Amazon ha anunciado la puesta en uso de un sistema de reconocimiento biométrico donde el usuario usa la palma de su mano para pagar los productos a través de su propia huella. La compañía ya ha anunciado que lo lanzará en sesenta y cinco de sus establecimientos de Malibú, Santa Mónica, Los Ángeles, Santa Cruz y el Área de la Bahía.
El sistema de tecnología biométrica, que se conoce como AMAZON ONE, utiliza algoritmos de visión computacional para capturar y encriptar la imagen de la palma que pasa a ser la firma del usuario a la hora de pagar sus compras. Es sabido que las normas de protección de datos personales en Estados Unidos son más laxas o menos estrictas que en la Unión Europea, así que la duda es si este sistema de pago se podrá aplicar en el Espacio Económico Europeo.
Según la definición del Reglamento General de Protección de Datos, los “datos biométricos” son «datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos».
Los datos biométricos son una categoría especial de datos, lo que significa que disfrutan de una mayor protección y que su tratamiento está sometido a restricciones y a la aportación de garantías.
La tecnología biométrica no es un tratamiento en sí mismo, sino un medio a través del cual llevar a cabo operaciones dentro de un tratamiento que tendrá un fin concreto, por ejemplo, la identificación, autenticación, seguimiento, perfilado, etc.
La tecnología biométrica se basa en recoger y procesar, mediante sensores, rasgos de una persona, por ejemplo, el rostro, pero también pueden recoger rasgos conductuales, fisiológicos o neuronales, creando patrones que posibilitan su identificación, seguimiento y perfilado. Algunos métodos exigen la cooperación de la persona, otros no, pudiendo capturar datos biométricos a distancia, sin que pueda tener conciencia de ello (el sistema de videovigilancia de la Policía Local de Marbella, del que les hablé aquí, es un ejemplo de aplicación de la tecnología biométrica en los sistemas de seguridad pública).
Evaluación de riesgos y garantías adicionales
El tratamiento de datos biométricos es delicado, tanto que requiere una evaluación de riesgos.
A la hora de evaluar los riesgos asociados a las operaciones de tratamiento de datos biométricos tendremos que tener en cuenta las categorías y el número de sujetos afectados, el volumen de parámetros biométricos utilizados, la extensión geográfica, la frecuencia con la que se recogen los datos biométricos, la duración de las operaciones de tratamiento, el plazo de conservación de los datos, entre otros factores.
Si el tratamiento tiene efectos jurídicos en el interesado o le afecta significativamente, el artículo 22 del RGPD establece la imposición de garantías adicionales para salvaguardar los derechos y libertades y los intereses legítimos de los interesados. Una de esas garantías puede ser la intervención humana por parte del responsable del tratamiento, el derecho del interesado a expresar su punto de vista y a impugnar el tratamiento.
No todas las tecnologías biométricas procesan la misma cantidad de datos personales o realizan el procesamiento del mismo número de aspectos físicos del interesado. Por ejemplo, si el fin perseguido es determinar que hay una persona en un entorno concreto, no es necesario utilizar una operación biométrica capaz de distinguir entre dos personas. Recuerden que rige el principio de minimización de datos, que se traduce en tratar los datos justos para cumplir con el fin perseguido.
Pronunciamientos de la AEPD sobre el uso de datos biométricos
Varias entidades bancarias para controlar y permitir el acceso a su aplicación móvil utilizan datos biométricos como el reconocimiento facial, si bien la adhesión a este sistema es voluntaria, es decir, que el usuario tiene una alternativa, por ejemplo, una contraseña alfanumérica.
La pretensión de las entidades bancarias era extender el tratamiento de datos biométricos de forma masiva a todos los clientes para su identificación, y hacerlo de forma obligatoria, si se querían acceder a sus servicios. Dichas entidades planteaban el tratamiento de datos de reconocimiento facial en el momento del alta de clientes en la oficina o a través de un canal online con el objetivo de verificar su identidad, y así realizar las verificaciones oportunas de prevención del blanqueo de capitales y de la financiación del terrorismo, así como del control del fraude. La AEPD se pronunció en contra de tal proyecto en su Informe 47/2021.
