domingo, 10 de enero de 2016

Biometría y LOPD: El Informe 392/2011 de la AEPD sobre el uso de sistemas de Reconocimiento Facial

¡Hola de nuevo!


Ayer por la tarde cogí el metro con el #iurisobri para llevármelo de turismo por Madrid. Es un fanático de todo lo que rodea los trenes, por lo que llevarle en metro a algún sitio es ir sobre seguro con él: sabes que vas a acertar. Al entrar en la estación, decidí hacerle una pequeña broma: me puse el abono transportes en la palma de la mano y la puse sobre el torno, para que pensara que tenía una "mano mágica" que me abría las puertas de las estaciones del metro. Así sucedió: puse mi mano sobre el lector y "plim" el dispositivo se abrió para dejarme pasar, ante la atónita mirada del #iurisobri. Esta escena tan "mágica" me recordó que tenía un post pendiente y aquí estoy escribiendo, dispuesta a saldar mi propia deuda. ;-)

Magic, Mago, Las Manos, Conjurar

De un tiempo a esta parte las noticias sobre el uso de la biometría se están multiplicando como setas: que si identificación con la palma de la mano, que si pagar con el dedo, que si reconocimiento facial.. Debo reconoceros que el tema me tiene sumamente intrigada; la ciencia y la tecnología avanzan a pasos agigantados y el Derecho necesita dar una respuesta clara, ágil y efectiva ante las cuestiones que surgen sobre estos temas. No hace tanto tiempo me enganché al Código Da Vinci y recuerdo que una de las partes que más llamó mi atención era aquella en la que le sacan un ojo a uno de los personajes para poder acceder a una sala cuyo acceso estaba restringido a los "ojos" autorizados. En aquel momento aquella imagen que vino a mi mente me pareció tan repugnante que se me grabó en la mente a fuego. Ahora esa "escena"  ha vuelto a mí con las noticias que surgen. Gracias a mi querida toguita Lara (a la que os recomiendo dar follow en Twitter), pude ver un documental que echaron en la 2 de TVE  sobre el tema y aun estoy en shock. Intenté twittear las cosas más curiosas que salían en el mismo, pero era casi imposible: el documental era tan interesante que me quedé embobada viéndolo. Os recomiendo reservar un rato y verlo, eso sí, es no apto para paranoicos, avisados estáis. Si a pesar de esta recomendación os entra la curiosidad y queréis verlo, el nombre es "Fenetre Sur Corps" (muy acertado el nombre, por cierto).


Sherlock Holmes, Detective

Al final, como no podía ser de otra forma, me acabé "picando" y decidí bucear en la web de la AEPD para ver si había algo publicado sobre el tema. Mi sorpresa llegó al ver que no sólo había documentos publicados, sino que encima.. ¡no eran precisamente de lo más reciente!. Resulta que la AEPD en 2011 ya tenía consultas sobre temas biométricos y yo pensando que era algo "relativamente reciente". Pues bien, tras este golpe de "realidad", os voy a contar un poco lo que dijo la AEPD cuando recibió una consulta sobre el uso de programas de reconocimiento facial tanto para el control de la asistencia a las clases de sus alumnos como para la identificación de los mismos en los exámenes. El informe es el 392/2011 y lo tenéis aquí.  


Ojo, Hombre, Pupila, Tapa, Ceja, Mundo

Para empezar, la AEPD recuerda lo que considera que son los datos biométricos: “aquellos aspectos físicos que, mediante un análisis técnico, permiten distinguir las singularidades que concurren respecto de dichos aspectos en un sujeto y que, resultando que es imposible la coincidencia de tales aspectos en dos individuos, una vez procesados, permiten servir para identificar al individuo en cuestión. Así se emplean para tales fines las huellas digitales, el iris del ojo, la voz, etc” y se remite además al Informe del Grupo de Trabajo creado por el art.29 de la Directiva 95/46/CE emitido el 3 de agosto de 2003 (lo vuelvo a flipar por la fecha, por cierto): el Documento WP80 que os enlazo aquí. En este Documento WP80, se alude a la existencia de dos tipos de datos biométricos: los estáticos y los que pueden revelar algunas características del comportamiento de los individuos. Dentro del primer grupo estarían datos como la huella dactilar o el iris, y en el segundo grupo encontramos cosas como la forma de andar. Esto de la forma de andar me ha hecho especial "gracia" (AVISO: ABRO INCISO CON BATALLITA):  


Pluma, Escribir, Autor, Tinta, De Papel

Tengo un conocido que lleva aplicando el reconocimiento por la forma de andar muchísimos años. El pobre es miope y como es un coqueto, cuando tuvo que ponerse gafas por primera vez (hace también un montón de años le diagnosticaron miopía debido a que era incapaz de leer la pizarra desde lejos) decidió que no las llevaría más que cuando fuera estrictamente necesario, por lo que cuando va por la calle jamás las lleva. El pobre mío se ganó una fama de borde inmerecida, porque iba por la calle y no saludaba a nadie. Obviamente, sólo los amigos más próximos sabíamos que el motivo de que no saludara era que no reconocía a la gente porque realmente no los veía,y cuando le dijimos las habladurías que había sobre él empezó a reconocer a la gente por sus andares. Era un método infalible con los más íntimos, pero en cuanto se cruzaba con alguien a quien acababa de conocer, no le había dado tiempo a procesar su modo de andar por lo que se quedaba sin saludo y, en consecuencia, la fama de borde iba creciendo. Para mí, este casero sistema de identificación es el primer contacto con la biometría que he tenido, aunque entonces no lo sabía. ;-)))) (CIERRO INCISO CON BATALLITA

Vuelvo al informe..

