos datos para las personas (por ejemplo, pérdida de control de los datos, potenciales brechas de seguridad sobre los mismos o perfilado o seguimiento continuo de las personas con el consiguiente riesgo de discriminación o estigmatización).
ABSTRACT: The Spanish Data Protection Agency (AEPD) during the year 2021 has published several reports, and has issued several sanctioning resolutions, in which it analyzes various projects involving the use of biometric data, such as facial recognition. The key elements to be taken into account in this type of projects, given the high risk that the use of this data implies for individuals (for example, loss of control of the data, potential security breaches or profiling or continuous monitoring of individuals with the consequent risk of discrimination or stigmatization), are discussed below.
PALABRAS CLAVE: protección de datos, privacidad, RGPD, AEPD, datos biométricos, reconocimiento facial.
KEYWORDS: data protection, privacy, GDPR, AEPD, biometric data, facial recognition.
SUMARIO: 1. INTRODUCCIÓN. 2. ANÁLISIS JURÍDICO DE LAS RESOLUCIONES DE LA AEPD SOBRE USO DE BIOMETRIA. 2.1. Base jurídica para el tratamiento de categorías especiales de datos. 2.2. Juicio de proporcionalidad de la medida. 2.3. Evaluación de los riesgos asociados y aplicación de garantías adecuadas. 3. CONCLUSIONES.
1.- INTRODUCCIÓN
El 2 de noviembre de 2021 la empresa matriz de Facebook, Meta Platforms Inc. anunció[1] que en las próximas semanas cerrará su sistema de reconocimiento facial como parte de una estrategia de la entidad para limitar el uso de reconocimiento facial en sus productos. La empresa citó la necesidad de «sopesar los casos de uso positivo del reconocimiento facial frente a las crecientes preocupaciones de la sociedad, especialmente porque los reguladores aún no han proporcionado normas claras».
Y es que Facebook ha venido utilizado durante mucho tiempo el reconocimiento facial de más de mil millones de personas para ofrecer recomendaciones sobre a quién etiquetar en fotos y vídeos, y para avisar a los usuarios cuando una foto en la que aparecían era subida por otro usuario. Como consecuencia de esta decisión, la compañía borrará las plantillas de reconocimiento facial de los usuarios que previamente habían activado el ajuste de reconocimiento facial, y ya no los identificará automáticamente en recuerdos, fotos y vídeos, incluso en las descripciones automáticas de texto alternativo generadas para proporcionar descripciones de imágenes a personas ciegas o con problemas de visión. Los usuarios tampoco verán las etiquetas sugeridas ni podrán activar el etiquetado sugerido.
La empresa ha reconocido que el reconocimiento facial puede seguir siendo útil en determinados casos, como la verificación de la identidad y la prevención del fraude, que garanticen “la privacidad, el control y la transparencia”.
En relación con esto último, no cabe duda que el uso de biometría -facial, dactiloscópica, ocular, etc- está proliferando en la actualidad en diversos ámbitos -banca electrónica, e-government, etc.- como medio para la identificación, autenticación o verificación de identidad de usuarios digitales, junto con otros factores de autenticación (como atributos que solo el usuario conoce -como puede ser una contraseña o un código PIN- o que solo el usuario posee -por ejemplo, un código de un solo uso que se envíe al teléfono móvil-). También se está utilizando cada vez más la huella dactilar como autenticador en el ámbito laboral.
El uso de datos biométricos con estas finalidades preocupa a las autoridades de control, nacional y europeas, dados los riesgos que conlleva para los derechos y libertades fundamentales de las personas físicas. Muestra de ello, la Agencia de Protección de Datos (en adelante, “AEPD”) ha publicado diversos informes[2], y ha emitido varias resoluciones sancionadoras[3], durante este año 2021, en las que analiza desde el punto de vista de protección de datos diversos proyectos que implican el uso de datos biométricos y que nos dan pistas sobre los aspectos claves para tener en cuenta en este tipo de proyectos.
A continuación, se destacarán cuáles son estos aspectos claves o riesgos para la privacidad que pueden tener los casos de usos actuales que implican el uso de datos biométricos, definidos por el Reglamento general de protección de datos (en adelante, “RGPD”) como “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.
2.- ANÁLISIS JURÍDICO DE LAS RESOLUCIONES DE LA AEPD SOBRE USO DE BIOMETRIA
2.1.- Base jurídica para el tratamiento de categorías especiales de datos
La AEPD, en todas las resoluciones o informes objeto de estudio, analiza las bases de legitimación del tratamiento alegadas por las entidades sancionadas o consultantes para poder tratar datos biométricos, esto es, datos personales especialmente protegidos por la normativa aplicable, y ello en aras de verificar su adecuación a lo dispuesto en los artículos 9 y 6 del RGPD, considerandos concordantes[4], así como el artículo 6 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, “LOPDGDD”).
En primer lugar, en la resolución por la que se impone una sanción de 2.520.000 euros a Mercadona[5], cabe recordar que esta entidad procedió a la implementación de un Sistema de Detección Anticipada utilizando la tecnología de reconocimiento facial en sus tiendas con la finalidad de “dar cumplimiento a las resoluciones judiciales en las que se hubiera condenado al denunciado con una orden de alejamiento, como consecuencia de hechos que tengan relación con las instalaciones, bienes o trabajadores de Mercadona, en determinadas circunstancias especiales y siempre que así lo establezca una resolución judicial firme” y ello motivado, según la entidad, por el riesgo derivado de la comisión de hechos delictivos, con su correspondiente riesgo para sus clientes y empleados debido a la gran cantidad de delitos que se comenten en sus más de 1.600 centros distribuidos en toda la geografía española, contra sus empleados o bienes.
El proceso de reconocimiento facial consistía en comparar una muestra biométrica dubitada, obtenida a través de una o varias imágenes de una persona, frente a una base de datos de muestras biométricas ya asociadas de forma indubitada a la identidad de una persona, que habían sido registradas previamente a través de una o varias fotografías (obtenidas de los procedimientos penales). Para ello, las muestras biométricas dubitadas eran transformadas en patrones. Posteriormente, a través del reconocimiento facial, las muestras biométricas eran comparadas con la plantilla indubitada guardada previamente, a través de cálculos algorítmicos que se evaluaban con base en umbrales de coincidencia previamente establecidos.
Dicho sistema implicaba el tratamiento de datos biométricos dirigidos a identificar de manera inequívoca a una persona física (reconocimiento facial) y, para ello, Mercadona alegó como base jurídica para el tratamiento de estos datos el artículo 9.2.f) del RGPD, que establece que:
“2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes: (…)
f) el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial; (…)”
Y ello en conexión con las resoluciones judiciales que obtiene la entidad en las que se condena al denunciado con una orden de alejamiento, como consecuencia de hechos que tengan relación con las instalaciones, bienes o trabajadores de Mercadona, y que permiten la implantación de la medida de seguridad consistente en el reconocimiento facial solicitada por Mercadona para identificar a los condenados cuando accedieran a sus instalaciones, quebrantando dicha orden de alejamiento.
La AEPD concluye que no procede aplicar dicha circunstancia que levantaría la prohibición del tratamiento de categorías especiales de datos (art. 9.1 RGPD), por lo que el tratamiento se encuentra prohibido. Y ello por cuanto considera que la entidad interpreta de forma unilateral el alcance de la resolución judicial y la utiliza a los efectos de justificar que ostenta legitimación no sólo para tratamiento de los datos de los condenados por sentencia judicial, sino también para el resto de los ciudadanos afectados por el sistema cuando acceden a los supermercados – que la mercantil engloba bajo el nombre de “no condenados”-. Por tanto, no sería una base jurídica para el tratamiento válida respecto a los clientes que acudan a sus instalaciones ni respecto a sus empleados cuyos datos biométricos son objeto de tratamiento; si para los datos biométricos relativos a las personas condenadas en una sentencia concreta, pero con el alcance expreso en la misma y en relación con las concretas medidas de seguridad impuestas, respecto de las personas mencionadas en ella, y para un ámbito territorial (un territorio, o uno o varios supermercados) y temporal limitado.
