El Comité Europeo de Protección de Datos (EDPB) señaló que el uso del reconocimiento facial en los aeropuertos puede cumplir con los requisitos del GDPR, pero que los aeropuertos deben usar otros métodos que sean menos sensibles a la privacidad.
Datos biométricos
Los datos biométricos constituyen datos personales sensibles en el sentido del artículo 9 del RGPD. El tratamiento de estos tipos de datos personales puede entrañar, entre otras cosas, riesgos importantes para los interesados. Por lo tanto, dichos datos no deben procesarse, a menos que sea absolutamente necesario. Cuanto más sensibles sean los datos personales, mayor será el nivel de seguridad requerido. Las empresas que procesan datos personales deben tomar suficientes medidas de seguridad organizativas y técnicas para, entre otras cosas, protegerlos.
Las empresas deben analizar si el uso del reconocimiento facial, que es el procesamiento de datos biométricos, es realmente necesario. En Suecia, la Junta de la Escuela Secundaria en Skellefteå tuvo que pagar una multa, porque utilizaron el reconocimiento facial para registrar la asistencia de sus estudiantes en violación del GDPR.
Uso del reconocimiento facial en los aeropuertos de conformidad con el RGPD
La autoridad francesa de protección de datos solicitó un dictamen del Comité Europeo de Protección de Datos (CEPD) sobre el uso del reconocimiento facial en los aeropuertos. A continuación se resumen los principales puntos del dictamen:
- Ubicación de almacenamiento: Los datos personales sensibles requieren un almacenamiento más seguro que los datos personales ordinarios. El CEPD señaló que los aeropuertos pueden tener una base de datos central con una clave de cifrado, pero a la que solo tiene acceso el interesado. Alternativamente, es el interesado quien debe almacenar los datos personales por sí mismo.
- Duración del almacenamiento: Cuando las empresas, organizaciones u organismos públicos traten datos personales, determinarán un período de conservación. Dado que los datos biométricos constituyen datos personales sensibles, los aeropuertos deben tener motivos suficientes para tratar los datos personales durante el período de conservación previsto.
- No existe un requisito uniforme en la UE para identificar a los pasajeros en los aeropuertos
En la UE, no existe un requisito uniforme para identificar a los pasajeros en los aeropuertos. Por lo tanto, un aeropuerto que no identifique a un pasajero a través de un documento de identidad (como un pasaporte o un documento de identidad de la UE) no debe utilizar el reconocimiento facial.
Papel de las autoridades de protección de datos en la supervisión de la inteligencia artificial
Cada Estado miembro debe designar una autoridad de vigilancia del mercado de conformidad con la Ley de IA a más tardar el 2 de agosto de 2025. Según la recomendación del Comité Europeo de Protección de Datos, debe ser la autoridad de protección de datos del país, ya que los sistemas de IA y el tratamiento de datos personales van de la mano. La autoridad que cada país debe designar debe ser un punto de contacto entre los ciudadanos y las partes interesadas y, entre otras cosas, tener la facultad de supervisar y supervisar a las empresas que operan sistemas de IA.
