OpiniónSeguridad

¿Dónde queda el derecho a la privacidad?

Privacy impact assestment de las aplicaciones de reconocimiento facial. María Suárez, Socio, Partner de Dalawyers.

María Suárez, Socio / Partner de Dalawyers
María Suárez, Socio / Partner de Dalawyers

Cuando veíamos películas como ‘Minority Repor’ (Steven Spielberg, 2002) o ‘Ithaca’ (Meg Ryan, 2015), las tecnologías que podían crear patrones genéticos capaces de predecir que una persona fuera a ser un criminal o un ser perfecto y, en base a ello, adoptar decisiones automatizadas, eran ciencia ficción.

Hoy, 18 y 5 años después, gracias a las tecnologías basadas en la IA ya están aquí. Un ejemplo claro son las cámaras de videovigilancia y lo que nos permiten las aplicaciones de reconocimiento facial, con la combinación de los algoritmos adecuados.

Es cierto que su instalación cumple una misión de protección de los intereses vitales y públicos de las personas físicas, los bienes y servicios pero, la videovigilancia, llevada al extremo limita la libertad de movimiento de las personas, el uso anónimo de los servicios y, en general, lo que viene siendo ‘pasar desapercibido’, por lo que el impacto en el derecho a la privacidad, reconocido como un derecho fundamental tanto en la Carta Europea de Derechos Fundamentales y en la Constitución Española, es enorme.

La videovigilancia, llevada al extremo, limita la libertad de movimiento de las personas, el uso anónimo de los servicios y, en general, lo que viene siendo ‘pasar desapercibido’

La grabación de imágenes y su almacenamiento, unido a la aplicación de tecnologías basadas en la IA y el desarrollo de los algoritmos, podrían desvirtuar la finalidad para la que originariamente se instalaron dichos dispositivos y utilizar la información para otros fines, como análisis de audiencias, publicidad o servicios dirigidos.

Pongamos un ejemplo, un establecimiento hotelero quiere segmentar a sus clientes y diferenciar a los que consumen producto de más de lujo (cliente VIP) para ofrecerle un trato diferenciado, fidelizarlo y, en definitiva, incrementar su negocio. Utiliza el sistema de videovigilancia, instalado para garantizar la seguridad de las personas físicas y los bienes, e implanta una aplicación de reconocimiento facial que permite identificar al ‘cliente VIP’ cuando entra en el hotel y así desplegar todos los servicios previsto para él.

Videovigilancia

El 29 de enero de 2020, la Comisión Europea publicó la Guía 3/2019 sobre tratamiento de datos a través de sistemas de videovigilancia, adoptada el 19 de julio de 2019 (i) , con objeto de analizar el impacto que en el comportamiento de los ciudadanos tiene el incremento de la instalación de estos dispositivos, más allá del cumplimiento de la finalidad de seguridad e integridad de las personas físicas y de los bienes, y el que en materia de privacidad puede tener la instalación de estas aplicaciones de reconocimiento facial.

Igualmente, debemos tener en cuenta la opinión que finalmente tenga la Comisión Europea en el Libro Blanco (ii) sobre IA que está elaborando, sobre el uso de estas tecnologías, en el que de momento está pensando en prohibir su uso en lugares públicos durante un periodo de entre tres y cinco años.

Se estudia prohibir el uso de tecnologías de reconocimiento facial en lugares públicos durante un periodo de entre 3 y 5 años

De acuerdo con el RGPD, estas tecnologías permiten el análisis sistemático de personas, su identificación y realizan perfilado, por lo que, su instalación deber realizarse desde el respeto al derecho a la privacidad y a los principios consagrados en el RGPD: legalidad, necesidad, proporcionalidad y minimización.

Fabricantes y desarrolladores de estas tecnologías, así como las empresas que las utilicen deberán realizar, con carácter previo, una Evaluación de Impacto en privacidad tal y como establece el artículo 35 del RGPD, para analizar:

  • Datos que recoge el sistema
  • Si es un sistema que graba y almacena o toma imágenes en tiempo real
  • Si recoge datos considerados de especial protección
  • Finalidad del tratamiento
  • Evaluación de su relevancia y suficiencia. Es decir, si no existe otro medio menos intrusivo para conseguir la finalidad que se pretende
  • Análisis de riesgos

En consecuencia, entre tanto se establezca el marco regulatorio, desarrolladores, fabricantes y usuarios de estas tecnologías deberán tener en cuenta el impacto en privacidad que generan y diseñarlas desde el respeto a los principios en privacidad, porque de esa manera seguro podrán liderar el sector al generar confianza en los usuarios y ganar así competitividad.

(i) Guidelines 3/2019 on processing of personal data through video devices EDPB Plenary meeting, 09-10 July 2019 https://edpb.europa.eu/sites/edpb/ files/consultation/edpb_guidelines_ 201903_videosurveillance.pdf

(ii) WHITE PAPER On Artificial Intelligence - A European approach to excellence and trust (19.2.2020) https://ec.europa.eu/info/sites/info/ files/commission-white-paper-artificial-intelligence- feb2020_en.pdf

Computing 794