Por qué el reconocimiento facial y los datos biométricos solo deberían usarse en situaciones excepcionales, según los expertos

• ​​​​​​Los datos biométricos están especialmente protegidos por la normativa europea y solo deben utilizarse en situaciones excepcionales: por eso, la agencia sueca de protección de datos ha multado con más de 18.000 euros a un colegio que probaba el reconocimiento facial para controlar la asistencia de sus alumnos.
• Pero, ¿por qué hay que tener especial cuidado con esta información?
• Los expertos remarcan que los datos que registran los sistemas de reconocimiento facial proporcionan un retrato mucho más exacto que una fotografía, y que suponen una información que, en caso de ser robada, podría generar problemas importantes.
• Especialmente en el futuro, cuando su uso esté más generalizado: en China estos sistemas ya están muy extendidos en los espacios públicos, y pronto podríamos hacer transacciones o entrar en casa solo con la cara.
• Por todo ello, el GDPR establece que deben utilizarse métodos menos invasivos y que no pongan en riesgo datos personales tan sensibles siempre y cuando sea posible, es decir, que su uso debe estar bien justificado.
• Un instituto catalán está usando reconocimiento facial para controlar la asistencia a clase, algo por lo que ha sido multado con 19.000 euros un colegio sueco.
• Descubre más historias en Business Insider España. 

"No entiendo por qué van contra el desarrollo de este sistema que lo que hace es ayudar a los padres. Veo más peligrosas otras cosas, como las redes sociales", asegura la madre de un alumno del instituto público Enric Borràs de Badadona (Barcelona) tras enterarse de que la agencia sueca de protección de datos ha multado con más de 18.000 euros a un colegio que probaba el reconocimiento facial para controlar la asistencia de sus alumnos, la misma tecnología que se usa desde 2012 en el Borràs.

"Yo creo que este sistema deberían tenerlo todos los colegios", reafirma la madre, representante del AMPA y que ha preferido mantenerse en el anonimato.

El reconocimiento facial de la empresa española XIP Solucions permite que los padres de los alumnos de 1º de la ESO del IES catalán reciban un SMS en sus móviles si sus hijos no han ido a clase tan solo unos minutos después de que esta empiece.

El mismo aviso por mensaje está implantado en el resto de cursos, pero es algo más lento, porque los profesores deben pasar lista de la forma tradicional.

Lo que para la Asociación de Madres y Padres de Alumnos (AMPA) del instituto es un inofensivo y útil control de asistencia que les ayuda a estar más tranquilos, seguros de que sus hijos han asistido a clase en caso de no recibir ningún SMS (y en una edad en que, aseguran, los niños piden con vergüenza que no les acompañen), para la agencia sueca y cinco abogados españoles consultados por Business Insider España es un incumplimiento del reglamento europeo de protección de datos (GDPR), que regula con especial cuidado el reconocimiento facial.

Leer más: Un instituto catalán está usando reconocimiento facial para controlar la asistencia a clase, algo por lo que ha sido multado con 19.000 euros un colegio sueco

¿Por qué es especialmente delicado el uso de datos biométricos?

La normativa europea, en vigor desde 2016, protege especialmente este tipo de datos (que son ya una realidad en los espacios públicos en algunas partes de China, pero que se están encontrando con obstáculos en sociedades occidentales por las implicaciones a nivel de privacidad) por su carácter estrictamente personal: proporcionan un retrato mucho más exacto que una fotografía, y es una información que, en caso de ser robada, podría generar problemas importantes, especialmente en el futuro, cuando su uso esté más generalizado.

"Los padres no dan importancia a un hecho que es muy importante", apunta la abogada especialista en privacidad y socia de ICEF Consultores Iciar López-Vidriero, "si roban esa base de datos al colegio, ese dato es de una categoría especial, porque es un dato biométrico".

Los datos biométricos son aquellos "datos personales obtenidos por procedimientos técnicos específicos referidos a las características físicas, fisiológicas o conductuales de una persona física que permitan o aseguren su identificación única, como imágenes faciales o datos dactilostópicos" (dactilares), según la definición del Reglamento General de Protección de Datos (RGPD, por sus siglas en español, GDPR en inglés).

