en General, Protección de datos de carácter personal

Reconocimiento facial y protección de datos

Autor: Eric Gracia. Abogado Derecho.com


El Grupo de Trabajo del Artículo 29 (en adelante, “GT29”) ha publicado recientemente el documento “Opinión 02/2012 sobre reconocimiento facial en los servicios online y móviles”, adoptado el 22 de marzo de 2012, en el que analiza este fenómeno desde el prisma de la protección de datos personales.

Así, en primer lugar se define el reconocimiento facial como el tratamiento automatizado de imágenes digitales (fotografía, vídeo, captación de imagen en vivo, etc.) que contienen rostros de personas y que se llevan a cabo con el fin de identificar, autenticar/verificar o categorizar a dichas personas. Dicho proceso de reconocimiento facial puede estar compuesto, a su vez, por diferentes subprocesos:

a) Obtención de la imagen: convirtiéndola en formato digital (ej: realización de una fotografía con un teléfono móvil y publicación de la misma en una red social).

b) Detección de la cara: dentro de la imagen digital tomada y enmarcado de la misma.

c) Normalización: consistente en modificar la región facial detectada variando su tamaño, rotándola, ajustando el color, etc., de acuerdo con unos parámetros estandarizados.

d) Extracción de características: consistente en aislar y leer la región facial extrayendo sus características diferenciadoras, que pueden almacenarse como plantilla para posteriores comparaciones.

e) Registro: cuando una persona se somete por primera vez a un determinado sistema de reconocimiento facial, sus características diferenciadoras podrían almacenarse como plantilla para posteriores comparaciones.

f) Comparación: consistente en medir la similitud existente entre las características diferenciadoras de la plantilla registrada y las de otra muestra.

En el contexto del documento publicado por el GT29, se tienen en cuenta determinados procesos de reconocimiento facial que se producen dentro de servicios online y/o móvil:

1.- Redes sociales: En muchos casos, cuando el usuario de una red social incluye una fotografía en su perfil o etiqueta a personas en las fotografías que publica en ella, la red social puede llegar a sugerirle automáticamente etiquetas a incluir en la nuevas fotografías que vaya publicando. Dichas fotografías pueden ser indexadas por un motor de búsqueda, que las ofrece como resultado al buscar a esa persona en Internet.

Según recomienda el GT29, cuando una red social utilice el reconocimiento facial, dicha circunstancia debería ser informada a los usuarios antes de que éstos publiquen fotografías, dando la opción para que puedan rechazar la inclusión de su plantilla en la base de datos de identificación. Otra recomendación consiste en facilitar técnicamente al usuario que publica una fotografía en la que se visualiza el rostro de terceros para que pueda difuminarlos. Debe tenerse en cuenta aquí el requisito de interés legítimo para que la red social pueda tratar los datos de terceros sin su consentimiento.

2.- La cara de una persona como sistema de autenticación: Se da en aquellos casos en los que en lugar de un nombre de usuario y contraseña se utiliza la imagen de la persona como método de autenticación para acceder, por ejemplo, a un sistema de información. El consentimiento del afectado se entenderá dado por su mera decisión de someterse al proceso de reconocimiento facial, siendo necesario facilitar la oportuna información al respecto.

3.- Reconocimiento facial para clasificar personas: Una consola de videojuegos puede llegar a incorporar una cámara con detector de movimientos y reconocimiento facial. La información captada puede alterar la configuración del juego, mejorar en él la experiencia del usuario o adaptarlo a sus preferencias.

En estos casos se recomienda informar, incluso de forma periódica dependiendo de la duración del tratamiento, acerca de la existencia del reconocimiento facial, dando la opción al usuario para que pueda desactivarlo.

En todos estos supuestos, tanto las imágenes digitales en las que se distingue correctamente el rostro de una persona, como las plantillas que contienen las características diferenciadoras del rostro de una persona, deben considerarse datos personales biométricos.

Dependiendo de la finalidad que vaya a darse a las imágenes tratadas mediante reconocimiento facial, éstas podrían incluso alcanzar la categoría de datos especialmente sensibles (p.ej.: cuando a partir de los rasgos faciales se pretenda establecer el origen racial de la persona).

A menos que el reconocimiento facial sea la finalidad principal del tratamiento, es recomendable que el usuario pueda rechazarlo en cualquier momento.

En conclusión, el GT29 hace una aproximación al tratamiento de la imagen como dato personal en un contexto tan actual como es el reconocimiento facial en servicios online y móviles, si bien no hay que olvidar que el mismo está plenamente sujeto a los requisitos y obligaciones que la vigente normativa aplicable a la protección de datos personales ya establece.