¿Puede mi empresa legalmente usar reconocimiento facial?

Jorge Morell Ramos Derecho

Jorge Morell Ramos Derecho

Jorge Morell Ramos

Jorge Morell Ramos

El reconocimiento facial es la tecnología que tiene como objetivo reconocer a una persona en una imagen, vídeo o en el día a día realizando un análisis biométrico de su rostro. Este tipo de análisis tiene en cuenta las características biométricas del rostro como el tamaño de la cabeza, la distancia entre los ojos, la boca o la estructura de la nariz. 

Para ello, el reconocimiento facial hace uso de patrones matemáticos únicos y dinámicos asociados a cada persona convirtiendo a esta tecnología en una de las más eficaces y con más potencial para verificar la identidad de una persona.

Por ejemplo, puede usarse reconocimiento facial para identificar el acceso de una persona a una oficina, un dispositivo, un servicio de pago o determinado tipo de información. 

El problema es que el reconocimiento facial utiliza un dato biométrico, es decir, un tipo de dato que de acuerdo a la normativa sobre protección de datos permite identificar a alguien de forma única debido a sus características físicas (su cara), fisiológicas (su huella) o conductuales (su forma de caminar). Ese tipo de dato es especial y merece por parte de la ley mayor protección y garantías, ya que su uso es más comprometedor en materia de datos personales. 

Por tanto, cada vez que una empresa se plantea usar reconocimiento facial para prestar algún servicio a un cliente, como el reciente anuncio de la agrupación empresarial Hosbec para que los hoteles de Benidorm lo ofrezcan a sus clientes para acceder de esa forma a la habitación sin llave, surge la duda sobre si ese uso es o no legal desde la perspectiva de la protección de datos personales. 

¿Y lo es? La verdad es que ahora mismo la balanza se decanta bastante más hacia el No que el Sí.

Para empezar tenemos el muy reciente informe del gabinete jurídico de la Agencia Española de Protección de Datos Personales sobre un proyecto que en el sector bancario plantea su uso para el alta de clientes, ya sean presenciales u online, y con la finalidad de verificar la identidad de la persona a efectos de la prevención de blanqueo de capitales y la financiación del terrorismo. 

Muy resumidamente, el informe de la agencia a ese tratamiento es desfavorable por entender que no es necesario (no contribuye a resolver un problema relevante), no es proporcional (hay alternativas menos intrusivas, como simplemente usar el DNI, que cumplen con el mismo objetivo de forma menos agresiva a nivel de privacidad) y tampoco cumple con el principio de minimización (se obtienen más datos de los imprescindibles para realizar algo como lo que se pretende).

Además, las dos posibles bases legales para ese caso, el consentimiento explícito del usuario o el interés público, son difícilmente justificables en un caso como éste, el primero por el peligro de que se entienda obligatorio y no libre y el segundo por no considerarse esencial. 

A ello se suma la también reciente sentencia de la Audiencia Provincial de Barcelona sobre el caso Mercadona, donde el supermercado instaló ese sistema en varios de sus establecimientos para controlar el acceso de determinadas personas a las que se les había prohibido la entrada. En este caso el tribunal entendió que Mercadona no estaba protegiendo el interés público sino los intereses privados o particulares de la empresa, de modo que consideraba que ese sistema suponía una violación de privacidad.

Prohibir en el espacio público cualquier tipo de sistema de inteligencia artificial

Finalmente tenemos la opinión conjunta del Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos, que a finales de junio  plantearon que se prohíba en el espacio público cualquier tipo de sistema de inteligencia artificial que permita el reconocimiento de seres humanos vía elementos biométricos, por ejemplo las cámaras de reconocimiento facial. 

El motivo es que los mismos suponen riesgos serios a los derechos fundamentales de los ciudadanos. 

En definitiva, el uso legal de reconocimiento facial por parte de una empresa u organización pública no es ilegal por defecto pero ahora mismo es una opción de alto riesgo, ya que las posibilidades de poder cumplir adecuadamente con la normativa, el criterio de los tribunales y las recomendaciones de los diferentes órganos supervisores se decantan de forma generalizada por impedir su uso. 

Así que cuidado con esos proyectos tan vistosos y futuristas que impliquen el uso del rostro, ya que pueden acabar atragantándose legalmente.