Sistema de reconocimiento facial, machine learning, big data… La tecnología de vanguardia es cada vez más importante en el día a día de las empresas y los ciudadanos. De hecho, el desarrollo de la Inteligencia Artificial (IA) sigue imparable, con las Autoridades y reguladores tratando de poner límites e implantar medidas de control de los efectos que estos sistemas (desconocidos en este sentido) tienen sobre la privacidad de las personas. Tal como hemos visto respecto de ChatGPT, y su bloqueo temporal y solicitud de medidas correctoras en Italia, o la investigación abierta por la Agencia Española de Protección de Datos (AEPD).
En este sentido, de la conjunción de la IA y la protección de datos personales el problema más habitual es el relacionado con los sistemas biométricos de identificación, como un sistema de reconocimiento facial, tan complejos en lo que a privacidad y protección de datos se refiere.
Un nuevo ejemplo de esta problemática es el que ha resultado en la imposición de una nueva sanción de multa de 20.000 euros a una fábrica española por su sistema de reconocimiento facial, por parte de la AEPD.
En este caso concreto, la empresa procedió a tomar una fotografía de sus 470 empleados para la creación de una plantilla biométrica que respaldase el sistema de reconocimiento facial que estaban implantando para llevar a cabo la implementación del registro horario de la jornada laboral regulado en el artículo 34.9 ET.
En este sentido, la empresa entendía legitimado este tratamiento en:
- El artículo 6.1.c) del Reglamento General de Protección de Datos (RGPD), esto es, «el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento».
- El consentimiento expreso del usuario del artículo 6.1.a).
Sistema de reconocimiento facial y legitimación
Pues bien, es cierto que es obligación de la empresa llevar a cabo ese registro, es cierto que esa obligación legitima el tratamiento de los datos de identificación de los empleados que deriven de llevar ese control, pero la AEPD no considera cumplida tal legitimación, por cuanto:
- El documento para recabar consentimiento que se entregó a los empleados no informaba de que la creación del sistema de reconocimiento facial fuese el fin del tratamiento de la biometría de su cara (a través de la fotografía).
- Aplicando el principio de proporcionalidad del tratamiento, existen otras operaciones de toma y tratamiento de datos que, cumpliendo de igual manera el objetivo pretendido, resultan menos invasivas para los derechos y libertades fundamentales de los usuarios y, por tanto, deben ser las empleadas.
Evaluación de Impacto de Protección de Datos
Por otro lado, y aun en caso de que considerase que había legitimación para llevar a cabo este tratamiento, y la consecuente implantación de este sistema, la AEPD establece otro incumplimiento en cuanto a la manera en que se ejecutó el procedimiento de implantación, concretamente en lo que a la Evaluación de Impacto de Protección de Datos (EIPD) del artículo 35 RGPD se refiere.
De esta manera, de acuerdo con la invasión a que se hacía referencia, la empresa estaba obligada a, en primer lugar, recabar el asesoramiento del Delegado de Protección de Datos (DPD) de la empresa para, posteriormente, actuar con la diligencia debida y cumpliendo los contenidos mínimos que reglamentariamente se establecen para la EIPD en el artículo 35.7 RGPD:
a) una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;
b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;
c) una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1,
y d) las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.
Con base a estas infracciones, la AEPD ha interpuesto la sanción de multa administrativa anteriormente indicada, así como ha instado a la empresa a que limite «temporal o definitivamente» el tratamiento del sistema de reconocimiento facial mientras no cuente con una Evaluación de Impacto que analice debidamente desde la necesidad hasta los últimos riesgos que puedan derivar de la recogida y tratamiento de los datos identificativos de los trabajadores.
El futuro de los sistemas biométricos de identificación
Como comentamos en la introducción, y en otros artículos sobre Inteligencia Artificial y protección de datos, el ritmo de desarrollo de estas inteligencias artificiales parece difícil de parar y, en cuanto a los sistemas biométricos de identificación parece que pronto pasaremos del sistema de reconocimiento facial, a un siguiente paso, en el que la identificación se lleve a cabo por la geometría de las venas de los usuarios.
De esta manera, de un lado los impulsores consideran que se trata de un sistema mucho más preciso de identificación que el sistema de reconocimiento facial, ya que este «reconocimiento vascular» se apoya en un patrón (las venas) que no cambia con el paso del tiempo, por tanto, simplifica el apoyo en una base de datos única que respalde la posterior identificación.
De otro lado, en términos de privacidad estaríamos ante un supuesto que podría ser considerado, incluso, más invasivo que el sistema de reconocimiento facial, si bien ambos datos tendrían la consideración de «datos sensibles» en lo que al RGPD se refiere. Si bien todo parece indicar que esta situación será regulada por el Reglamento de Inteligencia Artificial en que la Comisión, Parlamento y Consejo están trabajando.
Veremos cuándo, cómo y dónde se pone el límite a una IA que sigue aprovechándose de nuestros datos personales para desarrollarse, ser más precisa y, en definitiva, «entrenarse». Estaremos pendientes.