La AEPD sanciona por uso inadecuado de un sistema de reconocimiento facial

2023-05-19T13:44:00
España

La (adecuada) realización de evaluaciones de impacto previas al tratamiento importa 

La AEPD sanciona por uso inadecuado de un sistema de reconocimiento facial
19 de mayo de 2023

La realización de evaluaciones de impacto de protección de datos (“EIPD”) previas al tratamiento y su resultado sí importan. Así lo recuerda la Agencia Española de Protección de Datos, quien acaba de imponer una multa de  doscientos mil euros por emplear en la edición de una feria que se celebró el pasado 2021 un sistema de reconocimiento facial sin cumplir con los requisitos que establece el Reglamento General de Protección de Datos (“RGPD”) en relación con las EIPD.

Como sabemos, el RGPD introdujo el concepto de EIPD como herramienta para evaluar cuáles son los potenciales riesgos a los que están expuestos los datos personales en función de las actividades de tratamiento que se llevan a cabo. Entre otros escenarios, en virtud del artículo 35 del RGPD esta EIPD deberá ser imperativamente realizada cuando un tratamiento, por su naturaleza, alcance, contexto o fines o, en concreto, cuando implique el uso de nuevas tecnologías, pueda entrañar un alto riesgo para los derechos y libertades de los interesados.

Pues bien, recordado lo anterior, resulta necesario hacer un recorrido a través de los hechos que motivaron la sanción recientemente impuesta por la AEPD. Estos fueron, en concreto, los siguientes:

En la edición de la feria indicada, todavía en un contexto social marcado por la pandemia de COVID-19, la organización del evento había implementado un procedimiento de verificación de la identidad de los asistentes y de acceso en virtud del cual éstos debían subir al sistema sus documentos oficiales de identidad, para que posteriormente fueran matcheados, mediante un sistema de inteligencia artificial (un token biométrico), con los rasgos faciales de cada uno los asistentes en el momento de acceder al recinto.

Para justificar la implementación de este sistema, la compañía alegó principalmente 

  • motivos de seguridad - incluida la necesidad de verificar la identidad de los asistentes - en el contexto de una crisis sanitaria mundial, 
  • su obligación de cumplir con el requerimiento de las autoridades policiales y legislación aplicable, que exigían la subida a la web de determinada documentación de identificación, y 
  • el fomento de una mayor agilidad en los accesos al recinto. Además, y según se indicaba en la información sobre protección de datos aportada a los interesados, el tratamiento se basaba en el consentimiento expreso y voluntario de los mismos.

Sin embargo, y a raíz de una reclamación interpuesta por una particular rotundamente disconforme con el procedimiento descrito, la AEPD cuestionó la legitimidad del tratamiento, así como, inter alia, la deficiencia de la información proporcionada a los interesados en materia de protección de datos, la voluntariedad del tratamiento o la suficiencia de las medidas de seguridad adoptadas. Pero además, y en todo caso, constató que el organizador del evento no habría realizado con carácter previo al inicio del tratamiento la evaluación de impacto previa que exige la normativa, siendo éste el motivo por el que la organización fue severamente sancionada.

En línea con lo señalado, la AEPD pone el acento sobre determinadas cuestiones a tener en cuenta por las todas las organizaciones que deban evaluar el impacto de sus tratamientos de datos personales. En concreto, la AEPD recuerda la necesidad de documentar toda EIPD, así como de abordar en ella no sólo los riesgos observables sino también una evaluación exhaustiva de las opciones alternativas menos intrusivas disponibles y de las medidas a adoptar para abordar los citados riesgos. Además, señala que toda EIPD debe actualizarse periódicamente a lo largo del ciclo de vida de todo tratamiento que se extienda en el tiempo y, enfatizando la relevancia y dimensión de este tipo de análisis, rechaza el empleo de formalismos y documentos modelo que permitan adaptar dicho análisis a cualquier tratamiento realizando cambios mínimos sobre el mismo.

Aunque el organizador de la feria continuó empleando este sistema en ediciones ulteriores, la resolución únicamente se refiere a la infracción cometida en la edición del 2021. Sin embargo, habrá que esperar para saber si el mecanismo implementado por dicho organizador también en ediciones posteriores del evento podría ser nuevamente sancionado por la autoridad española.

En todo caso, cabe esperar que las autoridades competentes en materia de protección de datos vayan a vigilar de cerca la implementación y uso de este tipo de tecnologías, implementación que si bien ya estaba presente en los últimos años, se disparó con la aparición de la pandemia de COVID-19 tratando de evitar y/o disminuir en la medida de lo posible cualquier contacto físico. Ahora, (más) conscientes de sus beneficios y con la experiencia adquirida, parece que estas tecnologías se han asentado de forma definitiva, buscando aportar y garantizar tanto una mayor seguridad como una mayor comodidad. Miles de empresas la utilizan, y la AEPD les está avisando: el uso de tecnologías de reconocimiento facial (entre otras) requiere el cumplimiento de la normativa de protección de datos, cumplimiento que estará sujeto a un severo escrutinio dada la mayor injerencia que su uso supone en el derecho a la protección de datos de las personas físicas.

19 de mayo de 2023