La agencia de protección de datos de Suecia (Regeringskansliet) ha multado con 200 000 coronas (18 500 euros) a un colegio que empleó el reconocimiento facial para controlar la asistencia de los alumnos. Según la autoridad escandinava, este uso de datos biométricos contravendría el Reglamento General de Protección de Datos (RGPD).
Se trata de la primera multa que la autoridad sueca impone desde la entrada en aplicación del RGPD y, a pesar de que el monto podría haber sido muy superior, la Regeringskansliet ha tenido en cuenta el hecho de que se trata de un organismo público y que la actividad que dio lugar a la infracción formaba parte de un programa piloto. En concreto, el instituto de la localidad sueca de Skellefteå empleó datos faciales biométricos para verificar la asistencia en un programa piloto que duró tres semanas y que incluyó los datos biométricos de 22 alumnos, según informa la autoridad. El colegio, por su parte, argumenta que contaba con el consentimiento de los sujetos implicados.
Sin embargo, este argumento no ha sido dado por válido por la autoridad sueca al considerar que los estudiantes estaban en una posición de dependencia respecto a la parte que les solicitaba el consentimiento.
El reconocimiento facial es una tecnología ya establecida y que está trayendo de cabeza a los reguladores por sus enormes implicaciones de cara a la privacidad. Podemos verla en funcionamiento Google Photos, por ejemplo, en donde podemos localizar fotos de una persona en concreto haciendo búsquedas por su cara. También su usa con frecuencia como método para desbloquear teléfonos móviles.
Los problemas del reconocimiento facial
Cada día surgen nuevas aplicaciones de esta tecnología como, por ejemplo, este pasado agosto, cuando el equipo de fútbol Manchester City comunicó la introducción de un sistema de reconocimiento facial para que sus fans no tuviesen que tomarse la molestia de enseñar su entrada y agilizar el acceso al estadio. Finalmente, el club decidió no ir adelante con el programa al ser advertido sobre las graves implicaciones que el reconocimiento facial tiene sobre la privacidad.
Uno de los grandes problemas del reconocimiento facial es que no es totalmente fiable y es conocido por producir un alto número de falsos positivos. Un caso paradigmático es sus grandes dificultades para distinguir entre gemelos. Otro problema fundamental es el de los sesgos que desarrolla el algoritmo ya que, si éste ha sido entrenado con caras de individuos blancos, algo que suele ser habitual, tendrá más dificultad para distinguir caras de individuos de otras razas.
El RGPD incluye las imágenes faciales dentro de su definición de “Datos Biométricos” que son una de las categorías especiales de datos. El artículo 9 del RGPD detallas las protecciones especiales que este tipo de datos tienen como, por ejemplo, la obligatoriedad de contar con el consentimiento del interesado para su tratamiento o cuando “tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento”.