Willy Alejo Ramírez
Ingeniero Electrónico por la Universidad Peruana de Ciencias Aplicadas, Magister en Dirección de Empresas por la Universidad de Piura. Gerente General | ABR Technology
Mg. Percy R. Rojas Salazar
Gerente General | Estudio Rojas Abogados
Ing. Daniel Rodríguez Cárhuaz
Especialista en Soluciones Biométricas | ABR Technology
Introducción
Posiblemente el término “biometría” sea considerado por muchos como esotérico. Sin embargo, la interacción que se tiene con este tipo de tecnología viene creciendo exponencialmente en los últimos años, por múltiples desarrollos y avances científicos que se generan alrededor del mundo y de los cuales somos incluso usuarios. La biometría, como concepto general, es la ciencia que, mediante técnicas matemáticas y estadísticas, estudia las características cuantitativas de los seres vivos. Sin embargo, en épocas más recientes, el término también se utiliza para referirse a los métodos automáticos que analizan determinadas características singulares e inalterables para la identificación de personas. El reconocimiento facial, como analítica de video, es uno de los sistemas biométricos comercializados que se está anunciando como una técnica de identificación, que se convertirá en la nueva panacea tecnológica de la constante evolución digital en la cual estamos sumergidos[1].
El reconocimiento por rostro permite identificar clientes, personalizar productos y servicios, así como responder en tiempo real con promociones y descuentos en tiendas, hoteles, restaurantes, centros de entretenimiento y hasta en sucursales bancarias. Los beneficios de la analítica de video son múltiples en el sector comercio, pero también lo es en el sector público y para la seguridad, en donde es empleada para crear listas de personas buscadas o no bienvenidas ya sea en estadios, casinos, aeropuertos u otros[2]. Como en todo, la tecnología nos ofrece un lado positivo, pero también exige realizar un análisis prospectivo. El reto de este artículo es propiciar un acercamiento entre el mundo tecnológico y el jurídico para evaluar a detalle, la siguiente pregunta que día a día toma mayor relevancia: ¿La biometría facial vulnera nuestra privacidad?
Marco Legal
La constitución política del Perú́ en su Art. 2, Numeral 6, reconoce el derecho que toda persona tiene a que los servicios informáticos, computarizados o no, públicos o privados, no suministren información que afecte la intimidad personal y familiar. En desarrollo del artículo mencionado, fue aprobada la Ley Nº 29733, Ley de Protección de Datos Personales (LPDP), publicada en el Diario Oficial el Peruano el 03 de julio de 2011 y cuyo reglamento fue aprobado mediante el Decreto Supremo N° 003-2013-JUS.
La LPDP tiene por objeto garantizar una serie de derechos a las personas, titulares de los datos personales, tales como el derecho a ser informado de cuándo y por qué se tratan sus datos personales, el derecho a acceder a los datos y, en caso necesario, el derecho a la rectificación o cancelación de los datos o el derecho a la oposición al tratamiento de los mismos. Para ello, la LPDP establece las reglas, requisitos y obligaciones mínimas que deberán cumplir los titulares de los bancos de datos al recopilar, registrar, almacenar, conservar, transferir, difundir y utilizar datos personales.
La LPDP, introduce múltiples definiciones como la de los datos sensibles los cuales están constituido por los datos biométricos y aquella información que pueda identificar al titular como su origen racial y étnico, ingresos económicos, opiniones o convicciones políticas, religiosas, filosóficas y morales, afiliación sindical, e información relacionada a la salud o a la vida sexual -Art. 2 numeral 5 de la ley 29733- pudiendo dichos datos ser tratados previa autorización o consentimiento expreso del titular como se indica en el reglamento y en congruencia con los principios rectores que indica la ley, limitando el uso irracional, fraudulento e ilegal de los datos de las personas por el encargado de la administración de datos y de quien la requiera.
La norma establece claramente qué datos pueden ser públicos y cuáles no, y estos a su vez deben de ser tratados con el pleno respeto de los derechos fundamentales de sus titulares y de terceros; las limitaciones solo pueden ser establecidas por ley y mediante medidas especiales para el tratamiento de los niños y adolescentes. Todo ello, limitando el consentimiento del uso de los datos personales cuando lo requiere alguna institución del estado dentro de su competencia en instituciones tales como la Policía Nacional del Perú (PNP), el Ministerio Público, el Poder Judicial, entre otras siempre y cuando no cause perjuicio al titular. Ello en concordancia con el Decreto Legislativo 1353, que tiene como objeto crear la Autoridad Nacional de Transparencia y Acceso a la Información Pública; y, fortalecer el Régimen de Protección de Datos Personales, entre otros.
La información personal y datos sensibles deben ser tratados por el administrador del banco de datos personales, el cual debe adoptar medidas técnicas organizativas y legales que garanticen la seguridad y confidencialidad. En caso se vulneren la privacidad el afectado tendrá derecho a ser indemnizado por el titular del banco o por terceros con sujeción a la Ley 27444, sin perjuicio de recurrir ante la Autoridad Nacional de Protección de datos Personales y al Poder Judicial en vía de acción de Habeas Data regulado por la Constitución Política del Estado. Por otro lado, el Decreto Legislativo 1353 determina que los incumplimientos de las empresas, en relación con la regulación de la protección de los datos personales de sus clientes, proveedores, trabajadores y otras personas vinculadas a su actividad, se consideran como infracciones de responsabilidad objetiva. Es decir, no será relevante para verificar una infracción -aun cuando sí para la graduación de la sanción- la conciencia y voluntad de incumplir esta regulación. A la autoridad simplemente le bastará verificar el incumplimiento de una obligación a cargo de la empresa, pudiendo imponerle sanciones de hasta 100 UIT[3].