Leer más: Multan con más de 18.000 euros a un colegio por utilizar cámaras de reconocimiento facial para controlar la asistencia de los alumnos

Así, es la misma situación que en el caso de las huellas dactilares: para el uso de todos estos datos no vale con conseguir el consentimiento (en este caso de los padres de los alumnos, como creía el colegio sueco), sino que su tratamiento exige un cuidado y unos motivos muy concretos.

En el mismo sentido se expresa la experta en tecnología y privacidad y CEO y fundadora de Legal Army Natalia Martos: "los puntos de tu cara solo te pueden identificar a ti, por eso [el GDPR] les otorga un régimen de protección superior que a otros datos como el nombre y el apellido, el email, el domicilio, el DNI... es más que todo eso". 

"Son datos que en un futuro podrían ser utilizados para manejar tu cuenta bancaria, para hacer todo tipo de transacciones, para acceder a quién sabe qué aplicaciones, para entrar a tu casa con un sistema domótico... por eso está tan extremadamente protegido".

El reconocimiento facial es un procedimiento que solo puede utilizarse cuando no queda más remedio

"Se equipara a un dato de salud en cuanto al nivel de protección que requiere", amplía Martos. 

"Y solo se puede utilizar un dato como el biométrico, que es especialmente sensible, cuando no te queda más remedio", remarca.

Martos también apunta que en caso de controles biométricos ─de reconocimiento facial o de control de huella─ en el sitio de trabajo, las empresas deberán proporcionar un método alternativo para identificarse ya que "no es estrictamente necesario utilizar un dato biométrico, que está especialmente protegido, para algo tan tonto".

"Si tienes otra vía para conseguir ese objetivo, nunca puedes irte a un dato sensible, porque te estás excediendo y cuando te excedes el reglamento te castiga", explica Martos.

En el caso del colegio sueco, la Agencia de Protección de Datos del país ha considerado que el sistema de la escuela viola varios artículos del Reglamento General de Protección de Datos (GDPR) incluso habiendo conseguido el colegio el consentimiento de los padres de los alumnos, porque el reconocimiento facial porque es un método que se entromete en exceso en la intimidad de los menores, y hay otros métodos menos invasivos que conseguirían el mismo fin.

Leer más: Google ha empezado silenciosamente a escanear todas tus fotos para identificar textos, pero podría estar incumpliendo el GDPR al no haberte pedido permiso primero

"La Inspección de Datos establece que el reconocimiento facial a través de una vigilancia con cámara a los estudiantes en su entorno cotidiano supone una invasión de su integridad y que el control de la asistencia puede realizarse con otros métodos que violan menos la privacidad que el reconocimiento facial", explica literalmente la agencia sueca en su comunicado (aquí resumido y en inglés).

La proporcionalidad es fundamental: puede ser obligatorio en una central nuclear, pero no en cualquier oficina

"Debemos partir de la base de que el tratamiento de datos biométricos con la finalidad de identificar unívocamente a una persona, como es el reconocimiento facial, se encuentra prohibido por el Reglamento Europeo de Protección de Datos", subraya López-Vidriero.

"Es una prohibición clara que sólo puede levantarse bajo excepciones y garantías", enfatiza.

Así, el GDPR exige llevar a cabo una "evaluación de impacto" donde evalúe el riesgo que correrían estos menores (en el caso del instituto) (aún más protegidos por la ley) de aplicarse este método, evaluación que debería contestar a si podría conseguirse el mismo resultado de otra forma menos intrusiva, entre otros.

Por eso el GDPR exige que quien lo utilice deberá tener en cuenta, según López-Vidriero, que:

• es necesario contar con un Delegado de Protección de Datos.
• así como haber realizado una evaluación de impacto y que haya sido revisada por el Delegado de Protección de Datos.
• ciertas medidas de seguridad y confidencialidad.
• un consentimiento explícito, aunque en el caso de los colegios este principio no se aplicaría ya que existe una relación de dependencia entre el alumno y el colegio y "se considera que el consentimiento no se está otorgando de una forma libre".
• y que un riesgo es que no funcione bien si los alumnos llevan objetos como gafas, pañuelos, gorras... 