La respuesta de la AEPD al proyecto de las entidades bancarias fue contundente: «La propuesta de tratamiento de datos basados en el reconocimiento facial con fines de identificación en el marco de la Ley de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo no está autorizada de acuerdo con el artículo 9.2.g) del RGPD, carece de base de legitimación al amparo del artículo 6.1 del mismo y es contraria a los principios de necesidad, proporcionalidad y minimización».
La AEPD recuerda a las entidades bancarias que, a efecto de identificación de los clientes, el «D.N.I. es un documento público y oficial con suficiente valor por sí solo para la acreditación de la identidad y de los datos personales de su titular, de lo que se desprende que ni siquiera las Fuerzas y Cuerpos de Seguridad del Estado disponen de información de datos identificativos a gran escala basado en datos biométricos de reconocimiento facial contemplada en el proyecto».
La AEPD remarca en su informe el carácter voluntario de la medida, es decir, que el afectado ha de consentir el tratamiento de sus datos biométricos para finalidades concretas sobre una base jurídica que ampare la operación de tratamiento. En caso contrario, el tratamiento será ilícito.
Un caso muy sonado sobre tratamiento de datos biométricos fue el de Mercadona.
En el año 2020, Mercadona puso en marcha en varios de sus supermercados una red de cámaras de videovigilancia dotadas de un sistema de reconocimiento facial. El fin era identificar a personas con sentencias firmes y órdenes de alejamiento en vigor contra Mercadona o alguno de sus trabajadores. La AEPD fue tajante al respecto, imponiendo una multa a Mercadona de 2.520.000 € (PS/00120/2021).
La AEPD explica en su Informe 31/2019 que: «Los tratamientos de videovigilancia regulados en la LOPDGDD y en la Ley de Seguridad Privada, se refieren exclusivamente a los tratamientos dirigidos a captar y grabar imágenes y sonidos, pero no incluyen los tratamientos de reconocimiento facial, que es un tratamiento radicalmente distinto al incorporar un dato biométrico». La AEPD advierte que: «La regulación actual se considera insuficiente para permitir la utilización de técnicas de reconocimiento facial en sistemas de videovigilancia empleados por la seguridad privada, siendo necesario que se aprobara una norma con rango de ley que justificara específicamente en qué medida y en qué supuestos, la utilización de dichos sistemas respondería a un interés público esencial».
No son los únicos pronunciamientos de la AEPD.
En su Informe 10308/2019 el Gabinete Jurídico de la AEPD se pronuncia sobre la licitud de incorporar sistemas de reconocimiento facial en los servicios de videovigilancia proporcionados por empresas de seguridad privada, en el Informe 36/2020 se pronuncia sobre la utilización del reconocimiento facial para realizar exámenes y en el informe 368/2006 sobre un sistema de control para gestionar las ausencias y retrasos de los alumnos de un colegio basado en la obtención de su huella dactilar.
El uso de los datos biométricos se ha planteado, también, en el ámbito laboral para el control de los trabajadores, por ejemplo, en el control de accesos. Sobre ello les hablé en un artículo anterior que dejo enlazado aquí.
Conclusión
Amazon quiere perfilar a los compradores en sus tiendas físicas para conocer sus gustos y hábitos de consumo. Para ello emplean un entramado de decenas de cámaras colocadas en los techos de sus tiendas que incluyen sensores de movimiento y aprendizaje automático. No solo restarán empleos, también invaden la privacidad de los usuarios.
Si Amazon quiere imponer en los Estados miembro del Espacio Económico Europeo su sistema de pago con tecnología biométrica, en principio, se advierte complicado, pues existen alternativas menos invasivas para los afectados como el uso de las tarjetas bancarias o el pago con el móvil.
—
Actualización
Haciendo clic aquí pueden consultar el informe elaborado por la AEPD con los «14 equívocos con relación a la identificación y autenticación biométrica». Muy interesante.
