Contexto
No todos los casos de uso de la biometría son iguales, ni tienen las mismas implicaciones jurídicas. En este artículo explicamos la diferente regulación aplicable a la identificación biométrica, dirigida a validar a un individuo entre muchos (1;N), y la verificación de identidad, reconocer que alguien es quien dice ser (1:1). La AEPD autoriza tanto la identificación biométrica como la verificación biométrica, siempre que se cumplan las medidas requeridas en el RGPD.
Introducción
El caso Mercadona
Como se ha sabido, Mercadona instaló, en junio de 2020, como parte de un proyecto piloto, un sistema de identificación mediante reconocimiento facial en cuarenta de sus establecimientos. De acuerdo con lo publicado, el sistema de Mercadona era de identificación biométrica (1:N), ya que trataba de reconocer si la persona identificada (1) era alguna de las personas que tenía vigente una sentencia o una orden de alejamiento de Mercadona o sus trabajadores (N).
A esas personas, sin su consentimiento, se les reconocía en un espacio abierto al público, la entrada a las tiendas de esa cadena de supermercados, de manera remota e identificando a todos los que pasaban por ese espacio y no sólo a los que se aproximasen a un lugar determinado para un acceso preestablecido.
En julio de 2020, se registraron en la AEPD dos reclamaciones que, junto con los hechos y documentos a los que tuvo acceso este organismo, condujeron al inicio de una investigación por parte de la AEPD que ha concluido con la resolución publicada, un año después, con una multa de 2,5 millones de euros a la cadena de supermercados.
La resolución de la AEPD
En su resolución la AEPD analiza las alegaciones presentadas por Mercadona en lo relativo a la legitimación, el juicio de proporcionalidad (idoneidad, necesidad y proporcionalidad en sentido estricto), la evaluación de impacto, la transparencia en la información, los riesgos derivados del tratamiento, etc.
En primer lugar, la AEPD indica que al tratarse de un sistema de identificación 1:N, que usa datos biométricos dirigidos a identificar unívocamente a una persona concreta entre varias (uno-a-varios, o 1:N), nos encontramos ante un tratamiento de datos de categoría especial sujeto a las garantías recogidas en el artículo 9 del RGPD.
Además, la AEPD considera el sistema de reconocimiento facial empleado por Mercadona como un sistema de reconocimiento facial masivo y remoto (“identificación biométrica remota”) según define este concepto el Libro Blanco sobre Inteligencia Artificial de la Comisión Europea. Esto es así porque se emplean datos biométricos calificados como datos sensibles, se produce a distancia en un espacio de acceso al público en general y es un tratamiento automático y continuado.
Diferencias entre identificación y verificación biométricas
“En lo que se refiere al reconocimiento facial, por «identificación» se entiende que la plantilla de la imagen facial de una persona se compara con otras muchas plantillas almacenadas en una base de datos para averiguar si su imagen está almacenada en ella. La «autenticación» (o «verificación»), por su parte, se refiere habitualmente a la búsqueda de correspondencias entre dos plantillas concretas. Permite la comparación de dos plantillas biométricas que, en principio, se supone que pertenecen a la misma persona; así, las dos plantillas se comparan para determinar si la persona de las dos imágenes es la misma.”
“Atendiendo a la citada distinción, puede interpretarse que, de acuerdo con el artículo 4 del RGPD, el concepto de dato biométrico incluiría ambos supuestos, tanto la identificación como la verificación/autenticación. Sin embargo, y con carácter general, los datos biométricos únicamente tendrán la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno).”
Más recientemente, en su guía “La protección de datos en las relaciones laborales”, la AEPD volvió a reiterar este criterio.
Esta distinción que antes se consideraba únicamente en el plano técnico, tiene ahora, por tanto, reseñables implicaciones en el plano jurídico. Cabe señalar, en cualquier caso, que esta diferenciación no supone automáticamente una legitimación o prohibición total del tratamiento de estos datos personales, sino que implica que se deben tener en cuenta más o menos cuestiones (por ejemplo, las excepciones del artículo 9.2 del RGPD, la necesidad de realizar una evaluación de impacto, etc.). Es decir, la AEPD autoriza tanto la identificación biométrica como la verificación biométrica, siempre que se cumplan las medidas requeridas en el RGPD.
