Al amparo del Reglamento General de Protección de Datos (RGPD) el pasado 20 de agosto de 2019 la autoridad sueca de protección de datos impuso la primera sanción en Europa derivada del uso de la tecnología de reconocimiento facial, entendida como un tipo de identificación biométrica que utiliza los rasgos fisiológicos para verificar la identidad de las personas.
En concreto, la autoridad sueca ha multado a una escuela de secundaria con 200.000 coronas suecas (casi 20.000 euros) como consecuencia de la utilización por parte de ésta última de un software de reconocimiento facial que le permitió controlar durante tres semanas la asistencia a clase de 22 estudiantes. El uso del software se enmarcaba en un proyecto piloto que permitiría ahorrar muchas horas de trabajo en la escuela gracias a la automatización del registro de asistencia.
Cabe recordar que el rostro de una persona constituye un dato biométrico que permite identificarle de manera inequívoca, quedando su tratamiento prohibido bajo el tenor literal del artículo 9 del RGPD salvo que concurra alguna de las excepciones en él previstas. Si bien en este supuesto la escuela había obtenido el consentimiento explícito de los tutores legales de los estudiantes y permitió la abstención de aquellos que no deseaban participar en el ensayo, la autoridad sueca consideró que de todos modos el uso de la aludida tecnología había violado el RGPD de tres maneras diferentes.
Como se pone de manifiesto en las anteriores líneas, la sanción objeto de análisis se alza pionera en territorio europeo esta materia, si bien ya existe constancia de la apertura de distintas investigaciones relacionadas por parte de otras autoridades.
¿Servirá, pues, la sanción de la autoridad sueca para abrir la puerta a ulteriores procedimientos basados en la incorrecta utilización de una tecnología cuyo uso ya se ha generalizado en países de todo el mundo? Sin necesidad de ir más lejos, esta tecnología ya permite en países como España sacar dinero en diversos cajeros automáticos sin necesidad de introducir un PIN, abrir cuentas bancarias, asistir a eventos y conciertos o controlar la afluencia de personas en aeropuertos y estaciones de autobús.
En cualquier caso, la sanción impuesta en Suecia pone el acento no sólo en la importancia de realizar evaluaciones de impacto sino también en la necesidad de mitigar, en la máxima medida posible, los riesgos para la privacidad que puedan derivarse del uso de tecnologías disruptivas.
Ana Sánchez Rodríguez y Miquel Peguera