Recientemente la Commission Nationale de l’Informatique et des Libertés (CNIL), la Autoridad de Control francesa en materia de protección de datos, ha publicado un informe relacionado con la utilización de técnicas de reconocimiento facial, y el necesario debate público que debe generarse a nivel nacional, europeo y mundial.
Es una realidad que, de forma cada vez más habitual vemos cómo entidades públicas y privadas proponen nuevos usos de esta tecnología con el fin de implementarla en sus relaciones con los ciudadanos, y resultan obvias las comodidades y beneficios potenciales que puede traer su uso. Sin necesidad de ir más allá, en octubre de este año, la Empresa Municipal de Transportes de Madrid (EMT) presentaba su proyecto piloto para pagar en los autobuses a través del reconocimiento facial y, aun a pesar de la voluntariedad de la medida, levantaba suspicacias entre los usuarios y profesionales, que miran con recelo este nuevo sistema.
Sin embargo, el objetivo de la CNIL con este nuevo informe publicado es plantear precisamente esta cuestión no tanto desde la perspectiva de un examen técnico de los potenciales usos o de su eficiencia, sino con el objetivo de analizar de forma profunda y madura una necesaria evaluación de riesgos e identificar aquellos que no son aceptables en una sociedad democrática. Si este ejercicio no se hace correctamente y a tiempo, un día descubriremos que la sociedad ha cambiado por la acumulación progresiva de nuevos casos de uso de esta tecnología, y habremos perdido la oportunidad de realizar el debate general.
Sin pretender limitar el inevitable y necesario desarrollo de la tecnología en nuestra sociedad, los requisitos y obligaciones recogidos en la normativa de protección de datos deben ser especialmente tenidos en cuenta a la hora de plantear y desarrollar nuevos usos. El principio de la privacidad desde el diseño y por defecto recobra especial importancia en este sentido, siendo imprescindible que se apliquen medidas de protección de la privacidad no solo en las etapas tempranas del proyecto, sino que además se contemplen también todos los procesos y prácticas de negocio involucrados en este tipo de tratamiento de datos, logrando así una verdadera gobernanza de la gestión de los datos personales.
Recordemos además que la utilización de tecnologías de reconocimiento facial supone un tratamiento de categorías especiales de datos, al tratarse de datos biométricos dirigidos a identificar de una manera unívoca a una persona física, con el añadido de que se trata ésta de una realidad biológica propia de la cual un individuo no puede liberarse. Por ello, supuestos como un uso indebido de dicho dato biométrico, o la usurpación de su identidad pueden suponer realmente un alto riesgo para los titulares de dichos datos, con consecuencias especialmente graves para los mismos.
Incluso hasta un uso legítimo, consentido, analizado y bien definido desde una perspectiva de privacidad y seguridad de dichos datos puede seguir suponiendo un riesgo en caso de ataque o hackeo, por lo que realmente resulta necesario realizar un ejercicio previo de análisis de necesidad, con el fin de determinar si no existen medidas menos intrusivas o proporcionadas para conseguir la finalidad perseguida.
En su informe, la CNIL analiza los distintos riesgos tecnológicos, éticos y sociales asociados a esta tecnología. Por un lado, presenta las diferencias entre esta técnica de reconocimiento facial y otras tecnologías que utilizan datos biométricos, y alerta de los riesgos adicionales que supone un sistema que se basa en rostros de personas que, potencialmente, están disponibles en multitud de sitios, unido además al hecho de que permite el reconocimiento del individuo sin “previo contacto” suponiendo un tratamiento a distancia de los datos de su titular. Además, advierte de los posibles riesgos para los ciudadanos de perder su anonimato dentro de la vida pública, o de los potenciales fallos o errores en el reconocimiento de las personas y sus consecuencias derivadas.
En definitiva como vemos, el debate está asegurado y el papel de los estados y de las autoridades de control resulta clave para garantizar los derechos y libertades de los individuos y la máxima seguridad en el tratamiento de los datos, a la vez que seguimos avanzando en la transformación digital y en el desarrollo de una sociedad moderna y conectada.
Loreto Jiménez Muñoz, Head of Privacy, L-A