La biometría facial y la privacidad
Los sistemas biométricos requieren de distintos procesos discretos: registro, captura, extracción de patrones y comparación. El propósito del registro consiste en recoger y archivar las muestras biométricas para generar plantillas numéricas que son almacenadas en una base de datos para futuras comparaciones. El proceso de registro toma vital importancia, pues en las tecnologías biométricas tradicionales como la de huella dactilar -medio biométrico utilizado por el RENIEC para la identificación de personas-, es necesario que se realice una actividad consciente de registro, es decir que exige colaboración y actúa con conocimiento de causa, pues se requiere que la persona posicione uno o más dedos en un sensor o formato impreso para que la muestra de la huella pueda ser procesada. En el caso del reconocimiento facial, como analítica de video, el proceso de registro puede darse sin que la persona tenga conocimiento del mismo. Para poder plasmar de forma sencilla el caso del registro inconsciente, basta con imaginar que la gran mayoría de cámaras de seguridad ubicadas en recintos públicos o privados tienen la posibilidad de ser integradas a sistemas de analítica de video, con lo cual se permite extraer la captura de un rostro y registrarlo en una base de datos, sin que la persona se entere.
Esta nueva tecnología, posibilita el registro biométrico inconsciente de personas dejando a discreción el cumplimiento del Principio de Consentimiento (Art. 5, Ley 29733), el cual establece que el consentimiento debe ser dado de manera voluntaria (libre), pedido con anterioridad a la recopilación de los datos (previo), manifestado en condiciones que no admitan dudas de su otorgamiento (expreso e inequívoco) y cuando al titular de los datos se le comunique de manera clara, expresa, con lenguaje sencillo quién, porqué, para qué y cómo van a ser tratados sus datos personales[4].
En la Imagen 1, se muestra un ejemplo de segmentación de rostros en la vía pública, mediante la tecnología desarrollada por Herta Security la cual permite la identificación y registros de rostros en tiempo real, sin ser necesario el consentimiento expreso de cada una de las personas cuyo rostro es procesado por el sistema.
Imagen 1. Ejemplo de analítica de video (reconocimiento facial múltiple)[5]
Aunque parezca ciencia ficción, la analítica de video es una tecnología al alcance de múltiples empresas tecnológicas en el Perú y día a día se añaden nuevas funciones para el tratamiento de la información. Los nuevos avances en analítica de video, no solo posibilitan la extracción de imágenes del rostro, también permite establecer diferencias de género, realizar clasificaciones étnico-raciales, estimar la edad de la persona, entre otros.
Si bien la tecnología continúa avanzando, el fortalecimiento del Régimen de Protección de Datos Personales no aparenta haber generado un drástico cambio de orientación regulatoria. Sin embargo, los patrones biométricos -datos sensibles- cada vez son más utilizados en reemplazo de contraseñas o medios físicos de identificación, siendo aplicado por ejemplo para autorizar transacciones desde dispositivos móviles. En la medida que el uso incremente, se incrementará la “sensibilidad” de la información, por su valor intrínseco y por lo que se podría realizar con la misma. Es necesario apostar por la concientización de los usuarios y de las empresas tecnológicas que brindan servicios biométricos y/o manejan bancos de datos personales; asimismo es importante promover espacios de acercamiento jurídico-tecnológico a favor de comprender la tecnología y generar herramientas jurídicas que garanticen la seguridad de la información, el adecuado tratamiento de los datos personales y el debido respeto.
Conclusiones
- Para el tratamiento de los datos sensibles se necesita el consentimiento del titular de la información personal. Solo en casos muy concretos, la ley autoriza algo distinto. El reconocimiento facial, como video analítica, es una tecnología que brinda un enorme potencial de aplicaciones para resolver múltiples necesidades y/o problemas en el sector público y privado; sin embargo, su uso debe involucrar a un usuario consciente que autorice expresamente su disposición a ser sometido al reconocimiento facial, ello sin perjuicio de que el usuario tenga que ser correctamente informado sobre el tratamiento de sus datos, acorde al marco de la ley y con el pleno respeto de los derechos fundamentales del titular.
- Cuando una empresa pública o privada solicita y recoge datos personales debe informar claramente la finalidad. Siempre es importante leer esta información y especialmente las políticas de privacidad. Por otro lado, debe considerarse que el titular de la base de datos personales o el encargado del tratamiento solo pueden utilizar tus datos personales para las finalidades para las cuales fueron entregadas.
- La tecnología viene avanzando a pasos agigantados y es necesario que se establezcan herramientas jurídicas basadas en el acercamiento al mundo tecnológico, aportando con técnicas especializadas y prácticas globales que garanticen en lo posible el adecuado tratamiento de la información en el sector público y privado.
[1] Tecnología El Derecho – Internet y Tecnología – ¿Es legal el reconocimiento facial? – Javier López 28/06/17
[2] Azteca Trece – Encuentro de Opiniones – Guadalupe Michaca (Editora de consumo TIC), 14/11/17
[3] Diario Gestión – Novedades en el Acceso a la Información Pública y Protección de Datos Personales – Pierino Stucchi – 09/01/17
[4] Autoridad Nacional de Protección de Datos Personales (APDP) – El Derecho Fundamental a la Protección de Datos Personales – Primera Edición – 01/10/13
[5] Digital Security Magazine – Access control, Detection, Business – 16/02/15