"Yo en un centro no lo veo proporcional", explica la directora del área de Privacy, IT & Digital Business de Andersen Tax & Legal en Madrid, Isabel Martínez Moriel. "Si fuese madre... no veo proporcional que para vigilar que mi hija vaya al colegio tengan que aplicar reconocimiento facial, porque pueden utilizar otras medidas mucho menos invasivas", recalca.

Leer más: Facebook ha decidido dejar de venderse como "gratis para siempre" cambiando silenciosamente por primera vez en 10 años un aspecto clave su web

"No estamos hablando de una fábrica con componentes químicos peligrosos en los que no puede entrar cualquiera, ni de una central nuclear, no es nada así", incide.

Martínez Moriel precisa que al estarse utilizando datos biométricos en un centro educativo, constituye un caso muy particular no solo al tratarse de datos especiales, sino también al no considerarse que existe una relación de igualdad entre los niños, los padres (quienes autorizan el uso de los datos) y el organismo que pide esta autorización.

Igualmente, resalta, coincidiendo con el resto de abogadas consultadas para este artículo en que "hay que usar siempre el método menos invasivo", algo que se determinaría mediante la evaluación de impacto.

Una tecnología vetada en San Francisco y utilizada en los conciertos de Taylor Swift

Más allá de su impacto legal, en los últimos años la tecnología de reconocimiento facial ha mejorado y se ha expandido a la velocidad de la luz, llegando a lugar inimaginables hace poco, gracias al cloud computing, al machine learning y a la llegada de cámaras digitales extremadamente precisas, pero muchos expertos alertan de que estos avances están sobrepasando a la capacidad de los gobiernos de ayudar a proteger la privacidad.

La ciudad de San Francisco, por ejemplo, ha prohibido que su policía y otras instituciones utilicen el reconocimiento facial al considerar que se podría abusar de esta tecnología fácilmente, en parte ante las críticas de organizaciones activistas que protestaban por el posible abuso que podría suponer y porque avances así podrían llevar a EEUU a convertirse "en un estado de vigilancia opresivo".

El jurista Matt Cagle de la organización American Civil Liberties Union of Northern California (ACLU) declaraba al New York Times que este tipo de tecnología, que directamente califica de "tecnología peligrosa hacia el público", "da al gobierno un poder sin procedentes para rastrear a la gente en su vida diaria. Eso es incompatible con una democracia sana".

Asimismo, el reconocimiento facial se está utilizando en China para controlar a la minoría musulmana uigur mediante cámaras de vigilancia, según el mismo periódico.

Uno de los estudios que más repercusión ha tenido a la hora de alertar sobre los peligros de este sistema ha sido el informe del M.I.T. Media Lab, que apunta que la tecnología de reconocimiento facial de Amazon, Amazon Rekognition, falla a la hora de identificar a afroamericanos y mujeres.

Según el mismo, Rekognition se equivocó a la hora de identificar a mujeres en el 19% de las ocasiones, y el 31% de las veces en el caso de mujeres negras, frente al 100% de acierto con los hombres blancos, lo que podría llevar a que arreste erróneamente a un criminal en busca y captura.

En ese contexto, incluso los empleados de Amazon han enviado una carta a Bezos pidiéndole que deje de vender esta tecnología a la policía.

Por todo ello, algunos grupos piden que los gobiernos supervisen el despliegue de estos sistemas ya que pueden malutilizarse, llevando por ejemplo a que un algoritmo, y no una persona, tome estas decisiones policiales.

Otros, en cambio, están en contra de que se prohíba tecnología que puede llegar a ser útil, y a aportar a la sociedad, si se utiliza bien.

Existe un caso de uso curioso muy conocido en Estados Unidos. Taylor Swift ha utilizado el reconocimiento facial en sus conciertos para identificar a stalkers, situando un kiosko con vídeos de ella que grababa a quienes miraban los vídeos, información que luego se cruzaba con una base de datos de posibles stalkers de la cantante, ya identificados, según declaró un directivo de una compañía de seguridad a Rolling Stone, que no especificaba si el kiosko avisaba de alguna manera de esto.