Hace unos días, todos nos hacíamos eco por distintos medios, de que el presidente de la conocida cadena de supermercados MERCADONA, comunicaba la decisión de la compañía de implementar en cuarenta de sus tiendas de España, un sistema de detección anticipada en las cámaras de acceso de las tiendas basado en el uso de tecnologías de reconocimiento facial, con el fin de reforzar la seguridad tanto de los clientes como de los propios trabajadores, evitando que se produzcan robos en los locales e impidiendo el acceso de ciertas personas.

En concreto, este sistema es capaz de captar durante 0,3 segundos los rostros, cotejarlos con ficheros de imágenes y detectar la entrada de personas con sentencias firmes y medida cautelar de orden de alejamiento en vigor contra la cadena de supermercados o contra alguno de sus empleados; y una vez detectada la infracción y tras haberse contrastado que se trata de esa persona, se lo notifica a las Fuerzas y Cuerpos de Seguridad del Estado.

No cabe duda de la polémica que ha suscitado esta decisión, ya no solo por el impacto que tiene sobre la privacidad de las personas y que analizaremos en este artículo, sino porque, además, el proveedor del sistema utilizado y por tanto encargado del tratamiento, es AnyVision, una entidad israelí líder mundial de plataformas de reconocimiento facial, que se ha visto involucrada en varios escándalos recientes, tales como que su tecnología ha sido utilizada para identificar y vigilar a ciudadanos palestinos en Cisjordania.

Ya hemos analizado recientemente en este blog ciertas técnicas de reconocimiento facial. En concreto, las técnicas proctoring para la realización de los exámenes online o los sistemas de videovigilancia con reconocimiento facial, donde la Agencia Española de Protección de Datos (AEPD) ha emitido informes sobre aquellas cuestiones que generaban ciertas dudas.

Sin embargo, y si bien es cierto que la AEPD ya ha iniciado una investigación de oficio, la única información que tenemos por ahora, es la que proporciona la propia entidad a través de sus redes sociales, la información básica que aparece reflejada en los carteles informativos que han sido colocados en la entrada de cada uno de los establecimientos, y su propia Política de Privacidad ubicada en la web de la compañía, donde se proporciona la información adicional. De estas vías, podemos extraer la siguiente información:

- Existe un tratamiento de datos biométricos en aquellas tiendas de España donde esté implantado el sistema de detección anticipada.

- La finalidad del tratamiento consiste en poder llevar a cabo las actuaciones precisas para proteger los intereses vitales de los clientes cuando así sea necesario, o el cumplimiento de las resoluciones judiciales y las medidas en ellas acordadas.

- Estos datos serán tratados por razones de interés público con las consiguientes consideraciones previstas por la normativa de protección de datos.

- Los datos que recoge el sistema se tratan y se custodian durante el tiempo imprescindible para dar cumplimiento a las medidas judicialmente de aquellas personas condenadas a dicha orden de alejamiento.

De todas formas, los datos recogidos accesoriamente para cumplir con esta finalidad permanecerán en el servidor únicamente en el proceso de comprobación, que como decíamos al inicio, es de unas décimas de segundo. Una vez realizada esta comprobación procede a destruirse definitivamente.

- Estas imágenes o perfiles faciales biométricos únicamente se tratan a nivel interno por la entidad, siendo exclusivamente comunicadas a las Fuerzas y Cuerpos de Seguridad del Estado para proteger la seguridad de los clientes y trabajadores y el cumplimiento de las medidas decretadas judicialmente.

Ahora bien, ¿es esto suficiente para considerar que es lícita la implementación de estos sistemas de detección anticipada?

En primer lugar, debemos de partir de que se entiende por técnica de reconocimiento facial, toda tecnología que permite la identificación de una persona mediante el análisis de las características biométricas de su rostro.

De la detección del rostro de las personas en las cámaras, se extraen una serie de características que conforman un patrón biométrico facial que se coteja con información ya existente en ciertas bases de datos y se obtiene un porcentaje de similitud con la persona que se identifica para después tomar una decisión.

