Renfe y la videovigilancia de pasajeros por reconocimiento facial
Analizamos el debate surgido en torno a Renfe y la videovigilancia de pasajeros por reconocimiento facial prestando especial atención a los aspectos relacionados con la protección de los datos personales de los viajeros.
Renfe pretende implantar un sistema de videovigilancia en sus estaciones que, a través de los nuevos avances tecnológicos, sería capaz de establecer un reconocimiento facial en tiempo real para identificar con una eficacia casi total a los viajeros en sus estaciones.
¿Cómo será este sistema?
El sistema de este proyecto piloto instado por Renfe básicamente se centraría en utilizar dispositivos de videovigilancia instalados en sus principales estaciones en todo el territorio nacional.
El contenido que generen estas cámaras sería visualizado y controlado, en un principio, por los agentes de seguridad.
Aunque realmente lo que se pretendería sería implementar en el propio sistema un algoritmo de IA que sea capaz de analizar este contenido a tiempo real, con lo que se podría llevar a cabo la elaboración de perfiles de los viajeros de Renfe.
El propósito sería contabilizad las entradas y salidas de los individuos en las estaciones y poder detectar posible fraudes (por ejemplo, que un viajero se cuele eludiendo las barreras giratorias, posibles robos u otros actos de vandalismo). Así como contabilizar el aforo en los andenes o analizar el tipo de equipaje de los viajeros, entre otras facultades.
Del mismo modo permitiría clasificar mediante la elaboración de estos perfiles a los usuarios de Renfe en función de sus datos personales tales como la edad, el género, el origen étnico e incluso el estado de ánimo. Es, por tanto, esta clasificación la que presentaría un riesgo en cuanto a los derechos de protección de datos.
¿Por qué podría llegar a ser discriminatorio?
Hay que tener en cuenta que el hecho de que el algoritmo pueda clasificar a un viajero dependiendo de datos especialmente sensibles, como el origen étnico, podría llegar a ser considerado discriminatorio.
No habría problema en que el sistema de videovigilancia llevara a cabo un reconocimiento facial identificando el género o la edad de los usuarios de Renfe, pero no sería posible que el algoritmo elaborara perfiles teniendo en cuenta los datos de origen étnico. Estos datos sensibles no son susceptibles de ser tratados con el fin identificar el origen racial de un individuo porque se podrían dar situaciones en las que se discriminara al mismo por su pertenencia a una determinada etnia.
¿Qué recoge la ley de protección de datos en relación a este asunto?
En este caso, el consentimiento de los viajeros no sería suficiente para que se identifique y clasifique a un individuo según su origen étnico.
En este sentido, el artículo 9 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, “RGPD”), literalmente menciona que “a fin de evitar situaciones discriminatorias, el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.”
En caso de que este tratamiento tuviera una finalidad relativa a un interés público esencial, sí que llegaría a ser lícito. Sin embargo, no puede considerarse este fin para el tratamiento de datos que pretendía llevar a cabo Renfe con su proyecto.
¿Cómo ha reaccionado Renfe?
Ante el debate generado a consecuencia del riesgo en protección de datos, Renfe comunicó cancelación la licitación inicial para “realizar correcciones en el Pliego y en el documento de Especificaciones Técnicas”.
Del mismo modo, Renfe indicó que en su Dashboard se explicaba que se filtrarían, a tiempo real, los datos relacionados con el ámbito temporal (el día, mes, año) y los viajeros (edad y género) pero en el cual no se describía ni los datos sobre el estado de ánimo u origen étnico de los mismos. En el caso de dejar a un lado estos datos especialmente sensibles, el documento que exponía el proyecto se presumiría válido de acuerdo con algunas de las opiniones de los expertos en protección de datos.
Del mismo modo, Renfe solicitó la creación de un Responsable de Protección de Datos (DPO), y la realización de un Análisis de Riesgos en el tratamiento de estos datos para cumplir con lo estipulado el RGPD y la Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos Personales y Garantía de los Derechos Digitales (“LOPDGDD”).
En breve, Renfe pretende publicar un nuevo texto en relación con la aplicación de esta tecnología digital en el que se incluirá la información del funcionamiento y añadirá más funcionalidades al propio proyecto. Este texto se encuentra a día de hoy en revisión “por un error en el contenido” según la información proporcionada por la propia compañía.
Letslaw es una firma de abogados internacionales especializada en el derecho de los negocios.