Por su parte, Mercadona alegó también como base jurídica para el tratamiento de estos datos sensibles el artículo 9.2.g) del RGPD, que establece lo siguiente:
“2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes: (…)
g) el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;(…)”
Sin embargo, se concluye que con el tratamiento no se está protegiendo el interés público sino los intereses privados o particulares de la mercantil responsable del tratamiento. Además, la AEPD declara que una cosa es que la adopción de una medida de seguridad pueda tener efectos beneficiosos en la sociedad “y otra cosa es que la preponderancia del interés público legitime el tratamiento de los datos personales del resto los ciudadanos, de tal forma que todos los ciudadanos sean tratados como condenados, siendo sometidos al mismo tratamiento que aquel sujeto al que se le ha impuesto la medida de seguridad.”
Igualmente, recuerda la AEPD que esta base de legitimación requiere que el interés público invocado sea “esencial”, habida cuenta de la importancia y necesidad de mayor protección de los datos tratados, y que sea el legislador (nacional o europeo) quien determine cuándo concurre ese bien o derecho que justifica la restricción del derecho a la protección de datos personales, en qué circunstancias puede limitarse y bajo qué garantías.
En este sentido, la entidad sancionada llega a alegar la aplicación de la LOPDGDD y la Ley de Seguridad Privada para los tratamientos de videovigilancia. Sin embargo la AEPD establece que éstas se refieren exclusivamente a los tratamientos dirigidos a captar y grabar imágenes y sonidos, pero no incluyen los tratamientos de reconocimiento facial, que es un tratamiento radicalmente distinto al incorporar un dato biométrico. Y recuerda el criterio del Grupo de Trabajo del artículo 29[6] (actualmente, Comité Europeo de Protección de Datos o “CEPD” o “EDPB”, por sus siglas en inglés), en el que se expone la diferencia entre los sistemas de videovigilancia convencionales y el reconocimiento facial, indicándose asimismo un conjunto variopinto de riesgos importantes y significativos como el de discriminación, como el hecho de que el tratamiento pueda realizarse sin conocimiento del interesado, la posible generalización de su uso y los errores que pueden producirse.
Como ya estableció en un informe anterior[7], la AEPD reitera que “la regulación actual se considera insuficiente para permitir la utilización de técnicas de reconocimiento facial en sistemas de videovigilancia empleados por la seguridad privada (…) siendo necesario que se aprobara una norma con rango de ley que justificara específicamente en qué medida y en qué supuestos, la utilización de dichos sistemas respondería a un interés público esencial, definiendo dicha norma legal, previa ponderación por el legislador de los intereses en pugna atendiendo al principio de proporcionalidad, todos y cada uno de los presupuestos materiales de la medida limitadora mediante reglas precisas, que hagan previsible al interesado la imposición de tal limitación y sus consecuencias, y estableciendo las garantías técnicas, organizativas y procedimentales adecuadas, que prevengan los riesgos de distinta probabilidad y gravedad y mitiguen sus efectos”.
Por su parte, más recientemente, se ha publicado por parte de la AEPD un Informe Jurídico[8], en el que se analiza un proyecto de uso del reconocimiento facial por parte de una entidad financiera en el momento del alta de clientes en la oficina o a través de un canal online, con el objetivo de verificar su identidad y, de esta forma, realizar la verificación prevista en la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo (en adelante, “PBC/FT”) para los sujetos obligados, así como del control del fraude.
La consulta planteada por la entidad financiera, y el informe emitido por la AEPD, versan sobre las bases jurídicas para dicho tratamiento de datos biométricos.
En primer lugar, se plantea en la consulta si se puede considerar como base jurídica para el tratamiento de datos biométricos, sin el consentimiento del afectado, el art. 9.2.g) del RGPD, esto es, si el tratamiento es necesario para por una misión de interés público cómo es la prevención del blanqueo de capitales y la financiación del terrorismo. Para ello, la AEPD recuerda los criterios analizados para que pueda ser aplicable el interés público, es decir, este interés debe ser esencial, debe estar previsto en una norma de derecho europeo o nacional (con rango de ley), y especificar dicha norma el interés público esencial que justifica la restricción del derecho a la protección de datos personales, en qué circunstancias puede limitarse, sin que sea suficiente la invocación genérica de un interés público. Además, éste debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado. Y, a continuación, procede la AEPD a analizar si, en el presente caso, concurren los referidos presupuestos que implicarían el levantamiento de la prohibición de tratamiento de datos biométricos.
Como conclusión de este análisis, la AEPD considera que la regulación en materia de PBC-FT no cumple con los requisitos establecidos en el artículo 9.2.g), ya que el legislador no ha previsto el uso de datos biométricos como una medida proporcional para la identificación de las personas físicas, ni ha establecido las garantías específicas y adecuadas que se derivan de los mayores riesgos que implica el tratamiento de dichos datos. En consecuencia, la AEPD emite un informe desfavorable a la tramitación del proyecto.
2.2.- Juicio de proporcionalidad de la medida
En segundo lugar, la AEPD analiza y pondera la utilidad, necesidad y carácter proporcionado de las medidas que implican el tratamiento de datos biométricos (juicio de proporcionalidad). Esto es, si la medida (implantación de un sistema que implica el tratamiento de datos biométricos) resulta idónea, en el sentido de conseguir el objetivo propuesto; necesaria, en el sentido de que no exista otra medida más moderada para la consecución del propósito perseguido con igual eficacia; y proporcionada para el fin claro y necesario perseguido (por ejemplo, en el caso de Mercadona, garantizar la seguridad de los clientes y trabajadores que están a su servicio) y, en particular, si, en el caso concreto, la pérdida de intimidad resultante es proporcional a los beneficios esperados y si es posible lograr el objetivo sin recoger estos datos de carácter sensible.[9]
Siguiendo con el caso de Mercadona, la AEPD reprocha que la interpretación extensiva y unilateral que realiza de las sentencias penales que obtiene sería contraria a los principios de necesidad, proporcionalidad y minimización que señala el RGPD (artículos 5.1.c), 25, 35.7.a) y considerandos 4, 156 y 170). Y ello por cuanto su extensión al tratamiento masivo e indiscriminado de datos biométricos de la totalidad de ciudadanos no condenados afectados por el sistema (incluidos menores), sería no necesaria, al poderse establecerse otros medios menos invasivos en los derechos y libertades de clientes y empleados. La medida implantada podría ser eficaz, pero de ninguna manera necesaria y, en consecuencia, dicho tratamiento deviene desproporcionado e, por tanto, ilícito.
En este sentido, recuerda la AEPD que en las “Guidelines on Facial Recognition”, de enero de 2021 del “Consultative Committee of the Convention for the protection of Individuals with Regard to Automatic Processing of Personal Data Convention 108”, se afirma que las entidades privadas no pueden desarrollar sistemas de reconocimiento facial en ambientes incontrolados como centros comerciales, especialmente para identificar personas de interés para finalidades de seguridad, salvo que así lo establezca una Ley.
En este mismo sentido, se manifiesta el Supervisor Europeo de Protección de Datos (en adelante, SEPD”)[10], según el cual este tipo de tratamientos mediante reconocimiento facial debe ser “demostrablemente necesario”, esto es, objetivamente necesario y que no existan otros medios alternativos menos intrusivos mediante los cuales se obtenga el mismo objetivo y señala expresamente que “la eficiencia y conveniencia no constituyen suficiente justificación”.
Por último, la AEPD considera, a mayor abundamiento, que los condenados podrían burlar con facilidad el sistema de reconocimiento facial con una simple máscara[11], con lo que, el sistema implantando, además, no sería ni útil ni efectivo para la finalidad pretendida por el supermercado.
