secretos empresariales

Sobre el reconomiento facial. Steven Spielberg, Black Lives Matter, Mercadona y Protección de Datos Personales

Hace pocos días, en pleno debate sobre el racismo policial en EEUU, nos llegó la noticia de que un hombre afroamericano había sido injustamente detenido como consecuencia de un error en el sistema de reconocimiento facial. La Unión Estadounidense de Libertades Civiles (ACLU) publicó en Twitter que no es el primer caso de arrestos injustos en base a la tecnología de reconocimiento facial, sobre la que, por lo que se ha publicado, existen estudios que demuestran errores frecuentes en la identificación de las personas de color.

En el mismo contexto de las protestas del movimiento Black Lives Matter en EEUU, los gigantes tecnológicos IBM, Amazon y Microsoft, por este orden, anunciaron su decisión de no seguir proporcionando sistemas y programas de reconocimiento fácil al gobierno y la policía hasta tanto no exista un marco seguro que garantice su uso ético y no discriminatorio. Varias ciudades han prohibido el uso de tecnología de reconocimiento facial y el uso de datos biométricos a los funcionarios, sumándose a otras cuantas, entre éstas la icónica tecnológica San Francisco, que adoptó la misma decisión un año antes.

No hace falta cruzar el Océano para medir la tendencia. En nuestra paradigmática Europa, el  European Data Protection Board (EDPB) ha puesto en cuestión el uso por las autoridades policiales de sistemas de identificación y seguimiento de sospechosos de crímenes y sus víctimas (Clearvview AI) en el marco del Reglamento General de Protección de Datos (RGPD), y ha informado sobre la necesidad de elaborar unas guías que  aporten un marco regulatorio al uso de dicha tecnología.  Lo último, el 30 de junio pasado tomaba la batuta el European Data Protection Supervisor y difundía una opinión sobre el Libro Blanco sobre Inteligencia Artificial publicado por la Comisión Europea en febrero de 2020, avalando la necesidad de una moratoria en la aplicación de tecnologías de reconocimiento automatizado de características humanas en espacios públicos, no sólo caras, sino también huellas digitales, ADN, voz, pulsaciones de teclas y cualquier dato biométrico o señal de comportamiento. Con dicha moratoria se pretende posibilitar un debate serio a nivel europeo y la creación de un marco legal suficientemente garantista.

Estos medidores me hacen pensar que la balanza en este eterno debate entre seguridad y derechos personalísimos se inclina a favor de quienes consideran que no merece la pena la pérdida de garantías y privacidad a cambio de un sistema que promete mayor seguridad, pero que también sufre errores. Y de ahí que me haya sorprendido la noticia publicada hace unos días sobre el uso por Mercadona en 40 de sus supermercados de tecnología de reconocimiento facial que permite reconocer a personas con Sentencias firmes o medidas cautelares que contengan una orden de alejamiento contra Mercadona o alguno de sus trabajadores, con la finalidad de evitar hurtos y otros delitos. Dicha tecnología -según ha informado Mercadona a los medios- no guardaría ningún tipo de información. Las imágenes captadas y grabadas por una cámara en la entrada de los supermercados serían tratadas por el software de origen israelí AnyVision, que en décimas de segundo relacionaría  los patrones de la persona que está siendo grabada con la persona a la que se debería denegar la entrada, según los criterios decididos por Mercadona y que forman su base de datos. Las imágenes captadas y grabadas para ser cotejadas serían eliminadas a continuación, porque su única finalidad -según dice Mercadona-, es detectar al supuesto infractor de una orden judicial y notificar el hecho a las fuerzas y cuerpos de seguridad

Si bien Mercadona ha publicado en medios que durante el desarrollo de su sistema de identificación se ha mantenido una comunicación constante con la Agencia Española de Protección de Datos (AEPD), ésta ha advertido haber informado a Mercadona de la problemática de la implantación de las tecnologías de detección facial y ha abierto una investigación de oficio.

En un momento en el que la oferta de tecnología de reconocimiento facial y de tratamiento de datos biométricos va en ascenso,  la expectación que origina esta noticia está servida. Cuanto menos, el resultado de la investigación iniciada por la AEPD debería ofrecer un poco de claridad sobre qué procesos serían los adecuados de conformidad con el RGPD. No hay que olvidar que pocos días atrás, la AEPD adoptó la misma tendencia garantista y el mismo talante cauteloso de los operadores de protección de datos europeos. Así, en el Informe que da respuesta a la consulta formulada por una empresa de seguridad privada sobre la licitud de la incorporación de sistemas de reconocimiento facial en los servicios de videovigilancia, al amparo del artículo 42 de la Ley de Seguridad Privada, se manifiesta de esta manera (N/REF: 010308/2019, emitido en fecha 28 de mayo de 2020)

