¿Puedo utilizar el reconocimiento facial en mi empresa?

La cuestión se podría zanjar con un simple depende, pero la vamos a resolver al estilo gallego, es decir contestando con más preguntas que nos guiarán en la interpretación del RGPD.

¿Qué es un dato personal?

De acuerdo con el artículo 4.1 del RGPD es dato personal “toda información sobre una persona física identificada o identificable (…) mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.

Por tanto, dato personal es toda información sobre una persona identificada o identificable, pero,

¿Cuándo se puede considerar que una persona es identificable?

De acuerdo con el considerando 26 del RGPD una información alcanzará el estado divino de dato personal cuando permita identificar a una persona con la tecnología disponible y a un coste razonable. Con esto hemos resuelto dos preguntas, pero aún hay algunas más a la espera de respuesta para entender la regulación del reconocimiento facial en el RGPD.

¿Qué son datos biométricos?

La definición se halla en el artículo 4.14 del RGPD: “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.”

Si nos guiamos sólo por esta definición cualquier conjunto de datos físicos y/o conductuales que permitan identificar de manera única a una persona es sospechoso del crimen de “datos biométricos”, en particular si consiste en imágenes o huellas dactilares. Esta interpretación puede ser válida para las huellas dactilares, pero no para las imágenes, ya que sin el software adecuado la imagen de una persona no es suficiente como para identificarla de manera única e inequívoca. De hecho, el considerando 51 del RGPD refuerza este punto de vista al poner el acento no en el tipo de datos que se analiza sino en la tecnología que se utiliza: “El tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física.”

Así pues, un conjunto de imágenes, como por ejemplo las que se obtienen en un sistema de videovigilancia, sólo deberá incluirse en la categoría de “datos biométricos” si se usa una tecnología que permita identificar de manera unívoca a la persona cuya imagen se ha captado. En otras palabras, las imágenes de videovigilancia serán consideradas datos biométricos cuando se apliquen herramientas de reconocimiento facial.

La transcendencia de esta tercera pregunta reside en el artículo 9.1 del RGPD, que prohíbe el tratamiento de las llamadas “categorías especiales de datos personales”, incluyendo, entre otras, los “datos biométricos”:

“1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.”

Por tanto, el reconocimiento facial ha sido condenado a galeras en las “categorías especiales de datos personales” y está prohibido para cualquier uso privado; tan aparentemente simple como eso. Lo que nos devuelve a la casilla inicial:

¿Puedo utilizar el reconocimiento facial en mi empresa?

Por fortuna, es bien sabido que Dios aprieta, pero no ahoga. La salvación, como casi siempre, podemos encontrarla en el apartado 2 en forma de excepciones. Entre ellas cabe destacar, por lo que respecta a la identificación facial, las de las letras a, b, f y g:

1. “El interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados”. Esta excepción se ajusta a aquellos sistemas en los que se puede verificar el consentimiento de las personas reclutadas en la base de datos, especialmente en controles de acceso, pero también en videovigilancia, siempre que el sistema (i) informe de manera adecuada a las personas que deciden acceder a las instalaciones que en caso de hacerlo se someterán a reconocimiento facial y (ii) no capte las imágenes ni por tanto aplique reconocimiento facial a las personas que no accedan al recinto. De hecho, la Guía 3/2019 del Comité Europeo de Protección de Datos sobre tratamiento de datos personales mediante vídeo, aprobada el 10 de julio de este año, afirma que, en caso de que la base jurídica para el tratamiento de datos biométricos sea el consentimiento explícito, el sistema debe evitar la captura y el tratamiento de perfiles biométricos de las personas que no hayan consentido.
2. “El tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social”. Este apartado permite el uso de herramientas de reconocimiento facial en controles de acceso y de presencia de trabajadores y visitantes.

1. “El tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones”. Con esta letra se autoriza el uso de reconocimiento facial para preparar, interponer o defenderse de cualquier acción legal, por lo que es especialmente adecuado para usos forenses, es decir para la aplicación del reconocimiento facial al metraje ya grabado de modo que se pueda identificar y/o seguir a un sospechoso. Por supuesto, sería más difícil de justificar el uso del reconocimiento facial a tiempo real y sólo en base a esta excepción, pero el sistema debería considerarse acorde al RGPD siempre que se pueda acreditar que (i) es necesario para identificar a la persona en cuestión y (ii) se está utilizando de modo proporcional.
2. “El tratamiento es necesario por razones de un interés público esencial”. Esta excepción final nos deja ante la última pregunta del concurso.

¿Qué son razones de interés público esencial?

Por desgracia la expresión “interés público esencial” no está definida en el RGPD, aunque al menos está claro que debe haber serios motivos de interés público en juego para justificar el uso de reconocimiento facial.

Este tipo de interés público encaja a la perfección con el reconocimiento facial en tiempo real mediante videovigilancia. El sistema cumplirá con esta excepción del RGPD siempre que sirva para proteger instalaciones o espacios abiertos sometidos a potenciales amenazas para la seguridad pública, ya sea por tratarse de infraestructuras críticas (industrias químicas, instalaciones de energía, de suministro de agua, medios de transporte, etc.), por la cantidad de gente que pueden congregar (estadios, centros comerciales, espacios públicos concurridos, etc.), o por cualquier otra razón de “interés público esencial”.

En definitiva, la pregunta ¿puedo utilizar el reconocimiento facial en mi empresa? se puede contestar con un sí, en lugar de un depende, al menos en los cuatro casos siguientes:

1. Para control de acceso o incluso videovigilancia siempre que el sistema (i) informe de manera adecuada a las personas que deciden acceder a las instalaciones que en caso de hacerlo se someterán a reconocimiento facial y (ii) no capte las imágenes ni por tanto aplique reconocimiento facial a las personas que no accedan al recinto.
2. Para control de acceso en centros de trabajo.
3. Para usos forenses o incluso videovigilancia en tiempo real, con el objeto de preparar, interponer o defenderse de cualquier acción legal.
4. Para videovigilancia cuando se puedan alegar razones de seguridad pública.