Dudas legales en el reconocimiento facial instalado por Mercadona
Dudas legales en el reconocimiento facial instalado por Mercadona
- Mercadona ha anunciado la instalación de un sistema de reconocimiento facial para sus supermercados, creado para detectar personas con una «sentencia firme de orden de alejamiento del establecimiento en menos de 0,3 segundos»
Madrid, 03 de julio de 2020.-
¿Cuál es el marco legal del reconocimiento facial hoy día?
Lo cierto es que se trata de un tema que levanta muchas dudas a nivel jurídico. Debemos recordar que tras la aprobación y entrada en vigor del Reglamento general de protección de datos – de aplicación directa desde mayo de 2018 – el tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
- el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
- el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
- el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento
- el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
- el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
- el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.»
En otras palabras, el Reglamento contempla la obligatoriedad de que el usuario de su consentimiento para procesar sus datos personales. Cuando hablamos de reconocimiento facial, debemos entender hecha la referencia a datos biométricos. El reglamento los define como «datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos». Por si hubiera alguna duda, el apartado 1 del art.9 del citado texto legal dispone que «Queda prohibido el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física».
Según explican desde Mercadona, sistema «detecta, única y exclusivamente, la entrada de personas con sentencias firmes y medida cautelar de orden de alejamiento en vigor contra Mercadona o contra alguno de sus trabajadoras o trabajadores». Pero, ¿de dónde sacan imágenes para el reconocimiento facial?, ¿con qué consentimiento?, ¿no tienen las personas con una sentencia firme derecho a la privacidad?, ¿Por qué mantienen una base de datos de fotografías de gente?.
El sistema utilizado «realiza la identificación en tiempo real y borra inmediatamente toda la información, únicamente utilizando los resultados positivos para ponerse en contacto con las autoridades en caso de detección». Mercadona alega que no existe un tratamiento de datos. Por eso se refieren a 0,3 segundos. Resulta, cuanto menos, sorprendente que se amparen en la “rapidez”. Por muy rápido que sea, existe una violación de la privacidad. Tanto el argumento de la rapidez como el no tratamiento de datos caen por su propio peso.
Estamos claramente ante lo que la Unión Europea ha llamado «autenticación». En el Libro blanco sobre la inteligencia artificial de la Comisión Europea de 19 de febrero de 2020 se establece que «en lo que se refiere al reconocimiento facial, por «identificación» se entiende que la plantilla de la imagen facial de una persona se compara con otras muchas plantillas almacenadas en una base de datos para averiguar si su imagen está almacenada en ella. La «autenticación» (o «verificación»), por su parte, se refiere habitualmente a la búsqueda de correspondencias entre dos plantillas concretas. Permite la comparación de dos plantillas biométricas que, en principio, se supone que pertenecen a la misma persona; así, las dos plantillas se comparan para determinar si la persona de las dos imágenes es la misma. Este procedimiento se emplea, por ejemplo, en las puertas de control automatizado de fronteras empleadas en los controles fronterizos de los aeropuertos»
Se trata de una cuestión compleja. En palabras de la propia AEPD en su informe 36/2020, «atendiendo a la citada distinción, puede interpretarse que, de acuerdo con el artículo 4 del RGPD, el concepto de dato biométrico incluiría ambos supuestos, tanto la identificación como la verificación/autenticación. Sin embargo, y con carácter general, los datos biométricos únicamente tendrán la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno). No obstante, esta Agencia considera que se trata de una cuestión compleja, sometida a interpretación, respecto de la cual no se pueden extraer conclusiones generales, debiendo atenderse al caso concreto según los datos tratados, las técnicas empleadas para su tratamiento y la consiguiente injerencia en el derecho a la protección de datos, debiendo, en tanto en cuanto no se pronuncia al respecto el Comité Europeo de Protección de Datos o los órganos jurisdiccionales, adoptarse, en caso de duda, la interpretación más favorable para la protección de los derechos de los afectados.” En el presente caso, es indudable que la utilización de reconocimiento facial en los sistemas de videovigilancia empleados en el ámbito de la seguridad privada implicaría el tratamiento de un dato biométrico dirigido a identificar de una manera unívoca a una persona física, en un proceso de búsqueda de correspondencias uno-a-varios, constituyendo el tratamiento una categoría especial de datos cuyo tratamiento, en principio, se encuentra prohibido por el artículo 9.1. del RGPD
La Agencia Española de Protección de Datos en un informe de 28 de mayo de 2020 dejaba bastante claro el asunto, al concluir que
- Las técnicas de reconocimiento facial con fines de identificación biométrica suponen un tratamiento de categorías especiales de datos para los que el Reglamento exige garantías reforzadas
- Para tratar categorías especiales de datos con estos fines, la normativa requiere que exista un “interés público esencial” recogido en una norma con rango de ley que no existe actualmente en el ordenamiento jurídico
- La Agencia rechaza que la legitimación reconocida para los sistemas de videovigilancia que sólo captan y graban imágenes y sonidos pueda abarcar tecnologías como el reconocimiento facial, de la forma de andar o de la voz
Como acertadamente dictamina la Agencia Española de Protección de Datos en el citado informe, para que el reconocimiento facial pudiera tener un mejor amparo legal necesitaría de una ley específica. No existe hoy día norma alguna en nuestro ordenamiento jurídico relativa al reconocimiento facial.