“Por el contrario, la regulación actual se considera insuficiente para permitir la utilización de técnicas de reconocimiento facial en sistemas de videovigilancia empleados por la seguridad privada, al no cumplir los requisitos anteriormente señalados, siendo necesario que se aprobara una norma con rango de ley que justificara específicamente en qué medida y en qué supuestos, la utilización de dichos sistemas respondería a un interés público esencial, definiendo dicha norma legal, previa ponderación por el legislador de los intereses en pugna atendiendo al principio de proporcionalidad, todos y cada uno de los presupuestos materiales de la medida limitadora mediante reglas precisas, que hagan previsible al interesado la imposición de tal limitación y sus consecuencias, y estableciendo las garantías técnicas, organizativas y procedimentales adecuadas, que prevengan los riesgos de distinta probabilidad y gravedad y mitiguen sus efectos”.

La palabra mágica es la proporcionalidad. De acuerdo con la normativa de protección de datos personales, cualquier tratamiento ha de ser proporcional, lo que obliga a confrontar su impacto en la esfera privada de las personas, por un lado, y su finalidad y las medidas de garantía, ya sean técnicas, organizativas, procedimentales, o de cualquier otra índole, por el otro.

No hay duda de que la mera captación y grabación de las imágenes de los consumidores por parte de Mercadona, y su transmisión a las Fuerzas y Cuerpos de Seguridad, implica un tratamiento de datos. Y tampoco hay duda que los datos biométricos están protegidos por el RGPD como datos sensibles, y como tales, requieren el consentimiento explícito del interesado como base para la legitimación de su tratamiento. A falta de soporte escrito del consentimiento, no hay otra que recurrir a una base de legitimación suficientemente fuerte, pues ha de poder justificar la intromisión a la esfera personal en aras a una finalidad mayor,  considerando también las medidas implantadas para mitigar dicha merma de privacidad. Y aquí es donde juega nuevamente el principio de proporcionalidad, es decir, si los datos biométricos usados en el sistema de identificación  son más o menos sensibles que la información a la que dan acceso, considerando su finalidad  y las medidas dirigidas a mitigar el eventual daño.

Según Mercadona, la base de legitimación es el interés público, en código seguridad para los clientes, empleados y por supuesto para el propio negocio, lo que de por si genera opiniones atendiendo al interés privado de los supermercados.

Al margen de lo anterior, hay otros temas igual de expectantes, como son los procesos mediante los cuales Mercadona ha nutrido su base de datos de personas con condenas judiciales de alejamiento, que hace las veces de peana de funcionamiento del programa de reconocimiento facial.

Ahí lo dejo para que quien quiera opine. Por mi parte, soy una acérrima defensora de la tecnología como herramienta de ayuda para tener un mundo mejor. No me cabe duda de que los sistemas de reconocimiento facial tienen esta capacidad, y podrían facilitar las cosas en el entorno de esta crisis sanitaria tan dramática y desconocida. Que dichos sistemas respeten el principio de proporcionalidad y no lesione un bien tan valioso como es la privacidad, ya es cosa nuestra. Lo cierto es que aún hoy me resulta inquietante la escena de la holliwodesne Minority Rerport en la que Tom Cruise no tiene otra que decidirse por un trasplante de ojos para evitar, en su huida, los sistemas de reconocimiento ocular.

Feliz lunes. Cuidaros mucho

Ana Soto Pino

13 de julio de 2020

Seguridad y teletrabajo. En la “to do list” de las empresas

Hace unos días el Banco de España puso en evidencia que un 80% de las empresas habían aumentado el teletrabajo como consecuencia de las medidas de confinamiento decretadas por el estado de alarma, y que más del 30% de los empleos o actividades profesionales podrían realizarse en remoto (estudio analítico “EL Teletrabajo en España). De hecho, que “el teletrabajo ha llegado para quedase” es un recurrente en redes sociales, en especial tras el anuncio de Google y Facebook de mantener el teletrabajo como fórmula principal hasta finales de año. Y luego ya se verá.

No hemos tenido otra que aprender rápido y hemos sabido adaptarnos en tres meses a una forma de trabajar que durante muchos años se proclamaba como posible y óptima, pero que no llegó a tener implantación (en el año 2019, menos del 5% de los trabajadores teletrabajaron). Pero también es cierto que la urgencia ha obligado a empresas y organizaciones a ir parcheando, y es ahora cuando se preguntan sobre qué cambios han de implementar para adaptar sus procesos en caso de que esta forma de trabajo se mantenga más allá del estado de alarma, ya sea porque las circunstancias obliguen, o porque la elección de este modelo organizativo sea una opción adecuada.