Aunque, por ejemplo, ya se está trabajando también esta técnica con un proyecto piloto en algún aeropuerto de España que consiste en que través del reconocimiento facial, se cruza el filtro de seguridad y se permite embarcar de forma más ágil; sin embargo, este caso que estamos analizando se trata de la primera experiencia masiva de implementación de esta técnica llevada a cabo en nuestro país.

En segundo lugar, ahondando en el tratamiento en cuestión, debemos aclarar que el rostro de una persona, en virtud del artículo 4 del Reglamento General de Protección de Datos (RGPD), se considera un dato de carácter personal, pues nos permite identificar a una persona física.

Publicado en Blog

A lo largo de estas últimas semanas estamos viendo cómo muchas empresas van volviendo poco a poco a su rutina, y adaptando sus espacios a esta “nueva normalidad”, que está provocando importantes cambios en nuestra manera de comunicarnos y relacionarnos en nuestro día a día. Es en esta nueva realidad donde estamos asistiendo a una importante aceleración en la implantación de nuevas tecnologías en la lucha contra la Covid-19: cámaras termográficas, uso de drones, tecnologías que permiten el conteo de personas para controlar el distanciamiento social y de aforo, sistemas de certificación de salud mediante códigos QR, controles de acceso para detección de equipos de protección y mascarillas entre otras constituyen el nuevo escenario en la transición a esta “nueva normalidad”.

Pues bien, entre todas estas soluciones tecnológicas están irrumpiendo con mucha fuerza las técnicas de reconocimiento facial que multitud de empresas de seguridad privada están ofertando en sus catálogos de productos y servicios. Estos sistemas cuentan con la ventaja de que se pueden integrar en los terminales de control horario y de accesos de las empresas e incluso en los propios sistemas de videovigilancia, y es precisamente en estos últimos donde se han suscitado muchas dudas en cuanto su uso y licitud en lo que a protección de datos se refiere.

Recientemente, el Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) ha venido a publicar un informe en el que resuelve algunas cuestiones en relación con los sistemas de reconocimiento facial integrados en sistemas de videovigilancia, empleados en la seguridad privada al amparo del art. 42 de la Ley de Seguridad Privada (en adelante LSP), que a juicio de la consultante estaría permitido por el artículo 9.2.g) del Reglamento Europeo de Protección de Datos, (en adelante RGPD) siendo suficiente a estos efectos que el usuario del servicio de seguridad sea titular del espacio a protegerse por la empresa de seguridad y que se trate de un dispositivo homologado por el Ministerio del interior.

Pues bien, para poder entender las conclusiones a las que llega la AEPD y que difieren radicalmente de las alegadas por la consultante debemos hacernos una serie de preguntas:

Publicado en Blog

No pretendo dar respuestas absolutas a un tema complejo y que en parte requiere de un conocimiento y ciertas valoraciones a nivel técnico, pero si compartir mi opinión y mis dudas con relación al nuevo apunte estrella indicado por la AEPD en el último informe emitido relativo a la utilización de técnicas de reconocimiento facial en la realización de pruebas de evaluación online (Informe N/REF: 0036/2020).

Parece que la AEPD, aunque sin concretar nada, nos deja abierto para el debate ciertas consideraciones que implicarían cambios sustanciales en el tratamiento dado a los datos biométricos bajo la óptica del RGPD. Desde esta perspectiva de generación de debate se podría decir que se agradece, aunque también siembra ciertas dudas sobre todos los profesionales que nos dedicamos día a día a la interpretación de la normativa de protección de datos. Veamos en concreto a que nos estamos refiriendo y que es lo que la AEPD comenta en su informe:

"Al objeto de aclarar las dudas interpretativas que surgen respecto a la consideración de los datos biométricos como categorías especiales de datos puede acudirse a la distinción entre identificación biométrica y verificación/autenticación biométrica que establecía el Grupo del Artículo 29 en su Dictamen 3/2012 sobre la evolución de las tecnologías biométricas:

Identificación biométrica: la identificación de un individuo por un sistema biométrico es normalmente el proceso de comparar sus datos biométricos (adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos (es decir, un proceso de búsqueda de correspondencias uno-a-varios).

