Sobre el reconomiento facial. Steven Spielberg, Black Lives Matter, Mercadona y Protección de Datos Personales

Hace pocos días, en pleno debate sobre el racismo policial en EEUU, nos llegó la noticia de que un hombre afroamericano había sido injustamente detenido como consecuencia de un error en el sistema de reconocimiento facial. La Unión Estadounidense de Libertades Civiles (ACLU) publicó en Twitter que no es el primer caso de arrestos injustos en base a la tecnología de reconocimiento facial, sobre la que, por lo que se ha publicado, existen estudios que demuestran errores frecuentes en la identificación de las personas de color.

En el mismo contexto de las protestas del movimiento Black Lives Matter en EEUU, los gigantes tecnológicos IBM, Amazon y Microsoft, por este orden, anunciaron su decisión de no seguir proporcionando sistemas y programas de reconocimiento fácil al gobierno y la policía hasta tanto no exista un marco seguro que garantice su uso ético y no discriminatorio. Varias ciudades han prohibido el uso de tecnología de reconocimiento facial y el uso de datos biométricos a los funcionarios, sumándose a otras cuantas, entre éstas la icónica tecnológica San Francisco, que adoptó la misma decisión un año antes.

No hace falta cruzar el Océano para medir la tendencia. En nuestra paradigmática Europa, el  European Data Protection Board (EDPB) ha puesto en cuestión el uso por las autoridades policiales de sistemas de identificación y seguimiento de sospechosos de crímenes y sus víctimas (Clearvview AI) en el marco del Reglamento General de Protección de Datos (RGPD), y ha informado sobre la necesidad de elaborar unas guías que  aporten un marco regulatorio al uso de dicha tecnología.  Lo último, el 30 de junio pasado tomaba la batuta el European Data Protection Supervisor y difundía una opinión sobre el Libro Blanco sobre Inteligencia Artificial publicado por la Comisión Europea en febrero de 2020, avalando la necesidad de una moratoria en la aplicación de tecnologías de reconocimiento automatizado de características humanas en espacios públicos, no sólo caras, sino también huellas digitales, ADN, voz, pulsaciones de teclas y cualquier dato biométrico o señal de comportamiento. Con dicha moratoria se pretende posibilitar un debate serio a nivel europeo y la creación de un marco legal suficientemente garantista.

Estos medidores me hacen pensar que la balanza en este eterno debate entre seguridad y derechos personalísimos se inclina a favor de quienes consideran que no merece la pena la pérdida de garantías y privacidad a cambio de un sistema que promete mayor seguridad, pero que también sufre errores. Y de ahí que me haya sorprendido la noticia publicada hace unos días sobre el uso por Mercadona en 40 de sus supermercados de tecnología de reconocimiento facial que permite reconocer a personas con Sentencias firmes o medidas cautelares que contengan una orden de alejamiento contra Mercadona o alguno de sus trabajadores, con la finalidad de evitar hurtos y otros delitos. Dicha tecnología -según ha informado Mercadona a los medios- no guardaría ningún tipo de información. Las imágenes captadas y grabadas por una cámara en la entrada de los supermercados serían tratadas por el software de origen israelí AnyVision, que en décimas de segundo relacionaría  los patrones de la persona que está siendo grabada con la persona a la que se debería denegar la entrada, según los criterios decididos por Mercadona y que forman su base de datos. Las imágenes captadas y grabadas para ser cotejadas serían eliminadas a continuación, porque su única finalidad -según dice Mercadona-, es detectar al supuesto infractor de una orden judicial y notificar el hecho a las fuerzas y cuerpos de seguridad

Si bien Mercadona ha publicado en medios que durante el desarrollo de su sistema de identificación se ha mantenido una comunicación constante con la Agencia Española de Protección de Datos (AEPD), ésta ha advertido haber informado a Mercadona de la problemática de la implantación de las tecnologías de detección facial y ha abierto una investigación de oficio.

