Reconocimiento facial en investigaciones criminales: ¿jaque a la privacidad?
La cuestión clave está en la base de datos de imágenes que alimenta la aplicación
Hace escasos días saltó la noticia fruto de una investigación de The New York Times. Diversos departamentos de policía de Estados Unidos reconocían haber utilizado Clearview AI, una aplicación de reconocimiento facial destinada a identificar a presuntos criminales. El funcionamiento es bastante sencillo: se sube al programa una fotografía del sospechoso (por ejemplo, obtenida a través un sistema de videovigilancia) y la aplicación la compara con millones de imágenes que tiene en su base de datos. Si coincide con alguna de ellas, facilita los datos identificativos del supuesto criminal.
Por lo que indica la investigación, la aplicación es realmente efectiva, permitiendo identificar sospechosos en minutos y resolver crímenes cometidos por personas no fichadas o cuyos datos no constaban en registros públicos.
Además de cuestiones morales o éticas que pueden derivarse del uso de este tipo de sistemas de reconocimiento facial, cabe preguntarse si sería legal el uso de este tipo de software en el marco de la normativa de protección de datos que se aplica hoy en día en Europa, teniendo en cuenta que la imagen de una persona tiene la consideración de dato de carácter personal y, en consecuencia, su recogida y tratamiento está sometida a los principios y limitaciones establecidos en Europa por el Reglamento General de Protección de Datos (conocido como RGPD o, por sus siglas en inglés, GDPR).
La cuestión clave aquí no está tanto en la utilización de la imagen de los supuestos criminales, sino en la base de datos de imágenes que alimenta la aplicación. Según las informaciones publicadas, Clearview AI dispondría de una base de imágenes de más de 3.000 millones de fotografías de personas, recogidas de perfiles públicos de numerosos sitios web y redes sociales (al parecer, de sitios como YouTube, Facebook o Twitter, entre otros muchos), que habrían sido obtenidas sin su conocimiento.
Y aquí es donde surge la pregunta fundamental: ¿puede este tipo de aplicación recoger libremente imágenes subidas a redes sociales y otros sitios de Internet y utilizarlas para sus propios fines?
Para hacerlo en Europa tendrá que cumplir las reglas impuestas por el RGPD y que pueden resumirse en dos fundamentales: (i) informar de manera detallada a las personas que aparecen en las imágenes de que va a almacenarlas, indicándoles para que las va a utilizar; y (ii) contar con su consentimiento previo u otra base jurídica que ampare dicho tratamiento de datos.
Además, cuando publicamos una imagen en una red social o una página de Internet, hemos aceptado previamente unas condiciones de uso y una política de privacidad que establecen cómo se pueden utilizar las fotografías subidas en el marco de dicha plataforma. De hecho, la gran mayoría limitan el uso que puede hacerse de las fotografías publicadas, e incluso algunas redes sociales, como es el caso de Twitter, prohíben expresamente su utilización en tecnologías de reconocimiento facial.
Los sistemas de reconocimiento facial ya están aquí, y han llegado para quedarse. Tienen usos muy positivos y de gran utilidad, que deberán ser objeto de una regulación detallada ─de hecho, está en la mesa de la Comisión Europea y se plantea su prohibición en espacios públicos durante los próximos años─. En todo caso, ya disponemos en Europa de ciertos límites y requisitos legales en materia de protección de datos que estos sistemas deben cumplir para asegurar la correcta protección de la privacidad de los ciudadanos.
Jorge Monclús, abogado especializado en Protección de Datos y Nuevas Tecnologías de Cuatrecasas.