Verificación/autenticación biométrica: la verificación de un individuo por un sistema biométrico es normalmente el proceso de comparación entre sus datos biométricos (adquiridos en el momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo (es decir, un proceso de búsqueda de correspondencias uno-a-uno)."

A raíz de la distinción establecida por el Grupo del artículo 29, la AEPD introduce lo siguiente:

Publicado en Blog

En nuestros tiempos una parte esencial del mundo de las comunicaciones son las Redes Sociales (RRSS), en las que todo se comparte. Tanto es así, que hay muchos usuarios que no son conscientes de los riesgos a los que quedan expuestos una vez que publican su información en las plataformas sociales, tales como Facebook, Instagram, etc. Uno de los riesgos de esta sobreexposición actual es el hecho de que tanto ciberdelincuentes como las propias multinacionales que se encargan de la gestión de las plataformas intenten aprovechar esos datos de carácter personal y explotarlos en beneficio propio.

Precisamente algo similar ocurrió en el año 2015 cuando un grupo de ciudadanos de la ciudad de Illinois comenzaron a cuestionar las prácticas utilizadas por Facebook. En concreto, en este caso, la red social estaba utilizando una nueva técnica de reconocimiento facial, a través de la cual se identificaba de forma automática a las personas que aparecen en las fotografías como "sugerencias para etiquetar".

¿Cómo funciona esta técnica?

En primer lugar, cuando un usuario de Facebook subía una fotografía gracias al reconocimiento facial se le indicaban las sugerencias de las personas con las que aparecía para poder etiquetarlas directamente, siempre y cuando estas fuesen amigos suyos en la red o amigos de sus amigos.

Una vez que la persona que sube la fotografía decide etiquetar a los usuarios sugeridos éstos recibían una notificación en su perfil de esa etiqueta y de la publicación en su biografía.

Hasta aquí, seguramente esta información resulte muy común dado que es una funcionalidad que todos los usuarios de Facebook conocen y puede resultar hasta “cómoda” y práctica a la hora de etiquetar a las personas con las que compartes tus momentos y fotografías.

Es en este punto donde nos preguntamos: ¿Dónde queda la privacidad de esas personas? ¿Qué normativa se encarga de regularlo?

Para una correcta respuesta, lo primero es determinar qué tipo de datos de carácter personal está tratando Facebook en el supuesto de estudio de este artículo, y tal y como hemos indicado con anterioridad al tratarse de una técnica basada en el reconocimiento facial, estamos por tanto ante un tratamiento de datos biométricos.

Establecido lo anterior, analizaremos brevemente la normativa que nos protege a nosotros junto con la aplicada en el caso concreto de estudio:

  • Normativa a nivel europeo:

El Reglamento General de Protección de Datos europeo (RGPD), define los datos biométricos de la siguiente forma (artículo 4.14):

Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirme la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos

A mayor abundamiento, el RGPD, concretamente en su artículo 9, eleva estos datos personales a la característica de “especialmente protegidos”, por lo que se si se quiere realizar el tratamiento de éstos, el responsable ha de cumplir con una de las bases jurídicas indicadas a lo largo del punto 2, que realmente se identifican como excepciones a la prohibición del tratamiento de este tipo de datos.

En el caso que nos atañe y en base a la normativa europea solamente se podría  haber aplicado la excepción del artículo 9.2.a), esto es, contar con el consentimiento explícito del interesado.

  • Normativa de Illinois:

En concreto, en el Estado de la controversia, cuentan con la Ley de Protección de Datos Biométricos (BIPA), que fue aprobada en 2008, precisamente para luchar contra la recogida y almacenamiento ilegal de información biométrica.

La ley referenciada requiere un consentimiento explícito para que las empresas recopilen marcadores biométricos de sus clientes, incluidas las huellas dactilares y los modelos de reconocimiento facial.

En base a la indicada normativa, los usuarios de Facebook y ciudadanos del Estado de Illinois presentaron una demanda colectiva alegando que la plataforma violó la BIPA cuando estaba escaneando imágenes de sus caras, sin su consentimiento, con el fin de utilizarlas para su herramienta de sugerencias para etiquetar.