La existencia de un interés público no legitima cualquier tipo de tratamiento de datos personales, sino que deberá estarse, en primer lugar, a las condiciones que haya podido establecer el legislador, tal como prevé el propio artículo 6 del RGPD, en sus apartados 2 y 3, así como a los ya citados principios del artículo 5 del RGPD, especialmente a los de limitación de la finalidad y minimización de datos. Y en el caso de que vayan a ser objeto de tratamiento alguno o algunos de los datos personales incluidos en las categorías especiales de datos a los que se refiere el artículo 9.1. del RGPD, que concurra alguna de las circunstancias contempladas en su apartado 2 que levante la prohibición de tratamiento de dichos datos, establecida con carácter general en su apartado 1. Por consiguiente, el empleo de tecnologías de reconocimiento facial en los sistemas de videovigilancia implica el tratamiento de datos biométricos, tal y como los define el artículo 4.14 del RGPD y supone el tratamiento de categorías especiales de datos reguladas en el artículo 9 del RGPD, al tratarse de “datos biométricos dirigidos a identificar de manera unívoca a una persona física”. No estamos ante una simple autentificación, sino ante una identificación, por lo que requiere una doble legitimación.
Si bien el artículo 48 del Código Penal establece «la privación del derecho a residir en determinados lugares o acudir a ellos impide al penado residir o acudir al lugar en que haya cometido el delito» y que «el juez o tribunal podrá acordar que el control de estas medidas se realice a través de aquellos medios electrónicos que lo permitan»; esto se produciría asegurando los derechos fundamentales del condenado, es decir, siempre que este hubiera dado su consentimiento. Debemos recordar que los condenados gozan de todos los derechos fundamentales reconocidos en la Constitución, a excepción de los que se vean expresamente limitados por el contenido del fallo condenatorio, el sentido de la pena y la ley penitenciaria.
Más allá de la protección de datos
Más allá de la protección de datos, se podría entrar en otras cuestiones propias de la orden de alejamiento. Detrás del formalismo de una orden de alejamiento, hay muchas cuestiones que se deben tener en cuenta para que se cometa el delito, tales como la notificación y requerimiento previo y expreso al condenado, y la vigencia en dicho momento de la orden de alejamiento. Se trata de cuestiones que harto complejo pueda conocer un tercero con seguridad.
Hace un par de días se conocía la noticia del primer caso de un hombre acusado erróneamente por el reconocimiento facial. El detenido pasó más de treinta horas por el error de un algoritmo. La tecnología identificó al detenido gracias a cargar las imágenes de las cámaras de vigilancia. El sistema dio información relevante. Pero resultó un falso positivo. Algo que se produce muy habitualmente por la existencia de sesgos entre personas negras. A pesar de no ser culpable, tuvo que pasar varias horas hasta que fue liberado tras pagar una fianza de 1.000 dólares. Estudios recientes realizados por el MIT y el Instituto Nacional de Estándares y Tecnología (NIST) han encontrado que sesgos e imprecisiones entre personas de color oscuro.
Amazon también ha prohibido a la policía de Estados Unidos usar el reconocimiento facial. El gigante del comercio electrónico pide una regulación más estricta para que se utilice esta tecnología cuestionada por sus fallos y sesgos de manera ética
No todo vale en materia de Derechos Fundamentales. Estas tecnologías pueden ser realmente intrusivas y requieren de un debate ético y jurídico sosegado, toda vez que pueden tener efectos muy adversos en los valores fundamentales y la integridad humana.