Wojciech Wiewiórowski, actualmente Supervisor Europeo de Protección de Datos, ha publicado un artículo esta semana con el que no puedo sino manifestar cierta discrepancia. El artículo completo aquí: https://edps.europa.eu/press-publications/press-news/blog/facial-recognition-solution-search-problem_en
Resaltaré sus afirmaciones y sobre ellas, mis comentarios.
Dice el Supervisor que “el reconocimiento facial, la aplicación biométrica utilizada para identificar o verificar la identidad de una persona, se ha vuelto cada vez más presente en muchos aspectos de la vida cotidiana. Se utiliza para etiquetar a personas en plataformas de redes sociales y para desbloquear teléfonos inteligentes… / … Ante la ausencia general de una regulación específica hasta el momento, las empresas privadas y los organismos públicos, tanto en las democracias como en los estados autoritarios, han estado adoptando esta tecnología para una variedad de usos. No hay consenso en la sociedad sobre la ética del reconocimiento facial, y las dudas sobre su cumplimiento de la ley y su sostenibilidad ética a largo plazo son cada vez mayores”.
¿Las dudas son cada vez mayores? Suscribiría esta afirmación si no fuese tan genérica. Dudas acerca de que el tratamiento de los datos biométricos se destine al control, seguimiento indiscriminado, vigilancia en zonas públicas, fronteras, etcétera..., puede. De acuerdo. Me apunto y defenderé siempre que ese tratamiento (uso) tiene que estar regulado, detallado, justificado y controlado. Ese es uno de los caballos de batalla con los que los Gobiernos habrán de lidiar. Para eso están.
Ahora bien, que la sociedad se halle dividida acerca del uso ético de los datos biométricos es más discutible. Continúa el Supervisor afirmando “La segunda justificación es el atractivo de evitar los esfuerzos físicos y mentales; (conveniencia). Algunas personas preferirían poder acceder a un área o servicio sin tener que presentar un documento”. Y otras no, añado.
En eso consiste la capacidad de decidir, vamos, lo que viene siendo la libertad. Hay quien prefiere ir personalmente al Banco y quien opera desde su casa. Hay quien trata con la Administración por medio del certificado de usuario y hay quien va en persona. Pero es que, además, las normas de protección de datos de la UE permiten el tratamiento de datos biométricos, relacionadas con las características físicas, fisiológicas o de comportamiento de una persona física, que permiten o confirman la identificación única de esa persona física (art. GDPR. 2 (14)). El GDPR generalmente prohíbe el procesamiento de datos biométricos para propósitos de identificación única a menos que uno pueda confiar en una de las diez exenciones enumeradas en el art. 9 (2). La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, va aún más allá cuando no considera suficiente el consentimiento del interesado en determinados supuestos de tratamiento, identificar ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.
“…responsabilidad y transparencia. El despliegue de esta tecnología hasta ahora ha estado marcado por la oscuridad. Básicamente, no sabemos cómo usan los datos quienes los recopilan, quién tiene acceso y a quién se envía, cuánto tiempo lo conservan, cómo se forma un perfil y quién es responsable al final de la decisión automatizada. Además, es casi imposible rastrear el origen de los datos de entrada; Los sistemas de reconocimiento facial se alimentan de numerosas imágenes recopiladas por Internet y las redes sociales sin nuestro permiso”.
Tras esta afirmación, Orwell se me antoja un simpático cascarrabias no más pesimista que el tímido de los hermanos Grimm. No seré yo quien cuestione la maldad intrínseca de las grandes corporaciones, pero de ahí a dar por supuesto que todo uso de datos ha de ser oscuro y con fines maquiavélicos, va un trecho.
“Finalmente, el cumplimiento de la tecnología con principios como la minimización de datos y la protección de datos por obligación de diseño es muy dudoso. La tecnología de reconocimiento facial nunca ha sido completamente precisa, y esto tiene graves consecuencias para las personas que se identifican falsamente, ya sea como delincuentes o de otra manera. El objetivo de la precisión implica una lógica que conduce irresistiblemente hacia una recopilación interminable de datos (confidenciales) para perfeccionar un algoritmo que en última instancia no es perfecto. De hecho, nunca habrá suficientes datos para eliminar el sesgo y el riesgo de falsos positivos o falsos negativos”.
