Reconocimiento facial: el CEPD acaba con la disputa entre la AEPD y la APDCAT
El reconocimiento facial se ha erigido como una práctica común y habitual en numerosos contextos, entre ellos la realización de exámenes online.
Sin embargo, las bases legales sobre las que puede sustentarse el tratamiento de datos personales asociado a estas prácticas ha sido objeto de controversia recientemente, en la medida en que esta decisión está subordinada a determinar si su uso implica el tratamiento de categorías personales de datos.
¿Identificación unívoca o autenticación biométrica?
La AEPD señaló en el Informe 0036/2020 que el artículo 9.1 del RGPD debe interpretarse de tal forma que “los datos biométricos solo constituirían una categoría especial de datos en el caso de que se sometan a un tratamiento técnico específico dirigido a identificar de manera unívoca a una persona física”.
De tal modo, y siguiendo el criterio establecido por la AEPD, los tratamientos de datos biométricos que se realicen en aras de realizar una verificación o autenticación biométrica no constituían un tratamiento de categorías especiales de datos.
Lo que dice el Whitepaper de la CE
A los efectos de aclarar la diferencia entre una identificación unívoca y una verificación o autenticación biométrica corresponde indicar que el Libro Blanco sobre la inteligencia artificial de la Comisión Europea entiende que:
“En lo que se refiere al reconocimiento facial, por «identificación» se entiende que la plantilla de la imagen facial de una persona se compara con otras muchas plantillas almacenadas en una base de datos para averiguar si su imagen está almacenada en ella. La «autenticación» (o «verificación»), por su parte, se refiere habitualmente a la búsqueda de correspondencias entre dos plantillas concretas. Permite la comparación de dos plantillas biométricas que, en principio, se supone que pertenecen a la misma persona; así, las dos plantillas se comparan para determinar si la persona de las dos imágenes es la misma. Este procedimiento se emplea, por ejemplo, en las puertas de control automatizado de fronteras empleadas en los controles fronterizos de los aeropuertos”.
A pesar de lo dispuesto por la AEPD a este respecto, la APDCAT ha impuesto recientemente una sanción sobre la Universidad Oberta de Catalunya por recurrir al reconocimiento facial como método de control durante la realización de exámenes online alegando la inexistencia de una base de legitimación adecuada para justificar este tratamiento de datos que, a sus ojos, debe ser considerado como categoría especial.
Lo cierto es que, según el asentado criterio de la APDCAT, el tratamiento de datos biométricos, tales como el rostro, a través de métodos de identificación o verificación automatizados con el objetivo de ratificar la identificación única de un individuo constituye en todo caso un supuesto sometido a las restricciones del artículo 9 RGPD siendo, por tanto, inadmisibles las bases de legitimación alegadas por la universidad para sustentar la legitimidad del tratamiento, a saber, el artículo 6.1.f) y el artículo 6.1.a).
El papel del CEPD en la resolución del conflicto sobre el reconocimiento facial
La clara oposición entre el criterio adoptado por las diferentes autoridades competentes en materia de protección de datos, no solo supone un problema desde la perspectiva de la seguridad jurídica, sino que afecta al derecho fundamental de la protección de datos de los individuos cuyos datos son procesados por estos mecanismos.
Siendo esto así, el Comité Europeo de Protección de Datos (en adelante, el “CEPD”) ha venido a resolver esta confrontación y las problemáticas que de ella se deslindan a través de la reciente publicación nueva versión de sus Directrices sobre el uso de técnicas de reconocimiento facial en el área del cumplimiento normativo.
En concreto, el CEPD ha fallado que aunque ambas funciones, autenticación e identificación, son distintas, las dos se refieren al tratamiento de datos biométricos relacionados con una persona física identificada o identificable y, por lo tanto constituyen un tratamiento de datos personales, y más concretamente un tratamiento de categorías especiales de datos personales.
De tal modo, el CEPD adopta la posición de la APDCAT y obliga a la AEPD a implementar un cambio de timón a este respecto.
En Letslaw somos expertos en Protección de Datos, y podemos asesorarte en todo aquello que necesites. No dudes en contactar con nosotros.
Marta Moreno cuenta con experiencia profesional internacional trabajando tanto en inglés como en francés en el seno de empresas como Microsoft o IBM en las que se ha dedicado al asesoramiento legal en materias como protección de datos, contratación, comercio electrónico o compliance penal.