Nuevas tecnologías y seguridad - Consultoría de protección de datos

L’ús de sistemes de reconeixement facial per part de les empreses de seguretat privada

5 juny, 2020

L’ÚS DE SISTEMES DE RECONEIXEMENT FACIAL PER PART DE LES EMPRESES DE SEGURETAT PRIVADA

La Indústria 4.0 i implementació de les noves tecnologies ja és una realitat. Tal com hem pogut analitzar prèviament en altres articles d’aquest blog, l’ús d’aquestes tecnologies pot suposar un greu risc respecte a la privacitat i protecció de dades personals dels usuaris, havent-se de garantir en la configuració d’aquestes la correcta salvaguarda i respecte al cos normatiu vigent en matèria de protecció de dades i seguretat de la informació.

Exemple d’això, és la tecnologia de reconeixement facial que diferents empreses de seguretat privada del sector s’han plantejat incorporar en el mercat. Cal dir, que tals sistemes de reconeixement facial suposen una aplicació dirigida per ordinador que identifica automàticament a una persona en una imatge digital. Això és possible mitjançant una anàlisi de les característiques facials del subjecte, extretes de la imatge o d’un fotograma clau d’una font de vídeo, i comparant-les amb una base de dades.

En efecte, encara que aquesta tecnologia ens aporta grans beneficis (ja no sols en la seguretat privada amb videovigilància avançada, sinó també en altres àrees, com la de seguretat de la informació en l’inici de sessió, en seguretat en aplicacions, caixers automàtics, etc.) la realitat és que es qüestiona la privacitat del subjecte, i exemple d’això és l’informe publicat ahir (28 de maig) per l’Agència Espanyola de Protecció de Dades (AEPD).

El referit informe, analitza diverses qüestions que se li han plantejat a l’AEPD sobre la seguretat privada, entre les quals es troba la licitud d’incorporar sistemes de reconeixement facial en els serveis de videovigilància proporcionats per empreses seguretat privada. Resulta interessant analitzar aquest informe, i detectar si és possible o no el seu ús, i, en cas de ser-ho, que hauria de tenir en compte l’empresa de seguretat privada per a complir amb el cos normatiu vigent d’aplicació.

D’una banda, l’AEPD deixa clar que l’ús de tecnologies de reconeixement facial en els sistemes de videovigilància implica el tractament de dades biomètriques, sent un tipus de dades especialment protegides d’acord amb el Reglament General de Protecció de Dades (RGPD), que els cataloga com a categories especials en tractar-se de dades “dirigides a identificar de manera unívoca a una persona física”.

Això implica, que, d’acord amb el RGPD, el tractament d’aquesta mena de dades especials queda, “en un primer moment”, prohibit. Diem “en un primer moment”, ja que el mateix RGPD, si bé ha volgut protegir aquest tipus de dades amb una especial configuració, contempla també diferents supòsits (als quals anomenarem “excepcions”) en els quals aquesta prohibició general s’aixecaria per a deixar pas a l’ús i tractament de tals dades.

En particular, per a poder tractar aquestes dades en tal escenari, tal com analitza l’informe de l’AEPD, ha de valorar-se si pot aplicar algunes de les excepcions del RGPD. I, en conseqüència, l’AEPD ens diu que, si bé la instal·lació dels sistemes de videovigilància amb finalitats de seguretat que capten i graven imatges i sons podria emparar-se en l’interès públic, si en aquestes es tracten categories especials de dades, com en el cas de la utilització de tecnologies de reconeixement facial, la normativa requereix que existeixi un “interès públic essencial” perquè pugui ser legítim. Això implica, que, en efecte, al tractament de tals dades per mitjà de tecnologia facial, se li reconeix la importància i necessitat de major protecció de les dades tractades.

Però què implica o què significa que ha d’aplicar “l’interès públic essencial” com a base de legitimació? L’AEPD és clara referent a això, indicant que segons el nostre ordenament jurídic, això es tradueix en el fet que és necessari que existeixi una norma amb rang de llei que justifiqui en quina mesura i en quins supòsits l’ús d’aquesta tecnologia respondria a aquest.

És a dir, que ha d’establir-se una norma amb rang de llei, que empari l’ús i tractament d’aquestes tecnologies i dades biomètriques (especialment protegides). No obstant això, existeix en el nostre ordenament jurídic una norma o llei com la referida? La resposta és no. Una norma de tals característiques no existeix en el nostre actual marc normatiu, i, adverteix l’AEPD, que en el cas de tramitar-se, hauria de justificar específicament en quina mesura i en quins supòsits la utilització d’aquests sistemes respondria a un interès públic essencial, així com incorporar garanties específiques com exigeix el Tribunal Constitucional.

Així mateix, podem afirmar que, en tot cas, aquest escenari haurà de complir amb el principi de proporcionalitat i superar el judici de necessitat, en el sentit que no existeixi una altra mesura menys onerosa o invasiva, amb la qual es pugui aconseguir la mateixa finalitat o propòsit amb la igual eficàcia. En altres paraules, això significa que, mentre existeixin altres mesures que permetin que la seguretat privada funcioni, i, que permeti la correcta protecció de persones, béns i instal·lacions, amb un sistema que no sigui tan invasiu o intrusiu a la privacitat i protecció de dades personals dels usuaris, si es pretén aprovar una llei de tals característiques, s’haurà d’acudir a una especial justificació de la necessitat d’optar pel reconeixement facial respecte d’altres mesures, la qual cosa estableix garanties reforçades que exigeix el nostre ordenament.

En conseqüència, l’AEPD ha estat clara, indicant que la legitimació que ara abraça les empreses de seguretat privada respecte als sistemes de videovigilància que capten i graven imatges i sons, no podria abastar altres tecnologies molt més intrusives per a la privacitat com és el reconeixement facial, sent necessari per a això, que existeixi un marc normatiu que invoqui les garanties suficients per a legitimar la utilització de tècniques de reconeixement facial en sistemes de videovigilància emprats per la seguretat privada.

No obstant això, el marc normatiu, tal com esmenta l’AEPD, contempla altres supòsits excepcionals en els quals podria quedar justificat l’ús de sistemes de reconeixement facial sempre que la legislació ho prevegi, com és el cas d’infraestructures crítiques. Però, la qual cosa sabem, és que l’autorització, amb caràcter general, de l’ús de sistemes de reconeixement facial en els sistemes de videovigilància emprats per la seguretat privada, no podria dur-se a terme avui dia, al no comptar amb la corresponent base de legitimació, i, no superar el judici de proporcionalitat, atès que existeix una clara intrusió i amenaça a la privacitat i protecció de dades personals dels usuaris, considerats drets fonamentals.

En DATAX, som especialistes en l’adequació i implementació de les obligacions legals i millors pràctiques en projectes tecnològics. Amb una llarga trajectòria professional que ens acredita, els nostres clients poden incorporar les seves solucions digitals en el mercat amb la garantia de dissenyar un producte tècnic que vagi en línia amb la normativa vigent en protecció de dades, privacitat i seguretat de la informació.

Cookie	Nom	Finalitat / Més informació	Venciment
	419ª6F17ACB 2CAC9810D93 1150D119930	Aquesta cookie és un identificador de sessió proporcionat pel servidor.
	cookieaccept	Emmagatzema l'acceptació de la instal·lació de cookies per part de l'usuari per no mostrar repetidament el mateix missatge.	1 any
Google Analytics	_utma	PROTECCIÓN DE DATOS DATAX, SL utilitza Google Analytics en el lloc web per a poder fer un seguiment de l’activitat que s’hi realitza.	2 anys
	_utmb	Les cookies de Google Analytics compilen informació de registre estàndard i dades sobre els hàbits dels visitants de manera anònima.	30 minuts
	_utmc	Determina si es necessari establir una nova sessió.	Sessió
	_utmt	S’utilitza per a processar el tipus de sol·licitud demanada per l’usuari.	Sessió
	_utmz	Emmagatzema l’origen del visitant i el camí que ha seguit per a accedir al web.	6 mesos
	_ga	S’utilitza per a distingir als usuaris.	2 anys
	_gat	S’usa per diferenciar entre els diferents objectes de seguiment creats a la sessió. La cookie es crea en carregar la llibreria javascript i no existeix una versió prèvia de la cookie _gat. La cookie s’actualitza cada vegada que envia les dades a Google Analytics.	10 minuts
Cookies google.com	PREF	L’ús de serveis de localització com Google Maps implica la instal·lació d’aquestes cookies.	2 anys
	APISID	S’utilitzen per a recordar preferències de l’usuari durant la seva navegació.	2 anys
	SAPISID		2 anys
	SSID	També per al recompte, per part de Google, del número d’usuaris que utilitzen els mapes	2 anys
	khcookie		Sessió
	testcookie		6 mesos
	NID	Per a fer la publicitat més atractiva	6 mesos
	HSID, SID	I per a proveir de mecanismes de seguretat que evitin l’accés no autoritzat a dades d’accés d’usuaris o la informació que aquests faciliten en formularis de contacto, p.ex.	2 anys
Cookies de Facebook	Lu, cuser, csm, fr, s, xs	Les seves finalitats estan especificades en www.facebook.com/ help/cookies
Account Google	GAPS, LSID, LSOSID, UTMA, UTZ	Eina de Google+ a través de botons d'acció per permetre a l'usuari compartir contingut a través de Google+. Aquestes cookies permeten a Google autenticar si es comparteix el lloc amb aquest botó. Més informació sobre les cookies de Google en www.google.com/intl/es/ policies/technologies/ types (castellà)
APIS GOOGLE		Aquestes cookies de Google Maps registren l'origen de l'usuari, així com les keywords. També es genera un prefix únic, que és el que s'utilitza per fer recompte de quantes vegades visita el lloc un usuari www.google.com/intl/es/ policies/technologies/ types (castellà)

Consultoria especialitzada en Protecció de Dades i Seguretat de la Informació

ÀREA CLIENT EN CONSTRUCCIÓ.

Ciberseguretat

L’ús de sistemes de reconeixement facial per part de les empreses de seguretat privada

Deixa un comentari Cancel·la les respostes