reconocimiento facial

This post is also available in: English

El pasado 31 de marzo, el estado de Washington aprobó la ley SB 6280, que regula el uso de técnicas de reconocimiento facial por parte de las agencias del gobierno de los Estados Unidos. La norma, que constituye el primer hito legislativo en Estados Unidos en esta materia, pretende alcanzar un equilibrio entre los beneficios de esta tecnología y los riesgos derivados de su carácter especialmente intrusivo. El uso de esta aplicación biométrica está cada vez más presente en muchos aspectos de la vida cotidiana –se utiliza para etiquetar a nuestros amigos en las redes sociales, o para desbloquear nuestro smartphone–, pero no hay que olvidar que esta tecnología enfrenta varios desafíos importantes: entre los más relevantes, la seguridad (imaginen una brecha de seguridad que exponga nuestros rasgos faciales) y la identificación errónea del rostro, que puede conducir a “falsos positivos” en ámbitos tan sensibles como el de la atribución de responsabilidad penal.

Para lograr este objetivo, la norma permite el uso de los sistemas de reconocimiento facial por el Gobierno, siempre y cuando se cumplan las siguientes condiciones:  

  • Requisitos previos al lanzamiento: antes de implantar un sistema de reconocimiento facial, la agencia deberá notificar su intención a la respectiva autoridad legislativa (estatal o local) y, además, elaborar un informe público que debe incluir, entre otras cosas, información sobre las categorías de datos que utiliza la tecnología, la finalidad del tratamiento, la política de privacidad, y una descripción del impacto de la tecnología en los derechos y libertades de los interesados. 
  • Requisitos adicionales: en los casos en que esta tecnología pueda producir “efectos legales” o consecuencias que afecten “de un modo significativamente similar” a los interesados (en particular, decisiones que signifiquen la denegación de préstamos, seguros, inscripciones escolares, oportunidades de empleo, etc.), la agencia deberá verificar previamente el funcionamiento de la tecnología para conocer sus efectos, adoptar las medidas oportunas que garanticen el cumplimiento de las directrices proporcionadas por el desarrollador del sistema de reconocimiento facial, y someter las decisiones de esta tecnología a la revisión de un humano.
  • Rendición de cuentas: las agencias estatales deben exigir a los proveedores de sistemas de reconocimiento facial la preparación de un interfaz de programación de aplicaciones que permita la realización de pruebas independientes, realizadas por terceros, para comprobar la exactitud de los resultados o las posibles diferencias de carácter discriminatorio. Si las pruebas detectan algún problema de este tipo, las agencias exigirán al proveedor que desarrolle una estrategia de mitigación de los efectos en un plazo de 90 días. 
  • Uso en el ámbito penal: en los supuestos en que se pretenda utilizar el sistema de reconocimiento facial para determinar una condena penal, las agencias estatales deberán informar de ello al acusado antes del juicio.  Las agencias también habrán de mantener un registro de su uso para facilitar la información pública y la investigación en este ámbito. 
  • Vigilancia: los organismos que pretendan utilizar un sistema de reconocimiento facial para la monitorización continua de una persona sólo podrán hacerlo: (i) con una orden judicial; (ii) si hay circunstancias apremiantes que lo justifiquen; o (iii) con una orden judicial con el único propósito de localizar o identificar a una persona desaparecida o fallecida.

La norma entrará en vigor el 11 de junio de 2020. Mientras tanto, otros estados americanos, como Arizona, Illinois, Massachusetts y New Hampshire y Vermont, también están considerando la posibilidad de aprobar su propia legislación al respecto.

Autor: Sergi Gálvez

This post is also available in: English

Autores:

Asociado

41 artículos

Asociado del Área de Propiedad Intelectual y Protección de Datos. Especialista en protección de datos y tecnologías disruptivas. Participa en el asesoramiento recurrente en materia de protección de datos y contratación tecnológica de compañías nacionales e internacionales, especialmente en la configuración jurídica de evaluaciones de impacto, transferencias internacionales de datos personales, contratos de encargo de tratamiento y en el asesoramiento durante violaciones de seguridad. Además de prestar asesoramiento continuado a clientes en los ámbitos mencionados, tiene experiencia en asesorar a empresas de diferentes sectores en la configuración legal de proyectos que implementan tecnologías disruptivas, tales como el Big Data, Internet of Things, artificial intelligence y smart robots.

sergi.galvez@cuatrecasas.com