Por María Luisa González Tapia
El pasado 23 de mayo, la autoridad de protección de datos de Reino Unido, el Information Commissioner Office (“ICO”), hacía pública la imposición de una sanción 7.552.800 £ a la entidad Clearview AI [1], tras una larga investigación.
Clearview AI, con sede en Estados Unidos, es una start-up que ha desarrollado un software de reconocimiento facial que utiliza imágenes obtenidas de distintas fuentes, incluyendo páginas de Internet y perfiles en redes sociales.
Está especializada en prestar soporte a fuerzas y cuerpos de seguridad. En su página web (www.clearview.ai [2]), se pueden consultar distintos “casos de éxito” en los que el software de la compañía ha sido utilizado para localizar a delincuentes. Se nos informa, por ejemplo, que gracias a sus servicios se pudo encontrar y condenar a 34 años de prisión a un pederasta acusado de abusar de varios menores en Las Vegas.
De acuerdo con nota de prensa del ICO, Clearview habría podido reunir un banco de 20 billones de imágenes. El ICO considera que esta entidad ha incumplido con la normativa de protección de datos vigente en UK por distintos motivos, entre otros, los siguientes:
El ICO destaca que los datos biométricos tienen la consideración de categorías especiales de datos y por tanto requieren altos estándares de protección.
Las actuaciones del ICO se han llevado a cabo en colaboración con la autoridad australiana de protección de datos. Distintas autoridades de control ya han mostrado su preocupación por la utilización de datos biométricos. En Francia, la CNIL también [3]investigó a Clearview recientemente.
En este contexto, no extraña que el Comité Europeo de Protección de Datos (“CEPD”) haya dedicado uno de sus últimos documentos al uso de la tecnología de reconocimiento facial en el ámbito de las actividades de las fuerzas y cuerpos de seguridad de Estado: Las Directrices 05/2022 sobre el uso de la tecnología de reconocimiento facial en el ámbito de la aplicación de la ley (Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement [4]), adoptadas el 12 de mayo de 2022 y sometidas a consulta pública hasta el 22 de junio.
Como explica el citado documento, el reconocimiento facial es una tecnología probabilística que permite reconocer de forma automática individuos basándose en sus rasgos faciales. Tomando la imagen de una cara (una fotografía o vídeo que se denomina “muestra biométrica”), es posible extraer una representación digital de distintas características de la misma (que se denomina “modelo” o “template”) y almacenarla en una base de datos. El modelo biométrico se considera único y específico para cada persona y, en principio, es permanente en el tiempo. Puede utilizarse para llevar a cabo actividades de autenticación (identificación de uno a uno) o de identificación (identificación de uno a varios).
Las tecnologías biométricas (no solo las basadas en reconocimiento facial) se han difundido considerablemente en los últimos años. En el sector privado, resultan habituales en los sistemas de control de acceso físico. También están empezando a sustituir a las contraseñas, entendiéndose, además, que constituyen un mecanismo de autenticación reforzada. Las Directrices 05/2022, sin embargo, no se ocupan de este tipo de tratamientos, sino de los efectuados en el ámbito de la prevención e investigación de delitos por fuerzas y cuerpos de seguridad del Estado.
El EDPB resalta cómo el uso de tecnologías de reconocimiento facial en dicho ámbito resulta especialmente problemático y puede vulnerar no solo el derecho a la protección de datos sino otros derechos fundamentales de los ciudadanos, como el derecho a la libertad de expresión o el derecho a la libre reunión o asociación. Uno de los principales riesgos asociados al reconocimiento facial es que, al presentar un porcentaje variable de error, existe la posibilidad de identificación errónea de un ciudadano con consecuencias graves para este (en este sentido, se asimilan a las decisiones automatizadas).
Por todo lo anterior, el EDPB señala que el recurso a las tecnologías de reconocimiento facial debe ser analizado con detalle y atenerse de forma estricta a las normas nacionales vigentes. Un posible marco legal de utilización podría venir constituido por la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo [5].
La parte probablemente más interesante y práctica del documento son los anexos, donde se facilita:
Links
[1] https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2022/05/ico-fines-facial-recognition-database-company-clearview-ai-inc/
[2] http://www.clearview.ai/
[3] https://www.ramonycajalabogados.com/es/noticias/cierre-de-ano-intenso-para-la-autoridad-francesa-de-proteccion-de-datos-nuevas-resoluciones
[4] https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-052022-use-facial-recognition_en
[5] https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:32016L0680&from=EN
[6] https://www.ramonycajalabogados.com/es/noticias/directrices-052022-sobre-el-uso-de-la-tecnologia-de-reconocimiento-facial-en-el-ambito-de