De nuevo se cuestiona la capacidad de la tecnología para ir por delante de los retos que ésta misma plantea. ¿Porqué ha de ser dudoso que exista una completa trazabilidad de la información? Otra cosa es que haya quien no la realice, no la persiga o no le importe. Los prejuicios son malos siempre, pero también en el ámbito regulatorio y su consecuencia punitiva.
Continúa el Supervisor reflexionando sobre la ética de la privacidad en una sociedad democrática. Podemos estar de acuerdo o no. Personalmente me gustaría más que una sociedad democrática lo fuera, de verdad, en cuestiones básicas como vivienda, atención al desfavorecido, sanidad y tantas otras.
No estoy en total desacuerdo con lo siguiente: “El rostro de una persona es un elemento precioso y frágil, su identidad y sentido de singularidad. Cambiará de aspecto con el tiempo y podría elegir ocultarlo o cambiarlo cosméticamente, esa es su libertad básica. Convertir el rostro humano en otro objeto de medición y categorización mediante procesos automatizados controlados por empresas y gobiernos poderosos toca el derecho a la dignidad humana, incluso sin la amenaza de que un estado autoritario lo utilice como una herramienta para la opresión. Además, tiende a probarse en los más pobres y vulnerables de la sociedad, las minorías étnicas, los migrantes y los niños”. Sin embargo, vuelve a las afirmaciones netamente orwellianas. Que sí. Que hay malos, pero también hay quien estando a la vanguardia de la tecnología, la innovación y la mejora de hábitos de consumo, siente un profundo respeto por los derechos de quienes acceden a dichas mejoras y se preocupan de que estos no se vean conculcados.
Repasando los Análisis de Riesgos, las Evaluaciones de Impacto, la documentación por medio de la que se informa al interesado de qué, porqué, cómo, por quién, cuándo, qué límites, si se transfieren o no, y de cómo desistir acerca de los datos personales que se tratan, repasando las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo que entrañe el tratamiento, teniendo en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, alcance, contexto y fines del tratamiento, no olvidando los riesgos acerca de la destrucción accidental o ilícita de datos, la pérdida, alteración o comunicación no autorizada, el acceso a los datos cuando sean transmitidos, conservados u objeto de algún otro tipo de tratamiento, y estableciendo medidas para eliminarlos dichos riesgos… Haciendo todo eso (y más), no veo sino un profundo interés por el respeto a la privacidad.
Termina afirmando que “el reconocimiento facial se promueve como una solución para un problema que no existe. Es por eso que varias jurisdicciones de todo el mundo se han movido para imponer una moratoria sobre el uso de la tecnología”. ¿No existe o más bien no es un problema? De acuerdo con que el reconocimiento facial para la vigilancia genérica y abusiva en espacios públicos no es una solución en una sociedad democrática. Pero no metamos en ese mismo saco a la misma tecnología que hace que determinados aspectos de la vida cotidiana sean más fáciles, rápidos, seguros y, por lo tanto, más satisfactorios. Por ello no entiendo que sea un problema. Es una solución más.
Las empresas que en su calidad de Responsables de Tratamiento apliquen los principios recogidos en el Art. 5 del RGPD y que, además, demuestren una constante preocupación por aplicar criterios de responsabilidad proactiva (Art.5.2 RGPD) no deberían, a mi juicio, ser consideradas como los malos de la película. Al menos no a priori.
No se dejan de vender armas sólo por el hecho de que éstas puedan matar. No se venden, o se intenta que no se vendan, a quienes no demuestren cierta estabilidad que permita aventurar que no se hará un uso indebido de las mismas.
Ramón Villot DPO FacePhi Biometría
QUIÉNES SOMOS
La Asociación
Junta Directiva
Sedes
Noticias
Artículos de Interés
Canal Ético
ACERCA DEL COMPLIANCE
Qué es
Compliance Officer
Marco Normativo Internacional
Cual es tu nivel de Compliance
FORMACIÓN
Eventos
Cursos Acreditados
Agenda Formativa
Cómo acreditar un curso
CERTIFICACIÓN
Certificación Profesional WCA
Certificación Sistemas de Compliance
SOCIOS
Ventajas de Asociarse
Entidades Asociadas
Profesionales Asociados
Solicitud de Adhesión
LEGAL
Aviso Legal
Política de Privacidad
Política de Cookies
Propiedad Intelectual
Condiciones de Contratación