La regulación establece dos requisitos clave para poder usar reconocimiento facial: dar información previa al usuario y pedir consentimiento
La tecnología
Face ID que Apple ha integrado en el iPhone X ha demostrado que el
reconocimiento facial puede ser una alternativa clara para el tradicional lector de huellas, pero con su adopción ha aparecido una nueva amenaza a la privacidad.
Que esos datos acaban en malas manos podría ser fatal, algo que nos lleva a preguntarnos cuál es la regulación actual al respecto.
Hemos hablado con dos expertos que nos han ayudado a aclarar qué pueden hacer y qué no los fabricantes como Apple en esa integración de la tecnología.
El iPhone X y Face ID como referentes de una tendencia de futuro
La inclusión de esta tecnología en el iPhone X es sin duda la que ha abierto el debate sobre las implicaciones que el reconocimiento facial tiene para la
privacidad y la seguridad.
No es desde luego un debate nuevo, porque en estos últimos años hemos ido viendo cómo estos sistemas se iban integrando sobre todo en el ámbito de la
seguridad ciudadana.
Hay
proyectos gigantescos en
China (hablamos de ese caso concreto más adelante), pero también en
Canadá,
Alemania,
Gran Bretaña o
Australia, donde quieren sustituir el control de pasaportes por un control basado en reconocimiento facial. Empresas como Microsoft y Facebook también parecen especialmente interesadas en este ámbito, y es sabido que agencias de inteligencia como el FBI mantienen bases de datos con
millones de rostros.
Sin embargo ha sido la presentación del iPhone X la que ha reavivado ese debate sobre privacidad y seguridad. Los responsables de la empresa tuvieron que reaccionar a críticas los
riesgos potenciales para la privacidad que expresaron con vehemencia personalidades del panorama político estadounidense como el senador Al Franken, y publicaron un informe sobre la seguridad de Face ID (PDF) en noviembre de 2017 aclarando la tecnología.
En ese documento se explicaba por ejemplo cómo
los datos relacionados con Face ID nunca abandonan el teléfono del usuario, y los desarrolladores que quieran integrar autenticación basada en Face ID tampoco tendrán acceso a esos rostros salvo para esa función. La API de autenticación simplemente da una respuesta positiva o negativa tras comparar la señal de entrada (un rostro, se supone) con los datos del rostro escaneado por Face ID y almacenado en el famoso Secure Enclave.
Tampoco se guardan los datos de los rostros que se intentan usar para ser autenticados: si un amigo intenta usar tu iPhone X por probar
su cara no quedará registrada en ningún caso, porque como explicaba Apple, "las imágenes de rostros capturados durante operaciones de desbloqueo normales no se salvan, sino que se descartan inmediatamente después de que la representación matemática se calcule para compararla con los datos integrados en Face ID".
Los expertos lo confirman: la cara es un dato personal
Para analizar este ámbito en profundidad tuvimos la oportunidad de contar con la colaboración de dos de los expertos con más experiencia en el campo de la privacidad y la protección de datos en nuestro país.
Samuel Parra (
@Samuel_parra) es un jurista especializado en estos campos desde 2001. En 2006 inició un
blog personal dedicado a estos temas que fue premiado por su trayectoria por parte de la Agencia de Protección de Datos de la Comunidad de Madrid. Su experiencia en temas de transparencia es también destacable, como demuestra el tema que preparó para Xataka en marzo de 2016 sobre el debate de los iPad en el Congreso de los Diputados.
Por su parte,
Sergio Carrasco (
@sergiocm) es Licenciado en Derecho e Ingeniero Técnico de Telecomunicaciones, y también lleva años centrándose en el derecho tecnológico y la protección de datos. Es co-fundador de Derecho en Red, una iniciativa dirigida a ofrecer "información rigurosa y precisa sobre el Derecho de las Nuevas Tecnologías".
Comenzábamos preguntándoles a ambos por el tipo de consideración legal que tiene el reconocimiento facial que se empieza a emplear en dispositivos como el iPhone X.
¿Es la cara un dato personal? Para Samuel Parra era conduntende: "Sin duda". Tanto en nuestro país como en la Unión Europea, aclaraba, el dato personal es "cualquier información sobre una persona que la identifique del resto. Por ejemplo, la voz es también un dato personal o incluso la silueta de la persona siempre y cuando, como digo, permita la identificación de la persona."
Sergio Carrasco estaba de acuerdo con su colega, y también comparaba la cara con "las imágenes, las siluetas o la voz" a las que aludía Parra. Añadía que es necesario recordar "cuál es el uso para el cual se realiza dicha captura:
la identificación del usuario concreto que (en principio) se encuentra utilizando el dispositivo".
Informar y obtener consentimiento para el reconocimiento facial
Este sistema biométrico que parece el futuro de los iPhone y que podría extenderse a algunos smartphones basados en Android no se puede usar a la ligera. Parra destacaba que el reconocimiento facial se podrá usar bajo dos requisitos: "
información previa al usuario y su consentimiento".
Es por esa razón por la que cualquier dispositivo que aproveche esta tecnología debe
avisar e informar al usuario de "para qué se va a utilizar su rostro (esto es, las finalidades del tratamiento), quién va a tratar el dato (es decir, quién es la persona o empresa que me está escaneando la cara) así como los destinatarios, si los hubiere, del dato (si se van a facilitar a un tercero o no)".
Esa información deberá también tener en cuenta otros apartados, como explicaba el jurista. "
se deberá informar el plazo de tiempo durante el cuál se van a conservar el dato (el escaneo del rostro), la existencia de una serie de derechos como por ejemplo el de acceso (poder pedirle a quién me los pida que en el futuro me diga qué datos tiene míos).
Sergio Carrasco, no obstante, recordaba las "
excepciones existentes en materia de seguridad (como sucede con las cámaras de seguridad, por ejemplo)". Es en este escenario en el que nos encontramos casos como el de la
red de 20 millones de cámaras que China ha situado en diversas ciudades de su geografía.
Esa red llamada Skynet (sí, como esa Skynet) no solo ve lo que pasa: "sabe" lo que pasa gracias a un sistema de reconocimiento facial combinado con machine learning que está orientado a combatir el crimen y el terrorismo en este país.
Las implicaciones para la privacidad quedan una vez más en el olvido ante la eterna excusa de la seguridad nacional.
En esos casos excepcionales se asume que tanto informar a los usuarios como obtener su consentimiento de forma directa y unívoca
deja de ser un requisito imprescindible. La amenaza a nuestra privacidad es evidente en estos casos, pero como añadía Carrasco, "por defecto, el tratamiento de datos de terceros requiere el consentimiento del titular de los mismos, con lo cual salvo que tengamos alguna excepción a la que acogernos, este es el requisito esencial".
Samuel Parra iba más allá en ese segundo requisito del consentimiento, y destacaba que nuestro rostro es un dato personal especialmente delicado, y
la normativa lo ha querido proteger con mayor cuidado. Por ejemplo, a la hora de su tratamiento:
De entrada, la normativa prohíbe directamente el tratamiento de este tipo de datos personales, a no ser que se de alguna excepción. Una de esas excepciones es que el interesado otorgue su consentimiento explícito para su tratamiento (y ojo que la normativa permite que cualquier Estado establezca que ni con el consentimiento se pueden tratar estos datos).
Amenazas a la privacidad
Los defensores de la privacidad ven una amenaza especial en ese reconocimiento facial que teóricamente permite
construir una gigantesca base de datos con millones y millones de rostros.
Preguntabamos a nuestros expertos por esa amenaza, y Parra intuía que una de las más evidentes es "la posibilidad de que
se llegue a acceder por terceros no autorizados a la base de datos del responsable que tiene alojadas miles o millones de rostros y asociados a un perfil concreto". Combinados con otros datos ya asociados a ese rostro convertiría haría que como explicaba este experto esa información fuera "muy golosa".
La publicidad personalizada es también otro de los ámbitos en los que ese reconocimiento facial podría irse de las manos. La escena de 'Minority Report' en la que Tom Cruise pasea por un centro comercial y
la publicidad se ajusta a su perfil no parece estar tan lejos de nuestra realidad.
Como matizaba Parra, "las posibilidades son infinitas. De hecho no me extrañaría que en poco tiempo veamos
comercios físicos que te identifican por el rostro directamente y te cobran la compra al salir a tu cuenta asociada, sin pasar por un cajero", algo que sería una extensión de esa tienda sin personal humano que Amazon Go acaba de inaugurar en Seattle.
Ese es precisamente uno de los posibles escenarios con los que nos encontraremos pronto: puede que Apple sí se esmere en proteger esos datos, pero, ¿qué garantías nos ofrecerán
desarrolladores de terceras partes?
Los términos de uso de las herramientas de desarrollo de iOS especifican que las aplicaciones deben pedir permiso para acceder a la cámara, y además deben prohibir que los datos del reconocimiento facial
se usen para fines publicitarios.
El riesgo de un robo de datos con rostros de millones de usuarios haría aún más peligrosos los casos de suplantación de identidad.
La propia Apple aclaró las dudas en este ámbito
con un documento especial de su base de conocimiento en el que detalla las medidas que ayudan a proteger los datos relacionados con ese reconocimiento facial, pero
los riesgos están ahí si aplicaciones maliciosas logran entrar en la App Store.
Esa aplicación publicitaria de la que hablábamos antes parece casi aceptable en comparación con esa
otra amenaza real que nos plantea un posible ciberataque, algo a lo que apuntaba este jurista:
Si utilizamos el rostro como medio de "identificación" y "autenticación" (esto es como nombre de usuario y contraseña), si "hackean" la base de datos que contiene esta información ¿cómo cambiamos ese nombre de usuario y contraseña? No podemos, el rostro como otros datos biométricos son inmutables.
Es en este último ámbito en el que Sergio Carrasco también veía más peligro, ya que "muchas aplicaciones han incluido la posibilidad de almacenar contraseñas y desbloquear aplicaciones directamente a través de la lectura de huellas o del iris". El problema es que si un ciberatacante logra saltarse esos controles, "
podría actuar bajo la apariencia del usuario legítimo", y las implicaciones son evidentes ahora que cada vez tenemos más información privada y sensible en esos móviles que están integrando la tecnología y que podrían hacerlo aún de forma más frecuente en el futuro.
La regulación establece objetivos, no obligaciones
Esta tecnología ha hecho necesario que la legislación tenga en cuenta este tipo de realidades y amenazas, y como explicaba Samuel Parra "El Reglamento Europeo de Protección de Datos establece que para el tratamiento de este tipo de datos es necesario realizar previamente una
evaluación de impacto".
De esa evaluación es de la que salen las medidas de seguridad a establecer, pero este reglamento "
no establece ninguna lista concreta". De hecho es el responsable de quien integra esa tecnología (en el caso del iPhone X, Apple) el que debe poner en marcha medidas que garanticen que la evaluación del impacto es positiva.
Esto es: la regulación actual no marca qué hacer con esos datos, sino los objetivos que debe perseguir quien los proteja. Para lograr esa protección "el responsable del tratamiento debería implementar
sistemas de anonimización o seudonimización y cifrado de los datos; la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento".
Sergio Carrasco nos recordaba cómo en el caso de Apple, la tecnología Face ID hace uso de un sistema que hace que "este tipo de datos biométricos se almacenan en partes específicas del dispositivo especialmente protegidas contra ataques". Como explicaban en
la web de Applesfera, esa información "se cifra y protege con una clave que solo es accesibel por el
Secure Enclave y
no por el resto del sistema operativo".
Esa regulación está preparada para adaptarse a la evolución de las tecnologías biométricas de identificación, concluía Carrasco, que nos tranquilizaba recordándonos que "
debemos tener en cuenta el bagaje ya existente" y que el Reglamento de Desarrollo de la LOPD
incluye medidas a adoptar dependiendo del dato.
Samuel Parra nos explicaba además cómo la regulación europea (RGPD) y la española (LOPD) se alinean: la LOPD se está reformando "porque colisiona con lo que dice el RGPD", explicaba, y
debe adaptarse a la legislación de la Unión Europea.
"La RGPD dice que la edad mínima para consentir el tratamiento de datos es de 16 años", explica, "pero
permite que los Estados miembros bajen esa edad hasta los 13 años como mucho; en el caso de España, se ha decidido por establecer la minoría de edad para consentir el tratamiento de datos en los 13 años, esto significa que un niño de 13 años puede consentir al tratamiento de su rostro pero no uno de 12 años".
En la LOPD y la RGPD no hay un apartado específico sobre el reconocimiento facial, pero "sí habla de datos biométricos identificativos (como el rostro)". El Grupo del artículo 29 de la RGPD sí tiene algunas recomendaciones, y lo mismo ocurre con el Dictamen 3/2012 sobre la evolución de las tecnologías biométricas (PDF).
Para Parra "
no es necesario actualizar la LOPD, ya que se prevé este tema en el RGPD", y de hecho el problema no es en realidad la regulación. Como él confiesa, "
el mayor reto que tiene esta regulación es sencillamente que se cumpla".
Lo mismo opinaba Carrasco, que señalaba que "
la actual Ley es adecuada para regular este tipo de tratamientos, y hay que tenerla en cuenta a la hora de desarrollar nuevas tecnologías. Es posible realizar cambios en la norma para contemplar expresamente determinados supuestos, pero teniendo claro que no existe una laguna actualmente".
La Comisión Europea publicó además
un comunicado en mayo de 2017 en el que indicaba que la reforma del paquete de medidas para la protección de datos personales entrará en vigor de 2018 y habilitará un "
refuerzo de los derechos individuales".
Se tratan temas como el
derecho al olvido (los usuarios podrán eliminar sus datos de esas bases de datos "si no existen motivos legítimos para conservarlos", el acceso a los datos personales y a su portabilidad (para moverlos entre distintos proveedores), e incluso se requiere que las empresas y organizaciones hagan saber a sus usuarios si sus datos se han visto comprometidos en un ciberataque.
La regulación, insistimos, parece estar bien preparada en este ámbito en España y la Unión Europea. Ahora el turno es de los fabricantes y desarrolladores, que deben hacer un esfuerzo importante por ofrecer esta tecnología
pero siempre respetando la seguridad y privacidad de los usuarios.