Málaga

Los dispositivos de identificación biométrica continúan sembrando polémica por la protección de datos

Expertos en protección de datos analizan algunos casos sonados de infracciones cometidas a causa del uso negligente de dispositivos de reconocimiento facial, ocular o por huella dactilar
"Málaga está bien posicionada para seguir liderando en IA y como ciudad"
YouTube se llena de cuentas falsas de Elon Musk pidiendo donaciones en criptomonedas

Un dispositivo de identificación biométrica

Redacción Málaga Hoy 20 Mayo, 2024 - 07:02h

El último informe de la Agencia Española de Protección de Datos (AEPD) recoge que las infracciones aumentaron un 35% y las sanciones un 24%. Uno de los centros de la polémica ha estado en varios casos relacionados con infracciones de la normativa de protección de datos por el uso indebido de dispositivos biométricos.

Para analizar estos casos y arrojar un poco de luz sobre el tema hemos contado con las valoraciones y opiniones de Grupo Atico34, uno de los despachos de abogados de protección de datos líderes a nivel nacional y que cuenta con dos oficinas en Málaga.

Los casos de Worldcoin y el Ayuntamiento de Marbella

Seguramente uno de los casos que más les suenen a nuestros lectores es el de la empresa Worldcoin, propiedad de Sam Altman, el CEO de Open AI, quien recientemente puso en marcha un proyecto, si así se puede llamar, para escanear los iris de cualquier persona interesada a cambio de una remuneración económica, en este caso en forma de una criptomoneda denominada Worldcoin.

Málaga fue uno de los escenarios elegidos por la empresa para su desembarco en España, en concreto en el centro comercial Vialia, donde durante un par de meses se sucedieron las colas para hacerse una foto del iris a cambio de la susodicha criptomoneda. Sin embargo, el 4 de marzo la AEPD ordenó el cese inmediato de la actividad de la compañía, que se calcula que podría haber escaneado ya el iris de unas 400.000 personas en toda España.

Por otro lado, está el caso del Ayuntamiento de Marbella quien, desoyendo lo indicado por el Comité Europeo de Protección de Datos (CEPD) y por la propia AEPD, ha decidido instalar dispositivos de control biométrico para el registro de la jornada laboral de los funcionarios de la localidad, en total alrededor de 4.000 trabajadores. Un sistema que se ha hecho extensivo también a la Policía Local.

A pesar de los avisos de la AEPD y del expediente abierto por el Consejo de Transparencia y Protección de Datos de Andalucía, no parece que el Ayuntamiento de Marbella tenga la intención de echarse atrás y, de hecho, ya ha abierto expediente disciplinario a varios empleados por negarse a someterse a este método de control horario.

Pero, ¿qué dice la normativa sobre el uso de dispositivos biométricos para identificación o autenticación?

Tal y como señala Miguel Quintanilla, responsable de protección de datos en Grupo Atico34, “el Comité Europeo de Protección de Datos (CEPD) ha prohibido recientemente el uso de dispositivos biométricos para la identificación o autenticación de usuarios, lo cual cierra la puerta al uso de este tipo de sistemas, salvo casos muy concretos y con circunstancias muy especiales”.

Una de las claves que nos da esta respuesta es la eliminación de la diferencia entre datos recabados para identificación, o únicamente para autenticación o verificación de identidad. Hasta hace relativamente poco, la recogida de datos biométricos estaba permitida si se empleaba únicamente para la autenticación de usuarios, por lo que se permitía su uso para el registro de la jornada laboral.

Sin embargo, el CEPD ha eliminado la distinción entre datos biométricos para identificación y autenticación, y les otorga en ambos casos la categoría de datos especialmente protegidos, por lo que su uso está limitado a casos muy concretos. Dicho de otro modo, el uso de dispositivos de reconocimiento facial, de reconocimiento de iris, identificación de huella dactilar para la recogida de datos personales queda prohibida salvo casos excepcionales.

¿Cuáles pueden ser estas excepciones? Miguel Quintanilla nos explica que “teniendo en cuenta que la recogida de datos mediante dispositivos biométricos constituye un tratamiento de alto riesgo, para poder tratar dichas categorías de datos es imprescindible que exista una circunstancia que levante la prohibición, así como alguna condición legal que lo legitime, por ejemplo en el caso del registro de la jornada laboral, debería existir una norma con rango de ley que levante la prohibición”.

La Ley sobre Inteligencia Artificial y el futuro del tratamiento de datos

El uso de dispositivos de control biométricos está íntimamente ligado con el empleo de sistemas de Inteligencia Artificial para el tratamiento de datos. Si bien es cierto que, de momento, no existe una normativa con rango de Ley que determine el uso de estas herramientas aparte de los expuesto por el CEPD, esto es algo que pronto va a cambiar.

Y es que la próxima Ley sobre Inteligencia Artificial (le otorgamos un nombre provisional) está en las últimas fases para su aprobación. Se trata de una normativa que llega para regular el uso de todos los sistemas, modelos, dispositivos o herramientas que realizan un tratamiento de datos mediante I.A., entre ellos los dispositivos de control biométrico.

En el proyecto de Ley de esta nueva normativa ya se ha incluido todo lo comentado en el artículo acerca del uso de dispositivos de control biométrico, por lo que todas las organizaciones o instituciones que siguen usando estos sistemas de manera, digamos, controversial, ya no tendrán ningún resquicio legal al que acogerse.