Dictamen sobre el Reconocimiento Facial en servicios online y móviles

Dictamen sobre el Reconocimiento Facial en servicios online y móviles

El grupo de autoridades europeas de protección de datos (Grupo de Trabajo del Artículo 29: GT29) adoptó el pasado 22 de marzo el Dictamen 02/2012 sobre el reconocimiento facial en servicios online y móviles.

El reconocimiento facial se define en el Dictamen, como el tratamiento automatizado de imágenes digitales (fotografía, grabación, vídeo en vivo…) que contienen caras de personas con el propósito de identificar, autenticar/verificar o categorizar a las mismas.

Dado el creciente uso de los servicios y aplicaciones móviles y online,  el GT29 recomienda a los legisladores nacionales garantizar el derecho a la privacidad por medio de la protección de los datos de los usuarios en este campo, en el que resulta tan fácil y rápido violarlo.

El objetivo principal del Dictamen, en este sentido, es recalcar la necesidad de que se recabe de los afectados el consentimiento informado de forma clara, accesible y previa al tratamiento de las imágenes digitales en el sistema de reconocimiento facial. En ningún caso debe derivarse el consentimiento de una aceptación general de las condiciones del servicio.

De especial interés, por su actualidad, resultan las concretas recomendaciones referidas  a la subida de imágenes a las redes sociales, las cuales deberían:

  • Implantar herramientas para que los usuarios puedan controlar la visibilidad de sus imágenes por terceros.
  • Informar del uso del reconocimiento facial a los usuarios antes de que éstos publiquen imágenes, dando la opción para que puedan rechazar la inclusión de su patrón facial en la base de datos de identificación automática.
  • Facilitar técnicamente a los usuarios difuminar el rostro de terceros cuando suban una imagen, sin olvidar que la red social ha de acreditar interés legítimo para poder tratar los datos de terceros sin su consentimiento.
  • Impedir técnicamente que se sugieran de forma automática etiquetas a nombre de quienes no hayan dado su consentimiento al tratamiento de datos con esta finalidad.

Finalmente, el Dictamen establece la necesidad de que los prestadores de servicios deban asegurarse y garantizar que las imágenes digitales de los usuarios y los patrones de reconocimiento facial son utilizados únicamente para la finalidad prevista, adoptando las medidas adecuadas para garantizar su seguridad.

Es claro que la privacidad de los datos personales, y en concreto de la propia imagen, no es sólo una preocupación del GT29, sino cada vez más de los propios usuarios, que a menudo se encuentran con engorrosas políticas de privacidad en muchas redes sociales. Por otra parte, los conflictos (fotos o etiquetas indeseadas, posibilidad de ver determinados datos personales por terceros no autorizados, etc) están a la orden del día en los tribunales.

No parece que adoptar las medidas recomendadas por el GT29 entrañen especial dificultad técnica para las redes sociales y, a cambio, se obtiene un gran beneficio para todos: el usuario tiene más protegida su privacidad y la red social se evita problemas legales en materia de protección de datos.

Por el momento, la red social Tuenti es la única que ya ha dado un paso adelante en el refuerzo de su política de privacidad, de tal modo que amplía a todos los usuarios (antes sólo era para los menores de 18 años) la configuración por defecto del máximo nivel de privacidad. Para cambiarlo, habrá que hacerlo de forma expresa.

Queda por ver si otras redes sociales seguirán un camino similar que clarifique sus políticas de privacidad en beneficio del derecho a la intimidad y la propia imagen de sus usuarios.

Áudea Serguridad de la Información

Pedro Amorós Tenorio

Departamento Derecho TIC

www.audea.com