Por su parte, la AEPD en una reciente resolución[12], en la que analiza la implementación de un sistema de control presencial de los trabajadores a través de un sistema biométrico de huella digital en las dependencias de la empresa, mediante terminales que incorporan lectores para la captura de la huella dactilar de cada empleado, con la finalidad de control horario o de jornada, lo primero que reprocha es la falta de acreditación de la necesidad del tratamiento de datos a través del registro de huellas y proporcionalidad de la medida, en este caso, para el cumplimiento de la obligación legal del registro de jornada.
La AEPD considera que pueden existir sistemas alternativos al utilizado que cumplan con los principios de proporcionalidad, necesidad y minimización en el tratamiento de datos, reprochando que la entidad responsable del tratamiento no explique porque es necesario y preferible el sistema de identificación al de verificación y ello por cuanto para poder utilizar este sistema, de acuerdo con lo dispuesto en el RGPD, las empresas u organizaciones necesitan demostrar altos niveles de responsabilidad proactiva y diseño por defecto de protección de datos desde antes del tratamiento, incluyendo el hecho de ser capaces de justificar que el sistema utilizado es necesario, proporcionado en cada contexto específico en el que se va a implementar y acreditar que medidas técnicas menos intrusivas no existen o no funcionarían.
Igualmente, la AEPD, en el informe emitido a petición de la entidad financiera en el marco de un proyecto de identificación a través de reconocimiento facial a los efectos de la Ley PBC-FT, concluye que el sistema propuesto no cumpliría con los requisitos de proporcionalidad exigidos por el Tribunal Constitucional, ya que, si bien puede considerarse idóneo para la finalidad propuesta (cumplimiento normativa PBC-FT), el mismo no es necesario, al existir medidas alternativas menos intrusivas, ni es estrictamente proporcional, teniendo en cuenta que se pretende su aplicación masiva e indiscriminada para todos los clientes de la entidad bancaria, y que en caso de generalizarse implicaría un tratamiento masivo de categorías especiales de datos que alcanzaría a la práctica totalidad de la población, independientemente del nivel de riesgo que represente desde la perspectiva de la prevención del blanqueo de capitales y la financiación del terrorismo, convirtiéndose la excepción de la posibilidad de tratamiento de datos biométricos en la regla general, en contra de lo pretendido por el RGPD.
2.3.- Evaluación de los riesgos asociados y aplicación de garantías adecuadas
Si se supera el anterior juicio de proporcionalidad (punto 2.2) y se identifican las bases legales aplicables (punto 2.1 anterior), a partir de ahí deberán adoptarse las medidas y garantías adecuadas necesarias para garantizar el derecho a la protección de datos. En este sentido, el considerando 52 establece, respecto a la prohibición del tratamiento de categorías especiales de datos personales, “siempre que se den las garantías adecuadas”.
Entre estas garantías adecuadas, encontramos la evaluación y documentación, previamente al tratamiento, de los riesgos que concurran, lo que, en los casos presentes, supone la realización de una Evaluación de Impacto en Protección de Datos (en adelante, “EIPD” o “PIA” por sus siglas en inglés) [13], dado el alto riesgo que implica el uso de estos datos biométricos para las personas (por ejemplo, por el referido riesgo de discriminación, o estigmatización, pérdida de control de los datos, potenciales brechas de seguridad sobre los mismos o perfilado o seguimiento continuo de las personas).
En este sentido, es importante analizar la distinción que realiza la AEPD, siguiendo el criterio del EDPB[14] y del Libro blanco sobre la inteligencia artificial de la Comisión Europea, diferenciando entre identificación biométrica y verificación/autenticación biométrica:
- Identificación biométrica: la identificación de un individuo por un sistema biométrico es normalmente el proceso de comparar sus datos biométricos (adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos (es decir, un proceso de búsqueda de correspondencias uno-a-varios).
Por tanto, por identificación se entiende que la plantilla de la imagen facial de una persona se compara con otras muchas plantillas almacenadas en una base de datos para averiguar si su imagen está almacenada en ella.
- Verificación/autenticación biométrica: la verificación de un individuo por un sistema biométrico es normalmente el proceso de comparación entre sus datos biométricos (adquiridos en el momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo (es decir, un proceso de búsqueda de correspondencias uno-a-uno).
