Reconocimiento facial en aeropuertos: máximo control sobre los datos biométricos
Legislación sobre las tecnologías de reconocimiento facial
Los sistemas de procesamiento de datos biométricos se basan en recoger y procesar datos personales relativos a las características físicas o fisiológicas de las personas físicas mediante dispositivos que consiguen crear plantillas biométricas, firmas o patrones que posibilitan la identificación, seguimiento o perfilado.
El Reglamento General de Protección de Datos (en adelante, RGPD) define en su artículo 4.14 el concepto de datos biométricos como aquellos datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.
Como ya sabemos, datos personales son todos aquellos que permiten identificar a una persona, es decir, determinar la identidad directa o indirecta de la persona.
Uso de los datos biométricos en aeropuertos
Un dato biométrico contenido en un sistema como los utilizados por los aeropuertos sirve para almacenar estos datos en forma de plantilla o patrón biométrico, la cual no está orientada a ser interpretada por una persona, sino que está orientada en ser tratada en un proceso automatizado, es decir, en ser eficiente y eficazmente interpretable por una máquina dispuesta en los controles de acceso de los aeropuertos que colaboren con el flujo de pasajeros.
Es importante tener en cuenta para entender esta casuística que estas plantillas biométricas actúan como identificadores únicos de la persona. El hecho de que a partir de la misma no se pueda reconstruir el rostro original carece de relevancia, puesto que es un identificador único que lo singulariza de forma inequívoca en el tratamiento de datos automatizados. Para un mejor entendimiento podemos referenciarnos al número de DNI. A partir de este identificador único no se puede reconstruir un nombre o un rostro, es decir, se le puede asociar datos personales y atributos adicionales en un fichero. En cambio, la plantilla biométrica no es asignada a una persona, sino que se genera directamente de la observación de características físicas únicas, inalienables e inalterables del propio individuo, sin necesidad de que se tenga que recurrir a otros documentos, dispositivos o datos de terceros.
A raíz del crecimiento de tecnologías y la disposición de las mismas para facilitar y agilizar procesos del día a día como los que se encuentran los operadores aeroportuarios en el flujo de los pasajeros, se ha generado la controversia surgida en torno a la evaluación de legitimidad sobre la utilización de dispositivos por los que se reconocen a los usuarios mediante tecnología biométrica.
La autoridad de control francesa en materia de protección de datos solicitó aclaración al respecto, adoptando el CEPD un dictamen sobre el uso de tecnologías de reconocimiento facial por parte de los operadores aeroportuarios y las compañías aéreas. Este dictamen basado en el artículo 64.2 del RGPD aborda la cuestión de aplicación analizando la compatibilidad del tratamiento con el principio de limitación del almacenamiento, integridad y confidencialidad, protección de datos desde el diseño y por defecto y, la seguridad del tratamiento.
Tratamiento de datos y privacidad
En la actualidad no existe un requisito legal uniforme en la Unión Europea por el que los operadores aeroportuarios y las compañías aéreas verifiquen que el nombre en la tarjeta de embarque del pasajero coincide con el nombre en su documento de identidad, y esto puede estar sujeto a la legislación nacional. Por lo tanto, cuando no se requiera la verificación de la identidad de los pasajeros con un documento de identidad oficial, no debe realizarse dicha verificación con el uso de datos biométricos, ya que esto daría lugar a un tratamiento excesivo de datos.
No obstante, en palabras del CEPD, el uso del reconocimiento facial para agilizar el flujo de pasajeros en los aeropuertos podría ser compatible con el artículo 25 y 32 del RGPD, principio de integridad y confidencialidad, siempre que se almacene la plantilla biométrica localmente en el dispositivo del pasajero y bajo su control exclusivo o de forma centralizada dentro de las bases de datos de cada aeropuerto, pero con la clave de cifrado únicamente en poder del interesado.
Por tanto y para concluir, es muy importante que a partir de ahora los operadores aeroportuarios y compañías aéreas tengan en cuenta que el tratamiento de datos biométricos no será compatible con las premisas legales del RGPD cuando las plantillas biométricas no estén cifradas y las claves no estén en posesión del pasajero, siendo totalmente contrarias e incompatibles con lo dispuesto en el artículo 25 y 32 del RGPD. En el mismo sentido aplicará para aquellas plantillas biométricas que se almacenen en el aeropuerto o nube, sin la clave de cifrado en manos del pasajero.
En opinión del CEPD, las personas deben tener el máximo control sobre sus propios datos biométricos y, por ello el CEPD ha manifestado claramente cuáles son las únicas soluciones de almacenamiento que podrían ser aptas y compatibles con el principio de integridad y confidencialidad, la protección de datos desde el diseño y por defecto y, la seguridad del tratamiento.
IP/IT lawyer.