¿Están permitidos los sistemas de reconocimiento facial en Argentina? ¿Qué recaudos deben adoptarse para su instalación? ¿Existe uniformidad regulatoria o al menos doctrinaria / jurisprudencial? ¿Varía la respuesta según el contexto y finalidad donde pretendan ser implementados? Preguntas jurídicas elementales sobre un método cada vez más usado en el mundo para la identificación de personas.
Es que su evidente conveniencia práctica debe sopesarse con la potencialidad de violación de derechos básicos para los que puede ser utilizado -y de hecho lo ha sido, en múltiples jurisdicciones- desde la intromisión a la privacidad hasta la persecución de disidentes políticos, pasando por la discriminación de personas.
En oficinas, clubes, fábricas, transacciones ‘on line’, aeropuertos, estadios -tanto en el sector público como en el privado, con distintas variantes y propósitos- los sistemas de reconocimiento facial constituyen un método de control de identidad en crecimiento exponencial. Y es lógico que así sea. A nivel práctico este tipo de sistemas ofrece múltiples ventajas, máxime comparados con los métodos más tradicionales: proveen seguridad, suelen tener un alto grado de precisión, son más ágiles y confortables en los accesos, permiten prescindir de claves, tarjetas, carnets y otros dispositivos que, además de incómodos, se prestan a pérdidas, olvidos y maniobras fraudulentas. Como toda tecnología, estos indudables beneficios tienen como correlato perjuicios derivados de su potencial abuso. Y los nuevos sistemas de reconocimiento facial aumentan el detalle, volumen, sofisticación y finalidades de los datos procesados, permitiendo recoger información sin cooperación de la persona, a veces sin que esta sea consciente de ello. Queda claro entonces que un uso indebido de tales sistemas podría vulnerar derechos individuales básicos como los de la intimidad, privacidad o no discriminación.
Es por eso que los países más avanzados en materia de tutela de derechos civiles han decidido regularlos, en ocasiones prohibiéndolos para ciertos supuestos (la ciudad de San Francisco fue una de las primeras en emitir una regulación vetando el uso de tecnologías de reconocimiento facial por parte de sus autoridades policiales, allá por 2019, con denuncias de racismo, falsos positivos y falta de transparencia como telón de fondo). En la Unión Europea, las autoridades de datos personales de varios países (Holanda, España) han emitido guías, con ejemplos casuísticos de qué medidas adoptar para implementar dichos métodos y en qué casos se encuentra directamente prohibido el reconocimiento facial. Este último tema fue incluso uno de los puntos más controversiales en la recientemente sancionada Ley Europea de Inteligencia Artificial (“EU AI Act”) que trata en detalle el asunto.
Argentina carece de regulación específica al respecto. Tampoco las autoridades han publicado lineamientos, directivas ni guías sobre reconocimiento facial. Esto en nada ha impedido la propagación de este tipo de sistemas, que como dijimos al principio, se utilizan en nuestro país cada vez más, transversalmente en múltiples áreas y actividades. ¿Cuál es el problema? La inseguridad jurídica y frecuentes controversias que suele generar este tipo de vacío legislativo. ¿Cómo analizar entonces la legalidad de los sistemas de reconocimiento facial en el escenario jurídico argentino? Recurriendo a la regulación de datos personales, aplicando sus principios rectores generales a estas nuevas circunstancias fácticas particulares de la tecnología. Aquí vamos entonces.
Estos sistemas admiten muchos usos y variantes. Dejaremos para otro momento su uso por parte de las autoridades públicas, en plena disputa jurisdiccional en muchos países y en Argentina, por los cuestionamientos judiciales en trámite al sistema de reconocimiento facial para búsqueda de prófugos instalado por GCBA (“Observatorio de Derecho Informático Argentino O.D.I.A. Y Otros c/ GCBA s/ Amparo”, Expte 182908-0, fallo de la Cámara de Apelaciones en los CATyRC, Sala I, secretaría única, Actuación Nro. 1055665/2023). Focalizaremos el análisis jurídico en su implementación por el sector privado.
Estaremos todos de acuerdo en que mediante el reconocimiento facial se realiza un “tratamiento” de “datos personales” en los términos de la ley 25.326 de protección de datos personales (“LPDP”), por lo que debe aplicarse este régimen legal a la actividad y al sistema. También habremos de convenir que esos datos personales son de carácter “biométrico” y que, conforme nuestra regulación, pueden o no ser considerados “sensibles” dependiendo de que “puedan revelar datos adicionales cuyo uso pueda resultar potencialmente discriminatorio para su titular (v.g. datos que revelen origen étnico o información referente a la salud)” (conf. criterios orientadores en la aplicación de la LPDP establecidos en el Anexo I de la Res. AAIP 4/2019).
Así las cosas, si la persona objeto del reconocimiento facial (titular del dato) presta su consentimiento previo libre e informado (arts 5.1 y 6 de la LPDP) para ello, ninguna discrepancia debería haber respecto de su legalidad, en la medida -claro está- en que el responsable que recolectó tales datos respete los términos del consentimiento obtenido. Algunas legislaciones europeas consideran inválido el consentimiento del empleado titular del dato por la asimetría entre este último y el empleador que recoge el dato, pero por restricciones de espacio dejaremos de lado esta cuestión, que por otra parte aun no se ha suscitado en Argentina en este ámbito del derecho.
El tema se vuelve más discutible al implementar sistemas de reconocimiento facial sin el consentimiento del titular del dato.
Existen tendencias en países de la Unión Europea a considerar el consentimiento de los titulares de los datos casi como única base legal para el tratamiento de los mismos mediante sistemas de reconocimiento facial. Nos permitimos disentir con el absolutismo de este criterio. Si la ley de datos personales prevé excepciones al consentimiento para tratar válidamente los mismos (como en Argentina lo hace en el art. 5.2 de la LPDP), ninguna razón vemos para que esas excepciones no puedan aplicarse al tratamiento de tales datos mediante sistemas de reconocimiento facial.
Por supuesto que deberá analizarse caso por caso que se den los supuestos que habilitan tales excepciones y que el reconocimiento facial sea adecuado, no excesivo y utilizado únicamente con las finalidades que habilitan tales excepciones (el principio de finalidad es clave en este sentido). La autoridad de aplicación de datos personales (en Argentina, la Agencia de Acceso a la Información Pública, “AAIP”) debería controlar que estos recaudos se cumplan y establecer modos de acreditación de dicho cumplimiento, como por ej, informes periódicos por parte de la empresa responsable del uso de este tipo de sistemas, incluyendo las medidas de seguridad informática utilizadas para resguardar los datos recolectados.
El punto radica en que la falta de consentimiento no debería constituir ‘per se’ una causal de ilegalidad del reconocimiento facial.
Para ‘bajar a tierra’ el concepto, tomemos los ejemplos de un operador de aeropuertos, o de un club social, o de un organizador de espectáculos o de eventos deportivos. Todos ellos tienen, en base a distintas normas, la obligación legal de proveer seguridad y más específicamente de realizar un control de acceso a sus instalaciones. A veces esa obligación surge también de un deber contractual con los asistentes (titulares de los datos). Supongamos que ellos deciden asumir ese deber legal/contractual utilizando como herramienta al efecto sistemas de reconocimiento facial, algo que ya sucede hoy en muchos de estos establecimientos en Argentina (el pasado fin de semana jugué un torneo de tenis en un club donde se me requirió scanear mi rostro para ingresar; y lo mismo me sucedió anteayer al acceder a las oficinas de un cliente). Si los datos biométricos (imagen facial) de los asistentes son captados con previo aviso (cartel) una única vez y en un único lugar predeterminado (los puntos de control de acceso) con una única finalidad (verificar la identidad del ingresante comparándola con una base de datos previamente obtenida legítimamente) ¿Por qué debería requerir el consentimiento del titular del dato asistente para usar esta herramienta? ¿Qué le impediría considerarse encuadrado en las excepciones de cumplimiento de deber legal y/o contractual previstas en los arts. 5.2.b y 5.2.d de la LPDP respectivamente? ¿acaso no estaría cumpliendo de un modo más eficiente y seguro el deber legal de control de ingreso que antes ejercía mediante un ticket, entrada, código QR, carnet o documento?
Claro que situaciones distintas merecerían enfoques legales diferentes. Por seguir con ejemplos prácticos, distinto sería el caso de la instalación de sistemas de reconocimiento facial en un supermercado (caso que recientemente desató severas objeciones en Países Bajos); o el de cámaras de reconocimiento facial que monitoreen constantemente a las personas (en contraposición con la captación solo en un punto de acceso); o que se implementen sin aviso previo ni indicaciones de los sectores donde se encuentren ubicadas.