Por tanto, por autenticación o verificación se entiende la búsqueda de correspondencias entre dos plantillas concretas. Permite la comparación de dos plantillas biométricas que, en principio, se supone que pertenecen a la misma persona; así, las dos plantillas se comparan para determinar si la persona de las dos imágenes es la misma.
Atendiendo a la citada distinción, la AEPD interpreta que, de acuerdo con el artículo 4 del RGPD, el concepto de dato biométrico incluiría ambos supuestos, tanto la identificación como la verificación/autenticación; sin embargo, y con carácter general, los datos biométricos únicamente tendrán la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno).
Sin perjuicio de ello, la AEPD considera que se trata de una cuestión compleja, sometida a interpretación, respecto de la cual no se pueden extraer conclusiones generales, debiendo atenderse al caso concreto, debiendo, en tanto en cuanto no se pronuncie al respecto el CEPD o los órganos jurisdiccionales, adoptarse, en caso de duda, la interpretación más favorable para la protección de los derechos de los afectados.
En todo caso, esta diferenciación es particularmente importante, porque, en principio, en sistemas de identificación biométrica (uno-a-varios) el potencial impacto de las amenazas concurrentes es mucho mayor.
En el proyecto planteado por la entidad financiera ante la AEPD, ésta considera que nos encontramos ante un sistema de identificación biométrica (uno-a-varios) y, por tanto, que se tratan datos biométricos que tienen la consideración de datos sensibles, especialmente protegidos por la norma, sujeto a la regla general de prohibición del tratamiento de los mismos (art. 9.1. RGPD).
Esta misma conclusión alcanzó la AEPD en el informe 36/2020, en el que analiza un supuesto análogo, en el que lo que se pretendía era la identificación mediante el reconocimiento facial de los alumnos que realizaban los exámenes en la modalidad online, al objeto de verificar su identidad y evitar supuestos de suplantación.
En el caso de Mercadona, la AEPD concluye que Mercadona realiza un tratamiento de datos personales de datos biométricos, de cualquier persona que entre en el supermercado, con la finalidad de identificar unívocamente a una persona concreta entre varias (uno-a-varios), pues el tratamiento se produce en relación con la identificación de los condenados penales con imposición de medida de seguridad, consecuencia de la orden de alejamiento impuesta a aquellos en una sentencia penal.
En este último caso, si bien la cadena de supermercados habría llevado a cabo una EIPD, la AEPD reprocha que en la misma no se han considerado todas aquellas cuestiones relacionadas con la privacidad de los sujetos afectados, tales como el principio de exactitud. En este sentido, en el caso de Mercadona, nos encontramos con un riesgo a largo plazo de discriminación de una persona condenada penalmente (incluso después de que haya cumplido la condena y estén cancelados los antecedentes) que se siga identificando como en situación de alejamiento de los supermercados.
En consecuencia, a la vista de deficiencias en la elaboración de la EIPD, la AEPD invalida de facto la EIPD realizada, dada la falta de conocimiento de los posibles impactos del tratamiento de datos implantado sobre las libertades y derechos de los afectados y, en consecuencia, de la ausencia de medidas correctoras que lo minimicen, lo que, en todo caso, supone una infracción de lo dispuesto en el artículo 35 del RGPD.
Igualmente, en la resolución de la AEPD en la que analiza la implementación de un sistema de control presencial de los trabajadores a través de un sistema biométrico de huella digital con la finalidad de control horario o de jornada, la AEPD recuerda la necesidad, antes de su inicio, de “realizar una prueba de las medidas que deben adoptarse para garantizar que las violaciones de los derechos a la vida privada y al secreto de las comunicaciones se limiten al mínimo. Esto puede formar parte de una evaluación de impacto relativa a la protección de datos (EIPD)”.
En este caso, la AEPD imputa a la empresa reclamada que, tratando datos de carácter personal de categoría especial, y existiendo la obligación de disponer de una EIPD, incumplió el artículo 35 del RGPD, al no existir evidencias de la realización de la evaluación de impacto de protección de datos.
