This post is also available in: enEnglish

Al amparo del Reglamento General de Protección de Datos (RGPD) el pasado 20 de agosto de 2019 la autoridad sueca de protección de datos impuso la primera sanción en Europa derivada del uso de la tecnología de reconocimiento facial, entendida como un tipo de identificación biométrica que utiliza los rasgos fisiológicos para verificar la identidad de las personas.

En concreto, la autoridad sueca ha multado a una escuela de secundaria con 200.000 coronas suecas (casi 20.000 euros) como consecuencia de la utilización por parte de ésta última de un software de reconocimiento facial que le permitió controlar durante tres semanas la asistencia a clase de 22 estudiantes. El uso del software se enmarcaba en un proyecto piloto que permitiría ahorrar muchas horas de trabajo en la escuela gracias a la automatización del registro de asistencia.

Cabe recordar que el rostro de una persona constituye un dato biométrico que permite identificarle de manera inequívoca, quedando su tratamiento prohibido bajo el tenor literal del artículo 9 del RGPD salvo que concurra alguna de las excepciones en él previstas. Si bien en este supuesto la escuela había obtenido el consentimiento explícito de los tutores legales de los estudiantes y permitió la abstención de aquellos que no deseaban participar en el ensayo, la autoridad sueca consideró que de todos modos el uso de la aludida tecnología había violado el RGPD de tres maneras diferentes.

  • En primer lugar, constata que la medida introducida por la escuela había supuesto una gran intrusión en la privacidad de los estudiantes y, en particular, que el uso de un sistema de reconocimiento facial era desproporcionado a la luz de la finalidad perseguida, que no era sino el control de la asistencia a clase.
  • En segundo lugar, la autoridad sueca considera que el tratamiento de los datos biométricos carecía de una base legal. Así, entiende que (i) el consentimiento obtenido no podía ser considerado como voluntario, tomando en consideración la posición de desigualdad entre la escuela y los estudiantes, y que (ii) la mejora de la gestión de los registros de asistencia tampoco podía considerarse como una medida necesaria para el interés público esencial, por lo que tampoco podría alzarse como base legítima suficiente para justificar tal tratamiento.
  • Finalmente, la autoridad sueca pone el acento sobre el hecho de que la escuela no realizó ninguna evaluación de impacto relativa a la protección de datos, ni formuló ninguna consulta previa a la autoridad de control correspondiente.

Como se pone de manifiesto en las anteriores líneas, la sanción objeto de análisis se alza pionera en territorio europeo esta materia, si bien ya existe constancia de la apertura de distintas investigaciones relacionadas por parte de otras autoridades.

¿Servirá, pues, la sanción de la autoridad sueca para abrir la puerta a ulteriores procedimientos basados en la incorrecta utilización de una tecnología cuyo uso ya se ha generalizado en países de todo el mundo? Sin necesidad de ir más lejos, esta tecnología ya permite en países como España sacar dinero en diversos cajeros automáticos sin necesidad de introducir un PIN, abrir cuentas bancarias, asistir a eventos y conciertos o controlar la afluencia de personas en aeropuertos y estaciones de autobús.

En cualquier caso, la sanción impuesta en Suecia pone el acento no sólo en la importancia de realizar evaluaciones de impacto sino también en la necesidad de mitigar, en la máxima medida posible, los riesgos para la privacidad que puedan derivarse del uso de tecnologías disruptivas.

Autores: Ana Sánchez Rodríguez y Miquel Peguera

This post is also available in: enEnglish

Autores:

Consultor

39 artículos

Consultor

miquel.peguera@cuatrecasas.com

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *