MENÚ
Madrid acogió en abril de 2022 el maratón Rock ‘n’ Roll Running Series, en el que los participantes eran fotografiados por la organización (como en cualquier otro evento deportivo de estas características, podríamos decir). La particularidad de esta carrera es que, una vez finalizada, podías comprar las fotos que habían sacado y, para buscarlas entre el catálogo, ofrecían la opción de buscarlas mediante un sistema de reconocimiento facial. A raíz de este uso específico de la tecnología, nos habéis preguntado hasta qué punto es seguro ceder nuestros datos biométricos y si es proporcional.
Quizás llegados a este punto te estés preguntando qué diferencia hay entre un selfie que les podamos mandar y una foto de primer plano que un fotógrafo pueda haber sacado durante la carrera. Si ya tienen varias fotos de mí, ¿qué más me da mandarles un selfie? La respuesta es sencilla: quizás tienen un catálogo con varias fotos de ti que pueden usar (porque así lo autorizamos al participar y aceptar su política de privacidad), pero no cuentan con tu autorización para tratar, almacenar o usar tus datos biométricos. Ahí está la clave.
Consentimiento para tratar nuestros datos y conocer las alternativas
“Estos datos son considerados como de carácter sensible y esto significa que básicamente no pueden ser tratados a no ser que cumplan con una serie de requisitos. Por ejemplo, para su tratamiento, el usuario debería dar su consentimiento explícito para los fines especificados”, nos explica nuestra también maldita Carolina Torrent, especialista en ciberseguridad y ciberinteligencia.
Es el caso del maratón, el programa de reconocimiento facial del catálogo de fotos lo gestiona la plataforma Sportograf, que en su política de privacidad específica que se apoya en nuestro consentimiento para tratar nuestros datos desde el momento en el que subimos el selfie. También aseguran que eliminan la imagen tras el proceso.
Para evaluar el uso de un sistema de reconocimiento facial, es importante conocer si existen alternativas, es decir, que se proporcione otro método para obtener el mismo resultado que no implique tratar esos datos. En el caso de los pagos con alguno de nuestros datos biométricos, está el pagar en efectivo o con una tarjeta. En este, el sistema da una opción de búsqueda alternativa con la que podemos buscar las fotos por la hora y el lugar por el que se pasó durante la carrera o usando los datos GPS (los corredores son geolocalizados durante el maratón).
Además de una clara exposición de motivos sobre el uso que se le va a dar a los datos y pedir el consentimiento, Torrent recuerda que “también sería importante que tengan unas medidas de seguridad muy específicas para el almacenamiento y correcta protección de estos datos, así como para el acceso a ellos, registrando quién, cuándo y para qué han sido consultados”, señala.
Sobre el uso de datos biométricos para realizar pagos, nuestro maldito Jorge Francos, consultor y analista de sistemas nos explicaba que “se debe tener en cuenta, que pese a que las empresas que manejan estos datos (principalmente por control de accesos) tienen unos estándares de seguridad especiales para ellos, su precio en el mercado negro es muy alto, por lo que en los ataques a empresas, son un objetivo prioritario”. De modo que guardarlos con extremo cuidado es indispensable.
¿Es proporcionado el tratamiento de nuestros datos para obtener lo que esperamos a cambio?
No olvidemos tampoco de las consideraciones legales: antes de implantar un sistema de biometría, se debe realizar lo que se denomina una evaluación de impacto. “El objetivo de este estudio es analizar la necesidad y proporcionalidad del sistema y los riesgos asociados. En definitiva, se trata de una autoevaluación para determinar que el sistema no afecta de forma grave a la privacidad de las personas a las que va dirigido y para detectar los riesgos para la seguridad, reputación, privacidad, etc. que puede tener el uso de la tecnología”, explica el abogado especializado en protección de datos Jorge Campanillas en este artículo en The Conversation.
Al final, estas recomendaciones se pueden aplicar a casos generales en los que se use una tecnología como el reconocimiento facial para una necesidad ‘menor’ que podría resolverse usando un método alternativo. “Habitualmente, este tipo de datos se usa para sistemas de seguridad en los que se utilizan datos como la huella dactilar o el reconocimiento facial como método de acceso a dispositivos o a centros de alta seguridad. Siendo menos habitual su uso para eventos de este tipo, por lo tanto, sería algo a considerar por el usuario que cede sus datos”, expone Torrent.
La especialista también apunta como recomendación general para controlar nuestra exposición que “la mejor forma de que nuestros datos no se vean comprometidos o expuestos siempre va a ser hacer un uso responsable de ellos y no cederlos a la ligera, ya sea para hacer uso de un simple descuento, para un evento o para fines cuyo beneficio no sea tan alto como el valor del dato que cedes”, además de leer siempre “con detenimiento cómo se hará el tratamiento de estos datos y una vez tengamos la imagen completa, hacer una decisión consciente”.
“No obstante, si finalmente se cediera el uso de estos datos, siempre se puede solicitar que se borren tras la relación comercial con esta carrera o con la empresa a la que se hayan cedido, para evitar de esta forma que sigan almacenándolos”, remarca.
En este artículo ha colaborado con sus superpoderes la maldita Carolina Torrent, especialista en ciberinteligencia.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