En este sentido, se debe recordar que la AEPD ha publicado una lista orientativa de tipos de tratamiento que requieren una EIPD, según la cual, si el tratamiento cumple con dos o más criterios de la lista, el tratamiento entraña probablemente un alto riesgo a efectos del RGPD, encontrándose en dicho listado:
“4. Tratamientos que impliquen el uso de categorías especiales de datos a las que
se refiere el artículo 9.1 del RGPD, datos relativos a condenas o infracciones penales a los que se refiere el artículo 10 del RGPD o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.
- Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física. (…)”
Por su parte, entre las garantías adecuadas a aplicar en este tipo de proyectos, además de la evaluación de riesgos y la realización de una EIPD, destaca la AEPD las siguientes:
A) El principio de transparencia, esto es, la información que se suministra convenientemente a los interesados afectados.
En el caso de Mercadona, sin perjuicio de que el tratamiento haya sido considerado ilícito, la AEPD entra a valorar la cartelería informativa y política de privacidad utilizadas por la entidad para informar de actividad de tratamiento de alto riesgo, concluyendo la AEPD que no son acordes con el principio de transparencia, establecido en los artículos 5, 12, 13 y 14 del RGPD, así como 11 de la LOPDGDD.
Reprocha que la información suministrada en la cartelería de los supermercados es la misma, sin indicar específicamente en cuál de ellos está activado el sistema o si por el simple hecho de colgar el cartel se encuentra activado, ni durante cuánto tiempo está activado (duración de la medida de seguridad), ni se explicita la finalidad concreta.
B) Protección de los datos por diseño y por defecto, esto es, la aplicación de medidas técnicas y organizativas apropiadas, teniendo en cuenta lo riesgos que entraña el tratamiento. Entre estas medidas se encontrarán las tendentes a mantener la información personal restringida, sin que pueda ser revelada a terceros.
En este punto, cabe mencionar los riesgos derivados de los errores de identificación, teniendo en cuenta la incipiente tecnología y la escasa ratificación de los sistemas de inteligencia artificial aplicada, lo que provocaría un riesgo de discriminación y exclusión social inaceptable.
En este sentido, la AEPD[15] establece que “está demostrado que el parecido biométrico entre hermanos o familiares ha confundido a sistemas biométricos. En particular, la identidad de patrones biométricos para la identificación de hermanos gemelos más allá del reconocimiento facial es un campo de estudio. Es más, las condiciones medioambientales en entornos no controlados (i.e., reconocimiento facial en espacios públicos, el uso de con pintura facial o máscaras antivirales) provoca el aumento de la tasa de error y por tanto que la confusión sea más probable.
C) El principio de minimización de datos, que requiere que los datos personales sean “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados” (artículo 5.1.c) del RGPD).
En este punto, en el informe emitido por la AEPD tras la consulta realizada por la entidad bancaria, la AEPD señala que en una sociedad altamente bancarizada la propuesta del tratamiento de datos de reconocimiento facial prevista en el proyecto implicaría el tratamiento a gran escala de categorías especiales de datos sujetos a un régimen reforzado de garantías. Además, este tratamiento masivo de datos afectaría en su mayor parte a clientes respecto de los que no serán de aplicación las medidas específicas de diligencia previstas en dicha norma, al aplicarse indiscriminadamente a todos los clientes o potenciales clientes independientemente del riesgo existente. Finalmente recuerda la AEPD que ni siquiera las Fuerzas y Cuerpos de Seguridad del Estado disponen de información de datos identificativos a gran escala basado en datos biométricos de reconocimiento facial contemplada en el proyecto.
3.- CONCLUSIONES
Estamos asistiendo a una proliferación de la identificación de los individuos a través de atributos biométricos (huella dactilar, rostro, iris, patrones que tengan que ver con nuestra biometría, etc), lo que implica algunos retos en privacidad.
En efecto, el uso de sistemas de identificación/autenticación basados en biometría conlleva una serie de amenazas. En este sentido, a efectos ilustrativos, y a diferencia de los procesos basados en contraseñas o certificados, la identificación/autenticación biométrica no es tan fiable como pudiera parecer, pues se basa en probabilidades y, por tanto, no es 100% precisa. Igualmente, estos sistemas se pueden burlar fácilmente, por ejemplo, mediante el uso de máscaras o reproducciones de la huella dactilar. Por su parte, en caso de que estos atributos biométricos se vean comprometidos (piénsese que se produce una brecha de la confidencialidad de los datos biométricos almacenados en una base de datos), no pueden cambiarse, como si podría hacerse en caso de que el identificador fuera una contraseña. Ello implicaría un potencial acceso por el atacante en el resto de servicios y/o aplicaciones que utilicen los datos biométricos comprometidos.[16]
De ahí que, de conformidad con todo lo expuesto a lo largo del presente estudio, para la implantación de este tipo de proyectos que implican el uso de datos biométricos sea de suma importancia la realización de EIPD exhaustivas, adecuadas y completas, en las que se analicen no solo la totalidad de riesgos y amenazas para el derecho fundamental a la protección de datos personales, sino también la legitimación y proporcionalidad de la medida, así como se determinen las garantías adecuadas y/o las medidas correctoras para mitigar los riesgos detectados.
Mireia Paricio Zaragozá
1 de diciembre de 2021
Mireia Paricio Zaragozá
Abogada del área de Tecnología, Innovación y Economía Digital
Ceca Magán Abogados
Graduada en Derecho y Máster de Acceso a la Abogacía por la Universitat de València. Cuenta con amplia experiencia asesorando en materia de protección de datos y nuevas tecnologías. Miembro del Colegio de Abogados de Madrid y actual Secretaria de la Junta Directiva de la Asociación Profesional Española de Privacidad (APEP).
[1] https://about.fb.com/news/2021/11/update-on-use-of-face-recognition/
[2] Entre otros, informes nº 0036/2020 (uso de técnicas de reconocimiento facial en la realización de pruebas de evaluación online) y nº 0047/2021 (tratamiento de datos de reconocimiento facial por entidad bancaria en el momento del alta de clientes en la oficina o a través de un canal online con el objetivo de verificar su identidad y así realizar las verificaciones oportunas previstas en la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo (PBC/FT), así como del control del fraude).
[3] Entre otras, resoluciones recaídas en procedimientos Nº PS/00120/2021 (caso Mercadona), y Nº: PS/00050/2021 (implementación de un sistema de control presencial de los trabajadores a través de un sistema biométrico de huella digital en las dependencias de la empresa).
[4] Considerandos 40 a 50 y 51 a 56 del RGPD.
[5] Procedimiento sancionador PS/00120/2021.
[6] En su Dictamen 3/2012 sobre la evolución de las tecnologías biométricas, adoptado el 27 de abril de 2012.
[7] En el Informe N/REF: 010308/2019.
[8] Informe N/REF: 0047/2021.
[9] En coherencia de la jurisprudencia del Tribunal Europeo de Derechos Humanos y de nuestro Tribunal Constitucional. Por todas, la STC 14/2003, de 28 de enero.
[10] Artículo “Facial Recognition: A solution in search of a problem?”, de 28 de octubre de 2019.
[11] Como se explica en la nota de la AEPD sobre los “14 equívocos con relación a la identificación y autenticación biométrica”.
[12] Resolución recaída en el procedimiento Nº: PS/00050/2021, que termina por pago voluntario de la parte reclamada de la sanción en la cuantía de 16.000 euros por una infracción del artículo 35 del RGPD.
[13] En coherencia con los considerandos 84 y 90 RGPD.
[14] En su Dictamen 3/2012 sobre la evolución de las tecnologías biométricas, adoptado el 27 de abril de 2012.
[15] En su nota sobre los “14 equívocos con relación a la identificación y autenticación biométrica”.
[16] Nota de la AEPD sobre los “14 equívocos con relación a la identificación y autenticación biométrica”.
