Recientemente, Amazon ha anunciado que pondrá en funcionamiento un sistema de reconocimiento biométrico en sesenta y cinco de sus establecimientos de Malibú, Santa Mónica, Los Ángeles, Santa Cruz y el Área de la Bahía, donde el usuario usará la palma de su mano para pagar sus compras.
El sistema de tecnología biométrica –que se conoce como AMAZON ONE— utiliza algoritmos de visión computacional para capturar y encriptar la imagen de la palma de la mano que pasa a ser la firma del usuario a la hora de pagar sus compras. El procedimiento es simple. Vean el vídeo que dejo enlazado aquí.
La idea de Amazon es que el usuario pueda utilizar este sistema, además de en los establecimientos propiedad de Amazon, en otras ubicaciones como estadios, aeropuertos, gimnasios y tiendas de conveniencia que ya empleen esta tecnología.
El sistema se completa con cámaras y sensores instalados en el techo de los establecimientos, que combinados con el uso de la inteligencia artificial, registran la actividad de los usuarios en la tienda. Conocido como Just Walk Out, la idea es que los usuarios escanean la palma de su mano o registran su entrada con el teléfono móvil, una vez dentro, toman los productos que desean, que se añaden a un carrito virtual y al salir se les cobra automáticamente.
Evaluación de riesgos y garantías adicionales
Si Amazon quisiera establecer dicho sistema en la Unión Europea se advierte complicado, pues no hay una norma con rango de ley que autorice específicamente el uso de datos biométricos para dicha finalidad, aparte de que existen alternativas menos invasivas para los afectados como el uso de tarjetas bancarias o el pago con el móvil (Bizum, Apple Pay, etc.).
El uso de datos biométricos requiere superar favorablemente una Evaluación de Impacto para la Protección de Datos (EIPD) que incluya y también supere el triple juicio de idoneidad, necesidad y proporcionalidad estricta establecido en el artículo 35.7.b) del RGPD.
A la hora de evaluar los riesgos asociados a las operaciones de tratamiento de datos biométricos tendremos que tener en cuenta, entre otros factores, los siguientes:
- Categorías y número de sujetos afectados.
- Volumen de parámetros biométricos utilizados.
- Extensión geográfica.
- Frecuencia con la que se recogen los datos biométricos.
- Duración de las operaciones de tratamiento.
- Plazos de conservación de los datos.
Si el tratamiento tiene efectos jurídicos en el interesado o le afecta significativamente, el artículo 22 del RGPD establece la imposición de garantías adicionales para salvaguardar los derechos y libertades y los intereses legítimos de los interesados. Una de esas garantías puede ser la intervención humana en las operaciones de tratamiento o el derecho del interesado a expresar su punto de vista e impugnar el tratamiento.
De acuerdo con el principio de responsabilidad proactiva (art. 5.2 del RGPD) el responsable del tratamiento debe ser capaz no sólo de demostrar la superación de la EIPD, sino también de aportar toda la documentación elaborada con ocasión de la realización de la EIPD y justificativa de los resultados obtenidos en la EIPD y de las medidas, organizativas, jurídicas y técnicas, adoptadas al respecto. También se ha de incluir la documentación relativa a la participación del Delegado de Protección de Datos en caso en que estuviera nombrado. Además, será obligatoria la consulta previa a la autoridad de control en caso de que el responsable no haya adoptado medidas que permitan mitigar el riesgo, tal y como se exige en el artículo 36 del RGPD.
No realizar una EIPD cuando procede es sancionable (la AEPD impuso una multa de 20.000 € en el PS/00010/2021).
Pronunciamientos de la AEPD sobre el uso de datos biométricos
Las entidades bancarias se plantearon extender el tratamiento de datos biométricos de forma masiva a todos los clientes para su identificación, y hacerlo de forma obligatoria, si se querían acceder a sus servicios. Dichas entidades planteaban el tratamiento de datos de reconocimiento facial en el momento del alta de clientes en la oficina o a través de un canal online con el objetivo de verificar su identidad, y así realizar las verificaciones oportunas de prevención del blanqueo de capitales y de la financiación del terrorismo, así como del control del fraude. La AEPD se pronunció en contra de tal proyecto en su Informe 47/2021.
