¿En qué consiste el reconocimiento facial?

El sistema de reconocimiento facial es un tipo de identificación biométrica que utiliza los rasgos fisiológicos para verificar tu identidad.

El reconocimiento puede realizarse atendiendo a diversas técnicas, pero a rasgos generales, suele autentificarse la imagen de una cara desconocida con una base de datos preexistente para determinar su identidad.

Seguridad del reconocimiento facial

Cada vez son más los sectores que usan cualquier tipo de sistema de seguridad biométrica:

Seguridad nacional

El reconocimiento facial ha adquirido una creciente importancia para la seguridad, habiéndose implantado en algunos aeropuertos, estaciones y lugares con aglomeración de personas, lo que ha provocado críticas por sus deficiencias técnicas y legales.

Gobierno chino

El ejemplo más claro se encuentra en el Gobierno chino, quien ha adquirido y desarrollado un sistema de videovigilancia que engloba a más 20 millones de cámaras repartidas por todo el territorio chino.

Estas cámaras identifican la edad, raza, ropa, y el sexo de la persona. Además, es capaz de reconocer vehículos por marca, modelo, color, así como tipo de vehículo y saber si está siendo conducido o aparcado.

El gobierno de China utiliza dichas cámaras que escanean y comprueban las caras de los ciudadanos incluyéndolas en una base de datos nacional.

El sistema, además, puede informar a las autoridades sobre todos los lugares en los que ha estado en los últimos días y las personas con las que se ha relacionado.

El FBI

El FBI dispone de una base de datos donde almacena las caras de todos los ciudadanos estadounidenses.

Se cuestiona por considerarse potencialmente peligroso dado su elevado margen de error, al tiempo que ha sido tachado de racista,  debido a que incrementa sus fallos con personas de raza negra.

España

El reconocimiento facial genera dudas desde el punto de vista jurídico, pues la privacidad de las personas puede verse seriamente amenazada en aras de la seguridad nacional, al ser una materia excluida del ámbito del Reglamento general de protección de datos. 

En España, los ficheros de datos de carácter personal del Ministerio del Interior deben regirse por la Orden INT/2287/2014, de 25 de noviembreEnlace añadido por la extensión vLex.

Y en todo caso, el artículo 23-3Enlace añadido por la extensión vLex de la Ley 36/2015, de 28 de septiembreEnlace añadido por la extensión vLex, de Seguridad Nacional establece que una situación de interés para la seguridad nacional en ningún caso podrá implicar la suspensión de los derechos fundamentales y libertades públicas de los ciudadanos, por lo que habrán de respetarse los derechos a la intimidad y a la propia imagen protegidos por el artículo 18Enlace añadido por la extensión vLex de la Constitución EspañolaEnlace añadido por la extensión vLex y la a Ley Orgánica 1/1982, de 5 de MayoEnlace añadido por la extensión vLex, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen.

Entidades financieras

Desde el punto de vista del tráfico mercantil, también existe la posibilidad de realizar contrataciones mediante el reconocimiento facial, como es el caso de las app de varias entidades financieras, que permiten la apertura de una cuenta bancaria,  empleando esta técnica.

Aunque es necesario aportar datos personales como nombre, apellidos, domicilio, etc., así como la determinación de un PIN de acceso y una contraseña de voz para acceder a la cuenta o validar una operación,  la novedad radica en que la aplicación identifica al usuario comparando su rostro con la imagen almacenada en la base de datos de la aplicación, que fue obtenida cuando el usuario subió el selfie que se le solicitó al darse de alta. 

Es decir, que para poder utilizar este sistema, los clientes deben registrar antes sus datos biométricos en las oficinas del banco,  y autorizar su uso.

En supuestos como este, el hecho de que el usuario sea consciente de que se le está sometiendo al reconocimiento facial, excluiría la vulneración de sus derechos, por existir consentimiento expreso al tratamiento de la imagen, sin perjuicio de que el usuario habrá de ser correctamente informado sobre el tratamiento de sus datos personales, incluidos los adquiridos de sus rasgos faciales.

En aeropuertos

En el Aeropuerto de Menorca se ha puesto en marcha una prueba piloto de embarque de pasajeros a través del reconocimiento facial biométrico, que va a comenzar su implantación en una primera fase piloto para validar su funcionamiento con los pasajeros,  y que postula a convertirse en la herramienta con la que decir adiós a las tarjetas de embarque tradicionales. 

