Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Proyecto Prüm II

Las autoridades comunitarias llevan tiempo trabajando en el Proyecto Prüm II. Se trata de una propuesta de Reglamento del Parlamento Europeo y del Consejo relativo al intercambio automatizado de datos para la cooperación policial. Antes de explicarles en qué consiste veamos los antecedentes:

El terrorismo yihadista golpeó muy duro a principios de este siglo. Todos recordamos los atentados contra las torres gemelas de Nueva York en 2001, los de Madrid en 2004 y los de Londres en 2005. Desde entonces, muchas cosas han cambiado y una de ellas es la necesidad de compartir información sobre sospechosos y delincuentes para prevenir nuevos atentados.

El 27 de mayo de 2005 en la ciudad alemana de Prüm siete Estados miembros de la Unión Europea (Alemania, Francia, Holanda, Luxemburgo, Bélgica, Austria y España) firmaron la Convención de Prüm. Sus principios fueron recogidos por la Decisión 2008/615/JAI del Consejo de la UE el 23 de junio de 2008 sobre la intensificación de la cooperación transfronteriza, particularmente en la lucha contra el terrorismo y la delincuencia transfronteriza. Hoy participan un total de catorce Estados de la Unión (los iniciales más Bulgaria, Eslovenia, Eslovaquia, Estonia, Finlandia, Francia y Rumania) y hay previsión de más adhesiones.

La Convención permite a los signatarios intercambiar datos sobre huellas dactilares, perfiles de ADN e información sobre datos de matriculación de vehículos para la prevención, detección e investigación de infracciones penales.

El sistema ideado se basa en el principio de reciprocidad de acceso y tiene por objeto profundizar la cooperación transfronteriza. No obstante, no existe un equilibrio real en esa reciprocidad, pues la capacidad de intercambio de información entre Estados miembros varía considerablemente. 

Las principales novedades de Prüm II, respecto a la Convención Prüm, radican en el intercambio de imágenes faciales y de ficheros policiales, así como perseguir un nuevo objetivo: permitir la búsqueda de personas desaparecidas y restos humanos no identificados.

Para lograr la coordinación entre los Estados miembros, cada Estado designará un “punto de contacto nacional” que será el responsable de comunicar los datos al Estado solicitante. Asimismo, se obliga al uso de la Norma de Formato Universal de Mensajes (UMF).

Para asegurar las comunicaciones entre Estados se crea el “encaminador”. Se trata de un canal, dotado de la necesaria infraestructura, que hace seguras las comunicaciones entre la infraestructura central y los Estados y sus organismos competentes. Para la búsqueda automatizada de los ficheros policiales, los Estados y Europol utilizarán el Sistema Europeo de Índice de Ficheros Policiales (EPRIS).

La necesaria protección de los datos personales  

La protección de datos personales tiene un capítulo específico en la propuesta, concretamente, el capítulo 6 que comprende los artículos 52 a 62.

Entre otras medidas, se exige a las autoridades de los Estados miembros que garanticen la seguridad de los datos personales, por ejemplo:

  • Mediante la elaboración de planes de emergencia para proteger a los datos físicamente.
  • Denegando los accesos a equipos e instalaciones de tratamiento de datos a personas no autorizadas.
  • Impidiendo la lectura, copia, modificación o retirada no autorizadas de los soportes de datos.
  • Impidiendo la introducción no autorizada de datos y la inspección, modificación o supresión no autorizadas de datos personales registrados.
  • Impidiendo que los sistemas de tratamiento automatizado de datos sean utilizados por personas no autorizadas mediante equipos de comunicación de datos.
  • Garantizando que las personas autorizadas a acceder al encaminador y al EPRIS tengan acceso únicamente a los datos a que se refiere su autorización de acceso, mediante identidades de usuario individuales y modos de acceso confidenciales.
  • Garantizando la posibilidad de verificar y determinar a qué organismos pueden transmitirse datos personales mediante equipos de transmisión de datos.
  • Garantizando la posibilidad de verificar y determinar qué datos han sido tratados en el encaminador y el EPRIS, en qué momento, por quién y con qué fin.
  • Impidiendo la lectura, copia, modificación o supresión no autorizadas de datos personales durante la transmisión de estos datos hacia o desde el encaminador y el EPRIS o durante el transporte de soportes de datos, en particular mediante técnicas adecuadas de cifrado.
  • Garantizando que, en caso de interrupción, los sistemas instalados puedan volver a funcionar normalmente.
  • Garantizando la fiabilidad y asegurando que se informe adecuadamente de cualquier error de funcionamiento del encaminador y del EPRIS.
  • Controlando la eficacia de las medidas de seguridad mencionadas.
  • Adoptando medidas de control interno para garantizar el cumplimiento de la normativa y evaluando dichas medidas de seguridad a la vista de los últimos avances tecnológicos.

Los Estados miembros y Europol deberán justificar sus consultas. La justificación mencionada incluirá:

  1. La finalidad de la consulta, incluida una referencia al caso o investigación específicos.
  2. Una indicación sobre si la consulta se refiere a un sospechoso o al autor de un delito.
  3. Una indicación sobre si la consulta tiene por objeto identificar a una persona desconocida u obtener más datos sobre una persona conocida.

Tales justificaciones estarán protegidas por medidas adecuadas contra el acceso no autorizado y serán suprimidas un año después de su creación. En el caso de que sean necesarias para procedimientos de supervisión que ya hayan dado comienzo, se suprimirán cuando dichos procedimientos ya no exijan la justificación.

Siendo todavía una propuesta, y por tanto sujeto a cambios en su versión definitiva, no merece la pena entrar en más detalles, pero sí diré que, en términos generales, me parece acertada.

Los riesgos del reconocimiento facial

En China el reconocimiento facial es una herramienta habitual. Son muchos los negocios que utilizan el reconocimiento facial como medio de pago. Por ejemplo, los comensales en el restaurante KPro, una franquicia de KFC, hacen su pedido en un terminal que escanea el rostro. Si el rostro coincide con la imagen de la identificación de la foto almacenada en el sistema, el cliente sólo tiene que introducir su número de teléfono y se ejecuta el pago. El sistema está presente, incluso, en los comercios locales (vídeo). Más ejemplos, en los lavabos del Templo del Cielo de Pekín sólo dispensan papel higiénico tras un escaneado del rostro del usuario. Hay entidades financieras que han sustituido en sus cajeros el uso de tarjetas por el reconocimiento facial. Los usos son múltiples.

El tema se complica cuando algunos pretenden ir paso más allá. Ping An Technology, subsidiaria de la segunda mayor aseguradora del mundo, ha desarrollado un sistema de reconocimiento facial capaz de detectar minúsculas expresiones en el rostro y mediante el uso de la Inteligencia Artificial detectar posibles defraudadores. 

En China el número de cámaras de vigilancia se cuenta por millones. Según la firma especializada IHS Markit, el objetivo de China para el año 2020 era instalar 450 millones de cámaras que se sumaban a los 176 millones de cámaras ya instaladas. El riesgo está en el tratamiento de esos datos personales, en su custodia y en el uso que las autoridades hagan de los mismos, más allá de lo imaginable. 

En nuestro país, la Policía Local de Marbella hace años que emplea sistemas de reconocimiento facial para labores de vigilancia de sus calles. De ello les hablé aquí

En Alemania también se está hablando del uso masivo de cámaras de vigilancia. De hecho, ya han experimentado en un proyecto piloto en la estación de trenes de Südkreuz en Berlín, un importante nudo de comunicación para viajeros tanto locales como internacionales. Al inicio del proyecto, las imágenes de las caras de distintos usuarios fueron introducidas en una base de datos policial especial, imitando la forma en que la policía trata con sospechosos reales. El software desarrollado para el experimento alertaba a los funcionarios cada vez que uno de los voluntarios era captado por una cámara. Según el Ministerio del Interior alemán, el sistema tuvo en promedio un 80% de precisión. La verdad es que ese resultado no inspira mucha confianza.

Conclusión

Cuando se expide un Documento Nacional de Identidad se recogen las huellas dactilares del titular. No es descartable que, en un futuro, hagan lo mismo con nuestros rasgos faciales, conformando una gran base de datos que podrían intercambiar con otros países, que nos podrían hacer sospechosos por una similitud de rasgo con los verdaderos culpables. Quizá esté echando la imaginación a volar.

Veremos que nos depara el futuro y si llegamos a los extremos de China. No descartemos nada si las autoridades le encuentran encaje legal y los tribunales consienten.

EnglishPortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).