La respuesta de la AEPD al proyecto de las entidades bancarias fue contundente: «La propuesta de tratamiento de datos basados en el reconocimiento facial con fines de identificación en el marco de la Ley de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo no está autorizada de acuerdo con el artículo 9.2.g) del RGPD, carece de base de legitimación al amparo del artículo 6.1 del mismo y es contraria a los principios de necesidad, proporcionalidad y minimización».
La AEPD recuerda a las entidades bancarias que, a efecto de identificación de los clientes, el «DNI es un documento público y oficial con suficiente valor por sí solo para la acreditación de la identidad y de los datos personales de su titular, de lo que se desprende que ni siquiera las Fuerzas y Cuerpos de Seguridad del Estado disponen de información de datos identificativos a gran escala basado en datos biométricos de reconocimiento facial contemplada en el proyecto».
La AEPD remarca en su informe el carácter voluntario de la medida, es decir, que el afectado ha de consentir el tratamiento de sus datos biométricos para finalidades concretas sobre una base jurídica que ampare la operación de tratamiento. En caso contrario, el tratamiento será ilícito.
Un caso muy sonado sobre tratamiento de datos biométricos fue el de Mercadona.
En el año 2020, Mercadona puso en marcha en varios de sus supermercados una red de cámaras de videovigilancia dotadas de un sistema de reconocimiento facial. El fin era identificar a personas con sentencias firmes y órdenes de alejamiento en vigor contra Mercadona o alguno de sus trabajadores. La AEPD fue tajante al respecto, imponiendo una multa a Mercadona de 2.520.000 € (PS/00120/2021).
La AEPD explica en su Informe 31/2019 que: «Los tratamientos de videovigilancia regulados en la LOPDGDD y en la Ley de Seguridad Privada, se refieren exclusivamente a los tratamientos dirigidos a captar y grabar imágenes y sonidos, pero no incluyen los tratamientos de reconocimiento facial, que es un tratamiento radicalmente distinto al incorporar un dato biométrico». La AEPD advierte que: «La regulación actual se considera insuficiente para permitir la utilización de técnicas de reconocimiento facial en sistemas de videovigilancia empleados por la seguridad privada, siendo necesario que se aprobara una norma con rango de ley que justificara específicamente en qué medida y en qué supuestos, la utilización de dichos sistemas respondería a un interés público esencial».
No son los únicos pronunciamientos de la AEPD.
En su Informe 10308/2019 el Gabinete Jurídico de la AEPD se pronuncia sobre la licitud de incorporar sistemas de reconocimiento facial en los servicios de videovigilancia proporcionados por empresas de seguridad privada, en el Informe 36/2020 se pronuncia sobre la utilización del reconocimiento facial para realizar exámenes y en el informe 368/2006 sobre un sistema de control para gestionar las ausencias y retrasos de los alumnos de un colegio basado en la obtención de su huella dactilar.
El uso de los datos biométricos se ha planteado, también, en el ámbito laboral para el control de los trabajadores, por ejemplo, en el control de accesos. La AEPD fija los criterios para la utilización de la biometría para el control de acceso, tanto con fines laborales como no laborales en la Guía sobre tratamientos de control de presencia mediante sistemas biométricos.
La Autoridad Catalana de Protección de Datos sancionó a la Universitat Oberta de Catalunya (UOC) con una multa de 20.000 € por el uso del reconocimiento facial en los exámenes a distancia de los alumnos. La sanción llegó después de que, entre 2021 y 2022, varios estudiantes denunciaron que mientras se examinaban debían tomarse una fotografía de la cara para ser identificados por la UOC. La multa fue recurrida y confirmada por el Juzgado de lo Contencioso-administrativo nº 10 de Barcelona. La UOC ya ha establecido un sistema alternativo de evaluación que no implica el uso del reconocimiento facial del alumnado.
—
Actualización (05.04.2024)
Just Walk Out no funciona como nos contaron
En mayo de 2023, The Information reveló que esta tecnología dependía de 1.000 empleados que la compañía tenía en India y que vigilaban todas las cámaras para asegurarse de que las transacciones se registraban correctamente. El 70 % de las compras hechas con este servicio dependían de estos trabajadores, no de la inteligencia artificial.
La empresa sustituirá este servicio por los Dash Carts, unos carritos inteligentes que permiten a los clientes escanear sus artículos mientras compran, aunque el Just Walkt Out se seguirá usando en las tiendas de conveniencia Amazon Go y en establecimientos Fresh de menor tamaño en Reino Unido.