Buenas prácticas en el uso de la tecnología biométrica
Claros ejemplos de ello son el Libro Blanco de Inteligencia Artificial de la Comisión Europea, ya mencionado, o la propuesta de Reglamento sobre Inteligencia Artificial recientemente publicada por la Comisión Europea, en los que el conocimiento de los usuarios (interesados) sobre el tratamiento que se puede hacer de sus datos (¿qué datos?, ¿con qué finalidad?, ¿durante cuánto tiempo?, ¿quién?,…) y el control que tienen sobre dicho tratamiento, son el punto de partida, en la mayoría de los casos, para determinar el nivel de riesgo.
Así, supuestos de identificación biométrica remota, en espacio abierto y en el que las personas carecen del poder de decisión sobre el tratamiento de sus datos biométricos, son el tipo de usos de tecnología biométrica que por sus características excepcionales están regidos por una normativa más exigente. Sin embargo, en supuestos de identificación biométrica controlada o acotada y en casos de verificación biométrica, la privacidad de las personas es respetada y el riesgo inferior.
Diferencias entre dasGate y el caso Mercadona
En el diseño de su tecnología biométrica, dasGate y Veridas, tienen como principio fundamental la privacidad por defecto y desde el diseño. Desde las primeras etapas de desarrollo de los productos, pero también en la construcción de soluciones específicas para cada caso de uso, la protección de los derechos y libertades en materia de protección de datos de todos los usuarios se sitúa en el centro de nuestra actividad.
La tecnología biométrica desarrollada por Veridas, y que utiliza dasGate, está basada en Inteligencia Artificial lo que tiene importantes consecuencias en las características del vector matemático (template creado a partir de la imagen facial) empleado para realizar las comparaciones:
- El vector matemático sólo es interpretable por el motor (y la versión del motor) biométrico que lo creó. Esto convierte al vector en no interoperable.
- El vector matemático es irreversible, es decir, no podemos volver a la imagen desde la que se creó.
- El vector matemático sólo sirve a efectos de comparación. Se va a utilizar para compararlo con otro vector a través de un motor biométrico (recordemos, uno sólo en concreto), y obtener así un porcentaje de similitud entre ambos que nos diga si corresponden o no a la misma persona.
- El vector matemático no ofrece más información que esa, es decir, no se puede inferir del mismo ninguna característica del sujeto (emociones, género, etnia, comportamiento…).
Como norma general, la base legitimadora para poder realizar este tipo de tratamientos biométricos debe ser, en nuestra opinión, el consentimiento informado de los usuarios. Esto resulta aplicable tanto a los supuestos de verificación (artículo 6.1.a del RGPD) y de identificación (artículo 9.2.a del RGPD).
En dasGate esto se garantiza asegurando que el sistema de identificación mediante reconocimiento facial no es indiscriminado y abierto, sino que se circunscribe a un reducido ámbito de captura (menos de un metro del terminal de lectura) adecuadamente señalizado, que implica que única y exclusivamente los datos de las personas que se sitúen voluntariamente en el área de captura pueden ser objeto de tratamiento.
No se tratarán los datos ni serán objeto de identificación las personas que puedan moverse con libertad por el lugar, sino únicamente quienes se sitúen frente al terminal. Esto permite que el sistema de accesos mediante identificación biométrica de dasGate no sea considerado un sistema de identificación biométrica remota.
En los sistemas de control de accesos de dasGate, con independencia de que sean con verificación o con identificación biométricas, siempre se parte de un registro previo informado y bajo el consentimiento de los usuarios que quieren ser verificados o identificados. Sólo los datos de las personas registradas serán empleados por el sistema para llevar a cabo las comparaciones faciales, y sólo serán comparados contra los datos de quien voluntariamente los aporte en cada momento (al presentar una credencial y/o situarse frente al terminal de captura).
En dasGate y Veridas consideramos que la protección de los datos personales de los usuarios de nuestras soluciones debe estar en el centro de nuestra actividad. Así, los sistemas que desarrollamos buscan siempre el control por parte de los usuarios de cuándo, cómo y por quién pueden ser tratados sus datos personales.
Las soluciones ofrecidas, así como los casos de uso en los que los clientes de dasGate y Veridas las están empleando actualmente, parten del consentimiento de los usuarios y del control por parte de ellos en la captura de sus datos. Creemos firmemente que estas deben de ser las líneas principales para un correcto uso de la tecnología de identificación biométrica, especialmente cuando no exista otra base legitimadora y proporcionalidad suficientemente justificadas.