Otros usos

  • Para el reconocimiento facial existe un software muy variado. Cada vez proliferan más las aplicaciones y programas que permiten identificar a una persona por los rasgos de su cara. Incluso, algunas de estas apps son gratuitas. (Social Mapper, Open Face)
  • Los teléfonos móviles actuales también están incorporando ya este tipo de tecnología, como el sistema de reconocimiento facial Xiaomi que la empresa china emplea en sus dispositivos, por ejemplo en modelos como el Mi Mix 2S o el Mi 8.
  • Incluso, cada vez es más frecuente incorporar este tipo de programas como método de control de accesos en empresas. Sobre todo se usa, de momento, en compañías de cierta envergadura, pero es probable que pronto sea frecuente encontrar este tipo de sistemas en cualquier tipo de negocio o empresa.
  • Amazon, por ejemplo, dispone de una tecnología que permite a las aplicaciones informáticas efectuar distintas funciones,  como la detección de rostros y texto dentro de las imágenes, los patrones de la voz,  y la simulación de cómo aprende el cerebro humano.

Programas gratis de reconocimiento facial, aplicaciones para teléfonos móviles, soluciones para buscar personas en redes sociales… La tecnología avanza a pasos agigantados y cada vez es más difícil mantener el anonimato, aunque se quiera.

reconocimiento-facial

Regulación legal del sistema de reconocimiento facial

Los datos biométricos se consideran datos de carácter personal a todos los efectos legales.

No cabe duda alguna que la cara es un dato de carácter personal, puesto que permite identificar de manera unívoca a una persona.

Por ello, su tratamiento, debe regirse por las distintas obligaciones de carácter técnico, jurídico, físico y organizativo previstas, principalmente por el Reglamento europeo de Protección de Datos y por su normativa de desarrollo en España (LOPDGDD).

El reconocimiento facial y la protección de datos

El RGPD, en su artículo 9, eleva estos datos personales a la característica de “Especialmente Protegidos”, por lo que cualquier software que utilice esta tecnología deberá cumplir con una serie de requisitos, para su tratamiento,  conforme a la normativa:

Informar previamente:

Antes de tomar cualquier imagen del interesado será un requisito inexcusable la información previa del mismo.

De conformidad con la normativa vigente, se deberá informar sobre quién es el Responsable, la finalidad para la cual se utilizará la imagen, el plazo de tiempo durante el cual se va a conservar el escaneo del rostro, y el resto de requisitos exigidos por el RGPD y LOPDGDD.

Solicitar el consentimiento del interesado: Consentimiento explícito

Una de las excepciones previstas por el RGPD,  a la prohibición de tratar datos biométricos, es que el interesado otorgue su consentimiento explícito para su tratamiento.

De manera que para aplicar este tipo de tecnologías será totalmente imprescindible el consentimiento previo del usuario.

Por ejemplo, el empresario que desee instalar un control de acceso, mediante el uso de estos datos, deberá hacer firmar a sus empleados un escrito mediante el cual dan su consentimiento  al tratamiento de los datos, y con fines de control de acceso.

Evaluación de Impacto

Es obligatoria la realización de una Evaluación de Impacto del sistema que se usará para el tratamiento.

Registro de las actividades de tratamiento

Será obligatorio mantener un registro de las actividades de tratamiento que se efectúen bajo la responsabilidad de la entidad.

Este registro deberá contener como mínimo la siguiente información:

  • nombre y los datos de contacto
  • responsable
  • corresponsable
  • representante del responsable
  • delegado de protección de datos
  • fines del tratamiento
  • descripción de las categorías de interesados y de las categorías de datos personales
  • categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales
  • plazos previstos para la supresión de las diferentes categorías de datos

Medidas de seguridad

Como responsables del tratamiento debemos garantizar la privacidad, y proteger esos datos de aquellas personas que no estén autorizados para tratarlos.

Además, debemos protegerlos de una destrucción o pérdida accidental o ilícita.

Las medidas técnicas para tratar estos datos deben ser las siguientes:

Cifrado

Como medida de seguridad para con estos datos, la nueva normativa exige el cifrado de los mismos mientras se encuentren alojados en la base de datos.

También, cuando estos datos sean comunicados mediante redes de telecomunicaciones, deberemos cifrarlos.

Control de acceso

Hay que destacar que la nueva normativa exige que se guarde un registro, de los accesos que se realicen a esta categoría especial de datos, que al menos contenga lo siguientes campos:

  • Persona que accede a los datos
  • Fecha y hora a la que accedió
  • Datos a los que se tuvo acceso

Almacenamiento

Los datos biométricos pueden tratarse y almacenarse de diferentes formas.

  • En ocasiones, la información biométrica capturada de una persona se almacena y se trata en bruto, permitiendo reconocer la fuente de la que procede. Por ejemplo, un selfie o la fotografía de una cara.
  • Otras veces, la información biométrica bruta capturada es tratada de manera que solo se extraen ciertas características o rasgos y se salvan como una plantilla biométrica.
  • Las autoridades de control europeas han manifestado que sería preferible no almacenar estos datos en una base de datos concreta, sino más bien sólo en un objeto disponible exclusivamente para el usuario, como una tarjeta con microchip, un teléfono móvil o una tarjeta bancaria.

Es decir, las aplicaciones de autenticación que se pueden llevar a cabo sin un almacenamiento centralizado de datos biométricos no debería suponer la utilización de excesivas técnicas de identificación.

Además señalan que si se va a realizar tal base de datos, se debería consultar y presentar al control previo de las citadas autoridades de control.

En todo caso, resulta recomendable que la información biométrica recabada se procese y almacene de una forma segura:
  • Que se almacenen en plantillas biométricas cuando sea posible
  • Que no se realice un almacenamiento centralizado de estos datos, si no que se almacene en dispositivos cifrados que porten los interesados
  • Es recomendable suprimir los datos biométricos de forma automática cuando se cumpla el tiempo necesario para el fin por el que fueron recogidos

Principio de necesidad, idoneidad y proporcionalidad en el tratamiento

  • Los datos biométricos deben ser recogidos para unos fines determinados.
  • No pueden realizarse tratamientos distintos a los que se recojan en el consentimiento.
  • El principio de necesidad implica que los datos biométricos que se vayan a recabar deben ser los adecuados. y nunca excesivos, para los fines que se vayan a tratar.
  • El principio de idoneidad y proporcionalidad hace referencia a los riesgos que puedan existir para la protección de los derechos y libertades fundamentales de las personas. Y para cuando los fines no pueden alcanzarse de otra forma menos agresiva.
Por tanto, habrá que realizar un juicio de proporcionalidad entre la finalidad perseguida y el medio que pretendo utilizar.

Por ejemplo, sería desproporcionado instalar un sistema que utilizara el reconocimiento facial de un empleado para poder usar el servicio. 

En cambio, no sería desproporcionado la instalación de un sistema de tratamiento de datos biométricos para control de entrada y salida de los empleados de determinadas zonas sensibles de la entidad.

¿Para qué finalidades se van a recabar los datos biométricos?

Las finalidades para las que recogemos datos biométricos son:

Control de presencia

Uno de los motivos más importantes por el cual, como empresa, nos vamos a decidir a implantar alguno de estos sistemas en nuestras oficinas,  va a consistir en  la identificación de los empleados para el acceso a las mismas.

Por este método vamos a saber a qué hora han llegado los trabajadores y a qué hora se han ido, las horas extraordinarias que han realizado, si han llegado tarde, si han estado de vacaciones y durante cuánto tiempo.

Identificación

Resulta mucho más seguro realizar la identificación del trabajador mediante estas técnicas y dejar las tácticas antiguas -como contraseñas o tarjetas- ya que estas técnicas pueden ser sustraídas fácilmente, pérdidas u olvidados.

Con los datos biométricos, ninguno de estos casos podría producirse ya que son datos que permanecen siempre con el trabajador y son invariables.

Control de la información

También podemos hacer uso de estos datos para determinar qué trabajadores van a tener acceso a determinadas zonas de alta seguridad o a determinados datos de carácter restringido.

Control de acceso

Permite a los trabajadores el acceso al recinto, a zonas restringidas para determinados sectores o departamentos. Normalmente se establece para zonas que requieren alta seguridad.

CONCLUSIONES

En virtud de todo lo aquí expuesto, debemos tener en cuenta que la utilización de estas tecnologías debería limitarse a casos específicos, donde se implanten las medidas de seguridad adecuadas, que garanticen la confidencialidad, integridad y resiliencia permanente de este tipo de datos especiales, sobre todo por el peligro que podría suponer el acceso de terceros a datos tan especialmente trascendentes en materia de privacidad.

Por tanto deberemos guardar especial cuidado si decidimos tratar esta categoría especial de datos personales y deberemos cumplir escrupulosamente con la normativa en protección de datos, tanto europea como nacional.