¿Sería legal que Facebook tratara nuestros datos de reconocimiento facial?

Éstos últimos días ha sido noticia en varios portales y periódicos que la herramienta de reconocimiento facial de Facebook ya ha sido puesta a prueba. Ante esta futura posibilidad, la duda que surge es si sería legal el tratamiento de nuestros datos de reconocimiento facial a fin de habilitar esta herramienta por parte de Facebook. 

En primer lugar, cabe indicar que los datos recopilados para reconocer nuestras facciones de la cara serían considerados datos biométricos. Para ello, debemos remitirnos a la definición contenida en el art. 4 del Reglamento General de Protección de Datos (en adelante, RGPD), en el que se indica lo siguiente: 

«datos biométricos»:datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.

A pesar que, hasta el momento, dichos datos no tenían el carácter de datos de especial protección, el art. 9.1 RGPD dispone que, a partir del 25 de mayo de 2018, dichos datos tendrán el carácter de datos de especial protección, conllevando, ello, que su tratamiento sólo es posible en aquellos supuestos permitidos por el art. 9.2 RGPD

La opción que Facebook utilizará -dado que las demás carecen de justificación, a mi parecer, para el tratamiento- será la del consentimiento explícito del Interesado (art. 9.2.a) RGPD). No obstante, dos elementos deben destacarse:

  1. Que el consentimiento debe ser EXPLÍCITO, es decir, no sería válida la aceptación general del tratamiento de los datos (ej. creo un perfil de Facebook y ya, al aceptar todas las condiciones, acepto el tratamiento de mis datos de reconocimiento facial). Probablemente lo que Facebook podría utilizar es la aceptación/activación del sistema como momento en el que solicitar el consentimiento expreso para el tratamiento de dichos datos. Pero, ¿será ello suficiente para cumplir con los requisitos de “consentimiento explícito”? Actualmente hay mucha discusión sobre éste concepto y en qué se diferencia del consentimiento expresado en el art. 6.1.a) RGPD. 
  2. Que el propio artículo dispone que el derecho de los Estados Miembros puede establecer que el consentimiento no sea suficiente para alzar la prohibición de tratar datos especialmente protegidos. 

Para analizar si la ley española permite o no alzar la prohibición mediante el consentimiento explícito del Interesado, deberá consultarse el Anteproyecto de Ley Orgánica de Protección de Datos, que, en su art. 10.1, dispone lo siguiente:

(…) el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.

Por lo tanto, puede verse que en la enumeración anterior nada se indica sobre los datos biométricos (no sabemos si porque se han olvidado de regularlo o porque lo consideran así; así como podemos ver que el art. 10.1 habla de finalidades y no tipos de datos, algo que podría ser criticable de la redacción del precepto). 

En conclusión, debe indicarse que el tratamiento de datos para el reconocimiento facial sería legal siempre que existiera el consentimiento explícito del Interesado, teniendo en cuenta que el Anteproyecto de LOPD no dispone expresamente que el consentimiento no es suficiente para levantar la prohibición de tratamiento de datos biométricos. En los próximos meses veremos qué significará este consentimiento explícito y como se materializará en la realidad. 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *