Reconocimiento facial y RGPD

Reconocimiento facial y RGPD

La tecnología de reconocimiento facial está creciendo a pasos agigantados y esto afecta de manera directa a la protección de datos y a la privacidad. Hoy vamos a analizar en profundidad la relación entre el reconocimiento facial y el RGPD.

Desde vigilancia hasta usos de marketing; los avances de la tecnología han desembocado en la comercialización – y, en algunas ocasiones, ¡hasta normalización!- del reconocimiento facial. Se emplea en terminales de aeropuertos, por fabricantes de teléfonos móviles y en empresas de redes sociales como Facebook, así que es probable que ya te hayas topado con ella en algún momento de tu vida. Se espera que en los próximos meses y años se integre de gran manera como una herramienta de identificación en la sociedad.

Por ejemplo, el mes pasado, la policía del sur de Gales probó en fase beta una nueva aplicación en los móviles de los agentes para ayudarles a identificar personas sospechosas. Parece que otro escenario donde el reconocimiento facial jugará un rol esencial será en los Juegos Olímpicos de 2020.

Mientras que las tendencias indican un crecimiento al alza de esta tecnología, se debe tener en cuenta también los riesgos que entraña para la privacidad.

Como explica Christina-Angeliki Toki, especialista en minado de datos e ingeniera de investigación biométrica en su entrevista para Aphaia estos riesgos para la privacidad incluyen:

“Reutilización de los datos, acceso no autorizado o robo, sobre los cuales el interesado no tiene ningún control [y, por tanto], se interfiere en los derechos fundamentales del individuo de una forma excesiva y desproporcionada”.

Como tiene una vinculación directa con el reconocimiento facial y el RGPD; ¿cuáles son las posibles implicaciones para las entidades que no implementan de manera apropiada las medidas para evitar estos riesgos para la privacidad? Principalmente multas administrativas.

En uno de nuestros recientes blogs, vimos cómo un colegio sueco había sido multado con 20.000 euros por infringir la normativa de privacidad y protección de datos en relación al uso de sistemas de reconocimiento facial. Asimismo, el 4 de septiembre la autoridad de control de Reino Unido, la ICO, solicitó a las fuerzas policiales y a las organizaciones privadas que usan tecnología facial intrusiva que fuesen conscientes y tuviesen en cuenta cómo aplica la normativa de protección de datos y las recomendaciones y orientación emitida en la materia hasta la fecha.

La tecnología de reconocimiento facial recoge datos biométricos que miden y evalúan las características físicas de una persona para determinar y verificar su identidad, de modo que se aplican las provisiones del RGPD y la LOPDGDD.

Aunque los escenarios antes mencionados se corresponden en su mayoría con entidades públicas, son muchas las empresas privadas las que también adoptan esta tecnología.

¿Cuáles son los principales requisitos del RGPD que debería implementar una institución o compañía en relación al uso de reconocimiento facial?

Identificación de una base legítima para el tratamiento. Puesto que los datos biométricos son categorías especiales de datos personales, las bases legales para el tratamiento que se pueden considerar están muy limitadas.
Implementar medidas de seguridad apropiadas.
Si el sistema de reconocimiento facial se emplea para la toma automatizada de decisiones, se tienen que incorporar salvaguardas adicionales.
El reconocimiento facial es una tecnología nueva que trata categorías especiales de datos personales y que puede ser empleada, entre otras finalidades, para elaboración de perfiles y seguimiento de individuos a gran escala y en espacios públicos, de manera que es necesario la realización de una Evaluación de Impacto previa.

Para mayor información y asesoramiento sobre cómo el reconocimiento facial y RGPD puede aplicarse según las actividades y necesidades de tu empresa, contacta con nosotros. Aphaia ofrece servicios tanto de consultoría para adaptación al RGPDtambién Evaluaciones de Impacto, como subcontratación del Delegado de Protección de Datos.

Smart Cities y privacidad

Smart Cities y Privacidad

El funcionamiento de las Smart Cities implica el tratamiento de grandes volúmenes de datos y la existencia de una red de dispositivos interconectados que los transmiten, lo que crea grandes riesgos y retos para la privacidad.

Una definición sencilla de las Smart Cities sería describirlas como una ciudad, distrito o área que incorpora tecnología digital y realiza una recogida y tratamiento de datos que se aplicará a todas las funciones públicas con el fin de mejorar los servicios del Gobierno y la vida de sus ciudadanos.

Reflejamos en el siguiente cuadro las categorías de datos que pueden recoger las Smart Cities:

Infraestructura

Datos de tráfico, tiempos de espera, gestión de multitudes, coches autónomos, parking

Medio ambiente

Clima y tiempo, contaminación, gestión de residuos

Información civil de los ciudadanos

Censo, elecciones, trabajo

Educación y salud

Notas de la escuela, absentismo, visitas al médico, enfermedades más comunes

Entretenimiento y consumo

Tiendas, teatros, cines (por popularidad y dinero desembolsado)

Seguridad y vigilancia

Videovigilancia, datos policiales

Conforme a Cristina Contero, Socia de Aphaia, la recogida, uso e interconexión de todos estos datos es justo el motivo por el que las Smart Cities crean grandes riesgos y retos para la privacidad.

En la Octava Conferencia de Fibra Óptica en Redes de Acceso (FOAN2019) que tuvo lugar en Sarajevo esta semana, Cristina destacó dos problemas principales de privacidad:

Base legítima para el tratamiento;
y medidas de seguridad para proteger la información.

Identificar la base legítima para el tratamiento

Aunque la mayor parte de la información recogida por las Smart Cities serán datos agregados, Cristina afirma que existe igualmente un riesgo -que es incluso mayor en las ciudades pequeñas- de que los interesados sean identificados, tanto por los grandes volúmenes de datos recogidos como por el cruce de fuentes.

¿Cuántos ciudadanos de 28 años, con un coche rojo, que viven cerca de un determinado barrio, tienen dos niños pequeños y son diabéticos podemos encontrar en una ciudad con 200.000 habitantes? Quizá no tantos como podemos imaginar”.

En consecuencia, el cumplimiento con el RGPD cuando se construye una Smart City es esencial, en primer lugar en la búsqueda de una base legal para el tratamiento.

El RGPD prevé seis bases para el tratamiento:

(a) Consentimiento.

(b) Cumplimiento de un contrato.

(c) Obligación legal.

(d) Intereses vitales.

(e) Interés público.

(f) Interés legítimo.

Cristina afirma que la base legítima más apropiada en consideración de las características de las Smart Cities sería el interés público.

El interés público se aplica cuando:

Es una tarea específica llevaba a cabo para el interés público y que está recogida por ley; o
es una actividad que proviene de una autoridad oficial (por ejemplo, funciones, deberes o poderes de un cuerpo público) que está recogido por ley”.

Cristina también explicó que para basarse en el interés público, el Gobierno previamente deberá:

Documentar la decisión de que el tratamiento es necesario para llevar a cabo la tarea en interés público o actuar en calidad de autoridad oficial;
identificar la tarea o autoridad en el derecho local o estatal;
proporcionar información básica sobre la finalidad y base legal del tratamiento en una política de privacidad.

Retos para la seguridad

Como algunas de las fuentes de riesgo en las Smart Cities encontramos: grandes cantidades de datos, muchos agentes implicados y recogida y envío de información en tiempo real.

A estos efectos resulta esencial contar con un presupuesto adecuado que garantice la construcción de una Smart City segura, pues prescindir de medidas de seguridad por falta de recursos puede resultar mucho más costoso a largo plazo que proceder de manera óptima desde el principio, con lo que si no tienes el respaldo económico suficiente desde el primer momento, entonces no comiences un proyecto de Smart City”.

En relación al cumplimiento con el RGPD, los Gobiernos también tendrán que implementar medidas técnicas y organizativas apropiadas para asegurar un nivel de seguridad coherente con los riesgos.

Entre tanto, Cristina expuso como solución la adopción de un Sistema de seguridad que consta de tres capas de protección, que puede ayudar a la efectividad de las Smart Cities y a prevenir y minimizar las brechas de seguridad y sus consecuencias, como por ejemplo el hackeo.

Algunos modelos de seguridad muy útiles incluyen una aproximación por capas, que consiste en un Sistema donde todos los dispositivos de una red inteligente cuentan con un identificador único y funcionan con tres capas de seguridad:

aplicación de protección de datos para el servidor (para identificar contenido malicioso);

capa de seguridad (como un cortafuegos para proteger los servidores); y

software inteligente seguro para los dispositivos (para prevenir que software malicioso sea instalado en los dispositivos).” Explicó Cristina.

 

 

¿Necesitas ayuda con el RGPD o la LOPDGDD? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPD, también Evaluaciones de Impacto, como subcontratación del Delegado de Protección de Datos.

FOAN2019

Aphaia asiste al evento FOAN2019

La octava conferencia internacional sobre Fibra Óptica en Redes de Acceso (FOAN2019) tuvo lugar del 2 al 4 de septiembre en el Swissotel, en Sarajevo.

FOAN2019 acogió más de 60 presentaciones ofrecidas por los más altos profesionales en el sector de las Telecomunicaciones, incluyendo empresa, Gobierno, cátedra y Agencias Regulatorias. Los asistentes vinieron de todas las partes del mundo, desde Europa sur y este hasta Japón y Estados Unidos, entre otros.

Durante los tres días que duró el evento, los participantes pudieron intercambiar sus opiniones y proyectos, además de compartir dos cenas de networking en el maravilloso y pintoresco casco antiguo de Sarajevo.