En este contexto, es incuestionable la importancia de desarrollar un entorno seguro  que proteja las comunicaciones, preserve los secretos empresariales y evite que los datos de trabajadores, clientes o colaboradores se vean comprometidos. Por lo que se hace imprescindible adoptar medidas tecnológicas, protocolos de seguridad y formar a directivos y empleados adecuadamente, lo que no tiene porqué suponer una gran inversión y, sin embargo, redunda en importantes ventajas en términos de seguridad.

No hay que perder de vista que la Ley 1/2019 de 20 de febrero, de Secretos Empresariales, y la definición -muy amplia- de secreto que contiene. Así, resulta que se considera secreto (i) cualquier información o conocimiento, incluido el tecnológico, científico, industrial, comercial, organizativo o financiero; (ii) siempre que tenga un valor empresarial, real o potencial, por el hecho de ser secreto, en el sentido de tener un interés económico y/o competitivo para su titular; y (iii) siempre y cuando su titular haya adoptado medidas razonables y específicas para mantenerlos en secreto.

Por lo que puede ser secreto, y gozar de la protección que le otorga la Ley de Secretos Empresariales, desde una aplicación, un software o un algoritmo, pasando por una fórmula científica, un desarrollo en proceso o una invención no patentada, hasta las estrategias comerciales, los planes financieros o los listados e históricos de clientes o de proveedores y productos. Siempre y cuando, eso sí, el empresario adopte una actitud activa e implemente las medidas necesarias para preservar que se mantenga reservado y confidencial.

Ello implica, en primer lugar, desarrollar o revisar contratos de confidencialidad y no divulgación con directivos y trabajadores (también, en su caso, con clientes y proveedores), y restringir el acceso a la información por perfiles o por identidades  en aquellos casos en los que sea posible.

Sin embargo, en código teletrabajo dichas medidas pueden ser insuficientes, y se hace altamente recomendable crear protocolos en los que se combinen avisos relacionados con la titularidad de la empresa sobre la información, el software y, en su caso, los propios dispositivos; junto con  medidas de control y políticas internas de uso de medios informáticos, en los que se establezcan obligaciones básicas de seguridad, como son, por ejemplo:

  • La obligación de almacenar en servicios corporativos en espacios y de compartir la información confidencial a través de espacios seguros en los que el acceso requiera autorización o se limite por perfiles o nominalmente.
  • El establecimiento de contraseñas seguras y robustas, con caducidad, o el uso de sistemas de identificación (token).
  • La obligación de apagar el dispositivo en caso de ausencia y establecer sistemas de bloqueo.
  • Las restricciones del uso del correo electrónico o de acceso a aplicaciones de terceros.
  • O la obligación de mantener actualizadas las aplicaciones para impedir ataques de ciberseguridad.

Dichos protocolos habrán de completarse con la formación necesaria con el objetivo de crear una cultura general que permita compatibilizar el teletrabajo con el secreto de la información, de los conocimientos y de los elementos de la empresa y evite fugas de información o intromisiones no legítimas de terceros.

Y además, por la más pura lógica de las cosas, dichos protocolos habrán de ser coherentes con las medidas implementadas por la empresa para preservar el secreto y evitar cualquier fuga de información estratégica o que afecte a datos personales, así como cualquier intromisión por parte de tercero. A modo de ejemplo:

  • Poner a disposición de los trabajadores los dispositivos y equipos corporativos, siempre que sea posible.
  • Evitar que la información se guarde en el local, y priorizar que se utilicen los servicios corporativos.
  • Emplear para el acceso en remoto con los servicios corporativos conexiones cifradas (VPN, escritorios remotos o sitios web con certificados de seguridad).
  • Establecer perfiles o sistemas nominativos de acceso a información estratégica o secreta.
  • Control de contraseñas y sistemas de identificación.
  • Establecer sistemas que eviten descargas, copias, envíos, o impresiones de información estratégica o aplicaciones de la empresa.
  • Controlar el acceso electrónico a la información de la empresa.
  • Establecer protocolos de actuación para el supuesto de que se aprecie una brecha de seguridad o un riesgo de fuga de información

Y para cerrar el círculo, todo ello ha de formar parte del programa de compliance de la empresa.

Desconozco si las predicciones se cumplirán y el trabajo en remoto formará parte de nuestra cultura empresarial de ahora para siempre. Pero sí me permito compartir la opinión muy extendida de que la Covid-19 ha acelerado la transformación digital a todos los niveles, también en el trabajo, situando en la primera línea del listado de deberes de la empresa los quehaceres necesarios para preservar sus secretos empresariales y el resto de información sensible, como pueden ser los datos personales.

Os deseo un feliz fin de semana

Ana Soto Pino

12 de junio de 2020