top of page

¿Puedo pedir a Facebook que borre mi cara de su base de datos?

El Reglamento General de Protección de Datos, que entrará en vigor en mayo de 2018, pone especial énfasis en definir y preservar la privacidad de datos tan personales como las huellas dactilares o la voz.

La lectura de huellas dactilares, el reconocimiento facial o del iris e, incluso, de la voz son herramientas técnicas que se están imponiendo como sistemas asimilables a una firma electrónica, tanto para el uso de dispositivos móviles, como para ordenar transferencias y permitir pagos o para acceder a redes sociales.

Aunque este tipo de procedimiento es, según los expertos, uno de los más seguros para preservar cualquiera de nuestras preciadas posesiones, también se trata del uso de datos biométricos únicos y personales que deben ser protegidos correctamente cuando pasa a manos de terceros.

Todavía son pocos, pero ciertos asuntos relacionados con el mal uso de este tipo de datos, o el tratamiento de los mismos, han aterrizado en los tribunales y en las instituciones especializadas en la materia. En España, la lectura de la huella digital para acceder a las instalaciones de un gimnasio llegó hasta la Agencia Española de Protección de Datos (AEPD) y el Grupo de Trabajo Artículo 29.

En Estados Unidos, tres ciudadanos de Illinois han denunciado a Facebook por el uso del software de reconocimiento facial de la red social y por violar la privacidad de su información biométrica. La queja, que ha sido aceptada por los tribunales, está a la espera de sentencia.

Cambios importantes en la norma europea

  • El tratamiento de datos biométricos merece una especial protección, considerándolos datos de carácter sensible y estableciendo la prohibición de su tratamiento salvo que concurra alguna de las situaciones contempladas en el artículo 9 del RGPD.

  • Se debe cumplir con los requisitos específicos y los principios generales del tratamiento de estos datos; entre ellos se establece la obligación de realizar una evaluación de impacto por el uso de este sistema.

  • Los estados miembros pueden mantener, introducir o limitar disposiciones específicas con respecto al tratamiento de estos datos.

Estados Unidos y Europa

"Illinois (EEUU) es uno de los únicos estados americanos que cuenta con una norma que regula el uso de datos biométricos y de reconocimiento. Otros, como Texas y Connecticut, también tienen normas específicas, aunque no son tan estrictas, puesto que la Biometric Information Privacy Act de Illinois impone sanciones a las empresas que traten los datos biométricos sin consentimiento de los usuarios", explica Pablo Burgueño, socio fundador de Abanlex.

Algo semejante podría suceder en la Unión Europea (UE) y en España dentro de poco, cuando se empiece a aplicar el Reglamento General de Protección de Datos (RGPD), en mayo de 2018. El letrado apunta que si analizáramos este problema desde el prisma de esta nueva normativa europea, Facebook también estaría incumpliendo la norma al tener activo, por defecto, la captación y tratamiento de los datos biométricos. "Lo adecuado y esperable es que la red social desactive este sistema y permita su activación en caso de que el usuario europeo desee otorgar este consentimiento".

La normativa española de protección de datos actual, la LOPD, no menciona expresamente los datos biométricos, pero pronto, con la entrada en vigor del RGPD, éstos formarán parte de nuestra legislación, apunta Joaquín Muñoz, director del área de nuevas tecnologías de Ontier.

Una de las grandes diferencias, además de contar con una mención y definición específica, es que los datos biométricos han sido elevados a una categoría especial, poniéndolos al mismo nivel de protección que los datos sanitarios. Además, para poder realizar cualquier tipo de tratamiento se deberá pedir un consentimiento explícito e individual. "El artículo 9.1 del RGPD explica que queda prohibido el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas, y el de datos genéticos y datos biométricos, dirigidos a identificar de manera unívoca a una persona física -siendo ésta la gran novedad- o datos relativos a la salud", comenta.

Individualizado

Por esta razón, el abogado de Ontier insiste en que todos estos dispositivos, entidades o redes sociales que quieran hacerse con los datos biométricos de los usuarios y tratarlos deberán solicitar un consentimiento individual para poder hacerlo. "Ya no valdrá aceptar los términos y condiciones genéricos. El que pretenda hacer un tratamiento de estos datos especialmente protegidos deberá explicar claramente que va a hacer con ellos y conseguir un permiso claro y manifiesto del usuario".

Pero, ¿qué medidas deberán implementar las empresas y a quién afectará esta nueva normativa de protección de datos de la UE? La respuesta no es del todo clara. "El reglamento no plantea unas órdenes especificas, pero explica que se deberán aplicar los mismos niveles de protección que los que se implementan para los datos sanitarios, como el cifrado de la información o imponer medidas de seguridad técnicas que impidan el acceso a terceros. Sea como fuere, lo que sí que es evidente es que lo apuntado en el RGPD será de aplicación a las compañías de la Unión Europea y a todas las empresas extranjeras que tengan algún tipo de negocio en la UE", aclara Muñoz.

Por ahora, ambos letrados están convencidos de que existe muy poca información respecto a estos datos biométricos y que son pocos los que entienden la importancia de los mismos, puesto que son asimilables a una firma electrónica que podría dar, virtualmente, acceso a cualquier información, ya sea personal o bancaria. Por esa razón, los expertos creen que las instituciones europeas de protección de datos -nuestra AEPD y el Grupo de Trabajo Artículo 29- deberían realizar un mayor esfuerzo de divulgación sobre los peligros del mal uso de los datos biométricos y se debería imponer a todos los niveles la privacidad desde el diseño, como solicita el RGPD.

Los casos más sonados

En España, la necesidad de ceder a un gimnasio la huella dactilar y aceptar su lectura para poder acceder a las instalaciones llegó hasta la Agencia de Protección de Datos. El Grupo de Trabajo Artículo 29, organismo que agrupa el conjunto de instituciones de protección de datos europeas, estimó que la necesidad de recabar dicho dato para prestar un servicio comercial a los clientes era totalmente desproporcionada y, por tanto, ilícita. Ambas instituciones estimaron que era posible usar otros medios, menos intrusivos en los derechos y libertades, tales como las tarjetas de acceso normales o las de fidelización. En Estados Unidos, tres usuarios de Facebook han demandado a la empresa fundada por Mark Zuckerberg por violar la privacidad de su información biométrica. Los ciudadanos han alegado que el software de reconocimiento facial que utiliza Facebook para etiquetar automáticamente a las personas que aparecen en las fotografías supondría una violación de la Biometric Información Privacy Act, normativa sobre datos biométricos vigente en Illinois, al recoger y almacenar de manera secreta y sin consentimiento indicadores biométricos. La demanda, a pesar de la oposición de la red social, ha sido estimada y está a la espera de sentencia. "El problema no es sólo que Facebook acumule datos biométricos de sus usuarios sin un consentimiento explícito, sino que también crea 'perfiles fantasma' de todas esas personas que no forman parte de la red social y que aparecen en las fotografías, sumando a la imagen los patrones de la cara o datos de geolocalización", explica Pablo Burgueño, de Abanlex.


Entradas destacadas
Entradas recientes
Archivo
Buscar por tags
No hay tags aún.
Síguenos
  • LinkedIn Social Icon
  • Facebook Basic Square
  • Google+ Basic Square
bottom of page