Volviendo a las excepciones al consentimiento antedichas, cabe tener presente que, aun con la evidente diferencia en cuanto a sofisticación, los sistemas de reconocimiento facial más básicos (por ej, la verificación o autenticación ‘uno-a-uno’, comparándose los datos del individuo únicamente con los datos asociados a la identidad reclamada) tienen varios puntos en común con los sistemas de videovigilancia. Estos últimos sí se encuentran regulados en Argentina mediante la Disposición AAIP 10/2015 (actualizada este año conf. res. AAIP 38/2024), que podría aplicarse ‘mutatis mutandi’ a algunos casos de reconocimiento facial[1]. La Regulación Argentina antedicha admite -como es lógico- prescindir del consentimiento para la captación de imágenes con findes de seguridad requiriendo, naturalmente, una serie de precauciones y requisitos. Establece al respecto que “Siempre y cuando la recolección de las imágenes personales no impliquen una intromisión desproporcionada en su privacidad, no será necesario requerir el consentimiento previo del titular del dato en los siguientes casos:…a) los datos se recolecten con motivo de la realización de un evento privado (se realice o no en espacio público) en el que la recolección de los datos sea efectuada por parte del organizador o responsable del evento; o …c) los datos se recolecten dentro de un predio de uso propio (por ejemplo: ser propiedad privada, alquilado, concesión pública, etc.) y/o su perímetro sin invadir el espacio de uso público o de terceros, salvo en aquello que resulte una consecuencia inevitable, debiendo restringirlo al mínimo necesario y previendo mecanismos razonables para que el público y/o los terceros se informen de una eventual recolección de su información personal en tales circunstancias.”
Para permitir la captación de imágenes de personas sin el consentimiento de los titulares de los datos en supuestos, la resolución antedicha exige asimismo que “la información que se recabe debe ser adecuada, pertinente y no excesiva en relación a la finalidad para la que se hubiera obtenido, y por tales motivos deberá cuidarse que las imágenes obtenidas se relacionen estrictamente con los fines perseguidos evitándose mediante esfuerzos razonables la captación de detalles que no sean relevantes para la consecución de los objetivos que justifican la recolección del material fotográfico o fílmico….con la debida proporcionalidad entre las razones de seguridad que motivan la toma de las imágenes y la intromisión efectuada en la intimidad de las personas.”[2]
Los tratamientos de control de identidad mediante sistemas de reconocimiento facial, o biométricos en general, son hoy una realidad. La actual orfandad legislativa genera incertidumbre y posibles abusos en una esfera particularmente sensible. Estos posibles abusos no deberían impedirnos ver y aprovechar sus grandes ventajas. Regularlos, atendiendo a sus múltiples variantes, usos, circunstancias y propósitos sería inteligente y viable, simplemente con una disposición de la AAIP (como la que regula la videovigilancia), o al menos una “Guía” al respecto, como las que ha emitido la AAIP en el pasado reciente, tomando la valiosa experiencia europea al respecto. En cualquier caso, resulta aconsejable analizar la validez legal de los sistemas de reconocimiento facial caso por caso antes de implementarlos, sin caer en el facilismo de requerir el consentimiento del titular del dato como única base para ello. La realización de un informe de evaluación de impacto de protección de datos (“EIPD”) en base a los parámetros provistos por la AAIP al respecto[3] constituye un modo apropiado para plasmar y respaldar dicho análisis, mitigando así eventuales cuestionamientos.
Citas
[1] De hecho las “Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement - Version 2.0”, adopted on 26 April 2023 por la European Data Protection Board hacen referencia constante a la similar sobre videovigilancia, las “EDPB guidelines 3/2019 on processing of personal data through video devices” adopted on 29 January 2020.
[2] Conf art 3 del Anexo I de la Disp. AAIP 10/2015
[3] Conf Secc 2.3 de la “Guía de Evaluación de Impacto en la Protección de Datos Personales” elaborada y publicada conjuntamente por la AAIP (Argentina) y la Unidad Reguladora y de control de Datos Personales de la República Oriental de Uruguay
Opinión
Barreiro
opinión
ver todosPASBBA
NORDELTA S.A.
Alfaro Abogados
Berton Moreno IP Law