Hace tiempo que ha dejado de sorprendernos que desbloquear un teléfono móvil sea posible solo con nuestra cara. Y que un par de miradas a la cámara sirvan para realizar una transferencia bancaria o para autorizar una compra por internet. La culpa de todo la tiene Woodrow Wilson Bledsoe, un estadounidense al que en los años sesenta le dio por inventar un sistema que permitiese clasificar los rasgos del rostro humano. Con un lápiz óptico conseguía situar los ojos, la nariz o la boca de una persona, a través de coordenadas precisas. Fue solo el inicio de los sistemas de reconocimiento facial que conocemos hoy en día.

Toda esa información —dónde empieza la línea de nuestro cabello o cuál es el ángulo de nuestra mandíbula— son datos biométricos. Permiten reconocer de manera inequívoca a una persona, de acuerdo a sus características fisiológicas. En el mismo saco están las huellas dactilares, la palma de la mano o el iris del ojo. Son a todos los efectos datos personales y están especialmente protegidos. También en el ámbito laboral. Una resolución pionera de la Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 20.000 euros a una fábrica española por usar un sistema de reconocimiento facial con sus empleados. La compañía procedió a tomar fotografías de sus 470 trabajadores para crear una plantilla biométrica de sus caras que sirviese para respaldar un sistema de reconocimiento. El plan era utilizarlo para el registro de horario laboral.

Controlar el fichaje de entrada y salida de un empleado es —por ley— obligatorio en nuestro país desde el 2019. La norma se aplica a cualquier compañía, independientemente de su tamaño, sector o facturación. Hay muchos sistemas para hacerlo, pero los biométricos ya han generado sentencias contrarias al respecto. En este caso concreto, la resolución de la AEPD relata que «la compañía sancionada hizo fotografías a cada uno de sus empleados para controlar la jornada, pero no les informó de que uno de sus usos sería la creación de una plantilla para su reconocimiento facial». Las personas trabajadoras sí firmaron un documento de autorización de uso de sus imágenes, aunque solo se mencionaba que podrían ser «utilizadas y difundidas en su página web, redes sociales, revistas o publicidad corporativa». Los empleados desconocían qué empresa exacta captaba sus datos, cómo los gestionaba y tampoco sabía en qué servidores se almacenaban, ni la finalidad del tratamiento.

Evaluación

Además, el escrito de la AEPD considera que la captación de imágenes no es una medida proporcional en este caso. Y que para cumplir el mismo objetivo, hay otras operaciones de toma y tratamiento de datos que resultan menos invasivas para los derechos de los usuarios. El uso de la biometría para el control horario no está específicamente prohibido, pero requiere pasar por una evaluación del impacto. De esta manera, de acuerdo con la invasión a la que la sentencia hace referencia, la empresa estaba obligada a, en primer lugar, recabar el asesoramiento del Delegado de Protección de Datos de la propia compañía para, posteriormente, actuar con la diligencia debida.

Así lo establece el artículo 35 del Reglamento General de Protección de Datos, que además obliga a comunicar al comité de empresa, cómo cuándo y quién despliega la tecnología biométrica. Nada de esto se llevó a cabo y por eso la AEPD ha interpuesto una sanción administrativa y además ha instado a la compañía a limitar  «temporal o definitivamente» el tratamiento del sistema de reconocimiento facial mientras no cuente con una evaluación de riesgos al respecto.

Fuente: lavozdegalicia.es

https://www.lavozdegalicia.es/noticia/reto-digital/tecnologia/2023/06/11/aceptaria-leyesen-cara-supiese/00031686482581941933389.htm