En un momento en el que la oferta de tecnología de reconocimiento facial y de tratamiento de datos biométricos va en ascenso,  la expectación que origina esta noticia está servida. Cuanto menos, el resultado de la investigación iniciada por la AEPD debería ofrecer un poco de claridad sobre qué procesos serían los adecuados de conformidad con el RGPD. No hay que olvidar que pocos días atrás, la AEPD adoptó la misma tendencia garantista y el mismo talante cauteloso de los operadores de protección de datos europeos. Así, en el Informe que da respuesta a la consulta formulada por una empresa de seguridad privada sobre la licitud de la incorporación de sistemas de reconocimiento facial en los servicios de videovigilancia, al amparo del artículo 42 de la Ley de Seguridad Privada, se manifiesta de esta manera (N/REF: 010308/2019, emitido en fecha 28 de mayo de 2020)

“Por el contrario, la regulación actual se considera insuficiente para permitir la utilización de técnicas de reconocimiento facial en sistemas de videovigilancia empleados por la seguridad privada, al no cumplir los requisitos anteriormente señalados, siendo necesario que se aprobara una norma con rango de ley que justificara específicamente en qué medida y en qué supuestos, la utilización de dichos sistemas respondería a un interés público esencial, definiendo dicha norma legal, previa ponderación por el legislador de los intereses en pugna atendiendo al principio de proporcionalidad, todos y cada uno de los presupuestos materiales de la medida limitadora mediante reglas precisas, que hagan previsible al interesado la imposición de tal limitación y sus consecuencias, y estableciendo las garantías técnicas, organizativas y procedimentales adecuadas, que prevengan los riesgos de distinta probabilidad y gravedad y mitiguen sus efectos”.

La palabra mágica es la proporcionalidad. De acuerdo con la normativa de protección de datos personales, cualquier tratamiento ha de ser proporcional, lo que obliga a confrontar su impacto en la esfera privada de las personas, por un lado, y su finalidad y las medidas de garantía, ya sean técnicas, organizativas, procedimentales, o de cualquier otra índole, por el otro.

No hay duda de que la mera captación y grabación de las imágenes de los consumidores por parte de Mercadona, y su transmisión a las Fuerzas y Cuerpos de Seguridad, implica un tratamiento de datos. Y tampoco hay duda que los datos biométricos están protegidos por el RGPD como datos sensibles, y como tales, requieren el consentimiento explícito del interesado como base para la legitimación de su tratamiento. A falta de soporte escrito del consentimiento, no hay otra que recurrir a una base de legitimación suficientemente fuerte, pues ha de poder justificar la intromisión a la esfera personal en aras a una finalidad mayor,  considerando también las medidas implantadas para mitigar dicha merma de privacidad. Y aquí es donde juega nuevamente el principio de proporcionalidad, es decir, si los datos biométricos usados en el sistema de identificación  son más o menos sensibles que la información a la que dan acceso, considerando su finalidad  y las medidas dirigidas a mitigar el eventual daño.

Según Mercadona, la base de legitimación es el interés público, en código seguridad para los clientes, empleados y por supuesto para el propio negocio, lo que de por si genera opiniones atendiendo al interés privado de los supermercados.

Al margen de lo anterior, hay otros temas igual de expectantes, como son los procesos mediante los cuales Mercadona ha nutrido su base de datos de personas con condenas judiciales de alejamiento, que hace las veces de peana de funcionamiento del programa de reconocimiento facial.

Ahí lo dejo para que quien quiera opine. Por mi parte, soy una acérrima defensora de la tecnología como herramienta de ayuda para tener un mundo mejor. No me cabe duda de que los sistemas de reconocimiento facial tienen esta capacidad, y podrían facilitar las cosas en el entorno de esta crisis sanitaria tan dramática y desconocida. Que dichos sistemas respeten el principio de proporcionalidad y no lesione un bien tan valioso como es la privacidad, ya es cosa nuestra. Lo cierto es que aún hoy me resulta inquietante la escena de la holliwodesne Minority Rerport en la que Tom Cruise no tiene otra que decidirse por un trasplante de ojos para evitar, en su huida, los sistemas de reconocimiento ocular.

Feliz lunes. Cuidaros mucho

Ana Soto Pino

13 de julio de 2020

sigue leyendo

otros artículos