RGPD Y RECONOCIMIENTO FACIAL
Bases jurídicas cuando se utiliza la tecnología de reconocimiento facial
«Consentimiento» y «Contrato» son dos bases jurídicas que pueden ser adecuadas para apoyar el tratamiento cuando se realiza mediante el uso de tecnología de reconocimiento facial.
La tecnología de reconocimiento facial son datos biométricos
Dado que la tecnología de reconocimiento facial son datos biométricos, que son datos personales sensibles según el RGPD, los requisitos de procesamiento son más estrictos. Por ejemplo, no está permitido apoyar el tratamiento de datos personales sensibles sobre la base jurídica del «interés legítimo».
Bases jurídicas cuando se utiliza la tecnología de reconocimiento facial
Existen seis (6) bases jurídicas en el RGPD. Las empresas siempre deben aplicar una base legal para cada procesamiento individual, de lo contrario no se permite que el procesamiento se lleve a cabo. Los contratos con los interesados y el consentimiento de los interesados son dos bases jurídicas comunes cuando se utiliza la tecnología de reconocimiento facial.
RGPD - Contrato con un interesado
El contrato con un interesado es una base legal que significa que una empresa necesita procesar los datos personales para celebrar o ejecutar un contrato con el interesado. Por ejemplo, lo utilizan las empresas que procesan el nombre y la dirección del comprador para entregar los productos adquiridos.
Aquí hay dos ejemplos de cuándo esta base legal puede ser adecuada para su uso en el procesamiento relacionado con la tecnología de reconocimiento facial:
Sistema de inicio de sesión
Por ejemplo, un lugar de trabajo puede utilizar la tecnología de reconocimiento facial para iniciar sesión en usuarios autorizados en diferentes sistemas. De esa manera ninguna persona no autorizada puede acceder a ellos. Por lo tanto, puede formar parte de las obligaciones del trabajador en virtud del contrato de trabajo. Esto significa que el contrato con el interesado es la base jurídica.
Gimnasios/tiendas no tripulados
Los servicios no tripulados, como gimnasios o tiendas, pueden utilizar la tecnología de reconocimiento facial para dar acceso a personas autorizadas. Por ejemplo, un individuo debe pasar por un pasaje con una cámara, que compara una imagen tomada previamente de él, para que la tecnología determine si existe una probabilidad suficientemente alta de que sea una persona autorizada, con el fin de proporcionar acceso a los locales. En estos casos, el reconocimiento facial puede considerarse un proceso necesario para que la empresa cumpla el contrato celebrado con el interesado.
Consentimiento
El consentimiento es la base legal más común para que los actores privados apoyen el procesamiento con tecnología de reconocimiento facial.
Requisitos para el consentimiento válido
Los siguientes requisitos deben cumplirse para un consentimiento válido bajo el RGPD. El quinto requisito se refiere a los consentimientos relativos a datos personales sensibles.
Voluntario y específico
Voluntaria
El interesado dará su consentimiento libremente y sin presiones, coerciones ni consecuencias negativas. Para evaluar si el consentimiento es voluntario o no, debe tenerse en cuenta la relación de poder entre las partes. Si es desigual, generalmente no se considera un consentimiento voluntario. Por ejemplo, entre un empleado y un empleador, o un municipio y un ciudadano. Se consideró que una escuela que utilizaba tecnología de reconocimiento facial para el control de la asistencia incumplía el RGPD, ya que los estudiantes se encuentran en una posición de dependencia de la escuela y, por lo tanto, no se consideró que cumplieran los requisitos para un consentimiento válido.
Específicos
El consentimiento será válido para un fin claro y distinto. Debe ser un consentimiento limitado, que solo se aplica para un propósito específico. El interesado debe saber exactamente lo que está de acuerdo.
Informado, Retiro y Explícito
Informado
Las empresas deben informar a los interesados sobre el tratamiento de manera clara y transparente, al dar su consentimiento. Se realizará, entre otras cosas, en un lenguaje accesible e incluirá información sobre cómo funciona la tecnología, cómo se lleva a cabo el tratamiento de datos personales y qué medios alternativos de identificación además de la identificación biométrica pueden utilizarse.
Retirada
Los interesados podrán retirar su consentimiento en cualquier momento. Retirar el consentimiento debe ser tan fácil como darlo. Además, la información facilitada a los interesados especificará cómo puede tener lugar la revocación.
Explícito
Cuando se trata de los requisitos para el consentimiento al procesar datos personales confidenciales, son más altos. Requiere el consentimiento explícito e inequívoco del interesado, que no es necesario para el tratamiento de datos personales ordinarios.
MÁS SOBRE RGPD
Adoptar las medidas adecuadas para minimizar los riesgos que plantea la tecnología de reconocimiento facial
El RGPD exige a las empresas que implementen las garantías técnicas y organizativas adecuadas al procesar datos personales. Cuanto más importantes sean los datos personales, mayores serán los requisitos. La tecnología de reconocimiento facial implica el procesamiento de datos personales sensibles y, por lo tanto, los requisitos de seguridad son altos. Por ejemplo, puede ser conveniente llevar a cabo una evaluación de impacto antes del tratamiento y, posiblemente, solicitar una consulta previa con la autoridad nacional de protección de datos.