Merece especial mención Edvin Skaljo, que, como organizador y junto al resto del equipo, hizo posible esta gran experiencia.

Las charlas se enmarcaron en el campo de la Fibra óptica, y ofrecieron perspectivas tan diferentes como IoT, Big Data, 5G, Propiedad Intelectual, Protección de Datos, Smart Cities, etc. Asimismo, algunos talleres se desarrollaron en paralelo en una de las otras salas del espacio del evento. La prensa y televisión local acudieron a documentar y retransmitir todas las actividades que tuvieron lugar.

En Aphaia fuimos invitados a ofrecer una presentación y a moderar un panel de debate. Nuestra socia Cristina Contero Almagro ofreció una conferencia sobre Smart Cities y Privacidad y presidió el Panel de Debate sobre Smart Cities y Regulación, el tercer día de FOAN2019.

En la charla, Cristina debatió algunos de los principales retos de privacidad y seguridad que enfrentan las Smart Cities, como los riesgos de brecha de seguridad y la necesidad de identificar una base  legítima de tratamiento.

Contamos con la participación de grandes panelistas, como Igor Jurcic, head of marketing Business group for VSE/SME; Tarik Hamzic, Vice Presidente de Operaciones en el Ministerio de Programación de Bosnia y Herzegovina; Aleksandar Mastilovic, Asesor experto del Director General de Comunicaciones en la Agencia de Regulación de Bosnia y Herzegovina y  Aljo Mujcic Profesor de la Universidad de Tuzla (Bosnia), en la facultad de ingeniería. Debatieron los tres pilares de la Regulación de las Smart Cities: el concepto de Smart Cities, las Smart Cities y la universidad, y las Smart Cities y la inversión.

FOAN2019 fue una experiencia muy enriquecedora de la cual nos sentimos muy agradecidos por ser parte, y ya estamos deseando que llegue la próxima edición, FOAN2020!

 

¿Necesitas ayuda con el RGPD o la LOPDGDD? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPDtambién Evaluaciones de Impacto, como subcontratación delSubcontratación del Delegado de Protección de Datos.

Biometría de voz y privacidad

Biometría de voz y privacidad

La biometría de voz se está convirtiendo en una herramienta ampliamente usada por bancos einstituciones públicas con fines de identificación y autenticación. A estos efectos, resulta esencial debatir los riesgos que la biometría entraña para la privacidad, así como su cumplimiento con el RGPD.

Conforme la tecnología avanza y el mundo evoluciona hacia las plataformas online, nos encontramos también con que aparecen de forma constante nuevos medios digitales para identificar a las personas.

Una de estas herramientas de identificación que ha experimentado un mayor crecimiento en los últimos cinco años es la biometría de voz, que se trata de una tecnología empleada para autenticar a los sujetos mediante la voz únicamente.

Son muchas las compañías y organizaciones alrededor del mundo que están usándola, incluidos bancos, entidades de crédito y agencias públicas.

Por ejemplo, en 2016 el banco Citi fue demandado por haber lanzado un Proyecto que automáticamente verificaba la identidad de los clientes mediante la voz, mediante tan sólo los primeros segundos de conversación. Esta actividad fue presentada por Citi como una forma de reducir los tiempos de espera a través de la eliminación de los procesos de autenticación manuales, normalmente tomando un extracto de uno o dos minutos de las llamadas recibidas en el call center.

Si bien es cierto que la biometría de voz puede mejorar los servicios ofrecidos a los clientes y la gestión de los negocios, hay que tener en cuenta también que entraña altos riesgos para la privacidad de los usuarios.

Hace tan solo cuatro meses, la autoridad de control de Reino Unido, la ICO, emitió un aviso de ejecución a Hacienda para eliminar millones de registros de biometría recogidos de manera ilegítima, lo cual fue descubierto tras una investigación que reveló que el departamento de impuestos de Reino Unido había registrado datos biométricos sin ofrecer información suficiente sobre cómo iba a tratarse dicha información, y además no se proporcionó ninguna alternativa para retirar el consentimiento. En mayo de 2019 la orden de ejecución final dio 28 días al departamento para completar el borrado de todos los datos biométricos obtenidos sin consentimiento mediante el sistema de voz.

Dado que la biometría de voz es usada normalmente para reidentificar a una persona, se debe tratar con una base legal adecuada, como cualquier otro dato personal. Esta base puede ser el consentimiento o el interés legítimo, éste último sujeto a la realización de una evaluación de interés legítimo previa, conforme al RGPD”, afirma DrBostjan Makarovic, Socio Gerente de Aphaia.

 

¿Necesitas ayuda con el RGPD o la LOPDGDD? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPDtambién Evaluaciones de Impacto, como subcontratación delSubcontratación del Delegado de Protección de Datos.