Finalmente, después de una disputa judicial de casi cinco años, hace unas semanas la compañía que dirige Mark Zuckerberg informó de que se había llegado a un pacto con los demandantes. En dicho acuerdo extrajudicial se les ofrece pagarles 550 millones de dólares por haber usado sus datos biométricos sin permiso para sistemas de reconocimiento facial.

Pero ¿qué está haciendo Facebook actualmente con el reconocimiento facial?

Publicado en Blog

Recientemente hemos conocido una noticia polémica que ha avivado el debate sobre el uso de nuevas tecnologías en la privacidad de la población. Y no es para menos, ya que China a comienzos de este mes ha asentado un precedente peligroso a nivel mundial.

A partir de ahora, los ciudadanos chinos deben acceder a registrar los parámetros biométricos faciales si desean adquirir un teléfono móvil nuevo. Desde Pekín se argumenta que han adoptado estas medidas con la finalidad de “proteger los derechos y los intereses legítimos de los ciudadanos en el ciberespacio” pero las alarmas se han disparado, pues entendemos que lo que persiguen las autoridades es verificar las identidades de todos los usuarios en Internet, suponiendo una restricción para todas las personas que sólo buscan comunicarse libremente.

Actualmente China cuenta con una tecnología poco fiable, generalizada e innecesaria para llevar a cabo este “control” de la sociedad china. No olvidemos que ya existe una política de registro de la tarjeta SIM, por lo que el Estado ya es conocedor de la identidad del propietario de una SIM mediante identificación oficial, pasaporte o comprobante de domicilio. De esta manera, el registro obligatorio de la tarjeta SIM erradica el potencial problema del anonimato de las comunicaciones, pues permite el seguimiento de la ubicación y la vigilancia e intercepción de las comunicaciones. Numerosos estudios han afirmado que esta medida atenta contra el derecho a la privacidad y representa una amenaza para grupos vulnerables, siendo además una medida ineficaz para reducir el abuso de los servicios de telecomunicaciones para actividades criminales y fraudulentas. De hecho, han aumentado los delitos de suplantación de identidad, fomentando así el crecimiento del mercado negro para todos aquellos que desean permanecer en el anonimato, así como la compra de SIM extranjeras o el uso de teléfonos satélites para evitar completar los requisitos del registro de la tarjeta. David Kaye, profesor de derecho en la Universidad de California y relator especial de la ONU sobre la Promoción y Protección del Derecho a la Libertad de Opinión y Expresión ya señaló “el registro obligatorio de la tarjeta SIM puede proporcionar a los gobiernos la capacidad de monitorear a los individuos y periodistas mucho más allá de cualquier interés legítimo del gobierno”.

Publicado en Blog

El pasado mes de agosto ya analizamos, en nuestro Blog, la sanción impuesta, por la Agencia Española de Protección de Datos (en adelante AEPD), a un gimnasio por el uso de la huella dáctilar como medida de control de acceso. Recurrida la sanción ante la Audiencia Nacional (en adelante AN), ésta se desmarca del criterio seguido por la AEPD, en su resolución sancionadora, a la hora de evaluar el cumplimiento del principio de proporcionalidad estimando el recurso interpuesto y dejando sin efecto la sanción impuesta.

¿Por qué estima la AN el recurso interpuesto por el gimnasio?

Para arrojar algo más de luz en este tema, de forma sencilla y clarificadora y tomando como base los argumentos esgrimidos tanto por la AEPD en su día como ahora por la Audiencia Nacional a la hora de constatar superado o no el juicio de proporcionalidad, analizaremos comparativamente ambas resoluciones siguiendo, a su vez, la doctrina del Tribunal Constitucional, (STC 207/1996 de 16 de diciembre) en orden a determinar el grado de cumplimiento de los tres requisitos o parámetros siguientes: 

 
 Juicio de idoneidad: si tal medida es susceptible de conseguir el objetivo propuesto y si es probable que el sistema sea eficaz para responder a la necesidad en cuestión.
                             AEPD                         AUDIENCIA NACIONAL

 El registro mediante huella dactilar consigue dicha finalidad de identificación/seguridad de que la persona que accede al gimnasio es la que dice ser al poner el dedo en el lector. 