En relación con los datos estáticos a los que me refería antes, el informe de la AEPD que estamos viendo los pone en relación con el artículo 3 a) de la LOPD y reconoce que, aunque el procesamiento de estos datos no revela nuevas características sobre el comportamiento de las personas sí permitiría su identificación, por lo que su tratamiento debe estar sometido a la LOPD. 


Puntos claves del informe:

Chico, Brazos Abiertos, T-Shirt

- La AEPD nos pide que no seamos reticentes y negativos al tratamiento de estos datos ya que pueden ser muy útiles en algunos casos, por ejemplo, para preservar la intimidad del afectado: si tratamos estos datos podemos identificar al individuo sin necesidad de pedirle otros datos adiccionales. Aquí podemos ver claramente que muchas veces lo importante no es recopilar toneladas de datos, sino que si disponemos de pocos datos pero útiles, podremos obtener mucho mejor "rendimiento" de los mismos. 



Gancho, Marca De Verificación, Sí

- El consentimiento. 

Teniendo claro que es necesario tener el consentimiento del interesado para el tratamiento de los datos o bien ampararnos en alguna de las "vías" previstas en el art. 6.2 de la LOPD para no necesitarlo, el informe analiza el supuesto planteado en la consulta descartando el consentimiento como base para tratar estos datos, debido a que, como sabemos, el consentimiento es revocable: Si el sujeto decide revocarlo debemos cesar en el tratamiento de estos datos y, en consecuencia, las finalidades que pretendíamos alcanzar con el tratamiento de estos datos quedan en papel mojado. Descartando la opción de obtener estos datos de fuentes accesibles al público (aprovecho para recordar que INTERNET NO LO ES), nos quedan únicamente dos opciones: la habilitación por Ley o la "excusa" de la necesidad de tratar estos datos para el mantenimiento de una relación jurídica.  Parece que en la consulta planteada estamos más cerca de esta última opción que de la primera, a tenor de lo dispuesto por la propia AEPD. Y esto nos lleva a un viejo conocido: "el Juicio de Ponderación". Así, tendremos que valorar si en el supuesto en el que estamos existe o no un interés legítimo por parte del Responsable del Tratamiento que prevalezca sobre los derechos y libertades fundamentales del interesado. Para ello, la AEPD se remite al siguiente punto del informe..


Más Allá De, La Muerte

- La finalidad.

Recordando que la finalidad esgrimida por el consultante es el control de la asistencia a las clases de sus alumnos y la identificación de los mismos en los exámenes, la AEPD se pregunta si este método de reconocimiento facial es auténticamente necesario y si no hay otras opciones, quizás menos invasivas, para conseguir estos objetivos. De nuevo nos encontramos en el Juicio de Proporcionalidad y Necesidad: ¿justifica el mantenimiento de la relación jurídica que tenemos el establecimiento de este tipo de medidas? Volvemos a lo que la AEPD nos indica también en casos de videovigilancia: Cada caso es un mundo y requiere su estudio.


Mujer Triste, Autoestima, Duda, Arte

- Ni sí, ni no ni todo lo contrario.

Dice la AEPD lo siguiente: 
1) No puede decirse que el tratamiento de los datos biométricos sea siempre contrario a la normativa de protección de datos; será el Juicio de Proporcionalidad el que revele su acomodo a la misma.
2) Tampoco podremos pensar que el tratamiento de estos datos con la finalidad de control de acceso sea siempre contrario a la normativa de protección de datos, dado que a veces la garantía de seguridad para el acceso a determinadas instalaciones justifica que se usen estos datos. 
3) Por último, tampoco podemos creer que el uso de estos datos sea siempre acorde con la normativa de protección de datos, porque entonces caeríamos en el "ancha es Castilla" y habría peligro de uso indiscriminado de estos tratamientos. 


En consecuencia...

Mano, Dedo, Parada, Final, Apagado

La AEPD cree que la finalidad esgrimida por el consultante para establecer este tipo de sistema no es suficiente: demasiado riesgo existiendo otras opciones menos peligrosas para conseguir la misma finalidad. Y ojo, que también dice que el hecho de que los alumnos estuvieran de acuerdo con la idea de usar este sistema NO LEGITIMA SU USO. 


Tiempo, Reloj, Despedida, Decir Adiós



Y hasta aquí llega el post de hoy; espero que os haya resultado interesante.
Gracias por pasar por aquí; nos vemos en el siguiente post.
Hasta la próxima! ;-)