Biometría de voz y privacidad

Biometría de voz y privacidad

La biometría de voz se está convirtiendo en una herramienta ampliamente usada por bancos einstituciones públicas con fines de identificación y autenticación. A estos efectos, resulta esencial debatir los riesgos que la biometría entraña para la privacidad, así como su cumplimiento con el RGPD.

Conforme la tecnología avanza y el mundo evoluciona hacia las plataformas online, nos encontramos también con que aparecen de forma constante nuevos medios digitales para identificar a las personas.

Una de estas herramientas de identificación que ha experimentado un mayor crecimiento en los últimos cinco años es la biometría de voz, que se trata de una tecnología empleada para autenticar a los sujetos mediante la voz únicamente.

Son muchas las compañías y organizaciones alrededor del mundo que están usándola, incluidos bancos, entidades de crédito y agencias públicas.

Por ejemplo, en 2016 el banco Citi fue demandado por haber lanzado un Proyecto que automáticamente verificaba la identidad de los clientes mediante la voz, mediante tan sólo los primeros segundos de conversación. Esta actividad fue presentada por Citi como una forma de reducir los tiempos de espera a través de la eliminación de los procesos de autenticación manuales, normalmente tomando un extracto de uno o dos minutos de las llamadas recibidas en el call center.

Si bien es cierto que la biometría de voz puede mejorar los servicios ofrecidos a los clientes y la gestión de los negocios, hay que tener en cuenta también que entraña altos riesgos para la privacidad de los usuarios.

Hace tan solo cuatro meses, la autoridad de control de Reino Unido, la ICO, emitió un aviso de ejecución a Hacienda para eliminar millones de registros de biometría recogidos de manera ilegítima, lo cual fue descubierto tras una investigación que reveló que el departamento de impuestos de Reino Unido había registrado datos biométricos sin ofrecer información suficiente sobre cómo iba a tratarse dicha información, y además no se proporcionó ninguna alternativa para retirar el consentimiento. En mayo de 2019 la orden de ejecución final dio 28 días al departamento para completar el borrado de todos los datos biométricos obtenidos sin consentimiento mediante el sistema de voz.

Dado que la biometría de voz es usada normalmente para reidentificar a una persona, se debe tratar con una base legal adecuada, como cualquier otro dato personal. Esta base puede ser el consentimiento o el interés legítimo, éste último sujeto a la realización de una evaluación de interés legítimo previa, conforme al RGPD”, afirma DrBostjan Makarovic, Socio Gerente de Aphaia.

 

¿Necesitas ayuda con el RGPD o la LOPDGDD? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPDtambién Evaluaciones de Impacto, como subcontratación delSubcontratación del Delegado de Protección de Datos.

Primera multa de Suecia bajo el RGPD

Un colegio en Suecia ha sido multado por la autoridad de control sueca con 20.000 € por usar tecnología de reconocimiento facial para controlar la asistencia de los estudiantes.

El colegio alegó que estaba valorando implementar esta tecnología como procedimiento estándar por motivos de eficiencia. Dado que comprobar la asistencia de los menores a clase conlleva un tiempo de aproximadamente diez minutos diarios, automatizar la tarea supondría ganar más de 17.000 horas de trabajo por año.

Los datos biométricos se recogían mediante cámaras que tomaban fotografías y se vinculaban con los nombres completos. Después, dicha información se almacenaba en equipos sin conexión a internet, que eran guardados en una taquilla bajo llave.

El colegio argumenta que no procedió a dicho tratamiento sin ninguna base legal, pues solicitaba el consentimiento previo de los padres o tutores, que tenían la posibilidad de negarse a participar. Sin embargo, no se realizó ninguna evaluación de riesgo, ni Evaluación de Impacto ni consulta a la autoridad de control.

La autoridad de control sueca, en consecuencia, determinó que el colegio había infringido el RGPD de tres maneras diferentes:

  • Violación de los principios fundamentales del Artículo 5 al tratar datos de manera más invasiva de lo necesario en relación al propósito (asistencia a clase).
  • Artículo 9, al tratar datos de categoría sensible (datos biométricos) sin base legal.
  • Artículos 35 y 36 por incumplir los requisitos de Evaluación de Impacto y consulta previa.

Aunque el colegio sostenía que contaba con el consentimiento de los estudiantes, la autoridad de control consideró que no había base legítima para el tratamiento debido a la posición desigual entre el interesado (los estudiantes) y el responsable (el colegio).

Debe recordarse que, en un caso similar, pero aplicado al entorno de trabajo en lugar de a escuelas, la AEPD afirmó que se permite el uso de la huella dactilar para el control en el registro de la jornada laboral, siempre que se apliquen determinadas garantías, como la aplicación de los principios de finalidad y minimización, entre otros.

¿Necesitas ayuda con el RGPD o la LOPDGDD? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPDtambién Evaluaciones de Impacto, como subcontratación delSubcontratación del Delegado de Protección de Datos.

Apple da un paso más para proteger la privacidad de los niños

Aún a riesgo de afectar a su negocio, Apple ha decidido cambiar sus normas en relación a las apps infantiles.

Bajo las nuevas normas, las apps infantiles de Apple Store no podrán utilizar software analítico externo, que son líneas invisibles de código empleadas para recoger información muy detallada sobre quién y cómo se usa la app. Apple también restringirá la habilidad de vender publicidad en estas apps, lo cual hasta el momento es lo que ha sostenido el modelo de negocio de aquellas apps que son gratuitas. Estos cambios se han introducido a raíz de que muchos niños estaban recibiendo anuncios inapropiados, según Apple.

Las novedades forman parte de un movimiento para mejorar la protección de la privacidad de los usuarios, lo cual ha sido elogiado por muchos abogados. Se teme sin embargo que estas medidas, lejos de proteger a los niños, los expongan en mayor medida al uso de apps para adultos.

Algunos desarrolladores web, por su parte, están preocupados de que las nuevas normas limiten la posibilidad de introducir anuncios en las apps, lo cual conduciría a la necesidad de abandonar el modelo de negocio que permite actualmente que éstas se ofrezcan sin coste. Apple alega que con este giro está respondiendo a las preocupaciones de muchos padres. Phil Schiller, Vicepresidente de Apple de marketing a nivel mundial, explicó que algunos padres estaban quejándose de la publicidad inapropiada que llegaba a sus hijos cuando utilizaban apps de iPhone: “los padres se decepcionan en gran medida cuando esto ocurre, porque ellos confían en nosotros”.

Con las nuevas normas, el software analítico de Apple sí podrá seguir utilizándose, pero, una vez que los datos hayan sido recogidos, Apple no podrá ver qué se hace con ellos como tal, como enviarlos a un servidor donde puedan ser analizados por terceros. De alguna forma, y conforme a profesionales de la industria, parece que Apple podría estar incluso empeorando la situación al relegar el análisis de datos a prácticas ocultas.

La App Store de Apple se encuentra en el punto de mira de una investigación europea antimonopolio, tras la acusación de una app de música sueca que alegó que Apple beneficiaba la música de Apple Music en la Apple Store. Asimismo, el Tribunal Supremo aceptó a trámite un caso que apuntaba a Apple de usar su poder de monopolio para aumentar de manera injustificada los precios de las app.

Las apps infantiles suponen sólo una pequeña parte de los millones de app disponibles en Apple Store, aunque Apple se ha negado a aportar datos sobre cuál es el porcentaje. Tampoco se ha proporcionado información sobre cuántas de dichas apps recogen información personal de los niños y cuáles lo hacen de manera inapropiada.

Muchos abogados se han quejado durante años de estos problemas de Apple que ahora la compañía dice estar intentando resolver. La Ley de 1998 sobre la protección de la privacidad de los menores (COPPA) y el RGPD limitan los datos que las apps infantiles pueden recoger y rastrear.

Según el Cristina Contero Almagro, Socio Gerente de Aphaia,»si bien esto es un paso remarcable en la dirección correcta, está todavía por ver cómo se aplicará en la práctica. La imposición de las nuevas normas muestra una preocupación teórica de Apple, uno de los gigantes de internet, sobre privacidad, si bien la protección de datos va más allá de una serie de reglas escritas. Dado que el software propio de Apple sí se permite, la información personal de los menores se seguirá recogiendo, y estará por tanto expuesta a un mal uso. Y, lo que es peor, si no hay control sobre cómo y a quién los desarrolladores transfieren después esos datos, los interesados no podrán ejercer de forma adecuada sus derechos, lo cual supondrá una inaceptable limitación del RGPD».

¿Necesitas ayuda con el RGPD o la LOPDGDD? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPDtambién Evaluaciones de Impacto, como subcontratación delSubcontratación del Delegado de Protección de Datos.

CRITERIO DEL TJUE PARA EL BOTÓN “ME GUSTA” DE FACEBOOK

El Tribunal de Justicia de la UE ha dictaminado que el operador de una página web que incluye el botón “Me gusta” de Facebook podría ser corresponsable del tratamiento junto a la red social. 

Los hechos

El TJUE ha intervenido en un caso en el que un minorista de moda alemán, Fashion ID, ha sido acusado de violar el RGPD debido a que la inclusión del botón “Me gusta” de Facebook en su website implicaba la transmisión de los datos de los usuarios a la red social, sin ser los mismos conscientes de ello e independientemente de que fuesen miembros de Facebook o hubiesen presionado el botón.

En consecuencia, una asociación alemana de consumidores ha culpado al minorista de enviar datos a Facebook de los usuarios sin su consentimiento, además de incumplir con la obligación de información pertinente a tal respecto.

El fallo

El Tribunal señaló en primer lugar que, mientras que la antigua Directiva de Protección de Datos no permitía a las asociaciones de consumidores presentar procedimientos legales contra una persona sospechosa de haber infringido la legislación de protección de datos, el nuevo RGPD si ofrece dicha posibilidad.

En segundo lugar y ya en relación al fondo de la materia, el Tribunal afirmó que el minorista de moda no podía ser considerado responsable en relación a las actividades de tratamiento llevadas a cabo tras compartir los datos con Facebook Irlanda, pues parece imposible que Fashion ID determinase los fines y medios de tales operaciones. Sin embargo, Fashion ID sí podría caer bajo el concepto de corresponsable del tratamiento junto con Facebook Irlanda en relación a las actividades de tratamiento donde estén involucradas la recogida y transmisión de los datos a Facebook, puesto que puede determinarse que Fashion ID y Facebook deciden de manera conjunta los medios y fines del tratamiento. En conclusión, el TJUE falla a favor de que las páginas web y Facebook sean corresponsables en relación al botón de “Me gusta”.

Los puntos clave del fallo son los siguientes:

  1. En los casos en que el interesado haya dado su consentimiento, el Tribunal sostiene que el operador de una página web como Fashion ID debe obtener consentimiento previo únicamente en relación a las operaciones para las que es corresponsable, es decir, la recogida y transmisión de los datos.
  2. En aquellos casos en que el tratamiento sea necesario por interés legítimo, el Tribunal considera que cada uno de los corresponsables del tratamiento, es decir, el operador de la página web y el proveedor del plugin de la red social, en este caso Facebook, debe perseguir un interés legítimo a través de la recogida y transmisión de los datos para que tales actividades puedan estar justificadas.

Según el Dr Bostjan Makarovic, Socio Gerente de Aphaia, “esta decisión sobre el botón ‘Me gusta’ de Facebook supone un golpe al equilibrio entre los derechos de los sujetos y la realidad comercial de los gigantes de Internet. Es importante que la responsabilidad del operador de la página web no se extienda a otros tratamientos de los datos realizados por la red social. Además, la evaluación del interés legítimo de la red social en la actividad inicial puede presentar un gran reto. Dicha evaluación debería ser proporcionada por la red social, como parte del acuerdo de corresponsable de tratamiento”.

¿Necesitas ayuda con el RGPD o la LOPDGDD? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPDtambién Evaluaciones de Impacto, como subcontratación delSubcontratación del Delegado de Protección de Datos.