 

 En cuanto a que este sistema sea eficaz atendiendo a las características de la tecnología biométrica, se aprecia que los datos quedan almacenados en la base de datos del servidor, en lugar de una tarjeta que portase el propio interesado por lo que su tratamiento resulta excesivo no superando el juicio de idoneidad.

 La recogida y uso de la huella tiene como fin la prestación de un servicio, el cual es de acceso y uso del gimnasio y que el registro mediante huella dactilar consigue dicha identificación/seguridad que la persona que accede al gimnasio es la que dice ser al poner el dedo en el lector y correlacionar su algoritmo registrado, por lo que con ella se consigue el objetivo pretendido y dicho juicio de idoneidad  se cumple.
                   ×     NO SUPERADO                         √        SUPERADO
Publicado en Blog

En los últimos tiempos, el coste de las tecnologías que posibilitan el uso y tratamiento de datos biométricos tales como la huella dactilar para controlar el acceso de personas, ha disminuido tanto que los lectores de huellas empiezan a sustituir a las llaves, tarjetas, pulseras, contraseñas, etc. Ahora bien, ¿se puede utilizar de cualquier forma? ¿Qué requisitos se deben cumplir?

En primer lugar, conviene indicar que la Ley Orgánica 15/1999 de Protección de Datos (LOPD), no indicaba qué se entiende por dato biométrico, sin embargo, el Reglamento Europeo de Protección de Datos (RGPD) lo define como “aquel dato personal que se obtiene a través de un tratamiento técnico específico, relativo a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.
Con el RGPD, conviene prestar más atención, si cabe, respecto al uso de estos sistemas de control de acceso y las posibles sanciones que se puedan derivar del mal uso de los mismos.

La Agencia Española de Protección de Datos (AEPD) ha sancionado recientemente a un gimnasio (procedimiento N.º PS/00002/2018) a raíz de una denuncia interpuesta por uno de los socios. En este establecimiento, se venía utilizando como sistema de acceso, una pulsera identificativa, según el denunciante dicho sistema fue sustituido por un sistema de control mediante huella dactilar sin ofrecer a los usuarios otro medio alternativo.
El afectado denunció tal situación ante la AEPD por considerar que se trataba de un medio desproporcionado y por no habérsele entregado ningún documento en el que se recabase el consentimiento “a la aportación de sus datos biométricos”.

Tras iniciarse por parte de la AEPD las actuaciones correspondientes, el gimnasio vino a alegar en primer lugar, que no había tratamiento de datos biométricos al no identificarse a la persona puesto que la información recogida no era una huella sino parte de la misma convertida en un algoritmo matemático que no permite ser decodificado, y en segundo lugar, que la finalidad perseguida con la instalación de este sistema de control era permitir exclusivamente el acceso de clientes, sin que pudieran hacerlo personas ajenas y que tal fin no se conseguía con las tarjetas por poder ser estas transferibles. Por último, indica que sí que hay alternativas al uso de la huella que se utilizan para casos excepcionales, como, por ejemplo, lesiones, ya que se dispone de un torno de acceso con sistema de código de lectura.

¿Cómo ha resuelto la AEPD?

Pese a las alegaciones formuladas por el gimnasio, la AEPD ha sancionado a la entidad con una multa de 1500 euros, por considerar vulnerado el artículo 4.1 de la LOPD, vinculado al artículo 5.1 b) del RGPD.

¿Cuál es el criterio que utiliza entonces la AEPD en estos casos?

Publicado en Blog

En el artículo 4 del Reglamento General de Protección de Datos (Reglamento (UE) 2016/679), encontramos el elenco de definiciones. La primera de ellas, nos indica lo que debemos entender como dato de carácter personal y lo define como “toda información sobre una persona física identificada o identificable" .

Nos encontramos por tanto, que el RGPD establece que han de tenerse en cuenta todos aquellos medios, como por ejemplo la singularización, que pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física.

A este respecto en el considerando 26 se establece que: “para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos”. Por tanto, deberemos excluir toda información anónima, inclusive aquella con fines estadísticos o de investigación.

Por otro lado y respecto de lo que debemos entender por identificable, el RGPD nos dice “toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.

Es en este punto donde encontramos algunas novedades:

Publicado en Blog

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal