Recientemente, la Agencia de Protección de Datos sueca ha impuesto una multa de 20.000 de euros al Ayuntamiento de Skelleftea, localidad del norte de Suecia, por ser el responsable de un colegio municipal que utilizaba el reconocimiento facial pasar lista de asistencia en sus clases.
Esta herramienta se había utilizado a lo largo de tres semanas.
Cuando se aprobó el Reglamento General de Protección de Datos (UE) 2016/679, de 27 de abril (RGPD), se establecieron una serie de categorías especiales de datos (artículo 9.1), entre los que se incluyeron los datos biométricos.
Esta nueva categoría se definió en el artículo 4, apartado 14), como los «datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos».
Este tipo de datos son una información muy valiosa, ya que mediante las nuevas tecnologías que se están desarrollando es posible la identificación de personas mediante el reconocimiento facial, dactilar, de iris, firma, escritura, voz, o forma de andar.
Así, no es de extrañar que muchas compañías estén siendo investigadas por el uso de este tipo de herramientas, puesto que pueden llegar a vulnerar la privacidad más básica de un ciudadano.
En Suecia las autoridades públicas pueden recibir una multa de máximo 10 millones de coronas suecas (un millón de euros aproximadamente) por incumplir este reglamento.
Es más, algunas instituciones públicas ya están haciendo uso de este tipo de instrumentos (por ejemplo, el Estado chino utiliza el reconocimiento facial para ejercer un mayor control sobre la actividad de su población).
Con el consentimiento de los alumnos no ha sido suficiente
Curiosamente, estos alumnos -un total de 22- habían prestado su consentimiento, pero la Agencia sueca entiende que se trata de datos especialmente sensibles en los que el colegio no avisó correctamente del impacto que supone el tratamiento de los mismos.
Se argumenta, además, que existe un claro desequilibrio entre la entidad que recopila los datos y los alumnos, que son dependientes de la dirección del centro.
Asimismo, se hace hincapié en que el responsable de esta medida debió consultar la situación con la Agencia de Protección de Datos, pues se habría evaluado con mayor precisión dicho tratamiento (deber de informar, límites…), así como las medidas de seguridad y organizativas oportunas.
La Unión Europea está trabajando en una regulación más estricta para evitar el uso indiscriminado de la tecnología de reconocimiento facial.
Fortalecer los derechos de los ciudadanos y protegerlos de la vigilancia pública, así como del uso abusivo de la vigilancia privada, son los retos más inmediatos de las autoridades europeas ante la rápida evolución de este tipo de dispositivos.
Es por ello, que la colaboración entre Agencias europeas es cada vez más estrecha en un escenario en el que los servicios profesionales de privacidad tienen un papel crucial en el asesoramiento de empresas y particulares.
