ARTÍCULO 4, APARTADO 14, DEL RGPD
Tratamiento de datos personales cuando se utiliza el reconocimiento facial
Las normas sobre el tratamiento de datos personales cuando se utiliza el reconocimiento facial son estrictas, ya que incluye datos biométricos, que constituyen datos personales sensibles.
¿Qué son los datos biométricos?
Cuando una empresa utiliza tecnología de reconocimiento facial, se procesan los datos biométricos. La definición de datos biométricos se establece en el artículo 4, apartado 14, del RGPD. La técnica consiste en procesar las características físicas de una persona (geometría facial) para confirmar la identificación de una persona.
La plantilla biométrica creada por una cara y que consiste en un código numérico es un dato biométrico, aunque solo un modelo de IA puede leerlo. Esto se debe a que es único y puede confirmar, o alternativamente habilitar, la identificación de un individuo. Además, se trata de datos biométricos si el tratamiento se lleva a cabo con el fin de identificar inequívocamente a una persona física.
Los datos biométricos constituyen datos personales sensibles
Los datos biométricos constituyen datos personales sensibles en el sentido del artículo 9 del RGPD. El procesamiento de estas categorías especiales de datos personales está prohibido como regla general, pero hay excepciones. Sin embargo, tenga en cuenta que las normas son más estrictas cuando se procesan datos personales confidenciales.
Ubicación de almacenamiento de datos biométricos
Según el CEPD, la mejor solución de almacenamiento de datos biométricos está en manos del propio interesado. En otras palabras, en la unidad que está en posesión del interesado. Otra opción es tener el almacenamiento en una base de datos central. Sin embargo, solo el interesado debe tener acceso a la clave de cifrado. Además, es importante garantizar que la autorización se conceda únicamente a quienes necesiten acceder a la información.
Tecnología de reconocimiento facial: Debe ser proporcionado
Tenga en cuenta que el uso de la tecnología de reconocimiento facial debe ser proporcional a la finalidad del tratamiento. Esta es una medida sensible a la privacidad. Cuando el mismo propósito pueda lograrse de una manera menos sensible a la privacidad, no deben utilizarse tecnologías de reconocimiento facial.
Tratamiento de datos personales cuando se utiliza el reconocimiento facial
Hay una serie de usos en los que el reconocimiento facial puede ser adecuado para las empresas. Por ejemplo, en:
- Banca y finanzas, por ejemplo en la identificación de clientes;
- Comercio, como gimnasio sin personal.
- Aeropuertos, para aumentar la seguridad
Usos para el reconocimiento facial
Verificación de 1 a 1
El reconocimiento facial se puede utilizar para verificar a una persona física. En otras palabras, hay una plantilla biométrica guardada en comparación con otra plantilla. Esto ocurre, por ejemplo, en algunos gimnasios sin personal, que admiten miembros al gimnasio a través de tecnología y cámaras que usan reconocimiento facial en la entrada. La imagen de la cámara se compara con la imagen del individuo almacenado en la base de datos, para determinar qué tan alta es la probabilidad de que sea la misma persona. Esto se denomina «verificación 1 a 1».
1 a muchas identificaciones
Otra forma de utilizar el reconocimiento facial es identificar a las personas mediante «de una a muchas identificaciones». En otras palabras, hay una plantilla biométrica guardada que se compara con varias personas. Por ejemplo, si un aeropuerto tiene una base de datos de plantillas biométricas de personas buscadas y las cámaras del aeropuerto tienen un modelo de IA entrenado para poder encontrar personas buscadas entre las personas en el aeropuerto.
Riesgos del uso de la tecnología de reconocimiento facial
Existen varios riesgos con el uso de la tecnología de reconocimiento facial y es bueno entenderlos antes de usarlo. Aquí hay dos áreas de riesgo con tecnología de reconocimiento facial:
El resultado es una estimación, no una confirmación definitiva. En otras palabras, dos plantillas biométricas se comparan entre sí y la calidad de estas puede afectar el resultado.
Existe un riesgo de discriminación y sesgo si, por ejemplo, un modelo de IA para tecnología de reconocimiento facial ha sido entrenado principalmente con personas de un origen o apariencia particular.
Bases jurídicas cuando se utiliza la tecnología de reconocimiento facial
Una base jurídica común para que los agentes privados, como una empresa, apoyen el tratamiento en torno al reconocimiento facial es el consentimiento. Tenga en cuenta, sin embargo, que los requisitos para el consentimiento son más altos de lo habitual, ya que se refiere al procesamiento de datos personales sensibles. Esto significa, entre otras cosas, que el consentimiento debe ser explícito.
El interés legítimo, que por lo demás es una base jurídica común para muchos tipos de tratamiento, no es adecuado, ya que se refiere a datos personales sensibles y no cumple ninguna de las excepciones a dicho tratamiento.
Salvaguardias para minimizar los riesgos de la tecnología de reconocimiento facial
Qué garantías precisas debe tomar una empresa para minimizar los riesgos de la tecnología de reconocimiento facial es difícil de decir, ya que difiere en función de las circunstancias y situaciones en cuestión. Estas son algunas medidas de protección que pueden ser apropiadas:
Cifrado de datos personales
Puede ser apropiado almacenar los datos personales encriptados, de modo que una persona que accede sin autorización, por ejemplo, a los datos biométricos, no pueda leer directamente a quién pertenecen, sin la clave de cifrado.
Gestión de la elegibilidad
Garantizar que solo las personas que necesitan acceder a los datos personales almacenados en la base de datos tengan acceso a ellos.
Realizar y documentar una evaluación de impacto
Puede ser conveniente llevar a cabo y documentar una evaluación de impacto antes de utilizar la tecnología de reconocimiento facial. Además, es posible que la empresa tenga que solicitar una consulta previa con la autoridad nacional de protección de datos, una vez realizada la evaluación de impacto.
MÁS SOBRE RGPD
Información sobre el RGPD y la IA
La IA es un campo de gran actualidad que afecta, o afectará, a muchas empresas de la sociedad. Hay grandes oportunidades con la tecnología, pero también riesgos. El RGPD es un reglamento importante a tener en cuenta al desarrollar, proporcionar o utilizar modelos de IA en el área de la UE / EEE, ya que generalmente implica el procesamiento de datos personales. Además, en tales casos, también es importante tener en cuenta la Ley de IA de la UE.